Революция от ФСТЭК и новости от ФСБ


Форум закончился. Прошло пару дней. Впечатления сформировались — можно ими и поделиться. Мне понравилось 😉 И не только потому, что мы были спонсором. Просто мероприятие действительно было ориентировано на аудиторию, что бывает не часто. И особенно порадовало то, что присутствовали представители ФСТЭК и ФСБ, которые не молчали как обычно и не отделывались общими фразами. Выступления Олега Залунина и Виталия Лютикова были конкретны и насыщены фактами и интересными новостями. С них и начну.

Тезисно из выступлений Олега Залунина (ФСБ):

  • Проекты двух новых Постановлений Правительства уже разработаны и направлены всем заинтересованным сторонам. Головным разработчиком постановлений по уровням защищенности и требованиям по ИБ была ФСБ. ФСБ старалась сохранить преемственность с ПП-781 и «приказом трех». Выпустить новые ПП должны в мае.
  • Новые понятие  «уровень защищенности» зависит от класса ИСПДН, модели угроз и модели нарушителя. Уровней будет 4.
  • Классификация ИСПДн останется почти без изменений — разделение на специальные и типовые уберут и оставят просто ИСПДн. Принципы классификации (объем и категория) останутся теми же.
  • Новое понятие новых Постановлений — модель нарушителя. Будет 3 категории нарушителей.
  • Наличие спецкатегории ПДн не означает, что защищать их надо будет по высшему классу. С помощью использования модели нарушителя можно будет выставить не самый высокий уровень защищенности.
  • Новое ПП про требования по защите ПДн делается на базе ПП-781. Ничего нового там почти не будет.
  • На базе новых ПП ФСТЭК и ФСБ детализирует свои требования по защите. Новые приказы ФСБ и ФСТЭК по ПДн будут в июне/июле. Могу от себя предположить, что по линии ФСТЭК скорее всего ничего сильно не поменяется. По линии ФСБ нас ждут сюрпризы.
  • Нормативки по защите трансгранички нет и пока не планируется.

Тезисно из выступлений Виталия Лютикова (ФСТЭК):

  • Термин «конфиденциальная информация», который вызывает много вопросов надо было править в ФЗ «О лицензировании». Не смогли. Поэтому в ПП-79 оно осталось. Только в скобках добавили его трактовку.
  • Наличие контрольно-измерительноо оборудования при получении лицензии не нужно, если вы не будете заниматься техническими каналами утечек. Об этом же говорит и опубликованный во вторник документ на сайте ФСТЭК. А вообще список документов, необходимых для выполнения работ и оказания услуг по ТЗКИ также был опубликован во вторник на сайте ФСТЭК.
  • РД по антивирусам находится на регистрации в МинЮсте. В его основу положены принципы РД по IPS.
  • Планируются новые РД по средствам доверенной загрузки, двухфакторной аутентификации и DLP. Скорее всего в следующем году будут, не раньше.
  • От сертификации по ТУ ФСТЭК будет отходить и там, где есть разработанные РД, оценка будет вестись именно по ним, а не по ТУ. Я об этом писал уже в конце 2010-го года.
  • Готовятся новые требования по защите информации для госорганов на базе документов NIST. О том, что это планируется я писал, а вот о том, что речь идет о документах NIST, которые взяты за основу, я услышал впервые. Скорее всего будут взяты за основу документы 800-й серии, разработанные во исполнение американского закона FISMA. Планируемый РД заменит действующие уже около 20 лет СТР-К и РД по АС.
  • ФСТЭК хочет ввести новые требования по СУИБ и управлению инцидентами. Могу только приветствовать. Хотя эти требования (как минимум в части управления инцидентами) у ФСТЭК были еще в 2007-м году, в документах по защите ключевых систем информационной инфраструктуры.
  • Меняется подход к обновлению сертифицированного ПО. Будет примерно тоже, что сейчас прописано в РД по IPS.
  • Будет меняться ГОСТ по АС в защищенном исполнении.
  • Решение о получении лицензии ФСТЭК на ТЗКИ для собственных нужд принимается юрлицом самостоятельно.После новости о замене СТР-К это была вторая «бомба» от ФСТЭК. Правда, непонятно, насколько официальный ответ на такой запрос будет повторять данную позицию. Я могу ее трактовать примерно так: если вы спросите у ФСТЭК, то вам скажут, что лицензия нужна. А если не спросите, то и не парьтесь. Тут скорее нужно опять писать официальные запросы регулятору.
  • Сертификация СЗИ ПДн обязательна для всех. Основание — ПП-330.ФСТЭК в недоумении по поводу грифа «ДСП» на ПП-330. По их словам это МинОбороны начудило и ФСТЭК сама имеет от этого кучу проблем, т.к. приъодится делать выписки, писать разъяснения и т.д.
  • Аттестация ИСПДн для госучреждений является обязательной, а для коммерческих структур — на усмотрение оператора ПДн
  • По поводу ненасыщенности рынка сертифицированных средств защиты информации была приведена статистика. В 2011 выдано 1.5 миллиона голограмм на сертифифированные СЗИ. В этом году, только за первый квартал, было выдано уже 500 тысяч защитных знаков. Цифры немаленькие.

