Форум закончился. Прошло пару дней. Впечатления сформировались — можно ими и поделиться. Мне понравилось 😉 И не только потому, что мы были спонсором. Просто мероприятие действительно было ориентировано на аудиторию, что бывает не часто. И особенно порадовало то, что присутствовали представители ФСТЭК и ФСБ, которые не молчали как обычно и не отделывались общими фразами. Выступления Олега Залунина и Виталия Лютикова были конкретны и насыщены фактами и интересными новостями. С них и начну.
Тезисно из выступлений Олега Залунина (ФСБ):
- Проекты двух новых Постановлений Правительства уже разработаны и направлены всем заинтересованным сторонам. Головным разработчиком постановлений по уровням защищенности и требованиям по ИБ была ФСБ. ФСБ старалась сохранить преемственность с ПП-781 и «приказом трех». Выпустить новые ПП должны в мае.
- Новые понятие «уровень защищенности» зависит от класса ИСПДН, модели угроз и модели нарушителя. Уровней будет 4.
- Классификация ИСПДн останется почти без изменений — разделение на специальные и типовые уберут и оставят просто ИСПДн. Принципы классификации (объем и категория) останутся теми же.
- Новое понятие новых Постановлений — модель нарушителя. Будет 3 категории нарушителей.
- Наличие спецкатегории ПДн не означает, что защищать их надо будет по высшему классу. С помощью использования модели нарушителя можно будет выставить не самый высокий уровень защищенности.
- Новое ПП про требования по защите ПДн делается на базе ПП-781. Ничего нового там почти не будет.
- На базе новых ПП ФСТЭК и ФСБ детализирует свои требования по защите. Новые приказы ФСБ и ФСТЭК по ПДн будут в июне/июле. Могу от себя предположить, что по линии ФСТЭК скорее всего ничего сильно не поменяется. По линии ФСБ нас ждут сюрпризы.
- Нормативки по защите трансгранички нет и пока не планируется.
Тезисно из выступлений Виталия Лютикова (ФСТЭК):
- Термин «конфиденциальная информация», который вызывает много вопросов надо было править в ФЗ «О лицензировании». Не смогли. Поэтому в ПП-79 оно осталось. Только в скобках добавили его трактовку.
- Наличие контрольно-измерительноо оборудования при получении лицензии не нужно, если вы не будете заниматься техническими каналами утечек. Об этом же говорит и опубликованный во вторник документ на сайте ФСТЭК. А вообще список документов, необходимых для выполнения работ и оказания услуг по ТЗКИ также был опубликован во вторник на сайте ФСТЭК.
- РД по антивирусам находится на регистрации в МинЮсте. В его основу положены принципы РД по IPS.
- Планируются новые РД по средствам доверенной загрузки, двухфакторной аутентификации и DLP. Скорее всего в следующем году будут, не раньше.
- От сертификации по ТУ ФСТЭК будет отходить и там, где есть разработанные РД, оценка будет вестись именно по ним, а не по ТУ. Я об этом писал уже в конце 2010-го года.
- Готовятся новые требования по защите информации для госорганов на базе документов NIST. О том, что это планируется я писал, а вот о том, что речь идет о документах NIST, которые взяты за основу, я услышал впервые. Скорее всего будут взяты за основу документы 800-й серии, разработанные во исполнение американского закона FISMA. Планируемый РД заменит действующие уже около 20 лет СТР-К и РД по АС.
- ФСТЭК хочет ввести новые требования по СУИБ и управлению инцидентами. Могу только приветствовать. Хотя эти требования (как минимум в части управления инцидентами) у ФСТЭК были еще в 2007-м году, в документах по защите ключевых систем информационной инфраструктуры.
- Меняется подход к обновлению сертифицированного ПО. Будет примерно тоже, что сейчас прописано в РД по IPS.
- Будет меняться ГОСТ по АС в защищенном исполнении.
