Я редко пишу о новостях, вся суть которых сводится к изменениям, которые ждут нас в будущем. Дело это неблагадарное, ибо не раз уже случалось так, что это самое будущее не наступало или серьезно отличалось от заявленного. Вспомните, хотя бы, историю с поднятием штрафов за ПДн....
Но сегодня, пожалуй, можно сделать исключение.
Так вот. 12 февраля на ТБФоруме ФСТЭК выступил с рядом многообещающих заявлений.
Начать, наверное, стоит с Виталия Сергеевича Лютикова. Виталий Сергеевич - начальник 2 управления ФСТЭК России. Светлая голова, ясное изложение мыслей, хорошая презентация и множество полезных инициатив. Такого человека на такой должности мы ждали давно, и он появился. Это, несомненно, хорошо, но плохо другое: у меня сложилось впечатление, что он там такой один. Отчасти это подтверждается блеклыми слайдами и речами его коллег. Поэтому нам с вами нужно его поддерживать, если мы не хотим снова гонятся за призраками ИТР и защищать перс.данные генераторами ЭМИ.
Главная новость, пожалуй, это долгожданная смена парадигмы аттестации. Мы постепенно уходим от периодической проверки требований к обеспечению требуемового уровня ИБ. "Новая аттестация" должна быть сориентирована на блокировку актуальных угроз, постоянное выявление уязвимостей и разработку процедур поддержания ИБ на заданном уровне. Под эту концепцию создается новая методика разработки модели угроз, с начала марта запускается вебсайт с угрозами и уязвимостями (как я понял, разработкой сайта занимается НПО Эшелон). ФСТЭК так же фокусируется сейчас на защите ГИС и АСУ ТП. Причем с ГИС есть сложности:
- что считать ГИС до сих пор неясно. Регулятором в этой области является Минкомсвязь, и они не видят тут проблемы: ГИС то, что есть в реестре ГИС (а там практически ничего то и нет);
- СТРК в силе и часто идет параллельно с 17 приказом ФСТЭК;
- понятия служебной тайны нет. Отсюда появляются сложности с выделением тех категорий информации, которые мы будем считать объектами защиты.
Еще одна нерешенная проблема с аттестацией - это разделение "сфер влияния" между ФСТЭК и ФСБ. Все аспекты регулирования использования средств шифрования определяются ФСБ. Поэтому если мы при аттестации доходим до использования ЭП, VPN и шифрованных разделов на жёстком диске, то просто не обращаем на них внимания и идём дальше.
Главная проблема с АСУ ТП - нет закона, нет обязательных требований к защите, нет штрафов, нет инцидентов ИБ. Несмотря на наличие необходимых РД по защите АСУ ТП, защищать её никто не спешит. Риски, связанные с взломом либо проверками Регулятора, пока что гораздо меньше, чем затраты на системы ИБ для АСУ ТП.
В докладах других участников конференции мне так же запомнились некоторые моменты:
- ФСТЭК не разрешает сдавать в субаренду оборудование и помещения, необходимые для лицензии по ТЗКИ. При получении лицензии нужно представить зарегистрированный в юстиции договор на аренду помещения, в котором должен быть пункт о запрете субаренды. Это вольная трактовка требований ПП79, но ФСТЭКу, видимо, надоело, что на один и тот же комплект техники и помещение регистрируют несколько лицензий по ТЗКИ.
- Можно попробовать при сертификации СЗИ описать в документации "порядок обновления средств защиты". Тогда есть шансы, что патчи для СЗИ можно будет выпускать без инспекционного контроля.
- Большая проблема с вендорами - нежелание искать и патчить уязвимости. Пока они будут так себя вести - поблажек при сертификации СЗИ не будет. Вот внедрят себе secure SDLC - тогда другой разговор.
- Согласовывать модели угроз можно, но зачем? Если решите согласовывать - готовьтесь к долгой и увлекательной переписке со ФСТЭК.
В целом новостей, как вы видите, оказалось на конференции много, при этом каких-то конкретных изменений в требованиях пока что нет. Ждём сайт с угрозами и уязвимостями в марте.
Более подробный обзор у Андрея Прозорова