Добьем уж тему рационализаторских предложений для нашего регулятора по ИБ и завершим ее сайтом. Да, сайт ФСТЭК - это уникальное явление в Интернет третьего десятилетия 21-го века. Я такие же, условно, сайты делал в середине 90-х годов, когда в Информзащите отвечал за корпоративный сайт, его создание и развитие (да, был в моей карьере такой интересный опыт). С тех пор прошло много времени, изменились подходы к Web-дизайну, Web-технологии, возможности Web-сайтов... и только сайт ФСТЭК застыл в прошлом веке. Вот я и решил посмотреть, а что творится с сайтами иностранных регуляторов по ИБ, у которых можно почерпнуть что-нибудь интересное и полезное.
У австралийского "регулятора", который известен своими отличными документами по ИБ, сайт не имеет каких-либо интерактивных сервисов, которые можно было бы скопировать. Разве что форму сообщения об инцидентах, но у нас за это отвечает ФСБ, у которой есть НКЦКИ и его сайт, принимающий данные об инцидентах. Есть новостной раздел, который рассказывает не об успехах регулятора, а о том, что может поднять уровень защищенности его поднадзорных организаций, то есть об уязвимостях. Учитывая, что у подведомственного ГНИИ ПТЗИ эта информация публикуется регулярно в Твиттере, то почему ФСТЭК ее не публикует на своем сайте?
Сайт АНБ можно было соотносить с их "коллегами" в ФСБ, но на самом деле Агентство национальной безопасности делает немало и в направлении, которым занимается ФСТЭК. И тут не только куча open source-проектов (а АНБ выпустило не только Ghidra), но и проект UNFETTER, о котором я уже писал и который позволяет оценить уровень вашей защищенности в соответствие с матрицей MITRE ATT&CK. Сервисов по ИБ там больше особых нет, но сам сайт достоин похвалы именно как пример навигации по большому количеству материалов, связанных с тематикой национальной безопасности (а там и раздел для подрастающего поколения есть). Вообще надо отметить, что западные регуляторы очень активно работают с детьми. И английский регулятор, и американский, и другие, и экскурсии проводят, и лекции читают, и всякие головоломки и пазлы для них выпускают. А у АНБ вообще есть отдельные курсы лекций для детей по тематике ИБ (я когда был у них, наткнулся как раз на очередную такую лекцию).
Не менее познавателен для широкой аудитории, а не только для лицензиатов, канадский центр кибербезопасности. Они не только в рамках понятной навигации выкладывают свои рекомендации по защите, написанные понятным языком и использующие в том числе и инфографику (у канадцев есть и свой Топ10 защитных мер), но и имеют на сайте некоторое количество интерактивных сервисов и материалов - от обучающих видеолекций до интерактивных "карт" с разбором типичных ситуаций, которые могут нарушить безопасность канадских госорганов. Из разработанного канадцами инструментария можно назвать средство для обнаружения и анализа вредоносного кода Assemblyline и очень подробную методику анализа угроз и рисков TRA.
Недавно созданное агенство США по кибербезопасности (CISA) размещается на известном домене www.us-cert.gov, но не может пока похвастаться большим количеством полезных сервисов. Из интересных инструментов, которые могли бы помочь и российским компаниям, если бы у ФСТЭК появился их аналог, я бы назвал:
Английский национальный центр кибербезопасности помимо отличной навигации, кучи регулярно обновляемых руководств, обучающих разделов для детей и взрослых, также предлагает набор сервисов для госорганов туманного Альбиона:
Есть на сайте англичан и свой реестр сертифицированных продуктов и сервисов по ИБ. Но сделан он на порядок качественнее нашего - среди критериев выборки есть не только тип продукта, но и его статус (показываются и те, кто сейчас сертифицируется), гриф защищаемой информации и т.д. Перед прошлогодней конференцией ФСТЭК я уже писал про возможные варианты улучшения реестра сертифицированных средств защиты информации (правда, ничего из них так и не было реализовано), но у англичан есть пара интересных задумок, которые можно было бы повторить и у нас.
Европейского регулятора по ИБ, ENISA, достаточно сложно сравнивать с ФСТЭК, так как, мне так кажется, ресурсов у первого намного больше, чем у его российского "коллеги". Иначе я не могу объяснить, как ENISA успевает выпускать такое количество добротного контента по совершенно различным темам ИБ. Правда, многие из них, попадают в сферу компетенции НКЦКИ, но и то, что остается (ПДн, КИИ, облака, обучение, сертификация и др.) неплохо охвачено.
В качестве резюме хочется отметить, что я прекрасно понимаю, регулятору надо думать о повышении безопасности КИИ и государственных органов, о безопасном программировании и сертификации средств защиты, о сертифицированных компиляторах и согласовании программ повышения квалификации в области ИБ. Но все-таки можно было бы чуть отвлечься и переработать свой сайт, чтобы сделать его не только более привлекательным и удобным, но и более полезным для разных целевых аудиторий (лицензиаты, клиенты от государства и от бизнеса, обычные граждане). А чтобы не пересекаться со второй частью регулятора, отвечающей за экспортный контроль, можно было бы и вовсе создать себе отдельный домен и развивать его (например, cyber.gov.ru).
ЗЫ. А пока писались последние заметки про ФСТЭК на сайте БДУ появилась бета-версия бесплатного сканера ScanOVAL для Linux.
