Дистанционное рабочее место - новое направление регулирования ФСТЭК

Кто активно мониторит то, что происходит на конференции "Актуальные вопросы защиты информации", которые ФСТЭК проводит в рамках ТБ-Форума, тот образал внимание на то, что последние несколько лет эти конференции стали тематическими, посвященными каким-либо ключевым темам, которыми ФСТЭК занималась годом ранее. КИИ, безопасная разработка и т.п. В этом году регулятор посвятил большую часть своих выступлений теме безопасной дистанционной работы, полностью "забыв" обо всех других направления своей деятельности. Разве, что тема КИИ была рассмотрена днем ранее на конференции по защите АСУ ТП в рамках того же форума, а также несколькими днями позже, в рамках форума "Кибербезопасность. Наши дни. Промышленные технологии". Оно и понятно - прошлый год у всех прошел под знаком удаленной работы и было бы странно, чтобы регулятор не осветил этот вопрос, тем более, что за прошедший год эта тема поднималась неоднократно и всегда звучал вопрос, что же думает ФСТЭК (а также другие регуляторы по ИБ) по этому вопросу. Выслушав два доклада - от ФСТЭК и Минцифры - я могу тезисно зафиксировать направление мысли и предполагаемые шаги, с которыми столкнутся, как минимум, государственные и муниципальные структуры, а как максимум, и многие другие организации, например, субъекты КИИ или операторы ИСПДн.

