3 рекомендации по улучшению приказов ФСТЭК. Приоритизация!

Законодательство

3 с лишним года назад я написал пару заметок о том, как можно было бы улучшить 17-й (ну и до кучи 21-й, 31-й и 239-й) приказ ФСТЭК (тут и тут) с точки зрения его обвязки (по контенту у меня тоже были предложения). И вроде бы ничего сложного я не предложил, но, видимо, идея с самооценкой регулятору не зашла. Но в преддверии конференции ФСТЭК у меня вновь появились рацпредложения 🙂 Целых 3!

В этой заметке я напишу про приоритезацию защитных мер.В августе я уже про это упоминал, но не грех и повторить. В условиях нехватки бюджета или времени с каких из 150+ защитных мер начать? С сегментации или управления доступом, с внедрения средств защиты от вредоносного кода или межсетевого экранирования, с повышения осведомленности персонала или с регистрации событий безопасности? В австралийских требованиях по ИБ все защитные меры (их уже не 35, а 37) распределяются по 5 приоритетам — Essential, Excellent, Very Good, Good и Limited). Начинать рекомендуется с 8 базовых защитных мер, которые при этом дают не менее 90% эффекта.

Схожая конструкция у Center of Internet Security (CIS), который развивает еще один фреймворк (а фиг знает как это перевести на русский язык) с защитными мерами — CIS Controls, который иногда по старинке еще называют SANS Top20. Если у SANS был просто список из 20 защитных мер, то у CIS каждый из пунктов двадцатки — это уже название блока защитных мер (в приказах ФСТЭК или NIST CSF та же идея), в каждом из которых свой набор мер.

В CIS 20 все защитные меры также сгруппированы в так называемые группы внедрения (Implementation Group), которые направлены на компании с разными ресурсами, разной экспертизой в ИБ, разной зрелоостью и моделями угроз. Таких груп три и они каждая из них содержит свой перечень защитных мер по нарастающей.

Вот такой бы подход я бы и реализовал применительно к приказам ФСТЭК. Причем необязательно ждать, чтобы регулятор это внес в свои документы. Этого можно ждать долго и так и не дождаться. Почему бы самому не разбить полторы сотни защитных мер на группы в зависимости от того, какой эффект для защиты они дают? Взял на себя смелость предложить следующие Топ10 защитных мер из 17-го приказа, с которых я бы начал построение системы защиты в первую очередь:

  1. ОПС.3 — Установка (инсталляция) только разрешенного к использованию ПО и (или) его компонентов.
  2. АНЗ.2 — Контроль установки обновлений ПО, включая обновление ПО средств защиты информации. От себя добавлю, что речь идет не только о контроле установки обновлений, но и о самом обновлении.
  3. АНЗ.3 — Контроль работоспособности, параметров настройки и правильности функционирования ПО и средств защиты информации. В качестве первых кандидатов на ПО, настройки которого стоит не только контролировать, но и улучшать, я бы назвал MS Office, Adobe Acrobat, Adobe Flash, браузеры.
  4. АНЗ.5 — Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализация прав разграничения доступа, полномочий пользователей в информационной системе.
  5. УПД.5 — Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы.
  6. ИАФ.1 — Идентификация и аутентификация пользователей, являющихся работниками оператора. От себя добавлю, что речь в первую очередь должна идти о многофакторной аутентификации.
  7. ИАФ.2 — Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных.
  8. ОДТ.4 — Периодическое резервное копирование информации на резервные машинные носители информации.
  9. ОДТ.2 — Резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системы. От себя добавлю, что здесь также подразумевается и резервное копирование конфигураций ПО и технических средств.
  10. ЗИС.17 — Разбиение информационной системы на сегменты (сегментирование информационной системы) и обеспечение защиты периметров сегментов информационной системы.

Надо отметить, что в приказах ФСТЭК есть определенная приоритезация, но не такая, как в тех же документах австралийского ASD или американского CIS. В наших документах состав базового набора защитных мер зависит не от наличия ресурсов, экспертизы или зрелости, а от уровня значимости защищаемой информации (в 21-м приказе — от типа и объема обрабатываемых ПДн, в 31-м и 239-м приказах — от критичности АСУ ТП/КИИ).

Приведенный выше список из 10-ти защитных мер, на мой взгляд, должен быть реализован в любой компании. Но тут стоит учитывать, что эта десятка включена в базовые наборы не с самого минимального уровня (правда, это не мешает вам эти меры все равно реализовать):

  • ИАФ.2 — только с 2-го уровня
  • ОДТ.4 — только с 2-го уровня
  • ОДТ.2 — только с 1-го уровня
  • ЗИС.17 — только с 2-го уровня.
Вот такое рацпредложение.
Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Packers And Movers Bangalore

    Этот комментарий был удален администратором блога.

    Ответить