У американцев будет свой ЦИБ ФСБ ;-)

В прошлом году ФСТЭК начала работу над законопроектом, который вносит изменения в 149-ФЗ в части расширения требований по защите госорганов и критически важных объектов. Американцы тоже решили обновить свой закон по этой тематике — FISMA (Federal Information Security Amendment Act). Пройдя основные согласования новый законопроект ушел в Белый дом и ожидается, что в ближайшее время он будет подписан.

В декабре я уже писал, как выстраивается система защиты государственных информационных систем в США. Интересно, что же такого придумали американцы по сравнению с тем, что у них уже было сделано. Изменений немало:

  1. В каждом госоргане вводится обязательная должность CISO (руководителя ИБ, который отвечает за обучение и повышение осведомленности сотрудников, за разработку и внедрение новых политик, за реагирование на инциденты, за compliance, за взаимодействие с NIST в части участия в совместной разработке стандартов по ИБ, за ежегодный аудит, за регулярную отправку (до 1 марта календарного года) отчетов о соответствии требованиям ИБ в Конгресс США.
  2. Создается новая структура — Федеральный центр реагирования на инциденты ИБ, который должен помогать госорганам в расследовании и реагировании на инциденты (некий аналог нашего ЦИБ ФСБ, но более открытый).
  3. Установление обязанности обмениваться информацией по ИБ (в частности о новых угрозах) между госорганами и частными компаниями.
  4. Основное изменение коснулось парадигмы, которая у нас называется аттестацией 😉 У американцев до недавнего времени был похожий подход, когда их проверяли по некоторому чеклисту, базирующемуся на защитных мерах из NIST SP800-53А. Но судя по публикуемым регулярно отчетам Счетной палаты это не так эффективно как хотелось бы. В отличие от механизма непрерывного мониторинга уровня защищенности, который дает свои плоды. Особенно учитывая, что за 6 лет, с 2006 года, число инцидентов в госорганах США увеличилось на 782%. Тут никакой статический чеклист не поможет — нужен непрерывный процесс.
  5. Госорганам разрешено самостоятельно принимать решения о выборе средств защиты и явно фиксируется, что решения, разработанные частными компаниями, гораздо лучше справляются с современными и динамичными угрозами (кстати, мы 16 мая про такие угрозы и способы борьбы с ними и будем рассказывать). Кто знаком с американским рынком средств защиты знает, что у них есть такое понятие — COTS (Commercial Off-The-Shelf), т.е. продукты, которые могут быть использованы в госорганах, но при этом активно продаются и на коммерческом рынке. Эти решения альтернативны собственным разработкам государства или финансируемым по госконтракту средствам защиты и позволяют существенно сэкономить и снизить TCO. Однако по мнению Министерства национальной безопасности, такие решения несли с собой угрозу, связанную с рисками в цепочке поставок, о которых я уже писал. И вот смена парадигмы — США признают, что коммерческие продукты лучше борются с угрозами, чем спонсируемые государством точечные разработки..
  6. Рекомендуется активнее использовать средства анализа защищенности и тесты на проникновение (Red Team).
  7. Законопроект распространяется на госорганы, Минобороны и ЦРУ, но информационные системы последних двух ведомств выделяются в отдельную категорию — «системы национальной безопасности» со своей спецификой.
  8. Провозглашается риск-ориентированный подход, базирующийся на ряде критериев, включая уровень (гриф) защищаемой информации, ущерб и экономическую целесообразность.
  9. Появляется обязанность сообщать об инцидентах в течение 24 часов (не позднее 48) в федеральный центр реагирования на инциденты.
  10. Каждый госорган обязан разработать собственную программу по ИБ (а не просто многостраничную концепцию, которую обычно ставят на полку и никогда к ней не прикасаются).
  11. Помимо защиты информационных систем, необходимо обеспечивать непрерывность и бесперебойность их функционирования (аналогичные требования появились и в 17-м приказе ФСТЭК по защите госорганов).