1. ФСТЭК признает и я склонен с ней согласиться, что существующие нормы 17-го приказа (а также иных приказов) ФСТЭК вполне себе допускают удаленную работу и позволяют защитить ее в рамках действующей нормативной базы. Но зачем-то, вдруг, появляется требование о том, что удаленный доступ должен быть организован только со специальных технических решений, к которым надо установить требования.
2. ФСТЭК, трезво оценивая нехватку бюджета у госорганов и понимая, что каждому чиновнику выдать по служебному компьютеру для работы из дома невозможно, предлагает использовать концепцию LiveUSB, то есть специальной защищенной флешки, с которой можно загружаться и подключаться к ГИС или работать со слежубными документами вне рамок аттестованного помещения и контролируемой зоны.
3. При этом ФСТЭК считает, что это не может быть любая флешка, на которую установлены сертифицированные средства защиты, а только специальная флешка, сделанная под заказ в соответствие с треваниями по ИБ и стоящая как космический корабль.
4. На этой LiveUSB, которая должна быть сертифицирована, должны быть реализованы/установлены соответствующие средства и механизмы защиты - доверенная загрузка, ОС, двухфакторная аутентификация, СКЗИ, удаленное управление. 
5. ФСТЭК разрабатывает сейчас (на финишной прямой) руководящий документ к таким средствам, который будет ориентирован только на разработчиков и испытательные лаборатории. Вот тут у меня, конечно, в очередной раз всплывает вопрос. Понятно, что сделать документ, ориентированный на ограниченное количество участников, проще, чем документ для широкого круга лиц. Но если целью всего этого является именно усиление защиты информации и повышение ее уровня (а вроде именно это декларируется и является целью регулятора), то разрабатывать надо не только требования к средствам, но и требования к процессу безопасной удаленной работы. То есть речь может идти о методическе по безопасной удаленке, которой могли бы руководствоваться все госорганы, уровень квалификации которых не очень высок. И никакое, даже обвешанное сертификатами, средство не способно решить проблему безопасной удаленной работы, если не работать с конечными потребителями, чего ФСТЭК упорно не хочет делать, перекладывая эту головную боль на разработчиков средств защиты.
6. ФСТЭК планирует внести изменения в 17-й приказ (ЗИС.31) и методичку "меры защиты" в связи с появлением этого РД, но когда это будет сделано, пока непонятно. В выступлении Шевцова Д.Н. прозвучало, что "мы по полгода все регистрируем в Минюсте", а значит ждать нам этих изменений не раньше конца года :-( так как цепочка тут простая. Сначала надо принять РД, потом поправки в 17-й приказ, а потом уже и в методичку внести изменения.
7. Правда, в методичку внесут изменения явно не скоро. Днем ранее, на секции по безопасности АСУ ТП, Кубарев А.В. сказал, что ФСТЭК планирует (отмечу - давно планирует) разработать универсальную методичку по мерам защиты, которая бы объединяла разъяснение защитных мер не только к 17-му приказу ФСТЭК для ГИС, но и к 21-му (ИСПДн), 31-му (АСУ ТП), 31-му (оборонка), 239-му (ЗОКИИ). И будет это сделано, как было сказано, либо в этом, либо, что реальнее, в следующем году, Очевидно, что работа эта невозможна без синхронизации нумерации и наименования всех защитных мер в приказах ФСТЭК, чего пока не наблюдается. А это за собой тянет внесение изменений во все приказы регулятора, что, как мы помним из выступления Лютикова В.С., в 2021-м году делать не планируется.
8. В отличии от всех ранее выпущенных РД ФСТЭК, никакого деления на классы защиты/защищенности у средств безопасной удаленной работы не будет. Все требования будут едины и применяться, что к ГИС 3-го класса, что к ГИС 1-го, что к ЗОКИИ 3-го уровня, что 1-го. С одной стороны унификация, а с другой - явное завышение защитных требований и отсутствие дифференциации, которое приведет к росту затрат и невозможности реализации требований ФСТЭК у многих субъектов регулирования. Ровно такая же ситуация была с требованиями по лицензированию мониторинга ИБ, когда ФСТЭК сразу установила требования по аттестации SOC по ГИС1 (и как ряд лицензиатов оказывает услуги мониторинга ИБ с облачного сервиса Microsoft Azure Sentinel мне до сих пор непонятно), мотивируя это тем, что к лицензиату может обратиться организация с ГИС1. Почему нельзя было прописать просто требование, что при мониторинге ГИС у лицензиата должен быть аттестат соответствия SOC уровня ни ниже того, который выдан на систему, отдаваемую на аутсорсинговый мониторинг? Так бы ФСТЭК дала развиваться рынку мониторинга ИБ, не снижая при этом уровня защиты госов. Сейчас ФСТЭК наступает на те же грабли, приравнивая какой-либо региональный банк (как СуКИИ) или районную больницу и корпорации типа Газпрома, РЖД или министерства типа Минцифры или Минфина. Всех под одну гребенку и всем выполнять максимально возможные требования - средства защиты не ниже 4 класса защиты (максимально возможный для "негостайны"). И если выполнение требований этого документа будет обязательным только для госов, то и ладно. Но если такие тревания будут обязательны, например, для субъектов КИИ, то реализовать их будет зачастую невозможно, так как не все приложения можно запустить с LiveUSB, особенно если речь идет об АСУ ТП.
9. Вообще вопрос установки прикладного ПО на LiveUSB, как мне кажется, регулятором проработан не до конца. С web-приложениями вроде все понятно, но как работать с обычными standalone-приложениями? Ставить их на флешку? А места хватит? А сертифицированная ОС это позволит? А скорости работы с USB 2.0 (пока с этой версией) хватит? Одни вопросы.
10. Кстати, и еще один вопрос. А как быть с требованиями ФСБ к СКЗИ? Насколько допустима такая схема не совсем понятно. Из проекта приказа ФСБ "Об утверждении требований о защите информации, содержащейся в ГИС, с использованием СКЗИ" у меня сложилось впечатление, что там вообще не учтена дистанционная работа. Еще LiveUSB будет хранилищем для ключей и сертификатов электронной подписи - поэтому надо смотреть, насколько эти флешки выполняют еще и требования ФСБ к средствам ЭП. Ну и скорость работы СКЗИ на слабой аппаратной начинке флешки тоже может стать очередным раздражителем.
11. Требования будут ДСП. Если кто-то захочет получить к ним доступ после их регистрации, то необходимо сделать официальный запрос в ФСТЭК, но для этого надо иметь лицензию, о чем я уже писал, рассказывая про телемост с Лютиковым В.С. Правда, тут опять возникает вопрос. Если требования только для разработчиков, то как потребителю понять, какие он требования должен выставить к данным средствам? И как он может понять, что было сделано разработчиком в соответствие с закрытыми документами регулятора? 
12. Интересно, что действующие нормативные документы ФСТЭК запрещают осуществлять удаленный доступ администраторов к ГИС, требуя, чтобы администрирование было только локальным. Останется ли данное требование или его поменяют? Пока непонятно. Вроде как Шевцов Д.Н. упомянул, что изменения внесут, но по срокам см.выше.
13. Также не до конца понятна ситуация с уже аттестованными системами. Как быть с ними? Требуется ли переаттестация или достаточно проведения дополнительных мероприятий по проверке безопасности дистанционного доступа? Вроде как ФСТЭК говорит о последнем, но судя по вопросам на конференции, и пользователям и самим аттестационным лабораториям не хватает официальных и публичных разъяснений регулятора. 
14. Интересно, что в рамках выступлений и вопросов неоднократно упоминалась информация "ДСП", то есть служебная тайна. Но на прямой вопрос, когда же хоть кто-то сможет назвать сроки принятия закона о ней, так никто и не ответил. На вопрос Шевцову Д.Н. из зала, как защищать "информацию ДСП" и в соответствие с чем, от представителя ФСТЭК последовал очевидный ответ - "в соответствие с 17-м приказом". Хотя с юридической точки зрения это нонсенс. 17-й приказ никакого отношения к информации ограниченного распространения не имеет - он регулирует защиту ГИС и только. Все всё понимают, но делают вид, что все хорошо :-(
15. С практической точки зрения у данного подхода есть и еще один нюанс (помимо прикладного ПО) - чтобы загрузиться с LiveUSB необходимо в BIOS указать, что загрузка осуществляется с флешки, а не с жесткого диска домашнего компьютера. Как это объяснить низкоквалифицированным пользователям, не совсем понятно. Особенно при том многообразии домашних компьютеров, которые имеют BIOS/UEFI разных версий разных производителей. А ведь некоторые ПК вообще не имеют такой возможности. С техникой Apple вообще засада. И хотя у многих рядовых служащих нет макбуков, но у чиновников высокого ранга это не редкость. И как быть с ними непонятно. Как и с теми, кто вместо ПК использует планшеты, в которые нельзя воткнуть LiveUSB. Вопрос печати на локальных принтерах тоже остается открытым...
16. Как мы помним, Минцифра с Минпромторгом, пытаются импортозаместить все госорганы, а к средствам защиты так и вовсе предъявляют требования об использовании отечественной микроэлектроники к определенному сроку. Сейчас, имеющиеся на рынке решения LiveUSB такие требования не выполняют, хотя и заявляют о движении в эту сторону. Это означает, что после переходя на отечественные микроконтроллеры и модули флеш-памяти придется заново проводить сертификацию готового изделия, а заказчикам тратиться на повторную закупку.     

