Конференция ФСТЭК. Часть 1. Защита ГИС

Конференция ФСТЭК. Часть 1. Защита ГИС
Позавчера ФСТЭК провела конференцию "Актуальные вопросы защиты информации". Если по уровню организации мероприятию я бы поставил твердую двойку. Крокус вообще мало приспособлен под конференции, а уж то, что получилось и вовсе никакой критики не выдерживает. Организаторы почему-то не рассчитали, что на мероприятие придет раза в 2-3 больше людей, чем было мест. В итоге народ стоял в проходе и даже за пределами "зала", пытаясь выхватить если не картинку, то хотя бы звук, который наслаивался на неизолированный звук сирен с соседних стендов.

Концепция конференция была продуманной. Представители ФСТЭК доложились о ключевых направлениях своей нормотворческой деятельности в области защиты информации, а затем приглашенные лицензиаты (Инфотекс, Крафтвей, Эшелон, Код безопасности, ЦБИ, СИС) доложились о том, как они уже принятые или планируемые нормативные акты используют на практике и с чем сталкиваются. Получился такой симбиоз ФСТЭК и лицензиатов, "дующих в одну дуду". Не хватало только потребителей, которые бы рассказывали, как они на деле сталкиваются с новыми документами ФСТЭК, но тут, видимо, просто времени не было - ни на выступления потребителей (и так 4,5 часа без единого перерыва), ни на апробацию документов реальной жизнью.

В Твиттере я вел прямой репортаж и сейчас, для тех, кто моего Твиттера не читает, я перескажу ключевые тезисы, прозвучавшие на конференции, сопроводив их соответствующими фотографиями. Сразу прошу прощения за качество фото - снимал из президиума (получилось под углом) и на смартфон. Но при увеличении все неплохо должно читаться. У Андрея Прозорова есть видео  выступления Лютикова Виталия Сергеевича.

Итак, тезисно:
  • При обсуждении 17-го приказа по защите ГИС (11-го февраля ему стукнул год) было учтено около 50% предложений экспертов. Всего предложений было около 200
  • Этап адаптации в 17-м приказе нужен, чтобы учесть требования и других нормативных актов по защите информации в ГИС. Например, требования СТР-К, ПП-424, совместного приказ ФСТЭК и ФСБ 416/489, приказа Минкомсвязи 104 и т.п. Иными словами, есть требования, которые расширяют 17-й приказ, а есть те, которые 17-й приказ детализирует и расширяет. Адаптация и нужна, чтобы гибко подойти к формированию совокупности защитных мер.
  • 11 февраля 2014 года (за день до конференции) директором ФСТЭК была утверждена методичка  по мерам защиты в ГИС. До конца недели ее должны выложить на сайте ФСТЭК. Обычно это происходит в конце дня пятницы.
  • В отличие от проекта, выложенного на сайте в ноябре, в финальный вариант методички добавили приложение с терминами и определениями, которые местами повторяют уже существующие ГОСТы и другие НПА. Это нужно было сделать для  целей документа и эти термины действуют только в рамках данного методического документа.
  • Не все предложения вошли в итоговый документ (только у меня их было около 200). Отчасти потому, что ФСТЭК была не совсем согласна; отчасти потому, что ряд замечаний были достаточно концептуальными и их необходимо осмыслить. В следующей версии обещали учесть. О том, что учли, а что нет, будет понятно к концу недели, когда помимо методички выложат и сводный перечень предложений с результатами их рассмотрения.
  • ФСТЭК планирует выйти на двухлетний жизненный цикл документов ФСТЭК для учета изменчивости той среды и технологий, которые используются в госорганах.
  • На стыке 2014-15 годов, когда появится реальная практика применения 17-го приказа, будет открыт сбор предложений по его изменению.
  • Планы по развитию методических документов вокруг 17-го приказа громадные. Уже готов проект методички по моделированию угроз - его также должны выложить на всеобщее обсуждение в ближайшее время. Также планируются и другие документы, показанные на фото. 




  • По части аттестации также планируется ряд обновлений. В частности должен быть утвержден ГОСТ по документации. Он уже прошел все согласования и в мае Ростехрегулирование должен его утвердить. Также планируется разработать и утвердить порядок аттестации распределенных ГИС (название рабочее).

По части ГИС, пожалуй, все. Отдельно хочу отметить часть, связанную с вопросами из зала. Складывалось впечатление (и Лютиков Виталий Сергеевич про это неоднократно говорил на конференции), что не все прочитали и сам 17-й приказ и информационное сообщение к нему. Отчасти это недоработка регулятора, отчасти российская привычка, хорошо отраженная в анекдоте "чукча - не читатель...". Например вопрос о действии СТР-К и РД АС. Виталий Сергеевич прямо ответил, что для ГИС, не обрабатывающих гостайну и для которых неактуальна тема защиты от утечек по техканалам, ни РД на АС, ни СТР-к не действуют17-й приказ покрывает все вопросы, ранее описанные в этих устаревших документах ФСТЭК. Я бы на месте ФСТЭК завел на своем сайте раздел с FAQ (вопросы и ответы), чтобы публиковать не редкие информационные сообщения, а оперативные разъяснения. Это было бы очень полезно.

В следующей заметке посмотрим на новости по АСУ ТП, сертификации и SDLC.

ЗЫ. Кстати, СТР и СТР-К планируют обновлять. Правда, эта информация циркулирует уже давно  и когда свершится сей факт непонятно.
законодательство ФСТЭК стандарты
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!