Секция по цифровой экономике меня и порадовала и огорчила одновременно. Порадовала она тем, что на ней выступали представители регионов, которые задавали закономерные вопросы о том, почему им приходится тратить на непонятные требования по безопасности сотни миллионов рублей и стоимость защиты информационных систем выходит выше, чем стоимость самих информационных систем. И почему, например, муниципалы только-только установили у себя VipNet’ы 3-й версии, а тут приходит указание заменить все на 4-ую. Министры региональной информатизации задаются закономерным вопросом — что такого изменилось в мире, что надо срочно и в обязательном порядке переходить на новую версию? Угрозы стали серьезнее? Алгоритмы стали быстрее и эффективнее? Не было ответа, так как, и это меня удручало, чиновники не пришли на секцию.
Но перейдем к секции по кибербезопасности — я заранее подготовил вопросы к участникам, которые представляли собой субъектов КИИ, вендоров по ИБ и регуляторов. Правда, с последними вышла промашка, — обещанный НКЦКИ так и не посетил мероприятие и заготовленные ему вопросы остались без ответа. А по остальным вопросам были вполне конкретные ответы от участников.
Первый вопрос касался ошибок, которые субъекты КИИ делают при формировании перечня объектов КИИ. Согласно решению коллегии ФСТЭК многие субъекты должны были составить такие перечни и отправить во ФСТЭК к 1-му августу, а согласно решению СовБеза — к 1-му сентября. Я заранее подготовился к модерируемой секции и взял перечень ошибок из презентации Алексея Кубарева, которая читалась за день до ИТ-Диалога в Москве (остальные материалы тут). Однако по сравнению с этим списком, на секции представитель ФСТЭК по СЗФО озвучил еще одну ошибку — когда присылаются все ИС, АСУ ТП и ИТС, а не только те, которые обслуживают критические процессы. Это странная позиция на мой взгляд, так как такое определение объекта КИИ уже установленного законом. Понятно, что ФСТЭК лишнюю работу делать не хочется, но блин… Наступаем на те же грабли, что и с сертификацией средств защиты ПДн, когда при наличии фразы про оценку соответствия регулятор раньше считал, что это написано только про сертификацию.
Из субъектов КИИ на секции присутствовали ИВЦ питерского РЖД, питерский метрополитен и ДИТ Москвы. У ИВЦ прозвучало сначала очень революционная идея, что у них после оценки оказалось, что объектов КИИ нет вообще. В процессе дискуссии выяснилось, что позиция ИВЦ базируется на простом факте — если нарушение работы информационной системы не сказывается на выполняемых ИВЦ задачах и они могут быть выполнены «вручную», то данная информационная система не является объектом КИИ (думаю, что все-таки речь идет о значимом объекте, а не просто об объекте). Очень интересная, но и понятная позиция. У метро подход оказался схожий. А вот у ДИТ Москвы (выступал Валерий Комаров) иная проблема — они не являются обладателями/владельцами/заказчиками информационных систем, используемых в Москве, — они всего лишь их оператор и на них требование по категорированию не распространяется.
Из зала была поднята тема лицензирования деятельности по защите для субъекта КИИ. Я заранее, на основе своей заметки, подготовил табличку и хотел ее обсудить с двумя регуляторами, но увы, НКЦКИ не пришел и поэтому их позиция (особенно по последнему пункту) осталась неозвученной. А ФСТЭК подтвердил правильность таблицы по их направлению. Кстати, представитель ФСТЭК также упомянул, что сейчас оперативно готовится (все-таки) единая методика моделирования угроз, которая будет применяться для ГИС, АСУ ТП, КИИ и других типов защищаемых по требованиям ФСТЭК объектов. Ждемс…
Вопросы к НКЦКИ остались без ответа, но тут может помочь презентация их представителя, прозвучавшая днем ранее в Москве.
На заданный в самом конце вопрос о гостайне, ФСТЭК ожидаемо ответила, что к ГТ будут относиться только совокупные сведения по КИИ и каждому субъекту не придется создавать у себя первые отделы.
Что еще прозвучало интересного на мероприятии? Тезисно я бы отметил следующее:
- питерское метро ориентируется в первую очередь на встроенные механизмы защиты и планирует выполнять 239-й приказ именно ими — в наложенных средствах защиты они не нуждаются
- ДИТ и Конфидент считают, что рынок отечественных решений ИБ вполне себе развит и можно выполнить требования 239-го приказа целиком на отечественных решениях (ну не знаю, я скептично отношусь к такой позиции).
- РТК-Solar рассказал, что НКЦКИ не требует, чтобы SIEM на стороне центров ГосСОПКИ были только отечественного производства. Интересно, в проекте приказа НКЦКИ было написано немного другое. Может и правда поменяют? Хотя РТК-Solar, использующий в своем SOCе три разных SIEM (Arcsight, QRadar и MaxPatrol), для субъектов КИИ применяет отечественное решение (может все-таки готовятся к негативному развитию событий?).
- Также РТК-Solar рассказал, что НКЦКИ рекомендует не арендовать SIEMы (например, в рамках аутсорсингового SOC), а покупать свой и ставить его себе на баланс, и хранить логи у себя локально.
Этот комментарий был удален автором.
"И почему, например, муниципалы только-только установили у себя VipNet'ы 3-й версии, а тут приходит указание заменить все на 4-ую."
Потому что представителям регионов шевелиться нужно быстрее. Про замену версии на ПАКах начали говорить ещё в 2016 году. Сертифицированная 4-ая версия появилась в начале 2017.
Драйвер ViPNet был на самом деле оптимизирован и стал работать быстрее — на новой версии пропускная способность по шифрованию увеличилась почти в два раза по сравнению с предыдущей.
Ну и сертификаты ФСБ и ФСТЭК заканчивается у третьей версии. Это, конечно же, наименее важная причина, да…
А бюджеты на это откуда брать?
По поводу лицензии на ГТ. Где нужны первые отделы, а где нет, решает не ФСТЭК. Это вне их компетенции. А как на это смотрит другой регулятор, пока неизвестно. Если ФОИВы включат в свои перечни сведения об объектах КИИ (или об их системах безопасности), придется субъектам получать лицензию.
Это не так. Уже есть и утвержденный 1-го сентября перечень ГТ от ФСТЭК и есть проект такого же документа от ФСБ. Субъектам не надо получать лицензию на ГТ — это общая позиция обеих служб. К ГТ относится только совокупная информация о КИИ, как и написано в законе
"А бюджеты на это откуда брать?"
Бюджеты да, тут могут быть проблемы.
Но опять же — обновление ПО это не покупка его с нуля, стоимость обновления заметно ниже. Тем более, например, четвёртая версия ПО ViPNet успешно устанавливается на ПАК HW1000 версии Q3 и даже Q2 (относительно старый). А если имеется расширенная подписка на техническую поддержку — обновление будет стоить только в размере сертифицированных дистрибутивов с этим ПО.
Приходит человек к руководителю и просит денег на новый VipNet. Его спрашивают, а текущий что? Его же год назад купили. Он устарел? Нет! Он не защищает от угроз? Защищает! Он медленный? Нам на текущий канал хватает! А нафига тогда нам снова платить? …
А до кого доводится "перечень ГТ от ФСТЭК"? Он есть на объектах связи, транспорта, энергетики, медицины и др? Или они руководствуются все-таки ведомственными Перечнями?
Думаю его доведут до тех, кто попадает под перечень 🙂