Выступление директора департамента проектов по информатизации Минцифры Гурзова К.А. было менее практичным, но зато в нем рассказывалось о перспективах, а точнее о ТАРМ, типовом АРМ госслужащего, которое представляет собой облачное решение по модели SaaS, с помощью которого все чиновники бесплатно получать возможность пользоваться всеми нужными приложениями безопасным образом. ТАРМ размещается в ГЕОПе (гособлако) и доступ к нему как раз обеспечивается с помощью сертифицированного в ФСТЭК средства безопасной удаленной работы. По мнению Минцифры это будет на 100% доверенная среда, использующая на 100% доверенное ПО. К сожалению, во время высказывания этого тезиса не было видно лица представителей ФСТЭК, а мне бы хотелось это увидеть. Мечта любого безопасника - на 100% защищенная система :-) Правда, все это планы на будущее. Пока этого ничего нет.

Из доклада представителя Минцифры я с удивлением узнал о какой-то новой классификации информационных систем. Были упомянуты медицинские информационные системы и информационных банковские системы 1-го класса защищенности. Что это такое? Тоже самое было и в докладе генерального директора Аладдина Р.Д. Груздева С.Л. Кто у его копипастил (а там не только классификация совпадала, но и некоторые слайды)?

Вот такой краткий пересказ того, что говорили регуляторы на тему удаленной работы в безопасном режиме. По мне, так половины нужного сказано не было :-( Я выше уже написал, что защищенная дистанционная работа - это не только сертифицированная LiveUSB. В своем выступлении на GIS Day я приводил краткий чеклист того, что надо делать и в нем я писал не только про защиту оконечных устройств, с которых осуществляется удаленный доступ (а именно про это и говорит ФСТЭК), но и про защиту периметра предприятия или облачной инфраструктуры, а также про мониторинг активности на сетевом уровне, различные требования к защите соединения, изменение культуры работы, управление инцидентами и т.п. Вопросов много и место им в отдельной методичке по безопасной удаленной работе, которая должна учитывать как вопросы ИТ и ИБ при внедрении удаленки (например, вот так это выглядело у нас - в целом, для работы с облаком Azure и с облаком AWS), так и вопросы ее использования. 

А вот на мои "вопросы к регуляторам", которые я задал еще в прошлом марте, так ответов и не прозвучало и никаких изменений в НПА не сделано. А жаль... Без этого говорить о безопасной удаленной работе не приходится.

ЗЫ. Презентацию Шевцова Д.Н. можно посмотреть здесь, а Гурзова К.А. - здесь.

Подробнее…

Ответы ФСТЭК на вопросы отрасли. Часть 2-я

Как я написал вчера, вопросов от отрасли в сторону ФСТЭК прилетело немало и Виталий Сергеевич Лютиков в рамках телемоста не успел дать ответы на все из них. Но к счастью, на форуме выступала Елена Борисовна Торбенко, которая смогла "закрыть амбразуру" и ответить на часть оставшихся, вполне конкретных вопросов, связанных с безопасностью КИИ. Видео, думаю еще выложат на сайте мероприятия, а пока я тезисно перескажу то, что говорила Елена Борисовна.

1. Статистика категорирования достаточно плачевна - от 1,5% до 50-60% по разным отраслям. И это при условии, что до 1-го сентября 2020 года категорирование должно было быть завершено, в том числе и для предприятий промышленности.
2. Если изменилась информация о лице, эксплуатирующем ОКИИ, то об этом надо оповестить ФСТЭК в 30-тидневный срок.
3. Если объект КИИ поменял собственника (продан, сменилась форма собственности, передан на баланс другому предприятию и т.п.), то об этом также надо уведомлять ФСТЭК. Причем уведомлять должны две организации - прежний собственник и новый.
4. Аналогичная ситуация и в случае выведения из эксплуатации значимых и незначимых объектов - уведомлять ФСТЭК надо как и при любом изменении объекта КИИ.
5. Если организация принимает решение о переводе незначимого ОКИИ в значимые, то необходимо направить информацию об этом в ФСТЭК, в которой должно быть соответствующее обоснование.
6. Если у объекта КИИ изменился состав технических средств или применяемых защитных мер, то уведомить об этом ФСТЭК надо в разумные сроки, под которым регулятор понимает 30 дней.
7. На вопрос о том, надо ли уведомлять ФСТЭК при изменении модели угроз, которая существенно не влияет на категорию значимости ОКИИ, регулятор прямо не ответил, но судя по характеру ответов на схожие вопросы про несущественные изменения в результатах категорирования, уведомлять ФСТЭК все-таки надо.
8. О любых произошедших изменениях ФСТЭК сама уведомляет НКЦКИ - самостоятельно субъекту ничего писать в ФСБ не нужно.
9. ФСТЭК обязательно хочет видеть от субъекта КИИ подробные расчеты показателей категорий значимости (для этого и опубликован проект методики по расчету экономического показателя и планируется методика по социальному показателю). Если тот или иной показатель не применим к объекту КИИ, то необходимо обосновать, почему? ФСТЭК прямо заявляет, что безопасники не в состоянии самостоятельно провести такую оценку и требуется участие других подразделений, обладающих знаниями по ценности объектов.
10. После принятия ПП-452, внесшего изменения в ПП-127, стали возникать инсинууации по поводу сроков категорирования для создаваемых объектов. ФСТЭК считает, что для таких ОКИИ категорию значимости надо закладывать еще в ТЗ/ЧТЗ. То есть к моменту создания объекта его категория уже известна и срок в 12 месяцев из ПП-127 к таким объектам уже не применяется.
11. ГНИИ ПТЗИ ФСТЭК, как и все подведомственные организации ФСТЭК, выполняют требования ФЗ-187 и подзаконных актов. На конференции "Актуальные вопросы защиты информации" Шевцов Д.Н., отвечая на вопросы из зала, отметил, что ФСТЭК постепенно переходит на отечественное ПО и оборудование, следуя курсу на импортозамещение. Хотя по оговорке было понятно, что денег особо не выделяют.  
12. Субъекты промышленности задавали вопрос о том, какие показатели значимости к ним применимы, на что последовал ответ, что это зависит от сферы деятельности предприятия. Но, в частности, было отмечено, что социальный показатель применим. Также применим 7-й показатель, если организация участвует в исполнении какого-либо международного договора. 8-й и 9-й экономические показатели применимы также; 9-й так вообще применим к любому объекту КИИ. 11-й показатель применим для экологически опасных производств, а 13-й - для всех организаций ОПК.
13. Время, в течение которого субъект КИИ должен ждать ответа от ФСТЭК по поводу результатов категорирования, составляет не 30 дней, а 30 дней на рассмотрение + 10 дней на подготовку ответа + неделя-другая на доставку почтой. Фактом внесения данных об ОКИИ в реестром является присвоению ему реестрового номера, о чем вас ФСТЭК должна уведомить. Но если вы считаете, что у вас ЗОКИИ, то не надо дожидаться получения реестрового номера, - можно сразу начинать обеспечение безопасности.
14. При оценке показателя экономической значимости, при оценке снижения уровня дохода от выполнения деятельности предприятия в результате воздействия на объект КИИ при оценке сценария расчета потерь необходимо рассматривать не среднегодовые потери, а потери в случае успешной реализации конкретного негативного воздействия.
15. При оценке потерь, наступающих в случае успешной реализации негативного воздействия на объект КИИ, потери часто зависят от возможностей предприятия по локализации и устранению последствий инцидента. ФСТЭК считает, что последствия от воздействия должны учитываться на временном промежутке до момента восстановления плановых показателей (до инцидента). 
    

