На прошлой неделе я побывал в славном городе Новосибирске на методическом сборе с участием преподавательского состава образовательных учреждений, осуществляющих в пределах СФО подготовку специалистов в области ИБ. Мероприятие курировала местная ФСТЭК России, и на нем было представлено много интересных докладов. В этом посте я расскажу про один из них.
А именно про доклад "Система нормативно-методических документов ФСТЭК России по организации контроля эффективности обеспечения безопасности информации и технической защиты информации от утечки по техническим каналам и несанкционированного доступа". В конце поста выложена укороченная презентация, коллеги из ФСТЭК России просили не публиковать слайды про защиту информации от утечки по техническим каналам. Но именно первая часть презентации будет полезнее всего...
Презентация интересна тем, что в ней представлено довольно много информации о том, что все-таки ФСТЭК России считает "оценкой эффективности ИБ". О сложности понимания этого термина я писал еще в 2013 году в заметке " Оценка эффективности и Аттестация ИС. Связываем несвязываемое ", а позднее рассуждал про мировой опыт в заметке " Сложности перевода: Effectiveness vs Efficiency " и делал обзор отличной книги по метрикам " ITSM. Руководство по измерению ".
По мнению ФСТЭК России:
"Проверка оценки эффективности внедренных мер и средств защиты информации в реальных условиях эксплуатации является неотъемлемой частью процесса создания системы защиты информации."
"Система методических документов ФСТЭК России дает широчайший инструментарий для решения любой задачи, возникающей при оценке эффективности."
Начнем с базовых терминов:
Обратите внимание, что основа оценки по ФСТЭК России - степень достижения ожидаемого результата. Т.е. если мы вспомним таблицу из книги " ITSM. Руководство по измерению ", то попадем в левый верхний квадрат - "результативность":
Но это так, "мировой опыт" и "лучшие практики".
Нам же сейчас важнее мнение регулятора. Для этого необходимо четко усвоить основной подход по защите, на который ориентируется ФСТЭК России, а именно:
Система защиты информации по ФСТЭК России строится на 3 основных ступенях (и соответствующих проверках):
Обратите внимание, что основа оценки по ФСТЭК России - степень достижения ожидаемого результата. Т.е. если мы вспомним таблицу из книги " ITSM. Руководство по измерению ", то попадем в левый верхний квадрат - "результативность":
Но это так, "мировой опыт" и "лучшие практики".
Нам же сейчас важнее мнение регулятора. Для этого необходимо четко усвоить основной подход по защите, на который ориентируется ФСТЭК России, а именно:
Система защиты информации по ФСТЭК России строится на 3 основных ступенях (и соответствующих проверках):
- Организационные меры. Проверка достаточности политик безопасности, принятых в организации, для нейтрализации возможных угроз безопасности.
- Защита от утечки по техническим каналам. Оценка соответствия искомого показателя нормированным значениям.
- Защита от несанкционированного доступа и несанкционированого воздействия. Проверка соответствия состава внедренных мер и средств защиты информации и их настроек существующим требованиям (например, нормативно-правовые акты федеральных органов исполнительной власти, руководящие и методические документы, российские и международные стандарты, стандарты организации и пр.).
Перечень документов, необходимых для оценки эффективности информационной безопасности, определяется по двум признакам:
- Вид информации (по категориям конфиденциальности или другим признакам)
- Вид объекта
Чтобы было понятнее, то смотрим далее:
Важным моментом при проведении оценки эффективности является то, что она проводится в соответствии с программой и методикой испытаний (ПМИ), а не напрямую в соответствие ФЗ (федеральный закон), НПА (нормативно-правовой акт). ПА (правовой акт), МД (методический документ).
ПМИ - является основой для проведения оценки эффективности. Оценка эффективности может проводится в рамках аттестационных испытаний, периодического контроля и других испытаний (предварительных, опытных и приемочных испытаний). На все эти испытания пишется ПМИ, проведение которой должно оценить степень нейтрализации актуальных угроз и выполнение требований к СЗИ (из ТЗ и ТП к проекту).
При этом рекомендуют ориентироваться на ГОСТ Р 51583-2014 "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения".
Последовательность действий при проведении оценки эффективности представлено на слайдах 10 и 11 общей презентации:
Отдельно стоит упомянуть, что система старых руководящих документов (РД АС, РД СВТ, РД МЭ, РД НДВ) в этом году плавно перейдет в систему требований к средствам защиты (см.слайд 8). Требования к отдельным видам СЗИ сейчас предназначены для сертификации (для заявителя, разработчика, испытательной лаборатории), но профили защиты из приложения к ним и их, по мнению ФСТЭК России, "очень удобно использовать при проведении оценки эффективности". И в ожидаемой обновленной версии Приказа 17 (и 21 и 31) уже будет отсыл именно на требования к СЗИ. Придется нам всем учить (вспоминать) 3 части ГОСТ 15408 :))))
Вот как-то так. Теперь у нас с вами стало чуть больше информации про этот загадочный процесс "оценку эффективности ИБ"... Не скажу, что видение ФСТЭК России мне нравится, но оно есть и сформулировано, на мой взгляд, достаточно четко. А значит, нам надо на него ориентироваться...