Жаль, что не было представителей РКН — они бы дополнили рассказ о регуляторике и смогли бы поделиться своими планами, кои есть.По остальным заметкам направляю всех в Twitter (прямая ссылка на заметки только о мероприятии) — ничего действительно стратегического там не было.

В остальном могу отметить большое количество докладов от потребителей, а не от производителей и интеграторов. Последние малость портили картину. Либо голимой рекламой (такая была от Аванпоста), либо непониманием тенденций и попыткой придумать несуществующие тенденции под собственные поделки. Ну а кто-то пытался рассказать о каких-то интересных темах (риски, метрики, KPI), но не имея реального опыта, не мог поделиться практическим опытом. Вообще я сделал интересное наблюдение. Если какую-то тему рассказывает интегратор, то это означает только одно — потребителю эта тема либо неинтересна, либо он только приглядывается к теме и сам ее у себя не реализовывал. Ярким примером была тема, связанная с аутсорсингом ИБ. Эта тема сначала докладывалась одним из интеграторов (не совсем удачно). А потом я ее пытался поднять на секции по защите ЦОДов, где я хотел понять, кто-то арендует ЦОДы или нет. Оказалось, что нет 😉


Вот примерно такое впечатление от мероприятия. Собственно я участвую в мероприятии, как минимум, 4-й раз, а может и пятый, и могу сказать, что все разы у меня впечатления только положительные.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. pushkinist

    печальные новости 🙁

    Ответить
  2. Александр

    "Аттестация ИСПДн для госучреждений является обязательной, а для коммерческих структур — на усмотрение оператора ПДн"

    Значит ли это, что аттестация выявленных ИСПДн в Банке не нужна? в челябинске ФСТЭК и его лицензиаты твердили что аттестация нужна именно для коммерческих структур (осень 2011), и с радостью оставляли свои визитки :-), Алексей вы тоже были на этом форуме 😉

    Ответить
  3. Александр

    Этот комментарий был удален автором.

    Ответить
  4. doom

    >Если какую-то тему рассказывает интегратор, то это означает только одно — потребителю эта тема либо неинтересна, либо он только приглядывается к теме и сам ее у себя не реализовывал.
    Ну зачем же так категорично 🙂
    Неужели совсем никогда интеграторы не рассказывают ничего интересного?

    2 Александр:
    вообще-то с отменой четверокнижья необходимость аттестации ИСПДн стала неочевидной даже для гос. органов… Так что вас в заблуждение вводили…

    Ответить
  5. Алексей Лукацкий

    Именно. Аттестация по требованиям самой же ФСТЭК является обязательной только для гостайны. Для СТР-К вроде как тоже ФСТЭК требует. А вот для всех остальных — сугубо добровольная вещь

    Ответить
  6. Д.Никитин

    Новости занятные. Опять в течении пары месяцев регуляторы меняют свои формулировки и обещания. А по поводу аттестации, если не ошибаюсь, запрет обработки служебной информации в неаттестованных АС сожержится в Положении о ГСЗИ 93 года. Т.е. по факту большинство госорганов в течении почти двух десятков лет нарушают требования Правительства 🙂 аяяй..

    Ответить
  7. Д.Никитин

    Этот комментарий был удален автором.

    Ответить
  8. doom

    >А по поводу аттестации, если не ошибаюсь, запрет обработки служебной информации в неаттестованных АС сожержится в Положении о ГСЗИ 93 года.

