Идеология защиты государственных информационных систем строится достаточно очевидным, но не очень простым в реализации образом. Начинаем мы с анализа рисков, причем рисков различных - не только традиционных для ИБ. Мы должны определить как стратегические, так и тактические. Это нечасто описываемый в деталях этап, но он самый важный, т.к. позволяет оценить те ограничения, в которых будет строиться система защиты в организации. Причем защита не сферического коня в вакууме, а конкретной организации с ее особенностями, бизнес-процессами, используемой моделью управления, архитектурой предприятия (enterprise architecture) и т.д.
На втором этапе мы определяем исходные данные, позволяющие нам выбрать правильные организационные и технические решения по защите. Тут и понимание существующих бизнес-процессов, и используемые информационные системы, и способ управления ими, и структура службы ИТ и ИБ, стоящие перед предприятием задачи и приоритеты и т.д. Все это, наряду с рисками, является входной точкой для определения защитных мер в конкретной организации, которые так похожи и так непохожи друг на друга.
Определившись с классами информационных систем, мы должны выбрать защитные меры. Они разбиты на три больших блока - технические, операционные, управленченские, которые затем разбиваются на семейства - контроль доступа, повышение осведомленности и тренинги, аудит, планирование, оценка рисков, защита персонала и т.д. Перечислены эти меры в стандарте NIST SP800-53 Recommended Security Controls for Federal Information Systems and Organizations. Сейчас готовится 4-я редакция этого стандарта, которая будет включать и ранее описанные меры по защите персональных данных. Называться этот стандарт будет Security and Privacy Controls for Federal Information Systems and Organizations (номер тот же).
Каждое семейство содержит множество различных защитных мер, которые могут быть реализованы также по разному - выделяется 3 уровня глубины реализации, выбор которых зависит от предыдущих этапов.
При этом существует минимально необходимый набор защитных мер, описанные в FIPS 200 Minimum Security Requirements for Federal Information and Information Systems. Выбор способа реализации этих мер (из NIST SP800-53), как и дополнительные защитные меры, лежат на операторе/владельце информационной системы. При этом документы NIST учитывают две непростых особенности современной информатизации госорганов. Во-первых, их территориальную распределенность и необходимость защиты двух и более связываемых между собой локальных сетей через недоверенные каналы связи. А во-вторых, массовый переход на облачные вычисления также требует от госорганов, чтобы функции выбора защитных мер могли быть делегированы от владельца защищаемых данных к владельцу информационной системы (облачному провайдеру), в которой эти данные обрабатываются.
Выбрав защитные меры, мы приступаем к их внедрению. Для этого у NIST разработана масса документов по особенностям защиты различных информационных технологий - облаков, мобильных устройств, АСУ ТП, Wi-Fi и WiMAX и т.д. При этом NIST разработал и рекомендации по различным организационным и управленческим процессам - оценка рисков, повышение осведомленности персонала, расследование инцидентов и т.д. Т.е. NIST планомерно закрывает те пару десяткой семейств защитных мер, описанных в SP800-53.
По окончанию внедрения мы должны провести оценку эффективности защитных механизмов. Кто-то это называет аудитом, кто-то аттестацией. Важна суть данного процесса, заключающегося в проверке, желательно независимой, сделанных на предыдущих этапах действий по выбору и внедрению защитных мер технического и организационного плана. Проведение такой оценки описано в SP800-53A Guide for Assessing the Security Controls in Federal Information Systems and Organizations, Building Effective Security Assessment Plans.
И наконец завершается все этапом непрерывного мониторинга уровня защищенности информационной системы, описанного в недавно выпущенном SP800-137 Information Security Continuous Monitoring for Federal Information Systems and Organizations. И дальше по кругу.
В чем отличие подходов США и России в защите государственных информационных систем? Их несколько. Первое заключается в оценке рисков. У нас до недавнего времени не было принято отдавать оценку рисков на откуп владельцам информационных систем. Был зафиксирован жесткий набор защитных мер и он должен был быть реализован невзирая ни на что. А вот все что сверх того (те же облачные вычисления, мобильные устройства, беспроводные технологии) либо было запрещено, либо на это регуляторы закрывали глаза. Сейчас ситуация потихоньку стала сдвигаться с мертвой точки, операторам и владельцам информационных систем разрешают самим моделировать угрозы (читай риски), но процесс движется со скриптом и непросто.
