Позавчера ФСТЭК провела конференцию "Актуальные вопросы защиты информации". Если по уровню организации мероприятию я бы поставил твердую двойку. Крокус вообще мало приспособлен под конференции, а уж то, что получилось и вовсе никакой критики не выдерживает. Организаторы почему-то не рассчитали, что на мероприятие придет раза в 2-3 больше людей, чем было мест. В итоге народ стоял в проходе и даже за пределами "зала", пытаясь выхватить если не картинку, то хотя бы звук, который наслаивался на неизолированный звук сирен с соседних стендов.
Концепция конференция была продуманной. Представители ФСТЭК доложились о ключевых направлениях своей нормотворческой деятельности в области защиты информации, а затем приглашенные лицензиаты (Инфотекс, Крафтвей, Эшелон, Код безопасности, ЦБИ, СИС) доложились о том, как они уже принятые или планируемые нормативные акты используют на практике и с чем сталкиваются. Получился такой симбиоз ФСТЭК и лицензиатов, "дующих в одну дуду". Не хватало только потребителей, которые бы рассказывали, как они на деле сталкиваются с новыми документами ФСТЭК, но тут, видимо, просто времени не было - ни на выступления потребителей (и так 4,5 часа без единого перерыва), ни на апробацию документов реальной жизнью.
В Твиттере я вел прямой репортаж и сейчас, для тех, кто моего Твиттера не читает, я перескажу ключевые тезисы, прозвучавшие на конференции, сопроводив их соответствующими фотографиями. Сразу прошу прощения за качество фото - снимал из президиума (получилось под углом) и на смартфон. Но при увеличении все неплохо должно читаться. У Андрея Прозорова есть видео выступления Лютикова Виталия Сергеевича.
Итак, тезисно:
Концепция конференция была продуманной. Представители ФСТЭК доложились о ключевых направлениях своей нормотворческой деятельности в области защиты информации, а затем приглашенные лицензиаты (Инфотекс, Крафтвей, Эшелон, Код безопасности, ЦБИ, СИС) доложились о том, как они уже принятые или планируемые нормативные акты используют на практике и с чем сталкиваются. Получился такой симбиоз ФСТЭК и лицензиатов, "дующих в одну дуду". Не хватало только потребителей, которые бы рассказывали, как они на деле сталкиваются с новыми документами ФСТЭК, но тут, видимо, просто времени не было - ни на выступления потребителей (и так 4,5 часа без единого перерыва), ни на апробацию документов реальной жизнью.
В Твиттере я вел прямой репортаж и сейчас, для тех, кто моего Твиттера не читает, я перескажу ключевые тезисы, прозвучавшие на конференции, сопроводив их соответствующими фотографиями. Сразу прошу прощения за качество фото - снимал из президиума (получилось под углом) и на смартфон. Но при увеличении все неплохо должно читаться. У Андрея Прозорова есть видео выступления Лютикова Виталия Сергеевича.
Итак, тезисно:
- При обсуждении 17-го приказа по защите ГИС (11-го февраля ему стукнул год) было учтено около 50% предложений экспертов. Всего предложений было около 200
- Этап адаптации в 17-м приказе нужен, чтобы учесть требования и других нормативных актов по защите информации в ГИС. Например, требования СТР-К, ПП-424, совместного приказ ФСТЭК и ФСБ 416/489, приказа Минкомсвязи 104 и т.п. Иными словами, есть требования, которые расширяют 17-й приказ, а есть те, которые 17-й приказ детализирует и расширяет. Адаптация и нужна, чтобы гибко подойти к формированию совокупности защитных мер.
- 11 февраля 2014 года (за день до конференции) директором ФСТЭК была утверждена методичка по мерам защиты в ГИС. До конца недели ее должны выложить на сайте ФСТЭК. Обычно это происходит в конце дня пятницы.
- В отличие от проекта, выложенного на сайте в ноябре, в финальный вариант методички добавили приложение с терминами и определениями, которые местами повторяют уже существующие ГОСТы и другие НПА. Это нужно было сделать для целей документа и эти термины действуют только в рамках данного методического документа.
- Не все предложения вошли в итоговый документ (только у меня их было около 200). Отчасти потому, что ФСТЭК была не совсем согласна; отчасти потому, что ряд замечаний были достаточно концептуальными и их необходимо осмыслить. В следующей версии обещали учесть. О том, что учли, а что нет, будет понятно к концу недели, когда помимо методички выложат и сводный перечень предложений с результатами их рассмотрения.
- ФСТЭК планирует выйти на двухлетний жизненный цикл документов ФСТЭК для учета изменчивости той среды и технологий, которые используются в госорганах.
- На стыке 2014-15 годов, когда появится реальная практика применения 17-го приказа, будет открыт сбор предложений по его изменению.
- Планы по развитию методических документов вокруг 17-го приказа громадные. Уже готов проект методички по моделированию угроз - его также должны выложить на всеобщее обсуждение в ближайшее время. Также планируются и другие документы, показанные на фото.
- По части аттестации также планируется ряд обновлений. В частности должен быть утвержден ГОСТ по документации. Он уже прошел все согласования и в мае Ростехрегулирование должен его утвердить. Также планируется разработать и утвердить порядок аттестации распределенных ГИС (название рабочее).
По части ГИС, пожалуй, все. Отдельно хочу отметить часть, связанную с вопросами из зала. Складывалось впечатление (и Лютиков Виталий Сергеевич про это неоднократно говорил на конференции), что не все прочитали и сам 17-й приказ и информационное сообщение к нему. Отчасти это недоработка регулятора, отчасти российская привычка, хорошо отраженная в анекдоте "чукча - не читатель...". Например вопрос о действии СТР-К и РД АС. Виталий Сергеевич прямо ответил, что для ГИС, не обрабатывающих гостайну и для которых неактуальна тема защиты от утечек по техканалам, ни РД на АС, ни СТР-к не действуют17-й приказ покрывает все вопросы, ранее описанные в этих устаревших документах ФСТЭК. Я бы на месте ФСТЭК завел на своем сайте раздел с FAQ (вопросы и ответы), чтобы публиковать не редкие информационные сообщения, а оперативные разъяснения. Это было бы очень полезно.
В следующей заметке посмотрим на новости по АСУ ТП, сертификации и SDLC.
ЗЫ. Кстати, СТР и СТР-К планируют обновлять. Правда, эта информация циркулирует уже давно и когда свершится сей факт непонятно.
В следующей заметке посмотрим на новости по АСУ ТП, сертификации и SDLC.
ЗЫ. Кстати, СТР и СТР-К планируют обновлять. Правда, эта информация циркулирует уже давно и когда свершится сей факт непонятно.