    Там не аттестация, там аттестование какое-то 🙂
    А так — можно еще заметить, что понятие служебной тайны у нас до сих пор не закреплено законодательно 😉

    Ответить
  9. Д.Никитин

    Законодательно да, а вот по ряду НПА это любая информация (в т.ч. открытая, т.е. неограниченного доступа), имеющая отношение к деятельности госоргана и циркулирующая в АС… так что нарушители они все, грубые причём))

    Ответить
  10. Eugene S

    "Наличие контрольно-измерительноо оборудования при получении лицензии не нужно, если вы не будете заниматься техническими каналами утечек."
    Алексей, поясните пожалуйста. Из опубликованного документа ФСТЭК этого не следует…
    Пример: г1, аттестационные испытания СИ — требуется оборудование по пунктам 6, 9, 11 и т.д.

    Ответить
  11. Svyazist

    > А так — можно еще заметить, что понятие служебной тайны у нас до сих пор не закреплено законодательно 😉

    Не закреплено и не будет т.к. 02.11.2011 госдума отклонила законопроект № 124871-4 О служебной тайне

    >Для СТР-К вроде как тоже ФСТЭК требует.

    Ага, требует и некоторые госорганы проводят аттестацию АС по СТР-К.

    Ответить
  12. Евгений

    Eugene S
    Я хоть и не Алексей, но все же:
    А вы не сможете выдавать аттестат если у вас нет оборудования, Без оборудования вы сможете:
    б, д, е4, е5, е6

    Зы в перечне документов ГОСТы с пометкой ДСП жгут….

    Ответить
  13. Евгений

    А почему я не могу выдать аттестат, учитывая при аттестации материалы оценки защиты технических каналов, оформленные другим лицензиатом ,имеющим соответствующую лицензию и оборудование?

    Ответить
  14. Вадим

    Я тоже на мероприятии 4-й раз, но на мой взгляд, деградация форума налицо. Самое положительное, пожалуй, присутствие среди докладчиков ФСТЭК (Лютиков) — этих товарищей очень нелегко вытянуть на публичные выступления. В остальном — Залунин не смог ответить на многие вопросы про ПДн, входящие, естественно, в юрисдикцию РКН, которого не было, как и традиционных представителей ГД. Во второй половине первого дня реально пошла реклама, и не только от Аванпоста, чего раньше на форумах не допускалось (за редким исключением).
    Второй день начался совсем уныло — четыре клонированных доклада по интереснейшей теме — безопасность мобильного доступа. Резюме противоречащее — с одной стороны, безопасность в основном обеспечивается сознательностью пользователя и соблюдением им множества оргмер, с другой стороны — ТОПов невозможно ничему научить.
    Окончательно прибила очередная реплика с места известного блогера о том, что с ФСБ можно договориться о применении в нарушение законов несертифицированной криптографии. Он позабыл, видимо, как год назад уже рассказывал об этом, но с оговоркой, что могут придти взамен "добрых" "злые" ФСБшники, и тогда извините… Что ж, можно было с таким же успехом рассказать, как можно договориться с ГИБДД ездить с нарушением ПДД. Зачем только людей со всей России учить нарушать закон? Тем более, что уж Москва — это точно не Череповецк в соотношении "добрых" и "злых"…
    В общем, грустные впечатления…

    Ответить
  15. Алексей Лукацкий

    Если последний абзац — это выпад в мой адрес, то с ФСБ не надо договариваться. Если вы не обрабатываете ПДн на мобильном устройстве, то вы можете использовать любую криптографию. А если обрабатываете, то достаточно написать запрос на изменение криптографических характеристик в таких-то целях.

    Ответить
  16. Вадим

    Ну что Вы, Алексей, не про Вас это. Тот товарищ высказался после первого доклада Бондаренко, когда Александр совершенно справедливо говорил о неприятных моментах, когда необходимо использовать только сертифицированные СКЗИ, которых для тех же айпадов никогда не будет (это даже не ПДн, это те конторы, которые попадают под ПКЗ-2005). Я ожидал ремарки Акимова как бывшего работника восьмёрки, но он, видимо, пропустил этот момент.

