17 февраля, в рамках конференции «Кибербезопасность. Наши дни. Промышленные технологии» прошел телемост «Москва-Урал» с участием Виталия Сергеевича Лютикова, заместителя директора ФСТЭК, который отвечал на вопросы, полученные от отрасли. Я вел этот телемост на стороне Урала и позволил себе составить краткое резюме по прозвучавшим ответам. Сразу отмечу, что из почти 70 пришедших вопросов, было отобрано 26, который на мой взгляд были достаточно стратегическими, чтобы задавать их именно Виталию Сергеевичу. На часть тактических и практических вопросов по КИИ позже ответила Елена Борисовна Торбенко, заместитель начальника 8-го Управления ФСТЭК, о чем я еще напишу отдельно. Диалог получился конструктивным, хотя и не на все вопросы были получены четкие ответы, что объяснимо и ниже я попробую про это написать.
- ФСТЭК планирует продолжить практику участия в онлайн мероприятиях для донесения своей позиции (в последнее время активно участвовали от ФСТЭК не только Лютиков В.С., но и Кубарев А.В.). Проведение своих собственных мероприятий тоже возможно, но когда, непонятно, — ресурсов не хватает. Хотя мне кажется, что это позволило бы снять остроту многих проблем и наладить диалог регулятора не с узким кругом лицензиатов и экспертов, а с отраслью. Тем более, что это не так уж и сложно. Либо купить недорогой тариф у того же Webinar.ru, либо делать трансляции в Youtube, либо попросить помощи у той же группы Авангард-Медиа, которая и проводила телемост и имеет опыт онлайн-мероприятий (один SOC Live чего стоит).
- ФСТЭК думает о возможности выкладывания на своем сайте обучающих курсов по различным вопросам защиты информации для повышения квалификации кадров, которая у нас не очень высокая по словам той же ФСТЭК на многих мероприятиях. Первую попытку попробуют сделать в марте — в рамках курса по динамическому и фаззинг-тестированию ПО, который проводит ФСТЭК. Этот курс планируют записать и выложить либо на сайт самой ФСТЭК, либо на сайт Банка данных угроз (БДУ).
- Привлечение экспертов для экспертизы документов никто не отменял и ФСТЭК планирует и дальше привлекать специалистов для такой работы. Однако «массового» привлечения, как это было раньше, или «встреч с блогерами», видимо, не будет. Небольшие группы по несколько человек ФСТЭК считает более эффективным способом, чем собирать по 20-30 экспертов. Основным каналом коммуникаций ФСТЭК видит одностороннее взаимодействие через regulations или через обратную связь на выкладываемые на сайте документы, не требующие оценки регулятивного воздействия. Ну хоть так, хотя именно этот формат, похоже, многих и не устраивает.
- Проверки субъектов КИИ начинают со второго полугодия 2021-го года. В плане 5 объектов КИИ. Что за объекты неизвестно и в публичной плоскости эти данные не появятся.
- У ФСТЭК уже есть внутренние методики проведения проверок субъектов КИИ. Будут выкладывать их или нет — неизвестно. Но проверяют публичные требования 235/239-го приказов. Сами методики направлены на то, чтобы унифицировать подход и убрать отсебятину на местах, когда сотрудники терорганов ФСТЭК по своему трактуют то или иное требование нормативных актов.
- В случае выявления нарушений в рамках проверок передавать данные в правоохранительные и следственные органы ФСТЭК не планирует. Но если от них будут запросы, то никто скрывать результаты проверок не будет. В случае выявления в рамках проверок предпосылок к нанесению ущерба, то данные будут передаваться в НКЦКИ.
- Контролем использования отечественного ПО и отечественных средств защиты на объектах КИИ, как и вообще импортозамещением, ФСТЭК заниматься не будет. Они не уполномочены на это. Вообще, сложилось впечатление, что ФСТЭК сама не рада, что их используют для этой задачи. С этим же связано, как мне кажется, и то количество отказов от изменений в 239-й приказ, а также в проекты Указа Президента и Постановления Правительства по импортозамещению. ФСТЭК просто вынуждена делать то, что прилетело сверху.
