С момента появления рекомендации о переходе на режим самоизоляции (очень странная конструкция с точки зрения законодательства), подразумевающий удаленную работу, прошло уже больше трех недель, за которые наши регуляторы, надо признать, достаточно оперативно (по меркам регуляторов), выпустили свои рекомендации о том, что надо делать в новых условиях:
Я не буду обращать внимание на мелкие огрехи в данных рекомендациях (например, на главной странице ФСТЭК ее рекомендаций до сих пор нет, а требование идентифицировать СВТ по MAC при удаленном доступе невыполнимо). Меня в этих рекомендациях смутило немного другое. Они излишне технократичны и направлены на описание только технических мер ИБ, в то время как гораздо важнее было бы увидеть советы, а то и изменения в НПА, связанные с организационными и процессными мерами.
Я, опираясь на некоторое знание нормативных документов регуляторов, попробовал мысленно применить их в условиях удаленной работы и у меня сразу возник ряд вопросов, которые пока остаются без ответа:
- Для субъектов КИИ ФСТЭК выпустила рекомендации (письмо ФСТЭК от 20 марта №240/84/389) об обеспечении безопасности объектов КИИ при реализации дистанционного режима исполнения должностных обязанностей работниками субъектов КИИ. Кстати, какова юридическая сила этого письма по сравнению с тем же 235/239-м приказами?
- Схожие, но почему-то дспшные, рекомендации (письмо ФСТЭК от 20 марта 2020 г. №240/22/1204дсп) о мерах защиты информации, принимаемых в информационных системах, в целях минимизации рисков возникновения дополнительных угроз безопасности информации при осуществлении удаленного доступа их работников, ФСТЭК направила в ФОИВ и подведомственные организации.
- НКЦКИ также 20 марта опубликовал уведомление об угрозах безопасности информации, связанные с пандемией коронавируса.
- 23 марта и Банк России опубликовал свои собственные рекомендации по организации работы соответствующих сотрудников вне зависимости от того, работают они из офиса или удаленно в условиях распространения коронавируса.
Даже Верховный Главнокомандующий у нас на удаленке |
Я, опираясь на некоторое знание нормативных документов регуляторов, попробовал мысленно применить их в условиях удаленной работы и у меня сразу возник ряд вопросов, которые пока остаются без ответа:
- ФСТЭК при оказании услуг мониторинга ИБ требует, чтобы у SOC было свое помещение и своя соответствующая требованиям ИБ информационная система. В условиях перевода на удаленку работников SOC, как выполнить это требование? Не пора ли все-таки перестать привязывать деятельность по ИБ к ее физическому местоположению и допустить существование виртуальных и мобильных SOCов?
- Аналогичный вопрос и к центрам ГосСОПКИ. Насколько возможно обеспечение их функционирования из дома?
- Многие работники, находящиеся на удаленке и работающие не только с корпоративных, но и личных устройств, имеют доступ к персональным данным, тем самым расширяя границы своих ИСПДн. Как ФСТЭК и Роскомнадзор рекомендуют вести себя операторам ПДн в таких ситуациях? Надо ли пересматривать требования по ИБ, установленные 21-м приказом ФСТЭК, или заново отправлять обновленное уведомление в РКН?
- РКН вообще единственный не выдал никаких рекомендаций, кроме работы с тепловизорами при измерении температуры и новостей о том, что возможен фишинг (и тут ) и спам, паразитирующий на теме коронавируса (без примеров и тем более индикаторов компрометации). А мне, например, интересно было бы посмотреть на рекомендации, связанные с получением согласий на обработку ПДн при дистанционной работе.
- ЦБ и ФСБ (а в ряде случаев и ФСТЭК) настойчиво рекомендуют использование сертифицированных СКЗИ. Как выполнить это требование в условиях дистанционной работы? Не с технической точки зрения, а с точки зрения всех регламентов, формуляров, инструкций (той же 152-й) и т.п.? Это не говоря уже о том, что число мест, в которых ведется работа с применением СКЗИ существенно возросло и не потребует ли это внесения изменения в лицензию ФСБ на деятельность, связанную с шифровальными средствами?
- Произойдут ли какие-то изменения в части ЕБС? Как с точки зрения съема биометрических данных (например, рекомендация приостановить эту деятельность), так и с точки зрения выполнения всего спектра нормативных и нормативно-правовых актов, связанных с работой ЕБС. В условиях пандемии выполнить их все достаточно затруднительно.
- Есть подозрение, что в условиях пандемии и разработчикам средств защиты, и разработчикам финансового ПО, которое должно пройти оценку соответствия по требованиям ФСТЭК и Банка России, будет сделать это затруднительно. И начало лета, установленное обоими регуляторами (ФСТЭК - в части крайнего срока обновления сертификатов; ЦБ - в части отсрочки проверки), как мне кажется, становится уже нереальной датой для выполнения соответствующих требований. Будут ли смещать этот срок?
- Как выполнять аудит внешними силами по требованиям ЦБ. Многие сидят дома и боятся высунуть нос на улицу. Можно ли проводить аудит дистанционно? Как удостовериться в его честности? Можно ли отсрочить проведение аудита (именно аудита со стороны финансовых организаций, а не проверок со стороны регулятора)? Если чуть расширить этот вопрос, то как вообще можно дистанционно убедиться в выполнении требований по оценке соответствия в условиях текущей нормативки? Если никак, то надо ли ее менять или временно отложить ее применение?
- Можно ли проводить оценку уровня доверия и вообще сертификационные испытания по требованиям ФСТЭК из дома? Как, например, читать дспшные требования к уровням доверия, если ты находишься на удаленной работе? Это вообще возможно (думаю, что нет)?
- Как утверждать/заверять решения совещаний, проводимых дистанционно с помощью различных сервисов телеконференций? Как организовывать работы всяких комиссий, упоминаемых в нормативных документов регуляторов, например, комиссии по категорированию объектов КИИ? А если смотреть шире, то как вообще дистанционно выстраивать процессы, завязанные на бумажный документооборот (всякие согласования, утверждения, журналы и т.п.)? Причем это вопрос не только к тем, кто выполняет требования регуляторов, но и к тем, кто их проверяет.
- Рекомендации по применению УКЭП при дистанционной работе.
- Надо ли обновлять контакты лиц, отвечающих за ИБ или за обработку ПДн, которые собирали регуляторы в рамках выполнения своих обязанностей?
Многие из описанных вопросов в принципе имеют решение, которое просто сейчас нереализуемо из-за ограничений действующей нормативной базы или отсутствия позиции регуляторов по данному вопросу. Как мне кажется, сейчас отличное время, чтобы задуматься о том, какие изменения стоит внести в действующие нормативные правовые акты, чтобы следующие пандемии (а было бы неразумно думать, что на коронавирусе все и закончится) не застали нас всех в расплох.
ЗЫ. Хорошо хоть категорирование объектов КИИ все уже закончили... ну или должны были закончить еще в прошлом году :-)
ЗЗЫ. А еще жаль, что регуляторы не практикуют теле- или видеоконференции для общения своих рабочих и экспертных групп. Это полезно не только в части снижения времени стояния в пробках (какие сейчас пробки?), но и с точки зрения защиты участников от возможного заражения.