- Решение о получении лицензии ФСТЭК на ТЗКИ для собственных нужд принимается юрлицом самостоятельно.После новости о замене СТР-К это была вторая «бомба» от ФСТЭК. Правда, непонятно, насколько официальный ответ на такой запрос будет повторять данную позицию. Я могу ее трактовать примерно так: если вы спросите у ФСТЭК, то вам скажут, что лицензия нужна. А если не спросите, то и не парьтесь. Тут скорее нужно опять писать официальные запросы регулятору.
- Сертификация СЗИ ПДн обязательна для всех. Основание — ПП-330.ФСТЭК в недоумении по поводу грифа «ДСП» на ПП-330. По их словам это МинОбороны начудило и ФСТЭК сама имеет от этого кучу проблем, т.к. приъодится делать выписки, писать разъяснения и т.д.
- Аттестация ИСПДн для госучреждений является обязательной, а для коммерческих структур — на усмотрение оператора ПДн
- По поводу ненасыщенности рынка сертифицированных средств защиты информации была приведена статистика. В 2011 выдано 1.5 миллиона голограмм на сертифифированные СЗИ. В этом году, только за первый квартал, было выдано уже 500 тысяч защитных знаков. Цифры немаленькие.
Жаль, что не было представителей РКН — они бы дополнили рассказ о регуляторике и смогли бы поделиться своими планами, кои есть.По остальным заметкам направляю всех в Twitter (прямая ссылка на заметки только о мероприятии) — ничего действительно стратегического там не было.
В остальном могу отметить большое количество докладов от потребителей, а не от производителей и интеграторов. Последние малость портили картину. Либо голимой рекламой (такая была от Аванпоста), либо непониманием тенденций и попыткой придумать несуществующие тенденции под собственные поделки. Ну а кто-то пытался рассказать о каких-то интересных темах (риски, метрики, KPI), но не имея реального опыта, не мог поделиться практическим опытом. Вообще я сделал интересное наблюдение. Если какую-то тему рассказывает интегратор, то это означает только одно — потребителю эта тема либо неинтересна, либо он только приглядывается к теме и сам ее у себя не реализовывал. Ярким примером была тема, связанная с аутсорсингом ИБ. Эта тема сначала докладывалась одним из интеграторов (не совсем удачно). А потом я ее пытался поднять на секции по защите ЦОДов, где я хотел понять, кто-то арендует ЦОДы или нет. Оказалось, что нет 😉
Вот примерно такое впечатление от мероприятия. Собственно я участвую в мероприятии, как минимум, 4-й раз, а может и пятый, и могу сказать, что все разы у меня впечатления только положительные.
печальные новости 🙁
"Аттестация ИСПДн для госучреждений является обязательной, а для коммерческих структур — на усмотрение оператора ПДн"
Значит ли это, что аттестация выявленных ИСПДн в Банке не нужна? в челябинске ФСТЭК и его лицензиаты твердили что аттестация нужна именно для коммерческих структур (осень 2011), и с радостью оставляли свои визитки :-), Алексей вы тоже были на этом форуме 😉
Этот комментарий был удален автором.
>Если какую-то тему рассказывает интегратор, то это означает только одно — потребителю эта тема либо неинтересна, либо он только приглядывается к теме и сам ее у себя не реализовывал.
Ну зачем же так категорично 🙂
Неужели совсем никогда интеграторы не рассказывают ничего интересного?
2 Александр:
вообще-то с отменой четверокнижья необходимость аттестации ИСПДн стала неочевидной даже для гос. органов… Так что вас в заблуждение вводили…
Именно. Аттестация по требованиям самой же ФСТЭК является обязательной только для гостайны. Для СТР-К вроде как тоже ФСТЭК требует. А вот для всех остальных — сугубо добровольная вещь
Новости занятные. Опять в течении пары месяцев регуляторы меняют свои формулировки и обещания. А по поводу аттестации, если не ошибаюсь, запрет обработки служебной информации в неаттестованных АС сожержится в Положении о ГСЗИ 93 года. Т.е. по факту большинство госорганов в течении почти двух десятков лет нарушают требования Правительства 🙂 аяяй..