Пока все. Часть ответов была раскрыта в самом выступлении Торбенко Е.Б., которое скоро выложат на сайте организаторов. Также ФСТЭК обещала на других своих мероприятия ответить на оставшиеся вопросы. Из интересного также хочу отметить интересную цифру, озвученную Кубаревым А.К. на конференции по защите АСУ ТП в рамках ТБ-Форума. Его спросили, хватит ли у ФСТЭК ресурсов на проверки всех объектов КИИ, число которых по разным выступлениям ФСТЭК разнится от 25 тысяч до полумиллиона? Ответ был нерадостен - ФСТЭК, имея в центральном аппарате всего 200, а в регионах 1000 человек, не сможет ежегодно проверять даже 1% от общего числа объектов КИИ :-( 

В целом дискуссия с регулятором оказалась вполне приятной и конструктивной. На многие вопросы были даны ответы. Видно, что регулятор хочет, чтобы его подопечные занимались не столько бумажной, сколько реальной безопасностью. Конечно, с оговорками на то, как эту пользу понимает сам регулятор. Но в любом случае, этот опыт, который не был бы успешным без "Авангард-Медиа", я считаю очень позитивным.

В заключение хочу отметить, что есть ряд вопросов, на которые регулятор врядли будет отвечать на своих мероприятиях, но ответы на которые хотелось бы все-таки увидеть в том или ином виде:

1. Когда на сайте ФСТЭК появится вменяемый реестр сертиицированных средств защиты с возможностью фильтрации по классам и типам средств? Да и сам сайт пора бы уже обновить - он как из 90-х годов.
2. Почему до сих пор не синхронизированы нумерация и названия мер защиты в приказах ФСТЭК?
3. Почему до сих пор не отменен РД на АС 1992 года, если у ФСТЭК уже совершенно иная классификация ИС? Почему проверяющие ссылаются на ПП-79, в котором есть слова про «автоматизированные системы» и из-за этого вынуждают выполнять требования документа 92-го года.
   
4. Как относится ФСТЭК к ситуации, когда средства защиты не покупаются предприятием, а берутся в лизинг или аренду у аутсорсинговой компании?
5. Выпустит ли ФСТЭК матрицу соответствия "старых" специальностей и новых, утвержденных Минобразованием? Вообще вопрос образования вызвал бурную дискуссию на конференции по защите АСУ ТП в рамках ТБ-Форума. Ведь требования по квалификации специалистов и руководителей по ИБ есть, а как их трактовать до конца никто не знает. Вот у меня специальность по диплому "Прикладная математика" (квалификация "инженер-математик") и хотя у меня было немало предметов, связанных с защитой информации, формально я не могу считаться специалистом по защите информации и мне пришлось бы проходить соответствующие курсы переподготовки. С учетом того, что за последние полтора-два десятка лет у нас не раз менялись ФГОСы по ИБ, названия и номера специальностей, было бы неплохо иметь такую матрицу соответствия (сделать-то ее несложно). Говорят, у ФСБ такая есть.   

ЗЫ. Из интересного: по словам Шевцова Д.Н. именно он в ФСТЭК курирует вопросы импортозамещения. Странно, почему не ИТ-служба? Вообще всегда было интересно узнать, как сам регулятор реализует у себя вопросы информатизации и ИБ и кто за это отвечает у регулятора? Если за импортозамещение отвечает 2-е Управление, то это странновато.

