Не за горами принятие промежуточной версии 17-го приказа, за которой воспоследует и уже полноценный вариант новых требований для госорганов, а также иных организаций, обрабатывающих информацию, владельцем которой являются госорганы. Учитывая, что прошлая версия 17-го приказа вышла аж 4 года назад (хотя у ФСТЭК и было желание выйти на двухлетний цикл обновления своих НПА), стоит поразмышлять, чего не хватает текущей редакции и что могло бы появиться в новом варианте.
Сейчас документ исходит из предпосылки (неявной), что в государственной информационной системе все узлы одинаковы и это персональные компьютеры или сервера, за которыми работают или могут работать пользователи, которые в свою очередь могут пройти процесс аутентификации. Иными словами, речь идет только об офисных ИС. Однако уже сейчас даже в офисных системах есть устройства, за которыми пользователи не работают, но устройства обрабатывают информацию ограниченного доступа. Это могут быть принтеры, сканеры, системы видеонаблюдения, видеоконференцсвязь, IP-телефония и т.п.
Во-вторых, сейчас активно, внедряется Интернет вещей, который подразумевает обмен информацией между устройствами, преимущественно консьюмерскими, – интеллектуальные часы, очки, кофеварки и т.п. Они и к офисной беспроводной сети могут подключаться, включаясь тем самым в контролируемую зону. Запретить это сложно, значит нужно контролировать и регламентировать. И если в традиционных ГИС таких устройств может быть и немного, учитывая неразвитость Wi-Fi в ГИС, то в коммерческих структурах, которые после принятия поправок в ФЗ-149 могут попасть под действие 17-го приказа, таких устройств немало и их число будет расти.
В-третьих, в сети могут быть и мобильные устройства, к которым, по крайней мере на текущем этапе, необходимо применять немного отличные требования по защите. Например, многие мобильные устройства подразумевает всего лишь 4-хзначный PIN-код, а не 6-ти-8мисимвольный пароль.
Идем дальше. Сейчас документ статичен – он прописывает набор защитных мер, которые государственное или муниципальное учреждение обязано применить при построении системы защиты. Однако такая статичность в современном динамичном окружении уже не позволяет решать многие задачи ИБ. Например, возьмем пользователя Иванова, который получает доступ к защищаемым ресурсам с ноутбука. Казалось бы сценарий один… но нет, сценариев такого доступа может быть очень много:
Ввиду активного перехода на облачные среды и аутсорсинг по тексту лучше заменить упоминаемого «оператора» на «оператора и уполномоченное лицо, которое может обеспечивать защиту ИС». Также как и лучше заменить заменить по тексту упоминаемого «пользователя» на «субъекта доступа», т.к. контролировать надо в современных информационных системах не только пользователя, но и приложения, процессы, узлы, компоненты ИС, т.е. всех субъектов доступа.
Еще в новый 17-й приказ я бы добавил ряд защитных мер из проекта новой версии NIST Cyber Security Framework v1.1, которая как раз сейчас рассматривается в NIST. 17-й приказ и с первой версией не целиком коррелировался, а уж с новой тем более. Например, в условиях постоянных новостей о закладках со стороны китайских производителей и роста рисков вмешательства в оборудование в процессе его доставки потребителю, в CSF v1.1 был добавлен большой раздел по управлению ИБ в рамках управления цепочками поставок - требования к взаимоотношению с вендорамами, требования к процессу закупки ПО и железа и т.п. В условиях импортозапрещения в России эта тема даже гораздо более важная, чем в других странах мира. Ее стоило бы очертить хотя бы крупными мазками в новой версии 17-го приказа.
В новую версию CSF добавили абсолютно новый раздел по измерению ИБ, демонстрирующий важность ИБ для руководство организации, а также текущий уровень ИБ и его динамику. Я уже писал (а также тут , тут и тут ) в прошлом году про то, как можно было бы улучшить 17-й приказ в этой части - повторять не имеет смысла. Если с точки зрения использования этого подхода самим регулятором или органом по аттестации может быть говорить еще и рано, то дать такой инструмент потребителю для самооценки было бы полезно. Когда-то же надо внедрять мысль о том, что измерять уровень своей защищенности можно и нужно (и это не так уж и сложно). Если уж ФСТЭК постепенно переходит на концепцию непрерывного мониторинга защищенности, то почему бы не пойти в сторону измерения этой защищенности?..