Если бы меня спросили, в чем ключевое отличие нынешней редакции FISMA от предыдущей, то я бы мог ответить одной  фразой — «смена акцента в сторону большей динамичности; угроз, защитных мер, процессов защиты, реагирования на инциденты». В условиях изменяющих угроз и сдвига акцента на «кибер»-составляющую в национальной безопасности США, новый законопроект появился как нельзя кстати и к месту.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. ZZubra

    >>Провозглашается риск-ориентированный подход, базирующийся на ряде критериев, включая уровень (гриф) защищаемой информации, ущерб и экономическую целесообразность.

    ээээ. А раньше какой у них был подход?

    >>Каждый госорган обязан разработать собственную программу по ИБ (а не просто многостраничную концепцию, которую обычно ставят на полку и никогда к ней не прикасаются).

    Ну это утопия. Как сделать так (НЕ заставить!), чтобы такое огромное количество людей вдруг концептуально изменила свои взгляды и свои ДЕЙСТВИЯ?!

    >>В каждом госоргане вводится обязательная должность CISO (руководителя ИБ, который отвечает за обучение и повышение осведомленности сотрудников, за разработку и внедрение новых политик, за реагирование на инциденты, за compliance, за взаимодействие с NIST в части участия в совместной разработке стандартов по ИБ, за ежегодный аудит, за регулярную отправку (до 1 марта календарного года) отчетов о соответствии требованиям ИБ в Конгресс США.

    1. Дирехтор по ИБ в каждом федеральном, областном, муниципальном и местном органе исполнительной власти — это КРУТО! Интересно, кого они решили сократить, чтобы не менять штатки и не раздувать бюджеты? Ведь директора по ИБ стоят колоссальных денег.
    2. Работа такого человека напрямую с организацией по стандартизации — это бесконечно здорово.
    3. А кому он будет подчиняться? Тем кому отчитывается, "ФЦР на инцинденты ИБ" или тому кто платит зарплату? Ведь усидеть даже на 2-х стульях могут единицы, а на трех… Скорее всего дали руководителям лишние рабочие руки, а ИБ — подождет.

    >>Создается новая структура — Федеральный центр реагирования на инциденты ИБ, который должен помогать госорганам в расследовании и реагировании на инциденты (некий аналог нашего ЦИБ ФСБ, но более открытый).

    Очень сложная подчиненность. Руководство хочет скрыть инциденты (и в США — вон все фильмы ихние про это), а помощь в расследовании и реагировании — это явное раскрытие. Конфликт на лицо. Или в США ВСЕ руководители сознательные и рассматривают свою деятельность в контексте национальной безопасности?

    >>Основное изменение коснулось парадигмы, которая у нас называется аттестацией 😉 У американцев до недавнего времени был похожий подход, когда их проверяли по некоторому чеклисту, базирующемуся на защитных мерах из NIST SP800-53А.Тут никакой статический чеклист не поможет — нужен непрерывный процесс. Госорганам разрешено самостоятельно принимать решения о выборе средств защиты и явно фиксируется, что решения, разработанные частными компаниями, гораздо лучше справляются с современными и динамичными угрозами

    1. Ага!!! Значит и у них ЕСТЬ аттестация!!! 😉
    2. "Чеклист" и "процесс" — что ближе, понимательнее и интуитивнее для человеческого разума? Это как зомбировать надо людя, чтобы он процессами думать начал?! Утопия. Все скатиться к новым чеклистам. А менять их часто никто не даст — нефиг бизнесу/госуслуге мешать изменениями.
    3. Человек, как ток, идет по пути наименьшего сопротивления. Решение о самостоятельном выборе СЗИ это как перед ослом положить две одинаковых кучи сена. Народ (в массе) не поймет (но каждый по отдельности — реальный спец). Недавно столкнулись с аналогичной ситуацией:
    — ряд организаций по наводке специалистов по ИБ своих головных организаций из Москвы не хотят ставить определенные СЗИ и аттестовывать (федеральный ресурс, доступ к которому имеют частные организации)
    — с ними согласились, чтобы они сами выбрали (правда и не пресовали — это заранее ор был)
    — предложили выполнить все требования и сообщить о выполнении нормативки, взяв на себя ответственность за их исполнение
    — они пришли спрашивать что им теперь выбрать, чтобы точно все заработало
    — они пришли спрашивать какие документы должны быть
    — они пришли спрашивать как им подтверждать, что у них все соответствует, если не аттестовывать.