Подробнее…

21 тезис с телемоста с руководством ФСТЭК или ответы регулятора на вопросы отрасли. Часть 1-я

17 февраля, в рамках конференции "Кибербезопасность. Наши дни. Промышленные технологии" прошел телемост "Москва-Урал" с участием Виталия Сергеевича Лютикова, заместителя директора ФСТЭК, который отвечал на вопросы, полученные от отрасли. Я вел этот телемост на стороне Урала и позволил себе составить краткое резюме по прозвучавшим ответам. Сразу отмечу, что из почти 70 пришедших вопросов, было отобрано 26, который на мой взгляд были достаточно стратегическими, чтобы задавать их именно Виталию Сергеевичу. На часть тактических и практических вопросов по КИИ позже ответила Елена Борисовна Торбенко, заместитель начальника 8-го Управления ФСТЭК, о чем я еще напишу отдельно. Диалог получился конструктивным, хотя и не на все вопросы были получены четкие ответы, что объяснимо и ниже я попробую про это написать.

1. ФСТЭК планирует продолжить практику участия в онлайн мероприятиях для донесения своей позиции (в последнее время активно участвовали от ФСТЭК не только Лютиков В.С., но и Кубарев А.В.). Проведение своих собственных мероприятий тоже возможно, но когда, непонятно, - ресурсов не хватает. Хотя мне кажется, что это позволило бы снять остроту многих проблем и наладить диалог регулятора не с узким кругом лицензиатов и экспертов, а с отраслью. Тем более, что это не так уж и сложно. Либо купить недорогой тариф у того же Webinar.ru, либо делать трансляции в Youtube, либо попросить помощи у той же группы Авангард-Медиа, которая и проводила телемост и имеет опыт онлайн-мероприятий (один SOC Live чего стоит).
2. ФСТЭК думает о возможности выкладывания на своем сайте обучающих курсов по различным вопросам защиты информации для повышения квалификации кадров, которая у нас не очень высокая по словам той же ФСТЭК на многих мероприятиях. Первую попытку попробуют сделать в марте - в рамках курса по динамическому и фаззинг-тестированию ПО, который проводит ФСТЭК. Этот курс планируют записать и выложить либо на сайт самой ФСТЭК, либо на сайт Банка данных угроз (БДУ).
3. Привлечение экспертов для экспертизы документов никто не отменял и ФСТЭК планирует и дальше привлекать специалистов для такой работы. Однако "массового" привлечения, как это было раньше, или "встреч с блогерами", видимо, не будет. Небольшие группы по несколько человек ФСТЭК считает более эффективным способом, чем собирать по 20-30 экспертов. Основным каналом коммуникаций ФСТЭК видит одностороннее взаимодействие через regulations или через обратную связь на выкладываемые на сайте документы, не требующие оценки регулятивного воздействия. Ну хоть так, хотя именно этот формат, похоже, многих и не устраивает.
4. Проверки субъектов КИИ начинают со второго полугодия 2021-го года. В плане 5 объектов КИИ. Что за объекты неизвестно и в публичной плоскости эти данные не появятся.
5. У ФСТЭК уже есть внутренние методики проведения проверок субъектов КИИ. Будут выкладывать их или нет - неизвестно. Но проверяют публичные требования 235/239-го приказов. Сами методики направлены на то, чтобы унифицировать подход и убрать отсебятину на местах, когда сотрудники терорганов ФСТЭК по своему трактуют то или иное требование нормативных актов.
6. В случае выявления нарушений в рамках проверок передавать данные в правоохранительные и следственные органы ФСТЭК не планирует. Но если от них будут запросы, то никто скрывать результаты проверок не будет. В случае выявления в рамках проверок предпосылок к нанесению ущерба, то данные будут передаваться в НКЦКИ.
7. Контролем использования отечественного ПО и отечественных средств защиты на объектах КИИ, как и вообще импортозамещением, ФСТЭК заниматься не будет. Они не уполномочены на это. Вообще, сложилось впечатление, что ФСТЭК сама не рада, что их используют для этой задачи. С этим же связано, как мне кажется, и то количество отказов от изменений в 239-й приказ, а также в проекты Указа Президента и Постановления Правительства по импортозамещению. ФСТЭК просто вынуждена делать то, что прилетело сверху.
8. По истории с РЖД ответ был витиеватый :-) Мол проверка факта проведена - сделаны выводы. Но вообще тема реагирования на такого рода публичные истории она остается открытой. ФСТЭК говорит, что все отслеживается и реагируется, но непублично.
9. Несмотря на ранее высказанные позиции о том, что объектом КИИ является не любая ИС, АСУ ТП или ИТКС, а только те, которые завязаны на критичные процессы (именно эту позицию ФСТЭК фиксировала в ПП-127), сейчас подход регулятора вернулся к тому, что написано в ФЗ-187, а именно - любая ИС, АСУ или ИТКС является объектом КИИ и подлежит категорированию. Даже если она по итогам категорирования и не будет признана значимым объектом, то все равно процедуры, предусмотренные ПП-127, должны быть проведены в отношении каждой ИС, АСУ или ИТКС. С моей точки зрения, именно этот, один из двух тезисов телемоста, пожалуй, имеет самые серьезные последствия для субъектов КИИ, которым придется пересмотреть результаты уже проведенного категорирования.
10. Второй имеющий серьезные последствия для отрасли тезис прозвучал при ответе на вопрос о том, где проходит водораздел между средствами защиты информации по 239-му приказу ФСТЭК и средствами ГосСОПКИ по 196-му и 282-му приказам ФСБ. Это еще одна тема, в которой ФСТЭК, похоже, пытаются склонить к позиции, которая им не близка. По крайней мере, сейчас прозвучало, что SIEM, СОВ/СОА, МСЭ, антивирусы, IRP и т.п. вполне могут считаться средствами ГосСОПКИ, а не только средствами защиты, и к ним будут предъявляться не только требования ФСТЭК, но и ФСБ. А требования последние - это полный пушной зверек (это уже моя оценка, не ФСТЭК). Согласно требованиям ФСБ вам придется согласовывать с ФСБ места установки средств ГосСОПКИ, использовать сертифицированные в ФСБ средства защиты, а также вам фактически будет запрещено применять иностранные средства защиты информации.