Этот комментарий был удален автором.
>А по поводу аттестации, если не ошибаюсь, запрет обработки служебной информации в неаттестованных АС сожержится в Положении о ГСЗИ 93 года.
Там не аттестация, там аттестование какое-то 🙂
А так — можно еще заметить, что понятие служебной тайны у нас до сих пор не закреплено законодательно 😉
Законодательно да, а вот по ряду НПА это любая информация (в т.ч. открытая, т.е. неограниченного доступа), имеющая отношение к деятельности госоргана и циркулирующая в АС… так что нарушители они все, грубые причём))
"Наличие контрольно-измерительноо оборудования при получении лицензии не нужно, если вы не будете заниматься техническими каналами утечек."
Алексей, поясните пожалуйста. Из опубликованного документа ФСТЭК этого не следует…
Пример: г1, аттестационные испытания СИ — требуется оборудование по пунктам 6, 9, 11 и т.д.
> А так — можно еще заметить, что понятие служебной тайны у нас до сих пор не закреплено законодательно 😉
Не закреплено и не будет т.к. 02.11.2011 госдума отклонила законопроект № 124871-4 О служебной тайне
>Для СТР-К вроде как тоже ФСТЭК требует.
Ага, требует и некоторые госорганы проводят аттестацию АС по СТР-К.
Eugene S
Я хоть и не Алексей, но все же:
А вы не сможете выдавать аттестат если у вас нет оборудования, Без оборудования вы сможете:
б, д, е4, е5, е6
Зы в перечне документов ГОСТы с пометкой ДСП жгут….
А почему я не могу выдать аттестат, учитывая при аттестации материалы оценки защиты технических каналов, оформленные другим лицензиатом ,имеющим соответствующую лицензию и оборудование?
Я тоже на мероприятии 4-й раз, но на мой взгляд, деградация форума налицо. Самое положительное, пожалуй, присутствие среди докладчиков ФСТЭК (Лютиков) — этих товарищей очень нелегко вытянуть на публичные выступления. В остальном — Залунин не смог ответить на многие вопросы про ПДн, входящие, естественно, в юрисдикцию РКН, которого не было, как и традиционных представителей ГД. Во второй половине первого дня реально пошла реклама, и не только от Аванпоста, чего раньше на форумах не допускалось (за редким исключением).
Второй день начался совсем уныло — четыре клонированных доклада по интереснейшей теме — безопасность мобильного доступа. Резюме противоречащее — с одной стороны, безопасность в основном обеспечивается сознательностью пользователя и соблюдением им множества оргмер, с другой стороны — ТОПов невозможно ничему научить.
Окончательно прибила очередная реплика с места известного блогера о том, что с ФСБ можно договориться о применении в нарушение законов несертифицированной криптографии. Он позабыл, видимо, как год назад уже рассказывал об этом, но с оговоркой, что могут придти взамен "добрых" "злые" ФСБшники, и тогда извините… Что ж, можно было с таким же успехом рассказать, как можно договориться с ГИБДД ездить с нарушением ПДД. Зачем только людей со всей России учить нарушать закон? Тем более, что уж Москва — это точно не Череповецк в соотношении "добрых" и "злых"…
В общем, грустные впечатления…
Если последний абзац — это выпад в мой адрес, то с ФСБ не надо договариваться. Если вы не обрабатываете ПДн на мобильном устройстве, то вы можете использовать любую криптографию. А если обрабатываете, то достаточно написать запрос на изменение криптографических характеристик в таких-то целях.
Ну что Вы, Алексей, не про Вас это. Тот товарищ высказался после первого доклада Бондаренко, когда Александр совершенно справедливо говорил о неприятных моментах, когда необходимо использовать только сертифицированные СКЗИ, которых для тех же айпадов никогда не будет (это даже не ПДн, это те конторы, которые попадают под ПКЗ-2005). Я ожидал ремарки Акимова как бывшего работника восьмёрки, но он, видимо, пропустил этот момент.
