Второе событие также произошло на прошлой неделе. Мы получили ответ на сделанный в ФСТЭК запрос, в котором был буквально такой фрагмент: «...под средствами защиты информации понимаются, в т.ч., средства, в которых реализованы средства защиты информации«. Средства — это средства, в которых реализованы средства… Эта «рекурсивная» фраза взята из закона «О государственной тайне», где она звучит таким образом: «средства защиты информации — технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации«. Убрав часть текста, но сохранив смысл первоначальной версии, получился бред, который так и тянется с 1993-го года без изменений.
Непросто живется регуляторам в условиях, когда они вынуждены опираться на термины 90-х годов. У корпоративных заказчиков все проще; даже у государственных или полугосударственных. Вот, например, в России на самом высоком уровне есть мнение, что нельзя применять термин «кибербезопасность», насаждаемый нам потенциальным противником в лице США. Но это совсем не мешает даже компаниям с госучастием применять в своих корпоративных стандартах этот термин 🙂 или иногда подменять его термином «киберзащищенность». Регуляторы опять же вынуждены пользоваться устаревшим «защита информации».
Но вернемся к тому, что я хотел написать в заметке. К решениям класса EDR или STAP. Первая аббревиатура была введена в обиход Gartner’ом и расшифровывается как Endpoint Detection & Response. Вторая стала популярной благодаря извечному конкуренту Gartner — компании IDC. Она означает Spealized Threat Analysis and Protection. А еще есть не очень известная в России своими отчетами компания Forrester, которая использует аббревиатуру EVC — Endpoint Visibility & Control. И это помимо всяких NG Endpoint и Advanced Endpoint (так себя называют те, кто не попал в классификацию Gartner или IDC). Несмотря на разность названий, суть этих решений не сильно отличается — продвинутая защита оконечных устройств от широкого спектра угроз. То есть это не просто персональный МСЭ или антивирус, а нечто гораздо большее.
Проблема терминологии с типами средств защиты выводит нас на другую проблему — выработку требований для их сертификации. Ведь многие заказчики ориентируются только на применение сертифицированных решений (а некоторым это явно предписано и запрещено применять несертифицированное). Регулятор же выпускает РД с требованиями для, скажем прямо, не самых новых и инновационных решений по ИБ. МСЭ, IDS/IPS, антивирус, ОС… И не очень оперативно. И что делать заказчикам в такой ситуации? Шашечки или ехать?
Вот допустим есть близкий мне Cisco AMP for Endpoints, который отнесен Gartner’ом в разряд EDR, а IDC в разряд STAP. Он может блокировать сетевые соединения на узле как МСЭ типа «В». А еще он ловит известные вредоносные программы за счет встроенного антивируса. И он отражает атаки как система обнаружения вторжений. И поиск уязвимостей на узле в нем есть, что делает из него сканер безопасности. И песочница в нем тоже присутствует. Как сертифицировать продукты, которые находятся либо на стыке, либо включают в себя разные технологии? Сертифицировать по разным РД (на сканеры или песочницы их до сих пор нет)? Ну это дороговато встанет. А что делать заказчику? Брать то, что является просто антивирусом и имеет бумажку или сертифицировать решение класса EDR/STAP/EVC (без помощи вендора это будет практически невозможно), которое гораздо лучше борется с современными угрозами? Или использовать несертифицированное на свой страх и риск?
На самом деле EDR/STAP/EVC — не единственный пример — их огромное количество. Всяческие GRC, NBAD/NTA, AppSec, Threat/Security Intelligence, Security Analytics, IRP… Достаточно посмотреть на продукты, представляемые на той же RSAC или InfoSecurity Europe, чтобы понять, что мир ИБ гораздо шире, чем описывается в РД ФСТЭК или ФСБ.
И надо признать, что выходов из этой ситуации я вижу не так уж и много (если не рассматривать вариант с ослаблением требований к сертификации, что в текущей геополитической ситуации маловероятно):
- Увеличение числа выпускаемых РД для разных типов средств защиты информации врядли сильно поможет, так как мы упираемся в «пропускную способность» регулятора и расширения спектра разных типов средств защиты.
- Переход на модульную структуру требований по сертификации. Разделы по «доверию» вынести в отдельный документ (может быть путем модификации того же РД на НДВ или созданием нового РД на его основе), а требования к средствами защиты выносить в отдельные модули, которые будет разрабатывать попроще и побыстрее. Правда и тут возникает проблема с пропускной способностью ФСТЭК, которую можно было бы решить привлечением тех же производителей средств защиты, которые могли бы писать проекты РД (профилей) для своих решений и потом отдавать в ФСТЭК или Воронежский институт для финальной доработки, которая займет гораздо меньше времени, чем разработка РД с нуля регулятором.
- Изменение подходов к аттестации систем, в рамках которой допускать применение несертифицированных решений при условии более глубокой их проверки с помощью пентестов, анализа защищенности или иных методов проверки. К слову сказать, все мы знаем, что сертифицированные решения не означают более защищенные. Сегодня бумага с голограммой является не более чем наследием 608-го Постановления Правительства по сертификации средств защиты гостайны 95-го года.
Что-то скатился я вновь к регуляторике, хотя начинал писать заметку про решения EDR/STAP. Ну ничего, в следующий раз напишу.
А что мешает вендору написать собственный профиль защиты под свое решение?
Ничего. Главное согласовать его с регулятором. Проще (при единичной сертификации и отсутствии аналогичных решений на рынке) по ТУ