    Ответить
  17. Алексей Лукацкий

    На тему ремарок: жил-был генерал ФСБ, который активно мешал проникновению на российский рынок VPN-продуктов западного производства и всем советовал использовать только отечественные продукты. Но пришло время и уволился генерал из органов и встал он на сторону заказчика. И сразу взгляд его поменялся. И стал он наезжать на своих бывших подчиненных, что те, мол, плохо работают, медленно. Да еще и палки вставляют развитию экономики России, мешая ввозить иностранную криптографию. А бывшие подчиненные ему: "Так вы же сами все эти правила разработали". И не нашел генерал, что ответить…

    Ответить
  18. Алексей Краснов

    А почему "жил"? Живёт и здравствует, ещё пытается балатироваться.

    Ответить
  19. Алексей Лукацкий

    Это же сказка 😉

    Ответить
  20. Вадим

    Ну эта сказка, по крайней мере пока, не про вышеупомянутое лицо. Мне другое непонятно. Я могу рассказать другую сказку про то, как одна законопослушная компания пошла законным путём и получила от наших генералов добро на временный вывоз наших СКЗИ за бугор. И в Европе нашла эта компания счастье, а вот в Америке гораздо более злые генералы отказались выдать разрешение на ввоз, а при мысли о том, чтобы пронести сиё враждебное русское средство на территорию своего предприятия, готовы были развязать третью мировую войну. И что удивительно — не гнобят их за это местные. Парадокс…

    Ответить
  21. Алексей Лукацкий

    А в чем парадокс? Наши дали добро, ихние не дали. Также как ихние добро дают, а наши нет.

    Ответить
  22. Вадим

    Парадокс в том, что они относятся к своей и чужой криптографии также, как и мы, если не жёстче. Но их при этом свои же не кроют трёхэтажным матом и не кричат: введите в Америке русскую криптографию, как американский национальный стандарт! У них как-то все всё понимают. А посмотрите, что творится у нас…

    Ответить
  23. Алексей Лукацкий

    Разница в том, что ИХ криптография является международным стандартом. В отличии от нашей

    Ответить
  24. Вадим

    Ну да, как и ИХ валюта и многое другое. И у них эту разницу понимают. А у нас нет))

    Ответить
  25. Алексей Лукацкий

    У нас тоже хотят мирового господства

    Ответить
  26. doom

    >Парадокс в том, что они относятся к своей и чужой криптографии также, как и мы, если не жёстче.

    Откуда дровишки?
    Вот здесь http://rechten.uvt.nl/koops/cryptolaw/cls2.htm#us указано:

    Import
    There are no import restrictions on cryptography.

    Ответить
  27. Вадим

    doom: дровишки из личного опыта. Может, там и указано, но на практике было как в той сказке.

    Алексею Лукацкому: понятно про господство, и мы хотим, и Америка, и Китай, и кто только не хочет. Я, возвращаясь к первому сообщению, повторюсь, что на подобных форумах не нужно призывать нарушать закон и подставлять себя и своих "добрых" ФСБшников, а направить свою энергию,например, на предложения по упрощению процедур ввоза-вывоза и подобных проблемных вопросов. Ведь было поручение гаранта до марта рассмотреть, вопрос уже на самый верх поднят, развивать нужно дальше. А ломать копья по поводу применения "чужих" СКЗИ — ни Америка, ни Россия, ни Китай никогда не будут использовать для защиты своих ресурсов чью-то криптуху, кроме своей.

    Ответить
  28. Алексей Краснов

    Кстати, по поводу поручения гаранта.
    Писал письмо в первых числах марта ему и тому, кому он делал поручение. Ответа ни от того, ни от другого не получал, хотя 30-дневный срок давно прошёл. Всё некогда написать повторное письмо.

    Ответить
  29. pushkinist

    "Разница в том, что ИХ криптография является международным стандартом. В отличии от нашей"

    дык ведь у нас давно пытаются продвинуть нашу криптографию как международный стандарт.
    это ведь "ихние" не пускают нас туда.
    и это "их" криптоаналитики пишут сенсационные статьи о том что ГОСТ ВЗЛОМАН, в которых взлом оказывается сферическим в вакууме.

    текущие версии гостов уже точно не станут международным стандартом, но наши криптографы надеются что с будущими модификациями получится.

    Ответить
  30. Вадим

    Алексею Краснову: если получите хоть какой-то ответ, дайте знать, плиз.

    Ответить
  31. Алексей Краснов

    Вадиму: OK!

    Написал только что повторное письмо.

    Ответить