Сайты иностранных «ФСТЭК»ов — что есть интересного?

Разное
Добьем уж тему рационализаторских предложений для нашего регулятора по ИБ и завершим ее сайтом. Да, сайт ФСТЭК — это уникальное явление в Интернет третьего десятилетия 21-го века. Я такие же, условно, сайты делал в середине 90-х годов, когда в Информзащите отвечал за корпоративный сайт, его создание и развитие (да, был в моей карьере такой интересный опыт). С тех пор прошло много времени, изменились подходы к Web-дизайну, Web-технологии, возможности Web-сайтов… и только сайт ФСТЭК застыл в прошлом веке. Вот я и решил посмотреть, а что творится с сайтами иностранных регуляторов по ИБ, у которых можно почерпнуть что-нибудь интересное и полезное.

У австралийского «регулятора«, который известен своими отличными документами по ИБ, сайт не имеет каких-либо интерактивных сервисов, которые можно было бы скопировать. Разве что форму сообщения об инцидентах, но у нас за это отвечает ФСБ, у которой есть НКЦКИ и его сайт, принимающий данные об инцидентах. Есть новостной раздел, который рассказывает не об успехах регулятора, а о том, что может поднять уровень защищенности его поднадзорных организаций, то есть об уязвимостях. Учитывая, что у подведомственного ГНИИ ПТЗИ эта информация публикуется регулярно в Твиттере, то почему ФСТЭК ее не публикует на своем сайте?

Сайт АНБ можно было соотносить с их «коллегами» в ФСБ, но на самом деле Агентство национальной безопасности делает немало и в направлении, которым занимается ФСТЭК. И тут не только куча open source-проектов (а АНБ выпустило не только Ghidra), но и проект UNFETTER, о котором я уже писал и который позволяет оценить уровень вашей защищенности в соответствие с матрицей MITRE ATT&CK. Сервисов по ИБ там больше особых нет, но сам сайт достоин похвалы именно как пример навигации по большому количеству материалов, связанных с тематикой национальной безопасности (а там и раздел для подрастающего поколения есть). Вообще надо отметить, что западные регуляторы очень активно работают с детьми. И английский регулятор, и американский, и другие, и экскурсии проводят, и лекции читают, и всякие головоломки и пазлы для них выпускают. А у АНБ вообще есть отдельные курсы лекций для детей по тематике ИБ (я когда был у них, наткнулся как раз на очередную такую лекцию).

Не менее познавателен для широкой аудитории, а не только для лицензиатов, канадский центр кибербезопасности. Они не только в рамках понятной навигации выкладывают свои рекомендации по защите, написанные понятным языком и использующие в том числе и инфографику (у канадцев есть и свой Топ10 защитных мер), но и имеют на сайте некоторое количество интерактивных сервисов и материалов — от обучающих видеолекций до интерактивных «карт» с разбором типичных ситуаций, которые могут нарушить безопасность канадских госорганов. Из разработанного канадцами инструментария можно назвать средство для обнаружения и анализа вредоносного кода Assemblyline и очень подробную методику анализа угроз и рисков TRA.

Недавно созданное агенство США по кибербезопасности (CISA) размещается на известном домене www.us-cert.gov, но не может пока похвастаться большим количеством полезных сервисов. Из интересных инструментов, которые могли бы помочь и российским компаниям, если бы у ФСТЭК появился их аналог, я бы назвал:

  • CSET (Cyber Security Evaluation Tool) — бесплатный инструмент и регулярно обновляемый по самооценке безопасности объектов критической инфраструктуры. 
  • CRR (Cyber Resilience Review) — бесплатный опросник, созданный совместно с институтом Карнеги-Меллона, позволяющий оценить реализацию нетехнических мер по киберустойчивости и кибербезопасности операторов критической инфраструктуры.
  • Инструменты по безоопасной разработке. 7 лет назад я уже писал про сайт Build Security In, который собрал воедино множество рекомендаций и инструментов по безопасному программированию. Сейчас этот сайт уже не поддерживается (но архив на нем действует), так как его материалы переехали на сайт института Карнеги-Меллона (основателя CERT/CC). И там можно найти много всего — и вики по безопасному программированию на C, C++, Java и т.д. (с примерами кода), и бесплатный инструментарий по анализу исходников, и много чего еще. Сейчас ФСТЭК сильно озаботилась темой SDLC и создание схожего ресурса помогло бы сильно продвинуть эту тему среди разработчиков (у ФСТЭК была уже инициатива по созданию библиотеки примеров «плохого» кода, но что-то она подвисла в воздухе, как и многие другие ранее озвучиваемые инициативы).
  • список ссылок на полезные ресурсы различных институтов и организаций, которые повышают уровень ИБ американских организаций, преимущественно государственных.

Английский национальный центр кибербезопасности помимо отличной навигации, кучи регулярно обновляемых руководств, обучающих разделов для детей и взрослых, также предлагает набор сервисов для госорганов туманного Альбиона:

Есть на сайте англичан и свой реестр сертифицированных продуктов и сервисов по ИБ. Но сделан он на порядок качественнее нашего — среди критериев выборки есть не только тип продукта, но и его статус (показываются и те, кто сейчас сертифицируется), гриф защищаемой информации и т.д. Перед прошлогодней конференцией ФСТЭК я уже писал про возможные варианты улучшения реестра сертифицированных средств защиты информации (правда, ничего из них так и не было реализовано), но у англичан есть пара интересных задумок, которые можно было бы повторить и у нас.

Европейского регулятора по ИБ, ENISA, достаточно сложно сравнивать с ФСТЭК, так как, мне так кажется, ресурсов у первого намного больше, чем у его российского «коллеги». Иначе я не могу объяснить, как ENISA успевает выпускать такое количество добротного контента по совершенно различным темам ИБ. Правда, многие из них, попадают в сферу компетенции НКЦКИ, но и то, что остается (ПДн, КИИ, облака, обучение, сертификация и др.) неплохо охвачено.

В качестве резюме хочется отметить, что я прекрасно понимаю, регулятору надо думать о повышении безопасности КИИ и государственных органов, о безопасном программировании и сертификации средств защиты, о сертифицированных компиляторах и согласовании программ повышения квалификации в области ИБ. Но все-таки можно было бы чуть отвлечься и переработать свой сайт, чтобы сделать его не только более привлекательным и удобным, но и более полезным для разных целевых аудиторий (лицензиаты, клиенты от государства и от бизнеса, обычные граждане). А чтобы не пересекаться со второй частью регулятора, отвечающей за экспортный контроль, можно было бы и вовсе создать себе отдельный домен и развивать его (например, cyber.gov.ru).

ЗЫ. А пока писались последние заметки про ФСТЭК на сайте БДУ появилась бета-версия бесплатного сканера ScanOVAL для Linux.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Unknown

    ссылка к UNFETTER — ведет на blogger.com

    Ответить
  2. Алексей Лукацкий

    Поправил

    Ответить
  3. Saches

    Добавил бы еще немцев — https://www.bsi.bund.de/EN/Publications/TechnicalGuidelines/TR03121/BSITR03121.html

    Ответить