11. Изменений ФЗ-187 и ПП-127 в этом году не планируется. Надо дождаться правоприменительной практики и тогда уже оценивать все статьи закона вместе - что работает, а что нет. Как минимум, ФСТЭК видит необходимость поправить терминологию в части того, кого считать субъектом КИИ и что такое объект КИИ (хотят сузить).
12. Также в этом году нет планов по внесению изменений в 235/239-й приказы, если сверху не прилетит новых указаний, как это было в части импортозамещения.
13. Оценка соответствия прикладного ПО и средств защиты в форме испытаний или ввода в эксплуатацию может быть проведена самостоятельно субъектов КИИ или привлеченной им компанией, если кто-то из них имеет соответствующую экспертизу. А вот ФСТЭК, в соответствие с своими приказами, проверит протоколы испытаний и были ли установлены соответствующие требования при выборе прикладного ПО или средств защиты и их внедрении. Для меня это осталось достаточно спорным вопросом - как регулятор будет проверять выполнение этого требования и насколько его устроит это выполнение. Думаю и сам регулятор пока не знает этого с практической точки зрения.
14. Разъяснений от ФСТЭК по тому как проводить оценку соответствия в формах испытаний и ввода в эксплуатацию не будет.
15. Для проверки уровня доверия прикладного ПО у субъекта КИИ должны быть соответствующие документы, которые имеют отметку "для служебного пользования". ФСТЭК готова ими делиться при условии обоснованного запроса со стороны субъекта КИИ. Я безусловно верю словам замдиректора ФСТЭК, но если мы посмотрим на порядок доступа к документам ограниченного распространения, вывешенный на сайте ФСТЭК, то там четко написано, что для такого доступа нужна лицензия ФСБ на гостайну. Более того, для организаций, не имеющих ведомственной принадлежности (то есть обычные разработчики ПО попадают именно сюда), доступ к таким документам (помимо лицензии ФСБ на гостайну) осуществляется на платной основе и необходимо заключить договор с ГНИИ ПТЗИ ФСТЭК. Ровно такой же процесс (наличие лицензии) был упомянут начальником 2-го Управления ФСТЭК Д.Н.Шевцовым в рамках ТБ-Форума. Так что не все так просто, как говорится в телемосте. 
16. Вообще ФСТЭК не откажется от подхода к "засекречиванию" своих документов, объясняя это тем, что "у всех так".
17. Для прикладного ПО может быть выбрана оценка соответствия в форме обязательной сертификации по желанию самого субъекта КИИ и тогда он должен будет найти испытательную лабораторию, которая согласится провести такие работы. И вот тут еще один нюанс возник. Согласно всем последним приказам ФСТЭК (и уходящему 131-му и новому 76-му) проверка уровней доверия возможна только для средств технической защиты информации или средств по обеспечению безопасности информационных технологий. Поэтому формально обычное прикладное ПО оценивать по уровням доверия испытательные лаборатории не могут. Но если перефразировать слова ФСТЭК "если очень хочется, то можно". В общем, надо посмотреть, как все будут выкручиваться из этой ситуации.
18. Пересматривать уже разработанные модели угроз при условии принятия новой методики моделирования не требуется. Если только речь не идет о модернизации или развитии объекта КИИ.
19. Банк данных угроз будет переделан в течение ближайших месяцев для соответствия новой методики моделирования угроз. Может быть (сроки неясны) ФСТЭК выпустит и средство автоматизации этого процесса и сделает его бесплатным по аналогии с решением ScanOVAL, которое распространяется с сайта БДУ.
20. В ближайшее время будет выпущена новая редакция ГОСТа 56939 по безопасной разработке. Кардинальных изменений не будет и проводить повторную оценку его выполнения разработчикам не потребуется. 
21. И хотя Виталий Сергеевич на ТБ-Форуме "обещал не обещать" в рамках телемоста он осознанно нарушил свое обещание не обещать и озвучил планы по разработке нормативных и методических документов на ближайшее время:
• проект методички по расчету показателей критерия социальной значимости (в дополнение к выложенной на прошлой неделе методичке по расчету показателей критерия экономической значимости)
• порядок организации и проведения работ по аттестации объектов информатизации на соответстие требованиям о защите информации, не составляющей гостайну
• требования по безопасности информации к средствам обеспечения безопасной дистанционной работы в информационных (автоматизированных) системах
• изменения вв 31-й приказ ФСТЭК
• методика анализа и поиска уязвимостей и НДВ в аппаратных средствах
• новая методика анализа и поиска уязвимостей в ПО
• типовая модель угроз для аппаратных средств
• методичка по видам и методам испытаний при проведении аттестации
• метожичка по управлению обновлениями (патч-менеджменту).

Вот такой краткий пересказ полуторачасового эфира, запись которого вы можете увидеть ниже:

ЗЫ. На оставшие вопросы от отрасли ответила Елена Борисовна Торбенко в своем выступлении (про это завтра), а все, что осталось без ответа на форуме "Кибербезопасности. Наши дни. Промышленные технологии", будет отвечено представителями ФСТЭК в рамках последующих мероприятий с их участием.