Второе отличие в полном отсутствии в России учета сратегических рисков и иных входных данных и условий, в которых живет и развивается госорган. Отсутствие персонала на местах, слабые каналы связи, отсутствие финансовых средств, территориальная распределенность, принуждение к переходу на облачные вычисления, необходимость взаимодействия с иностранными организациями... Все это накладывает отпечаток на принимаемые защитные меры, некоторые из которых приходится заменять на другие, аналогичные по уровню защиты, но неописанные в нормативных документах. В США эта не составляет проблемы, в России же возможность самостоятельного выбора защитных мер появилась только на днях, в проектах новых приказов ФСТЭК по защите госорганов и персональных данных. До их реального претворения в жизнь еще не так близко.
Третье отличие - в огромном количестве методических документов по защите той или иной информационной технологии или реализации того или иного защитного процесса. NIST уже выпустил свыше ста специальных публикации на этот счет. ФСТЭК - ни одной! Учитывая нехватку специалистов по ИБ, особенно в регионах, методической помощи регулятора очень сильно не хватает.
Четвертое отличие - в том, что происходит после внедения системы защиты и ее аттестации. У нас хоть потоп (до следующей аттестации). ФСТЭК и ФСБ этот вопрос почти не интересует - главное, чтобы бумажки были и оргмеры были соблюдены. А как на деле происходит поддержание необходимого уровня защищенности? Никто не знает. Поэтому и привыкли у нас жить от аттестации до аттестации, от проверки до проверки. В США ситуация иная - есть рекомендации по выстраиванию процесса мониторинга уровня защищенности, реагирования на инциденты, повышения осведомленности персонала, патч-менеджмента и т.п. Иными словами, госорганы США сопровождаются на всем жизненном цикле существования своих информационных систем. И даже на последнем их этапе, выводе из эксплуатации, NIST предлагает свои рекомендации, например, SP800-88 Guidelines for Media Sanitization (руководство по уничтожение носителей защищаемой информации).
Кому-то покажется, что отличий немного. Кому-то, что нас разделяет пропасть. Правы будут обе стороны. А если вспомнить, что утечки происходят и там и там, то получается, что разницы вообще никакой. Но... Все-таки американские госорганы не чувствуют себя брошенными в деле защиты информационных систем. И главное, что они видят методическую поддержку со стороны NIST, который снимает с госорганов большую головную боль по тому, как защищать те технологии, которые дают возможность государству решать проблемы граждан, и как защищать те данные, которые граждане доверяют государству. У нас пока это не так. Надеюсь, что пока.
На втором этапе мы определяем исходные данные, позволяющие нам выбрать правильные организационные и технические решения по защите. Тут и понимание существующих бизнес-процессов, и используемые информационные системы, и способ управления ими, и структура службы ИТ и ИБ, стоящие перед предприятием задачи и приоритеты и т.д. Все это, наряду с рисками, является входной точкой для определения защитных мер в конкретной организации, которые так похожи и так непохожи друг на друга.
Третий этап - это уже знакомый для многих процесс, начинающийся с категоризации информационных систем, которая в свою очередь зависит от обрабатываемых в системе данных, их природы, степени конфиденциальности или иной защищаемой характеристики (целостность, доступность, важность и т.д.), архитектуры и других исходных данных, полученных на первых двух этапах. Например, мы можем принять решение, что риски нарушения конфиденциальности нам не важны; а вот риски нарушения доступности или целостности информации гораздо приоритетнее (так, например, будет для gosuslugi.ru). Это достаточно непростой процесс, от эффективности реализации которого зависит то, насколько эффективной будет построенная система защиты. Для помощи в реализации данного этапа американский NIST разработал два стандарта:
- FIPS 199. Standards for Security Categorization of Federal Information and Information Systems
- NIST SP800-60. Guide for Mapping Types of Information and Information Systems to Security Categories.
Определившись с классами информационных систем, мы должны выбрать защитные меры. Они разбиты на три больших блока - технические, операционные, управленченские, которые затем разбиваются на семейства - контроль доступа, повышение осведомленности и тренинги, аудит, планирование, оценка рисков, защита персонала и т.д. Перечислены эти меры в стандарте NIST SP800-53 Recommended Security Controls for Federal Information Systems and Organizations. Сейчас готовится 4-я редакция этого стандарта, которая будет включать и ранее описанные меры по защите персональных данных. Называться этот стандарт будет Security and Privacy Controls for Federal Information Systems and Organizations (номер тот же).
При этом существует минимально необходимый набор защитных мер, описанные в FIPS 200 Minimum Security Requirements for Federal Information and Information Systems. Выбор способа реализации этих мер (из NIST SP800-53), как и дополнительные защитные меры, лежат на операторе/владельце информационной системы. При этом документы NIST учитывают две непростых особенности современной информатизации госорганов. Во-первых, их территориальную распределенность и необходимость защиты двух и более связываемых между собой локальных сетей через недоверенные каналы связи. А во-вторых, массовый переход на облачные вычисления также требует от госорганов, чтобы функции выбора защитных мер могли быть делегированы от владельца защищаемых данных к владельцу информационной системы (облачному провайдеру), в которой эти данные обрабатываются.
