Закон Мерфи для информационной безопасности
Как же хорошо этот закон передает соль нашего русского "авось" или "закона подлости". И кто хоть раз из специалистов по информационной безопасности ни разу не встречал эту замечательную пару на своем пути?
Вспомните, сколько было "подходов", которые должны были помочь сформировать защищенную информационно-телекоммуникационную инфраструктуру в стране?
Начинаем считать:
Шаг № 1
2001 год - Решением Коллегии Государственной технической комиссии при президенте Российской Федерации от 02 марта 2001 г. № 7.2 был издан документ "Специальные требования и рекомендации по технической защите конфиденциальной информации", он же СТР-К.
Для своего времени документ был нов и даже революционен, ведь он уже тогда описывал требования к защите локальной сети. Повторюсь, не к автономному АРМ, а к ЛВС.
Но у документа оказались свои недостатки.
Во-первых, он имел пометку "Для служебного пользования", и, как следствие, доступ к нему был ограничен. Во-вторых, документ устанавливает требования и рекомендации по обеспечению технической защиты конфиденциальной информации и является основным руководящим документом в этой области для федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления, предприятий, учреждений и организаций, взявшим на себя обязательства, либо обязанными по статусу исполнять требования правовых документов Российской Федерации по защите информации (т.е. Госкорпорации и предприятия ОПК, и то далеко не все). А для защиты конфиденциальной информации, содержащейся в негосударственных информационных ресурсах, данный документ носит рекомендательный характер. – по сути, 90% сотрудников информационной безопасности организаций, если бы и имели доступ к документу, то прочитав первые три абзаца раздела "Общие положения", положили бы его в самый дальний угол своих скрижалей знаний. Почему? «Рекомендательный характер» - и неважно, что в СТР-К было много интересного и содержательного для тех времен.
Шаг № 2
2006 год – 27 июля на свет появились два брата: Федеральный закон № 149-ФЗ "Об информации, информационных технологиях и о защите информации" и Федеральный закон № 152-ФЗ "О персональных данных". Сейчас они разительно отличаются от исходных документов, но задача их не изменилась:
- 149-ФЗ регулирует отношения, возникающие при осуществлении права на поиск, получение, передачу, производство и распространение информации; применении информационных технологий; обеспечении защиты информации, (а в дальнейшем станет основополагающим для ГИС/МИС);
- 152-ФЗ в свою очередь, регулирует отношения, связанные с обработкой персональных данных, в том числе требования к защите информации, для всех операторов ПДн.
Прошло почти два года, прежде чем регуляторы сформировали требования к системе безопасности.
Шаг № 3
В 2007 году было выпущено постановление Правительства РФ от 17 ноября 2007 г. № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных", а в 2008 году были утверждены: постановление Правительства РФ от 15 сентября 2008 г. № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", указ Президента Российской Федерации от 17 марта 2008 г. № 351 "О мерах по обеспечению информационной безопасности российской федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена", тройственный приказ от 13 февраля 2008 г. № 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных". Также в это время появились методические документы ФСТЭК России по обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, и обеспечению безопасности информации в ключевых системах информационной инфраструктуры.
В этих документах регулятор старался описать и организационные и технические меры защиты информации.
Однако появилась другая проблема: методические документы ФСТЭК России не несли юридической значимости, и ситуация с ними начала развиваться аналогично СТР-К, только была изменена трактовка: документы не вписываются в структурную схему НПА, т.е. они сами не являлись НПА федерального органа исполнительной власти и не были изданы в рамках исполнения данного НПА.
В результате мы получили еще 4 года бездействия подавляющего большинства организации, которые обрабатывали информацию ограниченного доступа не содержащей сведения, составляющие государственную тайну.
Шаг № 4
2012-2014 гг. Годы прорыва и формирования фундамента для существующего подхода в области информационной безопасности.
1 ноября 2012 г. постановлением Правительства Российской Федерации № 1119 были утверждены "Требования к защите персональных данных при их обработке в информационных системах персональных данных", 11 и 18 февраля 2013 г. Федеральной службой по техническому и экспортному контролю были утверждены "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" (они же Приказ № 17) и "Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" (он же Приказ № 21).Данные документы кардинально изменили подход к созданию систем информационной безопасности. Появилась ясность в этапах действий для Собственников систем и интеграторов ИБ. Но самое гласное, что принесли эти документы – группы мер защиты информации.
Наверняка, большинство из вас провели не мало времени чтобы понять, как реализовать систему безопасности для каждой из мер. Споров было не мало по данным вопросам, а самая главная сложность заключалась в том, что существующие средства защиты информации либо частично не соответствовали требованиям, либо таких средств не было в принципе.