Подробнее…

Что общего между числом калорий и числом инцидентов? И снова о метриках ИБ (анонс нового Telegram-канала)

Каждый год многие, я так думаю, ставят перед собой какие-нибудь амбициозные цели, например, похудеть. Ой, что это я, мы же про безопасность говорим. Значит ставятся цели по ИБ. Допустим снизить число инцидентов в день с 23 до 18 или на 17%. Вроде бы красивая и нужная цель, но чтобы достичь ее, необходимо произвести ряд шагов. И раз уж я упомянул похудение, то попробуем сравнить эти два процесса между собой.

Итак, мы хотим похудеть. Если верить многочисленным фитнесс-экспертам первым шаг на этом пути будет подсчет сожранных калорий. Да, это неприятно видеть, что съетый на ночь бутерброд с докторской колбасой содержит чуть ли не половину всей дневной нормы калорий. Считается, что это не только формирует у нас привычку, но и играет психологическую роль, заключающуюся в том, что видя множество лишних калорий, мы начнем беспокоиться об этом и стараться снизить их число. Но считать надо.

Таже проблема и с метриками ИБ. Когда мы начинаем считать все наши факапы косяки, пропущенный спам, пропущенный фишинг, непропатченные уязвимости, допущенные утечки, простои, опасные конструкции в коде приложений, незакрытые порты на МСЭ и т.п., то у нас начинает формироваться условный комплекс неполноценности. А если еще мы решим визуализировать все инциденты в виде дашбордов и отчетов по ИБ, то ситуация станет еще хуже. По сути мы распишемся в своей профнепригодности. И если результаты из приложения по контролю за питанием видите только вы (как-то мало люди пользуются функцией "поделиться" в таких приложениях), то отчеты по ИБ видит ваше руководство и оно начинает задавать вопросы, которых мы исподволь боимся.

Думаю именно поэтому я не так часто вижу хорошо реализованные проекты по измерению и визуализации ИБ (да и плохо тоже). А я за прошлый год поучаствовал в десятке проектов по проектированию или аудиту SOCов (Cisco активно занимается такими проектами). Не любят у нас показывать результаты своей работы, которые в ИБ не всегда такие уж и положительные.

Но вернемся к измерениям своего "плохого поведения" (в еде ли, или в ИБ). Неприятно осознавать, что мы что-то делаем не так, но надо и именно с этого начинается реализации программы измерения ИБ. Однако, важно также знать что и как измерять. Вернемся к похудению. Вот мы  считаем калории, но так ли это важно? Важно считать, что конкретно мы съели и насколько эти калории были "плохие" или "хорошие". А также условия, при которых мы это все съели. Допустим, снизили мы свой рацион на 500 калорий. Хорошо? Вроде да. Можно записать это себе в актив. А если мы активность снизили на те же "500 калорий"? Получается ничего по сути и не изменилось. На графике-то оно будет выглядеть красиво, но в реальности... И это я еще не беру в расчет ситуацию, когда кто-то осознанно манипулирует цифрами.

С инцидентами все тоже самое. Само по себе снижение числа инцидентов не говорит ни о чем. Причиной этого может быть:

• снижение зоны покрытия мониторингом
• пересмотр понятия инцидента
• скрытие инцидентов.

А еще у вас может быть снижение общего числа инцидентов, но рост критичных инцидентов. Ну и, наконец, вас могут просто меньше атаковать, что говорит о снижение активности злоумышленников, но не о росте качества вашей системы защиты. И да, это может быть результат работы вашего и аутсорсингового SOC, а также иных подразделений компании (например, ИТ). Поэтому просто одна цифра не значит ничего - надо понимать ее окружение, а также сопоставлять ее с другими собираемыми или вычисляемыми цифрами.

И поэтому так важно измерять достаточно много разных показателей, из которых потом уже выбирать нужные - под разные задачи, в разные периоды времени, для разных целевых аудиторий. Ведь метрики бывают разные - операционные, тактические и стратегические. А в ряде случаев, при большом количестве уровней ИБ-иерархии в организации, могут быть и executive-метрики и др. Поэтому запуская программу измерений ИБ надо помнить, что необходимо

1. Измерять все. Потом
2. Измерять правильные вещи. Потом
3. Измерять правильные вещи правильным образом

Но начинать с измерения всего (ну или многого).

И вот тут я подступаю к тому, для чего писалась эта длинная заметка. Решил я тут поддаться модному поверью, называемому гитхабизации ИБ (на русском), и запустить новый Telegram-канал по метрикам ИБ (Cyber Security Metrics). Буду ежедневно делиться одной метрикой ИБ с ее кратким описанием, формулей, источниками данных, ограничениями и т.п. На самом деле это, конечно, не гитхабизация, но как это назвать, я не знаю. Сначала я думал заделать сразу каталог метрик и выложить его на Github, но времени на то, чтобы сделать это сразу и все, нет. А вот по частям мне показалось вполне подъемной задачей. В день по метрике - к концу года получится 250 разных метрик из разных доменов ИБ - реагирование на инциденты, управление уязвимостями, Red Team, Privacy, управление финансами, мониторинг ИБ, compliance и т.п. В отличие от своего текущего канала "Пост Лукацкого", у нового я включил возможность комментариев и обсуждения, чтобы можно обсуждать каждую метрику, делиться опытом и т.п.

Так что добро пожаловать в новый Telegram-канал, который будет этаким регулярно наполняемым каталогом метрик по ИБ.