Про визуализацию я уже писал на днях, но вновь повторюсь - использование блок-схем, иллюстраций и иных способов выделения контента сильно помогает восприятию документов. Хотя я прекрасно понимаю, что Минюст может такие "квадраты Малевича" и не пропустить. Но почему бы не вынести инфографику на уровень методичек, которые не требуют согласования с Минюстом?
Вот такие предложения вкратце. Надеюсь, что ФСТЭК проект новой редакции 17-го приказа также выложит для общественного обсуждения и многие специалисты смогут высказать свои замечания и сделать предложения регулятору.
Сейчас документ исходит из предпосылки (неявной), что в государственной информационной системе все узлы одинаковы и это персональные компьютеры или сервера, за которыми работают или могут работать пользователи, которые в свою очередь могут пройти процесс аутентификации. Иными словами, речь идет только об офисных ИС. Однако уже сейчас даже в офисных системах есть устройства, за которыми пользователи не работают, но устройства обрабатывают информацию ограниченного доступа. Это могут быть принтеры, сканеры, системы видеонаблюдения, видеоконференцсвязь, IP-телефония и т.п.
В-третьих, в сети могут быть и мобильные устройства, к которым, по крайней мере на текущем этапе, необходимо применять немного отличные требования по защите. Например, многие мобильные устройства подразумевает всего лишь 4-хзначный PIN-код, а не 6-ти-8мисимвольный пароль.
Идем дальше. Сейчас документ статичен – он прописывает набор защитных мер, которые государственное или муниципальное учреждение обязано применить при построении системы защиты. Однако такая статичность в современном динамичном окружении уже не позволяет решать многие задачи ИБ. Например, возьмем пользователя Иванова, который получает доступ к защищаемым ресурсам с ноутбука. Казалось бы сценарий один… но нет, сценариев такого доступа может быть очень много:
- Пользователь Иванов подключился к защищаемым ресурсам с личного ноутбука
- Пользователь Иванов подключился к защищаемым ресурсам со служебного ноутбука
- Пользователь Иванов подключился к защищаемым ресурсам изнутри ведомства
- Пользователь Иванов подключился к защищаемым ресурсам удаленно, через Интернет
- Пользователь Иванов подключился к защищаемым ресурсам по Wi-Fi
- Пользователь Иванов подключился к защищаемым ресурсам по проводному соединению
- Пользователь Иванов подключился к защищаемым ресурсам в рабочее время
- Пользователь Иванов подключился к защищаемым ресурсам в нерабочее время.
Ввиду активного перехода на облачные среды и аутсорсинг по тексту лучше заменить упоминаемого «оператора» на «оператора и уполномоченное лицо, которое может обеспечивать защиту ИС». Также как и лучше заменить заменить по тексту упоминаемого «пользователя» на «субъекта доступа», т.к. контролировать надо в современных информационных системах не только пользователя, но и приложения, процессы, узлы, компоненты ИС, т.е. всех субъектов доступа.
Еще в новый 17-й приказ я бы добавил ряд защитных мер из проекта новой версии NIST Cyber Security Framework v1.1, которая как раз сейчас рассматривается в NIST. 17-й приказ и с первой версией не целиком коррелировался, а уж с новой тем более. Например, в условиях постоянных новостей о закладках со стороны китайских производителей и роста рисков вмешательства в оборудование в процессе его доставки потребителю, в CSF v1.1 был добавлен большой раздел по управлению ИБ в рамках управления цепочками поставок - требования к взаимоотношению с вендорамами, требования к процессу закупки ПО и железа и т.п. В условиях импортозапрещения в России эта тема даже гораздо более важная, чем в других странах мира. Ее стоило бы очертить хотя бы крупными мазками в новой версии 17-го приказа.
Перечень блоков защитных мер по CSF v.1.1 (красным показаны обновления в v1.1) |
Про визуализацию я уже писал на днях, но вновь повторюсь - использование блок-схем, иллюстраций и иных способов выделения контента сильно помогает восприятию документов. Хотя я прекрасно понимаю, что Минюст может такие "квадраты Малевича" и не пропустить. Но почему бы не вынести инфографику на уровень методичек, которые не требуют согласования с Минюстом?
Вот такие предложения вкратце. Надеюсь, что ФСТЭК проект новой редакции 17-го приказа также выложит для общественного обсуждения и многие специалисты смогут высказать свои замечания и сделать предложения регулятору.