Что еще обещала ФСТЭК в начале года?.. И что из этого (не)сделала?

Законодательство

Ну и чтобы закрыть тему с анализом обещаний регулятора (вот ФСБ хорошо — они ничего не обещают публично и поэтому у них и анализировать что-то бессмысленно), посмотрим на выступление Виталия Сергеевича Лютикова на февральской конференции ФСТЭК, где заместитель директора главного ИБшного регулятора показал всем куда идти идет прогрессивная мысль. В отличие от прежних выступлений, в этот раз не только были показаны проблемы, но и предельно конкретно сформулированы задачи ведомства на ближайшее время. Правда без указания сроков, но обычно это краткосрочный горизонт в один год — от конференции до конференции. И хотя до следующей конференции еще пара месяцев (если она вообще случится), я подвести промежуточные итоги и  посмотреть, что из обещанного было реализовано.

Чтобы было проще я свел все озвученные задачи в таблицу — получилось 15 пунктов. На первом месте закономерно находится обещанная методика моделирования угроз, которую уже перестали даже обещать. В феврале обещали выпустить в течение месяца. Потом случился COVID-19, которые обнулил все обещания, и следующий раз представитель ФСТЭК о методике говорил уже в сентябре, указав, что при разработке документа вновь выявились противоречия у его разработчиков. На недавнем «Цифровом предприятии» выход методики и вовсе отложили на следующий год. Жаль…  

Про переработку банка данных угроз изначально говорили, что работа предстоит непростая и раньше, чем через год ждать ее не стоит. Поэтому в таблице я поставил «в процессе». Хотя при отсутствии утвержденной методики (то есть подхода к моделированию), говорить о банке данных угроз вообще преждевременно. Также как и о подготовке кадров в части моделирования угроз. Учить еще нечему. Соответственно нет и средства автоматизации моделирования угроз (пока у ФСТЭК есть только сканер ScanOVAL для Windows и Linux. Еще два мероприятия в области моделирования угроз также не реализованы (хотя Твиттер у ФСТЭК с публикацией данных об уязвимостях исправно работает уже не первый год). 

Что такое «усиление мер по выявлению событий безопасности» я и тогда не понимал, и сейчас. Может быть речь идет о проекта ГОСТа по ГосСОПКЕ, по мониторингу ИБ или регистрации событий ИБ? Короче, ХЗ… Тот же статус у методичек по аттестации. Хотя, может их просто закрыли от публичного взора и сделали ДСП.

О дифференциации требований по защите в зависимости от архитектуры ИС (АРМ, ЛВС, ИТКС,  ЦОД) ничего не слышно — по идее все это надо вносить в действующие приказы ФСТЭК, 17-й, 21-й, 31-й, 31-й (закрытый), 239-й, но никаких проектов по ним тоже не выкладывали на общественное обсуждение (а именно в этих приказах надо вносить изменения или ссылаться из них на эти изменения).

Вот с совершенствованием порядка сертификации у нас все в порядке. Вместо 131-го вышел 76-й приказ (о чем, похоже, забыли оповестить тот же Банк России, который в выпущенном позже положении 719-П ссылается на 131-й приказ, который к моменту вступления 719-П в силу уже прекратит свое существование). Приказ с одной стороны, вроде как и не меняет кардинально ничего, а с другой — перекладывает большинство работ с испытательных лабораторий на заявителей. Может потому, что задачу повышения квалификации работников ИЛ и качества работы ИЛ реализовать пока не удается? Не знаю. С нормативными документами, описывающими процедуры и порядки действий у нас в стране вообще все неплохо. Что делать, у нас знают (не всегда знают КАК, но это уже детали). 

Разработка новых и совершенствование имеющихся РД по разным типам средств защиты у нас все плохо — ни один план, как я писал вчера, так и не был реализован. Та же ситуация и с свершенствованием методической помощи при сертификации. Видимо, все силы соответствующего управления ФСТЭК брошены были на 76-й приказ и на все остальное сил просто не осталось. А может и с частью народа пришлось расстаться и он ушел в 8-е Управлении ФСТЭК по КИИ. Кто знает?.. Но факт есть факт — с разработкой обещанных нормативных документов регулятор не справился.

Вот с безопасным программированием все пока в порядке. ГОСТы пишутся и их немало. Да, пока они не внедрены в полном объеме у разработчиков средств защиты и не совсем понятно, как их соблюдение проверять у субъектов КИИ, от которых это теперь требуется согласно поправкам в 239-й приказ, но лед тронулся.

Если бы ФСТЭК была открытым акционерным обществом и ее акции котировались бы на бирже, то аналитики за такие прогнозы и невыполненный обещания вмиг бы уронили акции компании. Но ФСТЭК у нас регулятор, живущий на деньги граждан и бизнеса государства, и ни на какую биржу она не пойдет и бояться невыполненных обещаний ей не надо. Поэтому остается только надеяться, что после изменения Конституции регулятор не стал считать, что всего его обещания обнуляются и он может начать жизнь с чистого листа… 

ЗЫ. Регулятору бы вернуться к идее краудсорсинга и привлечения экспертов к работе над своими документами. Причем в условиях пандемии к работе вв удаленном режиме. Кредит доверия у регулятора пока еще не исчерпан и найдутся те, кто готов будет помогать регулятору в его благом деле повышения защищенности Российской Федерации и делать это бесплатно. Тем более, что у регулятора всегда есть способы поощрения особо отличившихся помощников — от указания на официально сайте (как это делается с исследователями уязвимостей) и выдачи благодарности за подписью директора ФСТЭК (как не смешно, но этот «приятный пустячок» ценится отдельными специалистами) до выдачи знака отличия «За заслуги в защите информации» или награждения медалью ФСТЭК России «За укрепление государственной системы защиты информации» I или II степени.

ЗЗЫ. На конференции регулятор упоминал, что он внимательно посмотрел мои предложения по улучшению нормативных документов и связанныз с ней деятельностью ФСТЭК (раз, два, три и четыре) и даже что-то готов реализовывать, но я так пока и увидел, где и как они это реализуют (про привязку угроз к защитным мерам выше я написал).

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Unknown

    "Вот с совершенствованием порядка сертификации у нас все в порядке. Вместо 131-го вышел 76-й приказ (о чем, похоже, забыли оповестить тот же Банк России".
    Странно:
    1. Этот приказ (как и 131) совсем не о порядке сертификации, а о требованиях по уровням доверия.
    2. Сложилась нехорошая практика, когда издается важный приказ, но он ДСП, а информационное сообщение о нем публикуется спустя месяцы. Если я не ошибаюсь, приказ вышел в июне, инф сообщение о нем датировано октябрем, но опубликовано в ноябре. При этом, чтобы заказать, оплатить и получить текст, требуется продолжительное время. Не удивительно, что не только лишь все знают про новые требования.
    3. Еще более удивительно, что требования по УД (131 приказ) отменяют ОУДы, но профили защиты при этом не изменены, что как бы совсем не правильно. Вместо того, чтобы привести в соответствие профили защиты, относительно свежий приказ 131 отменяется (?), вместо него выпускается новый 76-й, отдельные положения которого вступают в силу аж 2028 году!
    Что-то все чудесатее и чудесатее…

    Ответить