Подробнее…

Google Analytics в мобильных приложениях как угроза нацбезопасности или почему госорганы плюют на ФСТЭК и Роскомнадзор

28-го января, в международный день приватности (защиты прав субъектов персональных данных), проект "Инфокультура" опубликовал исследование о приватности государственных мобильных приложений, сделанных в России. Интерес "Инфокультуры", которая занимается различными аспектами работы с данными, понятен. Как, собственно, понятно и желание государства оснастить своими приложениями мобильные устройства граждан, делая жазнь последних проще и удобнее. Я бы хотел посмотреть на эту проблему немного с иной стороны, а именно с точки зрения информационной безопасности и соблюдения госорганами требований законодательства по ИБ.

Итак, что выяснила "Инфокультура"? 88% из проанализированных приложений, среди которых "Мои документы", "Московский транспорт", "Активный гражданин", "Парковки", "МВД", "Госуслуги" и т.п., имеют как минимум один встроенный трекер. Некоторые имеют 3, 4, 5 и даже 9 трекеров. Большинство приложений используют трекеры Google и Facebook, сервера которых размещаются за пределами РФ. Более того, далеко не всегда можно объяснить, зачем в мобильное приложение встроен тот или иной трекер. Например, зачем парковочному приложению отдавать что-то в Facebook? Ну да ладно, это не является предметом данной заметки. Если резюмировать, программное обеспечение государственной организации, часто являющееся частью государственной информационной системы, а то и объекта КИИ (например, "ковидные" приложения, Мосэнергосбыт или Дептранс, которые работают в сферах здравоохранения, энергетики или транспорта согласно ФЗ-187), осуществляет трансграничную передачу информации за пределы Российской Федерации. При этом сами приложения устанавливается также с серверов, находящихся за пределами Российской Федерации. А теперь посмотрим, что нам говорит на такие фокусы законодательство по защите информации.

Ст.13.2.1 трехглавного закона "Об информации, информационных технологиях и защите информации" говорит, что "технические средства информационных систем, используемых государственными органами, органами местного самоуправления, государственными и муниципальными унитарными предприятиями или государственными и муниципальными учреждениями, должны размещаться на территории Российской Федерации. Операторы государственных информационных систем, муниципальных информационных систем, информационных систем юридических лиц, осуществляющих закупки в соответствии с Федеральным законом от 18 июля 2011 года №223-ФЗ "О закупках товаров, работ, услуг отдельными видами юридических лиц", не должны допускать при эксплуатации информационных систем использования размещенных за пределами территории Российской Федерации баз данных и технических средств, не входящих в состав таких информационных систем".

Обратите внимание, в первой части этой статьи говорится о любых информационных системах, а не только о государственных ИС. Является ли трекер частью информационной системы? На мой взгляд да. Ведь он же для чего-то используется? Например, для отслеживания работы приложений и сбоев с помощью Google Firebase Analytics. По сути код такого трекера напоминает чужой контейнер или библиотеку, которую мы используем в своем ПО. Поэтому я вполне правомочен считать такой трекер частью ИС, а, следовательно, сервера, с которыми он общается, согласно ФЗ-149 должна располагаться на территории РФ.

Теперь обратимся к закону "О персональных данных", который уже много лет содержит норму, которую сотрудники Роскомнадзора трактуют как "запрет на хранение ПДн россиян заграницей". Мне можно возразить, что собираемая телеметрия не относится к ПДн, но я буду вынужден с вами не согласиться, так как согласно:

• Определению Московского городского суда от 10.11.2016 по делу № 33-38783/2016
• Постановлению 13 ААС от 01.07.2016 по делу № А56-6698/2016
• Решению Таганского районного суда г. Москвы от 19.12.2018 по делу № 02-4261/2018
• Решению Арбитражного суда города Москвы по делу А40-14900/2016

cookies, ID пользователя, IP- и MAC-адреса, User Agent, HTTP Referer, данные Google Analytics и Яндекс.Метрики и т.п. являются персональными данными. Тот же Google Crashlytics, который используется многими государственными мобильными приложениями собирает не только уникальный идентификатор устройства, геолокацию, данные об использовании приложения, но и в ряде случаев e-mail. То есть согласно позиции РКН и российских независимых судов, если дело дойдет до них, все данные, собираемые трекерами, будут рассматриваться как персональные, а следовательно снова возникает вопрос, на каком основании они передаются, обрабатываются и хранятся за пределами России.

Наконец, третий закон, с позиции которого я бы хотел посмотреть на работу государственных мобильных приложений, - это ФЗ "О безопасности критической информационной инфраструктуры". И если в самом законе ни слова не сказано о том, где можно или нельзя хранить данные субъектов КИИ и куда могут подключаться объекты КИИ, то в приказе ФСТЭК №239, в пункте 31-м прямо говорится, что "входящие в состав значимого объекта 1 и 2 категорий значимости программные и программно-аппаратные средства, осуществляющие хранение и обработку информации, должны размещаться на территории Российской Федерации (за исключением случаев, когда размещение указанных средств осуществляется в зарубежных обособленных подразделениях субъекта критической информационной инфраструктуры (филиалах, представительствах), а также случаев, установленных законодательством Российской Федерации и (или) международными договорами Российской Федерации)". То есть и эта ветка отечественного законодательства по ИБ запрещает использование (правда, не для всех объектов КИИ) зарубежных трекеров.

Интересно, что скажут на этот счет регуляторы, призванные следить за законностью в своих сферах компетенции - ФСТЭК и Роскомнадзор? Тут, как говорил бывший вице-премьер Рогозин, "или крест сними, или трусы надень". Или для всех одни требования (закон-то для всех один), или их надо менять. А то как-то некрасиво получается... 

Подробнее…