У австралийского "регулятора", который известен своими отличными документами по ИБ, сайт не имеет каких-либо интерактивных сервисов, которые можно было бы скопировать. Разве что форму сообщения об инцидентах, но у нас за это отвечает ФСБ, у которой есть НКЦКИ и его сайт, принимающий данные об инцидентах. Есть новостной раздел, который рассказывает не об успехах регулятора, а о том, что может поднять уровень защищенности его поднадзорных организаций, то есть об уязвимостях. Учитывая, что у подведомственного ГНИИ ПТЗИ эта информация публикуется регулярно в Твиттере, то почему ФСТЭК ее не публикует на своем сайте?
Сайт АНБ можно было соотносить с их "коллегами" в ФСБ, но на самом деле Агентство национальной безопасности делает немало и в направлении, которым занимается ФСТЭК. И тут не только куча open source-проектов (а АНБ выпустило не только Ghidra), но и проект UNFETTER, о котором я уже писал и который позволяет оценить уровень вашей защищенности в соответствие с матрицей MITRE ATT&CK. Сервисов по ИБ там больше особых нет, но сам сайт достоин похвалы именно как пример навигации по большому количеству материалов, связанных с тематикой национальной безопасности (а там и раздел для подрастающего поколения есть). Вообще надо отметить, что западные регуляторы очень активно работают с детьми. И английский регулятор, и американский, и другие, и экскурсии проводят, и лекции читают, и всякие головоломки и пазлы для них выпускают. А у АНБ вообще есть отдельные курсы лекций для детей по тематике ИБ (я когда был у них, наткнулся как раз на очередную такую лекцию).
Не менее познавателен для широкой аудитории, а не только для лицензиатов, канадский центр кибербезопасности. Они не только в рамках понятной навигации выкладывают свои рекомендации по защите, написанные понятным языком и использующие в том числе и инфографику (у канадцев есть и свой Топ10 защитных мер), но и имеют на сайте некоторое количество интерактивных сервисов и материалов - от обучающих видеолекций до интерактивных "карт" с разбором типичных ситуаций, которые могут нарушить безопасность канадских госорганов. Из разработанного канадцами инструментария можно назвать средство для обнаружения и анализа вредоносного кода Assemblyline и очень подробную методику анализа угроз и рисков TRA.
Недавно созданное агенство США по кибербезопасности (CISA) размещается на известном домене www.us-cert.gov, но не может пока похвастаться большим количеством полезных сервисов. Из интересных инструментов, которые могли бы помочь и российским компаниям, если бы у ФСТЭК появился их аналог, я бы назвал:
- CSET (Cyber Security Evaluation Tool) - бесплатный инструмент и регулярно обновляемый по самооценке безопасности объектов критической инфраструктуры.
- CRR (Cyber Resilience Review) - бесплатный опросник, созданный совместно с институтом Карнеги-Меллона, позволяющий оценить реализацию нетехнических мер по киберустойчивости и кибербезопасности операторов критической инфраструктуры.
- Инструменты по безоопасной разработке. 7 лет назад я уже писал про сайт Build Security In, который собрал воедино множество рекомендаций и инструментов по безопасному программированию. Сейчас этот сайт уже не поддерживается (но архив на нем действует), так как его материалы переехали на сайт института Карнеги-Меллона (основателя CERT/CC). И там можно найти много всего - и вики по безопасному программированию на C, C++, Java и т.д. (с примерами кода), и бесплатный инструментарий по анализу исходников, и много чего еще. Сейчас ФСТЭК сильно озаботилась темой SDLC и создание схожего ресурса помогло бы сильно продвинуть эту тему среди разработчиков (у ФСТЭК была уже инициатива по созданию библиотеки примеров "плохого" кода, но что-то она подвисла в воздухе, как и многие другие ранее озвучиваемые инициативы).
- список ссылок на полезные ресурсы различных институтов и организаций, которые повышают уровень ИБ американских организаций, преимущественно государственных.
Английский национальный центр кибербезопасности помимо отличной навигации, кучи регулярно обновляемых руководств, обучающих разделов для детей и взрослых, также предлагает набор сервисов для госорганов туманного Альбиона:
Европейского регулятора по ИБ, ENISA, достаточно сложно сравнивать с ФСТЭК, так как, мне так кажется, ресурсов у первого намного больше, чем у его российского "коллеги". Иначе я не могу объяснить, как ENISA успевает выпускать такое количество добротного контента по совершенно различным темам ИБ. Правда, многие из них, попадают в сферу компетенции НКЦКИ, но и то, что остается (ПДн, КИИ, облака, обучение, сертификация и др.) неплохо охвачено.
В качестве резюме хочется отметить, что я прекрасно понимаю, регулятору надо думать о повышении безопасности КИИ и государственных органов, о безопасном программировании и сертификации средств защиты, о сертифицированных компиляторах и согласовании программ повышения квалификации в области ИБ. Но все-таки можно было бы чуть отвлечься и переработать свой сайт, чтобы сделать его не только более привлекательным и удобным, но и более полезным для разных целевых аудиторий (лицензиаты, клиенты от государства и от бизнеса, обычные граждане). А чтобы не пересекаться со второй частью регулятора, отвечающей за экспортный контроль, можно было бы и вовсе создать себе отдельный домен и развивать его (например, cyber.gov.ru).
ЗЫ. А пока писались последние заметки про ФСТЭК на сайте БДУ появилась бета-версия бесплатного сканера ScanOVAL для Linux.
