У американцев будет свой ЦИБ ФСБ ;-)

У американцев будет свой ЦИБ ФСБ ;-)
В прошлом году ФСТЭК начала  работу над законопроектом, который вносит изменения в 149-ФЗ в части расширения требований по защите госорганов и критически важных объектов. Американцы тоже решили  обновить  свой закон по этой тематике - FISMA (Federal Information Security Amendment Act). Пройдя основные согласования новый законопроект  ушел в Белый дом и ожидается, что в ближайшее время он будет подписан.

В декабре я уже писал , как выстраивается система защиты государственных информационных систем в США. Интересно, что же такого придумали американцы по сравнению с тем, что у них уже было сделано. Изменений немало:
  1. В каждом госоргане вводится обязательная должность CISO (руководителя ИБ, который отвечает за обучение и повышение осведомленности сотрудников, за разработку и внедрение новых политик, за реагирование на инциденты, за compliance, за взаимодействие с NIST в части участия в совместной разработке стандартов по ИБ, за ежегодный аудит, за регулярную отправку (до 1 марта календарного года) отчетов о соответствии требованиям ИБ в Конгресс США.
  2. Создается новая структура - Федеральный центр реагирования на инциденты ИБ, который должен помогать госорганам в расследовании и реагировании на инциденты (некий аналог нашего ЦИБ ФСБ, но более открытый).
  3. Установление обязанности обмениваться информацией по ИБ (в частности о новых угрозах) между госорганами и частными компаниями.
  4. Основное изменение коснулось парадигмы, которая у нас называется аттестацией ;-) У американцев до недавнего времени был похожий подход, когда их проверяли по некоторому чеклисту, базирующемуся на защитных мерах из NIST SP800-53А. Но судя по публикуемым регулярно отчетам Счетной палаты это не так эффективно как хотелось бы. В отличие от механизма непрерывного мониторинга уровня защищенности, который дает  свои плоды. Особенно учитывая, что за 6 лет, с 2006 года, число инцидентов в госорганах США увеличилось на 782%. Тут никакой статический чеклист не поможет - нужен непрерывный процесс.
  5. Госорганам разрешено самостоятельно принимать решения о выборе средств защиты и явно фиксируется, что решения, разработанные частными компаниями, гораздо лучше справляются с современными и динамичными угрозами (кстати, мы 16 мая про такие угрозы и способы борьбы с ними и будем рассказывать ). Кто знаком с американским рынком средств защиты знает, что у них есть такое понятие - COTS (Commercial Off-The-Shelf), т.е. продукты, которые могут быть использованы в госорганах, но при этом активно продаются и на коммерческом рынке. Эти решения альтернативны собственным разработкам государства или финансируемым по госконтракту средствам защиты и позволяют существенно сэкономить и снизить TCO. Однако по мнению Министерства национальной безопасности, такие решения несли с собой угрозу, связанную с рисками в цепочке поставок, о которых я уже писал . И вот смена парадигмы - США признают, что коммерческие продукты лучше борются с угрозами, чем спонсируемые государством точечные разработки..
  6. Рекомендуется активнее использовать средства анализа защищенности и тесты на проникновение (Red Team).
  7. Законопроект распространяется на госорганы, Минобороны и ЦРУ, но информационные системы последних двух ведомств выделяются в отдельную категорию - "системы национальной безопасности" со своей спецификой.
  8. Провозглашается риск-ориентированный подход, базирующийся на ряде критериев, включая уровень (гриф) защищаемой информации, ущерб и экономическую целесообразность.
  9. Появляется обязанность сообщать об инцидентах в течение 24 часов (не позднее 48) в федеральный центр реагирования на инциденты.
  10. Каждый госорган обязан разработать собственную программу по ИБ (а не просто многостраничную концепцию, которую обычно ставят на полку и никогда к ней не прикасаются).
  11. Помимо защиты информационных систем, необходимо обеспечивать непрерывность и бесперебойность их функционирования (аналогичные требования появились и в 17-м приказе ФСТЭК по защите госорганов).

Если бы меня спросили, в чем ключевое отличие нынешней редакции FISMA от предыдущей, то я бы мог ответить одной  фразой - "смена акцента в сторону большей динамичности; угроз, защитных мер, процессов защиты, реагирования на инциденты". В условиях изменяющих угроз и сдвига акцента на "кибер"-составляющую в национальной безопасности США, новый законопроект появился как нельзя кстати и к месту.
законодательство США NIST
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем уязвимости в системе и новых подписчиков!

Первое — находим постоянно, второе — ждем вас

Эксплойтните кнопку подписки прямо сейчас