Выбрав защитные меры, мы приступаем к их внедрению. Для этого у NIST разработана масса документов по особенностям защиты различных информационных технологий - облаков, мобильных устройств, АСУ ТП, Wi-Fi и WiMAX и т.д. При этом NIST разработал и рекомендации по различным организационным и управленческим процессам - оценка рисков, повышение осведомленности персонала, расследование инцидентов и т.д. Т.е. NIST планомерно закрывает те пару десяткой семейств защитных мер, описанных в SP800-53.
По окончанию внедрения мы должны провести оценку эффективности защитных механизмов. Кто-то это называет аудитом, кто-то аттестацией. Важна суть данного процесса, заключающегося в проверке, желательно независимой, сделанных на предыдущих этапах действий по выбору и внедрению защитных мер технического и организационного плана. Проведение такой оценки описано в SP800-53A Guide for Assessing the Security Controls in Federal Information Systems and Organizations, Building Effective Security Assessment Plans.
И наконец завершается все этапом непрерывного мониторинга уровня защищенности информационной системы, описанного в недавно выпущенном SP800-137 Information Security Continuous Monitoring for Federal Information Systems and Organizations. И дальше по кругу.
В чем отличие подходов США и России в защите государственных информационных систем? Их несколько. Первое заключается в оценке рисков. У нас до недавнего времени не было принято отдавать оценку рисков на откуп владельцам информационных систем. Был зафиксирован жесткий набор защитных мер и он должен был быть реализован невзирая ни на что. А вот все что сверх того (те же облачные вычисления, мобильные устройства, беспроводные технологии) либо было запрещено, либо на это регуляторы закрывали глаза. Сейчас ситуация потихоньку стала сдвигаться с мертвой точки, операторам и владельцам информационных систем разрешают самим моделировать угрозы (читай риски), но процесс движется со скриптом и непросто.
Второе отличие в полном отсутствии в России учета сратегических рисков и иных входных данных и условий, в которых живет и развивается госорган. Отсутствие персонала на местах, слабые каналы связи, отсутствие финансовых средств, территориальная распределенность, принуждение к переходу на облачные вычисления, необходимость взаимодействия с иностранными организациями... Все это накладывает отпечаток на принимаемые защитные меры, некоторые из которых приходится заменять на другие, аналогичные по уровню защиты, но неописанные в нормативных документах. В США эта не составляет проблемы, в России же возможность самостоятельного выбора защитных мер появилась только на днях, в проектах новых приказов ФСТЭК по защите госорганов и персональных данных. До их реального претворения в жизнь еще не так близко.
Третье отличие - в огромном количестве методических документов по защите той или иной информационной технологии или реализации того или иного защитного процесса. NIST уже выпустил свыше ста специальных публикации на этот счет. ФСТЭК - ни одной! Учитывая нехватку специалистов по ИБ, особенно в регионах, методической помощи регулятора очень сильно не хватает.
Четвертое отличие - в том, что происходит после внедения системы защиты и ее аттестации. У нас хоть потоп (до следующей аттестации). ФСТЭК и ФСБ этот вопрос почти не интересует - главное, чтобы бумажки были и оргмеры были соблюдены. А как на деле происходит поддержание необходимого уровня защищенности? Никто не знает. Поэтому и привыкли у нас жить от аттестации до аттестации, от проверки до проверки. В США ситуация иная - есть рекомендации по выстраиванию процесса мониторинга уровня защищенности, реагирования на инциденты, повышения осведомленности персонала, патч-менеджмента и т.п. Иными словами, госорганы США сопровождаются на всем жизненном цикле существования своих информационных систем. И даже на последнем их этапе, выводе из эксплуатации, NIST предлагает свои рекомендации, например, SP800-88 Guidelines for Media Sanitization (руководство по уничтожение носителей защищаемой информации).
Кому-то покажется, что отличий немного. Кому-то, что нас разделяет пропасть. Правы будут обе стороны. А если вспомнить, что утечки происходят и там и там, то получается, что разницы вообще никакой. Но... Все-таки американские госорганы не чувствуют себя брошенными в деле защиты информационных систем. И главное, что они видят методическую поддержку со стороны NIST, который снимает с госорганов большую головную боль по тому, как защищать те технологии, которые дают возможность государству решать проблемы граждан, и как защищать те данные, которые граждане доверяют государству. У нас пока это не так. Надеюсь, что пока.