    се ля ви…

    Ответить
  2. Алексей Лукацкий

    Ты сам законороект читал?

    Ответить
  3. ZZubra

    Нет, конечно )))) Только по написанному и из опыта ))))) Очень хотелось подробностей…

    Ответить
  4. Алексей Лукацкий

    Ну так прочитай — он короткий, а ссылку я привел

    Ответить
  5. ZZubra

    Уважаемый Алексей!

    Честно пытался прочитать — но языковой барьер ломает ноги. Частично я понимаю о чем документ, но в целом, особенно с отсылками — в голове сюжет не откладывается. К сожалению, английский — это серьезное препятствие для, наверно, большинства "специалистов" по безопасности в РФ. Особенно не в Москве (((( Это же скорее всего и основное препятствие при внедрении офигенных импортных документов (CMMI, COBIT, PMBOK, PRINCE2, и многих других) транслирующих опыт ненаступания на грабли.

    Ответить
  6. ZZubra

    Но из попытки я вынес 2 интереснейших наблюдения:
    1. Нумерация строк — это граната, которая почему-то не приходит в голову нашим законодателям, хотя идея лежит на поверхности.
    2. Нумерация перечислений в тексте — это ядерная бомба!!! Пример (за уши, но главное суть):

    1. Настоящим Федеральным законом регулируются отношения, (1) связанные с обработкой персональных данных, (а) осуществляемой федеральными органами государственной власти, (б) органами государственной власти субъектов Российской Федерации, (в) иными государственными органами (далее — государственные органы), (г) органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее — муниципальные органы), (д) юридическими лицами, (е) физическими лицами (2) с использованием средств автоматизации или (3) без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

    преобразуется в:
    1. Настоящим Федеральным законом регулируются отношения,
    (1) связанные с обработкой персональных данных,
    (а) осуществляемой федеральными органами государственной власти,
    (б) органами государственной власти субъектов Российской Федерации,
    (в) иными государственными органами (далее — государственные органы),
    (г) органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее — муниципальные органы),
    (д) юридическими лицами,
    (е) физическими лицами
    (2) с использованием средств автоматизации или
    (3) без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

    1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, (1) осуществляемой федеральными органами государственной власти, (2) органами государственной власти субъектов Российской Федерации, (3) иными государственными органами (далее — государственные органы), (4) органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее — муниципальные органы), (5) юридическими лицами, (6) физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

    преобразуется в:
    1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных,
    (1) осуществляемой федеральными органами государственной власти,
    (2) органами государственной власти субъектов Российской Федерации,
    (3) иными государственными органами (далее — государственные органы),
    (4) органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее — муниципальные органы),
    (5) юридическими лицами,
    (6) физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

    Сравните смысл последних двух вариантов. А? Каково?
    Эдак можно передавать дух и смысл законов, а не порождать многотолкование и бардак!!!
    Жаль что эти схемы НЕПРИВЫЧНЫ русскому языку.

    P.S. Не сказать, что эти моменты я увидел впервые, но именно сейчас сложилось в мыслю.

    Ответить
  7. Алексей Лукацкий

    Значит не зря пробовал. Две мысли из одного нормативного акта на иностранном языке — это хорошо. Можешь ли ты похвастаться тем же, читая наши законы?

    Ответить
  8. ZZubra

    уууу… от наших мыслей очень много )))) Только все равно практически вся нормативка не исполняется.

    Ответить