ФСТЭК выложила у себя на сайте перечень контрольно-измерительного и испытательного оборудования, средств контроля защищенности, необходимых для выполнения работ и оказания услуг, установленных Положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным постановлением Правительства Российской Федерации от 3 февраля 2012 г. №79, который расширен за счет новых видов деятельности по ТЗКИ, включая пентесты и мониторинг ИБ (то есть SOC).
Чтобы мне хотелось отметить и на что обратить внимание:
Чтобы мне хотелось отметить и на что обратить внимание:
- Теперь я не понимаю, куда относятся пентесты. Я считал, что это контроль защищенности информации от несанкционированного доступа. Но последние поправки в 17-й приказ отнесли пентесты к одному из виду аттестационных испытаний, что коренным образом меняет требования к тем, кто занимается таким видом деятельности (в сторону усиления требований). По утвержденному перечню это минимум пункт "г.1", а в случае применения Red Team - "г.2" или "г.3". Вперед, к получению селективных вольтметров, вибродатчиков, осциллографов и рефлектометров. Хорошо, если это будет просто пункт "б", но упоминание в пп.18-22 пункта "г.1" говорит, что пентест может вполне рассматриваться одним из видов аттестаций со всеми вытекающими отсюда последствиями, упомянутыми выше.
- От SOC зачем-то требуется наличие сертифицированных WAF, МСЭ, антивируса и IDS. Сертификат не ниже 4-го класса, то есть максимально возможный не для гостайны. Честно говоря я не понимаю этого требования. Зачем SOCу эти средства защиты? Для предоставления услуг? Ну так обычно SOC мониторит средства защиты заказчика. Для собственной защиты? И в этом случае это странный набор.
- SOCу требуется обязательно "песочница" и платформа Threat Intelligence. Требований к ним пока нет и по каким критериям орган лицензирования будет оценивать выполнение этого требования не совсем понятно. Стоит учесть, что в России число своих песочниц можно пересчитать по пальцам одной руки и они рынку практически неизвестны, а уж опыта работы с ними нет ни у кого. По моему опыту почти все отечественные SOC используют "песочницы" зарубежные, а это в свою очередь заставляет задуматься над соотнесением новых требований с требованиями о локализации техсредств ГИС и ПДн россиян на территории России.
- SIEM должна быть и должна иметь сертификат ФСТЭК. Требований пока еще нет, но ТУ никто не отменял. Но НДВ4 вынь да положь. А вы много помните таких SIEM? Я вот в последнем списке сертифицированных СрЗИ ФСТЭК нашел только ArcSight и все. Даже "КОМРАД"а там нет. Предоставит ли тот же Splunk свои исходники - большой вопрос. И о какой конкуренции тут может идти речь? Скорее о ее искусственном ограничении.
- Каналы передачи данных от SOC до контролируемой системы должны быть защищены средствами шифрования, имеющими сертификат ФСБ. Требование вполне реализуемое, но денег потребуется дофига. Особенно в тех случаях, когда у разных заказчиков SOC разные VPN-решения используются - SOCу тогда придется строить шлюз из стека шифраторов разных производителей. Либо заставить всех заказчиков ставить на связь с SOC одно и тоже VPN-решение. Второй вариант менее вероятен, а первый сложен с практической точки зрения (да и с финансовой). Например, многие организации не используют сертифицированные в ФСБ СКЗИ. И как им быть, если они хотят подключиться к SOC? Покупать еще и VPN?
- Информационная система SOC не только должна располагаться по адресу, указанному в лицензии (что сильно осложняет жизнь компаниям, использующим концепцию виртуальных SOCов), но и выполнять требования к ГИС 1-го класса. Это еще одно требование, которое непонятно зачем установлено. С одной стороны, если мы мониторим ГИС 1-го класса, то в SOC может попадать информация соответствующего уровня и SOC должен быть того же уровня защищенности. Но что делать, если SOC хочет мониторить только ГИС 2-го класса? Или ИСПДн 3-го класса? Или вообще не планирует мониторить классифицированные ИС? Зачем тогда выполнять требования, максимально возможные в современной России? А тут еще и непонятная ситуация с аттестацией SOC. Если он должен выполнять требования к ГИС, то может быть нужна и аттестация? Или SOC, не являющийся ГИС, не должен получать аттестат? Одни вопросы.
Коллеги пишут, что требования адекватные и были согласованы со всеми основными поставщиками услуг SOC в России во время совещания в ФСТЭК. Ну что сказать? Либо поставщики согласились со всем, не вдумываясь, либо надеются все это выполнить, либо... А фиг его знает. Я не знаю, как можно было соглашаться на такое?..
ЗЫ. Про западных поставщиков услуг SOC, которые в России уже предоставляют свои услуги, видимо все забыли (возможно, сознательно). Но выполнить указанные требования они будут не в состоянии, что закроет им еще и этот сегмент рынка.
ЗЫ. Про западных поставщиков услуг SOC, которые в России уже предоставляют свои услуги, видимо все забыли (возможно, сознательно). Но выполнить указанные требования они будут не в состоянии, что закроет им еще и этот сегмент рынка.