Но сама тема внезапно получила продолжение после публикации в пятницу обновленного списка контрольно-измерительного оборудования, необходимого для получения лицензии ФСТЭК, в том числе и лицензии по мониторингу ИБ (SOC). Первоначальная версия этого документа не выдерживала никакой критики, что вызвало дискуссию в социальных сетях и… сподвигло ФСТЭК на беспрецедентный шаг — пригласить экспертов для обсуждения поправок в данный документ.
Предвидя закономерный вопрос, что надо было сразу делать нормально и тогда не потребовалось бы вносить изменения, отвечу. Первая версия документа писалась тоже экспертами, но работающими в отечественных компаниях, которые занимаются SOCами, что и обусловило некоторый перекос в требованиях. Я на первом заседании, на котором обсуждался этот перечень не присутствовал и не знаю, что и как там предлагалось. Но вот на последнее совещание меня позвали 🙂
Общие замечания относительно этого перечня были следующими:
- требование наличия некоторых средств защиты являются избыточными
- требование наличия некоторых инструментов для SOC являются избыточными
- требования по сертификации некоторых инструментов SOC являются избыточными
- требования по аттестации на ГИС1 являются избыточными.
В итоге:
- Средства контроля целостности были убраны из требований к лицензированию SOC.
- Средства, предназначенные для пентестов, WAF, МСЭ, антивирус, IDS были удалены совсем, так как изначально было непонятно, для чего они нужны. Для защиты SOC или для мониторинга с помощью SOC?
- Средства автоматизированного реагирования на инциденты объединили с другими инструментами.
- Поменяли местами формулировки. Например, раньше мониторили средства и системы информатизации, а сейчас информационные системы; добавили термин «песочница», «системы» заменили на «средства» и т.д.
- Сертификаты должны быть только у сканеров безопасности, SIEM и средств защиты каналов связи. Остальные решения могут обойтись формулярами, составляемыми разработчиками или лицензиатами ФСТЭК. Это было сделано для тех случаев, когда используются различные open source или freeware решения. Требования к составу и содержанию формуляра описаны в ГОСТ 19.501-78.
- Убрали требование по нахождению SOC по адресу осуществления данного вида деятельности (виртуальные SOC вновь могут жить).
И хотя не все пожелания экспертов были учтены (читай, мои рекомендации по отказу от требования сертифицированных VPN и ГИС1 для небольших SOCов), все-таки такое государственно-частное партнерство (пусть и без формализации) в деле разработки нормативных документов я считаю очень и очень позитивным. Сейчас перечень требований к лицензиатам SOC стал гораздо более выполнимым и адекватным.
Схожая деятельность ведется и другими регуляторами (исключая, пожалуй, РКН, который идею консультативного совета превратил в фикцию), но, может быть, не так активно. Тот же Банк России активно собирает мнения от участников отрасли в рамках ТК122. ФСБ пытается работать с частным бизнесом через ТК26, но туда попасть могут не все и взаимодействие, как мне кажется, не является равноправным. Как собственно и другие направления сотрудничества ФСБ.
ЗЫ. Были и другие поправки в перечне контрольно-измерительного оборудования, которые не имели отношения к SOC:
- средства контроля эффективности применения СЗИ разделили на средства поиска остаточной информации на машинных носителях и средства контроля подключения устройств (что не совсем логично, на мой взгляд)
- исключили необходимость наличия оборудования для некоторых видов работ.
