Наверное, все помнят, что в конце ноября ФСТЭК выложила на своем сайте проект методических рекомендаций, разъясняющих "как читать" 17-й (в первую очередь) и 21-й приказы по защите государственных и муниципальных информационных систем и информационных систем персональных данных. До 20-го декабря ФСТЭК собирала предложения по тексту методички, чтобы собрать мнение экспертного сообщества, которое на протяжении долгих лет постоянно критиковало регулятора, который не давал поучаствовать в нормотворчестве российским экспертам. И вот такую возможность в очередной раз дали.
Работа оказалась не из простых. Прочитать, вникнуть и разобраться в 160-ти страницах текста оказалось непросто. Отчасти из-за объема, отчасти из-за большого объема канцеляризмов (все-таки документ официальный), но больше всего из-за новаций, который этот документ содержал. Тот же 17-й (и 21-й) приказ коренным образом отличался от предыдущих требований по защите - СТР-К (и 58-го приказа). А в рассматриваемой методичке надо было все эти новации раскрыть и подробно описать. Вот анализ этого описания и потребовал много времени. В конечном итоге у меня получилось 42 страницы предложений и около 200 конкретных предложений, которые, я надеюсь, учтут в процессе финализации документа, по которому теперь будут жить российские специалисты по безопасности.
А сейчас я хотел бы поделиться своими впечатлениями по данному документу. Про хорошее писать не буду :-) - писал уже не раз. Пройдусь по немного иным вещам, которые я предлагал учесть. Во-первых, это восприятие информационных систем, которые рассматриваются регулятором как набор персональных компьютеров с серверами, редким применением мобильных устройств и вкраплениями сетевого оборудования. Для большинства потребителей это действительно так, но мы говорим о документе, который распространяется на всех и задает моду на ближайшие годы.
Где промышленные терминалы? Где Интернет вещей? Где индустриальные датчики, сенсоры и контроллеры? Про это в документе почти ничего не написано, а такие системы начинают активно использоваться во многих государственных организациях - порты, таможенные склады, промышленные объекты и т.п. Да, сейчас готовятся требования по защите индустриальных систем, но пока их нет, и сами такие системы явно из под действия приказа не выведены.
Кстати, ориентация на традиционное восприятие информационной системы присуще не только ФСТЭК, но и остальным регуляторам. Оно и понятно, долгие годы иного и не было. Это сейчас технологии развиваются семимильными шагами - регулятор за ними не поспевает. Особенно 8-й Центр ФСБ, который архаично считает, что существует только то, куда можно навесить российские СКЗИ. В их кругозоре нет промышленного оборудования, нет M2M-устройств, нет Интернета вещей, нет сетевого оборудования...
С данной проблемой связана и вторая. Регуляторы считают, что угрозу может представлять только пользователь и контролировать надо только его. Про действия, которые могут осуществлять приложения, процессы, сетевые узлы и иные компоненты информационной системы. Поэтому в проекте методички постоянно упоминается термин "пользователь" вместо "субъект доступа", что было бы правильнее. Также первый проект исходит из предположения (неявного), что что-то плохое может сделать только пользователь и только изнутри. Плохо были учтены особенности доступа извне.
"Традиционные" для ФСТЭК вопросы, ранее уже учтенные в 58-м приказе или СТР-К, прописаны неплохо. А вот новые темы (например, регистрация событий) в 17/21-м приказах - действительно новые для регулятора и участвовавших в разработке проекта участников. Они пытаются натянуть свое понимание традиционных тем на новые - получается неполно и не всегда хорошо. Складывается впечатление, что авторы документы многие вещи просто не пробовали. Раньше проблема бы так и осталась, а сейчас, к счастью, коллективный труд позволяет выявить эти нюансы и вовремя обратить на них внимание. Надеюсь, что в финальном варианте это будет устранено.
В целом же получившийся документ коренным образом отличается от СТР-К 2002-го года и 58-го приказа 2010-го. Был сделан большой шаг вперед - учтены многие новые защитные меры, которых раньше не было, дана большая свобода оператору информационных систем или уполномоченным лицам, которым поручена защита этих систем. Идеален ли документ? Нет. Но чего мы хотим от первого проекта?.. Да еще и при практически полном попустительстве со стороны экспертного сообщества.
Оказалось, что желающих ныть "как все плохо" и "надо все переписать" у нас по-прежнему полно. А вот предложить что-то конкретное... Хорошо если наберется с десяток человек, которые готовы потратить свое время и предложить что-то конкретное. Мне можно возразить, что это не работа эксперта отрасли - тратить свое время на такую писанину. Мол есть более важные дела на основной работе, есть дети, жены, внуки, любовницы, клубника на даче, горнолыжные курорты... Безусловно, есть. Только вот стоит ли тогда критиковать документ, если сам не приложил ни толики усилий, чтобы сделать его лучше? Я про это уже писал и говорил не раз и повторюсь. Критикуя, предлагай. Не предлагаешь - лучше помолчать. Даже если не согласен.