Плюс к тому, под новые требования надо было разрабатывать новые документы для сертификации средств защиты информации. ФСТЭК России сделал лояльное, взвешенное, и для тех времен единственно верное решение. Были даны послабления по переходу на новые требования для тех, кто хоть как-то реализовывал ИБ. Иным организациям было дано указание реализовывать, что возможно согласно заданному вектору и постепенно совершенствовать систему ИБ у себя, разработчикам систем защиты информации дали достаточно много времени, чтобы они смогли перейти на новые требования.
Но как бы это хорошо не звучало на бумаге или в теории, на практике же получилось следующее. Инновации задели лишь органы государственной власти, органы местного самоуправления, муниципальные предприятия, федеральные органы исполнительной власти, госкорпорации.
Частный бизнес решили последовать по принципу "Да и так сойдет". Если честно, их понять можно, реализация системы защиты информации стоит на порядки больше, чем десяток административных штрафов за нарушение статьи 13.12 КоАП. И мало кто задумывался о том, что компьютерные преступления реально возможны и существуют уже сейчас.
Пол шага № 4.5
Пока ФСТЭК России корпел над разработкой требований к средствам защиты информации, параллельно, 14 марта 2014 г., были утверждены "Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды" (Приказ ФСТЭК России № 31). Это был второй заход для урегулирования системы безопасности на критически важных объектах.
Этот документ включает в себя в хорошее от Приказов № 17 и 21, а также методических документов ФСТЭК России по обеспечению безопасности информации в ключевых системах информационной инфраструктуры. И все было бы хорошо если бы не один абзац 1 пункта: "Настоящие Требования применяются в случае принятия владельцем автоматизированной системы управления решения об обеспечении защиты информации, обработка которой осуществляется этой системой и нарушение безопасности которой может привести к нарушению функционирования автоматизированной системы управления".
Для меня до сих пор остается загадкой почему спустя 6 лет, в 2020 году еще нет поправки, которая бы вычеркнула этот абзац из приказа.
Тем временем приказом ФСБ России от 10 июля 2014 г. № 378 утверждены "Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности". Что можно сказать про этот документ – в нем учтены ошибки прошлого – нет рекомендаций есть требования. Действительно хорошая инструкция для применения
Предпосылка перед 5 этапом
12 мая 2017 года началось массовое распространение WannaCry— одними из первых были атакованы компьютеры в Испании, а затем и в других странах. Среди них по количеству заражений лидировали Россия, Украина и Индия. В общей сложности, за короткое время от червя пострадало около полумиллиона компьютеров, принадлежащих частным лицам, коммерческим организациям и правительственным учреждениям, в более чем 200 странах мира.
Распространение червя блокировало работу множества организаций по всему миру: больниц, аэропортов, банков, заводов и др. Меня это беда миновала, так как за месяц до этого инцидента я сам столкнулся с первыми версиями этого шифровальщика. И благодаря этому мы успели реализовать необходимые требования по безопасности, до начала эпидемии.
Как мне кажется, после этого инцидента начался 5 виток развития информационной безопасности этап КИИ.
Шаг № 5
26 июля 2017 г. был издан Федеральный закон № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации", который постарался охватить максимальное количество сфер деятельности, где могут функционировать критически важные информационные системы (объекты).
И тут мы вспоминаем 2001 год, тот день, когда мы могли начать идти в ногу со временем, а не надеется на наш "авось", 2008 год, когда все хотели обойтись минимальными затратами или вообще не собирались заниматься информационной безопасностью в ИСПДн или ГИС, 2014 год, когда собственникам предлагался своего рода "пряник" для постепенной реализации системы безопасности КВО в виде Приказа № 31, а из-за нежелания что-либо делать, исходя из здравого смысла и рациональных доводов появился "кнут" - была добавлена в УК РФ статья 274.1.
А так как он вступал в силу с 1 января 2018 г., то логично было предположить, что 5 месяцев для подготовки должно было хватить всем. И регуляторам, и собственникам ИС. Но как оказалось на практике, собственники ИС абсолютно не были готовы к такому повороту событий (разве что органы государственной власти и федеральные органы исполнительной власти, так как их обязывали реализовывать систему безопасности, и они часто подвергаются проверкам в этой области).
"Закон подлости" сработал именно тогда, когда это и ожидалось и поэтому наша страна оказалась среди лидеров по количеству заражений от WannaCry.
Если посмотреть на все происходящее, то Россия только входит эпоху формирования безопасной информационной телекоммуникационной инфраструктуры. Системы ИБ формируются уже не на давно функционирующих системах, а стараются внедряться либо с учетом вновь создаваемых ИС у заказчиков, либо внедряются с учетом основательного пилотирования подсистем ИБ. Интегратор ИБ уже не сам доказывает заказчику, что система ИБ — это важный элемент его инфраструктуры. Сейчас у заказчика формируются все более чёткие требования к собственной системе ИБ. Компании начали заботиться о защите ИСПДн и сами обращаются к интеграторам с просьбой помочь спроектировать и реализовать систему ИБ. Это кстати, касается и субъектов КИИ, но это уже совсем другая история.