- По истории с РЖД ответ был витиеватый 🙂 Мол проверка факта проведена — сделаны выводы. Но вообще тема реагирования на такого рода публичные истории она остается открытой. ФСТЭК говорит, что все отслеживается и реагируется, но непублично.
- Несмотря на ранее высказанные позиции о том, что объектом КИИ является не любая ИС, АСУ ТП или ИТКС, а только те, которые завязаны на критичные процессы (именно эту позицию ФСТЭК фиксировала в ПП-127), сейчас подход регулятора вернулся к тому, что написано в ФЗ-187, а именно — любая ИС, АСУ или ИТКС является объектом КИИ и подлежит категорированию. Даже если она по итогам категорирования и не будет признана значимым объектом, то все равно процедуры, предусмотренные ПП-127, должны быть проведены в отношении каждой ИС, АСУ или ИТКС. С моей точки зрения, именно этот, один из двух тезисов телемоста, пожалуй, имеет самые серьезные последствия для субъектов КИИ, которым придется пересмотреть результаты уже проведенного категорирования.
- Второй имеющий серьезные последствия для отрасли тезис прозвучал при ответе на вопрос о том, где проходит водораздел между средствами защиты информации по 239-му приказу ФСТЭК и средствами ГосСОПКИ по 196-му и 282-му приказам ФСБ. Это еще одна тема, в которой ФСТЭК, похоже, пытаются склонить к позиции, которая им не близка. По крайней мере, сейчас прозвучало, что SIEM, СОВ/СОА, МСЭ, антивирусы, IRP и т.п. вполне могут считаться средствами ГосСОПКИ, а не только средствами защиты, и к ним будут предъявляться не только требования ФСТЭК, но и ФСБ. А требования последние — это полный пушной зверек (это уже моя оценка, не ФСТЭК). Согласно требованиям ФСБ вам придется согласовывать с ФСБ места установки средств ГосСОПКИ, использовать сертифицированные в ФСБ средства защиты, а также вам фактически будет запрещено применять иностранные средства защиты информации.
- Изменений ФЗ-187 и ПП-127 в этом году не планируется. Надо дождаться правоприменительной практики и тогда уже оценивать все статьи закона вместе — что работает, а что нет. Как минимум, ФСТЭК видит необходимость поправить терминологию в части того, кого считать субъектом КИИ и что такое объект КИИ (хотят сузить).
- Также в этом году нет планов по внесению изменений в 235/239-й приказы, если сверху не прилетит новых указаний, как это было в части импортозамещения.
- Оценка соответствия прикладного ПО и средств защиты в форме испытаний или ввода в эксплуатацию может быть проведена самостоятельно субъектов КИИ или привлеченной им компанией, если кто-то из них имеет соответствующую экспертизу. А вот ФСТЭК, в соответствие с своими приказами, проверит протоколы испытаний и были ли установлены соответствующие требования при выборе прикладного ПО или средств защиты и их внедрении. Для меня это осталось достаточно спорным вопросом — как регулятор будет проверять выполнение этого требования и насколько его устроит это выполнение. Думаю и сам регулятор пока не знает этого с практической точки зрения.
- Разъяснений от ФСТЭК по тому как проводить оценку соответствия в формах испытаний и ввода в эксплуатацию не будет.
- Для проверки уровня доверия прикладного ПО у субъекта КИИ должны быть соответствующие документы, которые имеют отметку «для служебного пользования». ФСТЭК готова ими делиться при условии обоснованного запроса со стороны субъекта КИИ. Я безусловно верю словам замдиректора ФСТЭК, но если мы посмотрим на порядок доступа к документам ограниченного распространения, вывешенный на сайте ФСТЭК, то там четко написано, что для такого доступа нужна лицензия ФСБ на гостайну. Более того, для организаций, не имеющих ведомственной принадлежности (то есть обычные разработчики ПО попадают именно сюда), доступ к таким документам (помимо лицензии ФСБ на гостайну) осуществляется на платной основе и необходимо заключить договор с ГНИИ ПТЗИ ФСТЭК. Ровно такой же процесс (наличие лицензии) был упомянут начальником 2-го Управления ФСТЭК Д.Н.Шевцовым в рамках ТБ-Форума. Так что не все так просто, как говорится в телемосте.
