Когда обсуждался пункт про аттестацию на ГИС1 доводы ФСТЭК звучали следующим образом: вдруг к SOCу придет госорган, который захочет купить услугу мониторинга ИБ для своих ГИС 1-го класса? SOC должен иметь тот же уровень аттестации. А на закономерный вопрос, что SOCов, к которым могут прийти госорганы, у нас в стране можно пересчитать по пальцам одной руки, и поэтому устанавливать в качестве обязательного требования аттестацию ГИС1 не совсем разумно — это отсечет многие региональные SOCи, которые будут ориентироваться на малый бизнес, который крупным федеральным SOCам пока мало интересен. Но увы, деля все на черное и белое, на все или ничего, регулятор не захотел пересматривать свои взгляды. И так во всем — сертифицированное или несертифицированное, отечественное или зарубежное, под контролем или не под контролем, аттестованная или неаттестованная, лицензиат или нелицензиат…
А возможна ли ситуация с 50 оттенками серого между черным и белым? Да, вполне. Например, так поступило МинОбороны США, которое выпустило на днях систему сертификации компаний с точки зрения кибербезопасности (Cybersecurity Maturity Model Certification), которую должны соблюдать все компании, которые работают с американским военным ведомством, а их число насчитывает около 300 тысяч.
Я не буду подробно рассказывать о самой системе (желающие могут почитать про это сами), а коснусь только ключевых тезисов, показывающих ключевую идею новой системы:
- Система разработана не для всех организаций, а только для тех, кто работает с МинОбороны США. Как не хватает нам в России такой же дифференциации. Вот есть требования, они жесткие, но они только для тех, кто имеет доступ к ВПК/ОПК. А вот есть требования для тех, кто работает с госорганами. Они различаются по уровню защищаемой информации. А для тех, кто работает с гражданским сектором требования устанавливаются на основе лучших практик или гражданского законодательства. Но нет… у нас всех под одну гребенку 🙁
- Система охватывает не только прямых поставщиков, но и всю цепочку поставщиков. Причем речь идет не о требованиях к продуктам или компонентам, а о требованиях именно к самим компаниям, производящим или поставляющим что-то в интересах военного ведомства. Это связано с тем, что по мнению разработчиков системы, злоумышленники часто действуют не напрямую на военные организации или их прямых подрядчиков, а через поставщиков вплоть до 6-8 уровней.
- Новая система базируется на уже известных требованиях NIST SP800-53, ISO 27001, ISO 27032, NIST SP800-171.
- Малый бизнес, работающий в интересах МинОбороны, очень важен для него, но не всегда в состоянии выполнить те же самые требования, что и крупные игроки типа Lockheed Martin или Raytheon. Поэтому требования системы CMMC являются дифференцированными.
- На сертификацию выделяется 3 года. Невыполнение требований приведет не к штрафу, а к отказу от заключения контрактов. Такое «наказание» выглядит вполне действенным, так как серьезно бьет по карману собственников, не давая им зарабатывать; в отличие от штрафов, которые обычно фиксированные и их легко платить.
- Сертификацию проводят независимые аккредитованные организации, правила выбора и аккредитации которых еще предстоит разработать.
- Все требования по безопасности разбиваются на 5 уровней — от базовой кибергигены до продвинутого. Правила соотнесения определенного военного контракта и нужного уровня соответствия пока неясны — они находятся в разработке.
- Взлом компании не означает потерю контракта или потерю сертификата, но может потребовать повторной сертификации
Система CMMC, которую сейчас внедряет американское МинОбороны, находится только в самом начале своего пути и пока еще не отвечает на все вопросы (например, должны ли ей соответствовать поставщики обычного коммерческого софта, продаваемого на открытом рынке; а поставщики в рамках микрозакупок типа канцелярки или поставщики бухгалтерских услуг?). Но сама идея оценки состояния ИБ поставщиков, а также дифференциация требований по ИБ в зависимости от типа контракта и уровня защищаемой информации, является достаточно здравой и позволяющей учесть различные типы компаний, которые работают с министерством, а не грести всех под одну гребенку.