ФСТЭК планирует перейти к классическому 2-х летнему жизненному циклу своих нормативных документов. Тем самым удастся выстроить процесс внесения поправок в документы и учет последних веяний и тенденций в области ИБ и в области защищаемых ИТ. Отработав на первом наборе документов (приказы 17/21) и новые подходы к защите, и работу с экспертным сообществом, не исключаю, что ФСТЭК подступится к обновлению и остальных своих документов. Тем более, что планы уже есть .
Работа оказалась не из простых. Прочитать, вникнуть и разобраться в 160-ти страницах текста оказалось непросто. Отчасти из-за объема, отчасти из-за большого объема канцеляризмов (все-таки документ официальный), но больше всего из-за новаций, который этот документ содержал. Тот же 17-й (и 21-й) приказ коренным образом отличался от предыдущих требований по защите - СТР-К (и 58-го приказа). А в рассматриваемой методичке надо было все эти новации раскрыть и подробно описать. Вот анализ этого описания и потребовал много времени. В конечном итоге у меня получилось 42 страницы предложений и около 200 конкретных предложений, которые, я надеюсь, учтут в процессе финализации документа, по которому теперь будут жить российские специалисты по безопасности.
А сейчас я хотел бы поделиться своими впечатлениями по данному документу. Про хорошее писать не буду :-) - писал уже не раз. Пройдусь по немного иным вещам, которые я предлагал учесть. Во-первых, это восприятие информационных систем, которые рассматриваются регулятором как набор персональных компьютеров с серверами, редким применением мобильных устройств и вкраплениями сетевого оборудования. Для большинства потребителей это действительно так, но мы говорим о документе, который распространяется на всех и задает моду на ближайшие годы.
Где промышленные терминалы? Где Интернет вещей? Где индустриальные датчики, сенсоры и контроллеры? Про это в документе почти ничего не написано, а такие системы начинают активно использоваться во многих государственных организациях - порты, таможенные склады, промышленные объекты и т.п. Да, сейчас готовятся требования по защите индустриальных систем, но пока их нет, и сами такие системы явно из под действия приказа не выведены.
Кстати, ориентация на традиционное восприятие информационной системы присуще не только ФСТЭК, но и остальным регуляторам. Оно и понятно, долгие годы иного и не было. Это сейчас технологии развиваются семимильными шагами - регулятор за ними не поспевает. Особенно 8-й Центр ФСБ, который архаично считает, что существует только то, куда можно навесить российские СКЗИ. В их кругозоре нет промышленного оборудования, нет M2M-устройств, нет Интернета вещей, нет сетевого оборудования...
С данной проблемой связана и вторая. Регуляторы считают, что угрозу может представлять только пользователь и контролировать надо только его. Про действия, которые могут осуществлять приложения, процессы, сетевые узлы и иные компоненты информационной системы. Поэтому в проекте методички постоянно упоминается термин "пользователь" вместо "субъект доступа", что было бы правильнее. Также первый проект исходит из предположения (неявного), что что-то плохое может сделать только пользователь и только изнутри. Плохо были учтены особенности доступа извне.
"Традиционные" для ФСТЭК вопросы, ранее уже учтенные в 58-м приказе или СТР-К, прописаны неплохо. А вот новые темы (например, регистрация событий) в 17/21-м приказах - действительно новые для регулятора и участвовавших в разработке проекта участников. Они пытаются натянуть свое понимание традиционных тем на новые - получается неполно и не всегда хорошо. Складывается впечатление, что авторы документы многие вещи просто не пробовали. Раньше проблема бы так и осталась, а сейчас, к счастью, коллективный труд позволяет выявить эти нюансы и вовремя обратить на них внимание. Надеюсь, что в финальном варианте это будет устранено.
В целом же получившийся документ коренным образом отличается от СТР-К 2002-го года и 58-го приказа 2010-го. Был сделан большой шаг вперед - учтены многие новые защитные меры, которых раньше не было, дана большая свобода оператору информационных систем или уполномоченным лицам, которым поручена защита этих систем. Идеален ли документ? Нет. Но чего мы хотим от первого проекта?.. Да еще и при практически полном попустительстве со стороны экспертного сообщества.
Оказалось, что желающих ныть "как все плохо" и "надо все переписать" у нас по-прежнему полно. А вот предложить что-то конкретное... Хорошо если наберется с десяток человек, которые готовы потратить свое время и предложить что-то конкретное. Мне можно возразить, что это не работа эксперта отрасли - тратить свое время на такую писанину. Мол есть более важные дела на основной работе, есть дети, жены, внуки, любовницы, клубника на даче, горнолыжные курорты... Безусловно, есть. Только вот стоит ли тогда критиковать документ, если сам не приложил ни толики усилий, чтобы сделать его лучше? Я про это уже писал и говорил не раз и повторюсь. Критикуя, предлагай. Не предлагаешь - лучше помолчать. Даже если не согласен.
ФСТЭК планирует перейти к классическому 2-х летнему жизненному циклу своих нормативных документов. Тем самым удастся выстроить процесс внесения поправок в документы и учет последних веяний и тенденций в области ИБ и в области защищаемых ИТ. Отработав на первом наборе документов (приказы 17/21) и новые подходы к защите, и работу с экспертным сообществом, не исключаю, что ФСТЭК подступится к обновлению и остальных своих документов. Тем более, что планы уже есть .