- Вообще ФСТЭК не откажется от подхода к «засекречиванию» своих документов, объясняя это тем, что «у всех так».
- Для прикладного ПО может быть выбрана оценка соответствия в форме обязательной сертификации по желанию самого субъекта КИИ и тогда он должен будет найти испытательную лабораторию, которая согласится провести такие работы. И вот тут еще один нюанс возник. Согласно всем последним приказам ФСТЭК (и уходящему 131-му и новому 76-му) проверка уровней доверия возможна только для средств технической защиты информации или средств по обеспечению безопасности информационных технологий. Поэтому формально обычное прикладное ПО оценивать по уровням доверия испытательные лаборатории не могут. Но если перефразировать слова ФСТЭК «если очень хочется, то можно». В общем, надо посмотреть, как все будут выкручиваться из этой ситуации.
- Пересматривать уже разработанные модели угроз при условии принятия новой методики моделирования не требуется. Если только речь не идет о модернизации или развитии объекта КИИ.
- Банк данных угроз будет переделан в течение ближайших месяцев для соответствия новой методики моделирования угроз. Может быть (сроки неясны) ФСТЭК выпустит и средство автоматизации этого процесса и сделает его бесплатным по аналогии с решением ScanOVAL, которое распространяется с сайта БДУ.
- В ближайшее время будет выпущена новая редакция ГОСТа 56939 по безопасной разработке. Кардинальных изменений не будет и проводить повторную оценку его выполнения разработчикам не потребуется.
- И хотя Виталий Сергеевич на ТБ-Форуме «обещал не обещать» в рамках телемоста он осознанно нарушил свое обещание не обещать и озвучил планы по разработке нормативных и методических документов на ближайшее время:
- проект методички по расчету показателей критерия социальной значимости (в дополнение к выложенной на прошлой неделе методичке по расчету показателей критерия экономической значимости)
- порядок организации и проведения работ по аттестации объектов информатизации на соответстие требованиям о защите информации, не составляющей гостайну
- требования по безопасности информации к средствам обеспечения безопасной дистанционной работы в информационных (автоматизированных) системах
- изменения в 31-й приказ ФСТЭК
- методика анализа и поиска уязвимостей и НДВ в аппаратных средствах
- новая методика анализа и поиска уязвимостей в ПО
- типовая модель угроз для аппаратных средств
- методичка по видам и методам испытаний при проведении аттестации
- методичка по управлению обновлениями (патч-менеджменту).
Вот такой краткий пересказ полуторачасового эфира, запись которого вы можете увидеть ниже:
Если заказываешь у ФСТЭК документы ДСП, лицензия на гос. Тайну не нужна. Там отдельный порядок получения для компаний, не имеющих ведомственной принадлежности. Написано "при необходимости")
Вот я читаю утвержденный ФСТЭК порядок предоставления документов (https://fstec.ru/normotvorcheskaya/obespechenie-dokumentami), и там лицензия прямо указана. Да, я понимаю, что в частном порядке все решается и необходимость определяется в каждом конкретном случае. Но мы же говорим о выполнении законе, который, вроде как, един для всех 🙂 В России порядка 6-7 тысяч компаний-разработчиков. Интеграторов, думаю, не меньше. Есть еще всякие франчайзи. Набегает около 20 тысяч компаний, которые формально, имеют право на ознакомление с документами. Разработчиков, которые должны прочитать эти требования, еще больше — сотни тысяч. И какой смысл тогда в ограничительной пометке ДСП? Если ты печешься о повышении качестве и безопасности программного кода, не надо секретить документы, которые помогают этот код сделать безопаснее. Ну а если секретишь, то кто ж тогда виноват, что разработчики не следуют правилам?..
Ну, в этом плане то, безусловно паранойя 🙂
Здравствуйте! Подскажите, пожалуйста, как можно посмотреть запись, если при попытке просмотра появляется надпись "Автор ограничил доступ к видео."?
Я обновил ссылку на видео