На тему ремарок: жил-был генерал ФСБ, который активно мешал проникновению на российский рынок VPN-продуктов западного производства и всем советовал использовать только отечественные продукты. Но пришло время и уволился генерал из органов и встал он на сторону заказчика. И сразу взгляд его поменялся. И стал он наезжать на своих бывших подчиненных, что те, мол, плохо работают, медленно. Да еще и палки вставляют развитию экономики России, мешая ввозить иностранную криптографию. А бывшие подчиненные ему: "Так вы же сами все эти правила разработали". И не нашел генерал, что ответить…
А почему "жил"? Живёт и здравствует, ещё пытается балатироваться.
Это же сказка 😉
Ну эта сказка, по крайней мере пока, не про вышеупомянутое лицо. Мне другое непонятно. Я могу рассказать другую сказку про то, как одна законопослушная компания пошла законным путём и получила от наших генералов добро на временный вывоз наших СКЗИ за бугор. И в Европе нашла эта компания счастье, а вот в Америке гораздо более злые генералы отказались выдать разрешение на ввоз, а при мысли о том, чтобы пронести сиё враждебное русское средство на территорию своего предприятия, готовы были развязать третью мировую войну. И что удивительно — не гнобят их за это местные. Парадокс…
А в чем парадокс? Наши дали добро, ихние не дали. Также как ихние добро дают, а наши нет.
Парадокс в том, что они относятся к своей и чужой криптографии также, как и мы, если не жёстче. Но их при этом свои же не кроют трёхэтажным матом и не кричат: введите в Америке русскую криптографию, как американский национальный стандарт! У них как-то все всё понимают. А посмотрите, что творится у нас…
Разница в том, что ИХ криптография является международным стандартом. В отличии от нашей
Ну да, как и ИХ валюта и многое другое. И у них эту разницу понимают. А у нас нет))
У нас тоже хотят мирового господства
>Парадокс в том, что они относятся к своей и чужой криптографии также, как и мы, если не жёстче.
Откуда дровишки?
Вот здесь http://rechten.uvt.nl/koops/cryptolaw/cls2.htm#us указано:
Import
There are no import restrictions on cryptography.
doom: дровишки из личного опыта. Может, там и указано, но на практике было как в той сказке.
Алексею Лукацкому: понятно про господство, и мы хотим, и Америка, и Китай, и кто только не хочет. Я, возвращаясь к первому сообщению, повторюсь, что на подобных форумах не нужно призывать нарушать закон и подставлять себя и своих "добрых" ФСБшников, а направить свою энергию,например, на предложения по упрощению процедур ввоза-вывоза и подобных проблемных вопросов. Ведь было поручение гаранта до марта рассмотреть, вопрос уже на самый верх поднят, развивать нужно дальше. А ломать копья по поводу применения "чужих" СКЗИ — ни Америка, ни Россия, ни Китай никогда не будут использовать для защиты своих ресурсов чью-то криптуху, кроме своей.
Кстати, по поводу поручения гаранта.
Писал письмо в первых числах марта ему и тому, кому он делал поручение. Ответа ни от того, ни от другого не получал, хотя 30-дневный срок давно прошёл. Всё некогда написать повторное письмо.
"Разница в том, что ИХ криптография является международным стандартом. В отличии от нашей"
дык ведь у нас давно пытаются продвинуть нашу криптографию как международный стандарт.
это ведь "ихние" не пускают нас туда.
и это "их" криптоаналитики пишут сенсационные статьи о том что ГОСТ ВЗЛОМАН, в которых взлом оказывается сферическим в вакууме.
текущие версии гостов уже точно не станут международным стандартом, но наши криптографы надеются что с будущими модификациями получится.
Алексею Краснову: если получите хоть какой-то ответ, дайте знать, плиз.
Вадиму: OK!
Написал только что повторное письмо.