13 Февраля, 2015

Большой пост про новые документы и подходы ФСТЭК России

Andrey Prozorov
Вчера я посетил одну из старейших конференций - международный форум "Технологии безопасности". Как многие знают, она скорее не про информационную, а про физическую безопасность и использование спецсредств, но и про защиту информации на ней тоже немного говорят. Я хожу на эту конференцию уже лет 7-8, и организаторы с непреодолимым упорством печатают каждый год мне на бейдже "ФПД ОАО РЖД" (я там работал с 2007 по 2008). 

ТБ-форум в последние года мне не очень нравится, но я пришел целенаправленно на секцию "Актуальные вопросы защиты информации", на которой уже традиционно (про прошлый год я писал тут ) выступали представители ФСТЭК России. По сути, это единственная, на мой взгляд, конференция, на которую сотрудники ФСТЭК России, во-первых, приходят (что редкость), во-вторых, дают развернутые отчеты о своей работе и планах, и, в-третьих, конкретно (что еще большая редкость для российских регуляторов) отвечают на вопросы и дают довольно толковые рекомендации. 

Всего в потоке было 13 докладов, из которых "ФСТЭКовских" аж целых 5 (в прошлом году было 3)
  1. Развитие нормативно-правовых и методических документов ФСТЭК России в области защиты конфиденциальной информацииВиталий Лютиков, начальник Управления ФСТЭК России.
  2. Направления совершенствования сертификации средств защиты информацииДмитрий Шевцов, заместитель начальника управления ФСТЭК России.
  3. Основные недостатки, допускаемые заявителями при лицензировании деятельности по технической защите конфиденциальной информации. Николай Мищенко, начальник отдела ФСТЭК России.
  4. Практика рассмотрения моделей угроз безопасности информации органов государственной власти и организацийЕлена Торбенко, заместитель начальника ФСТЭК России.
  5. Формирование банка данных угроз безопасности информации и базы данных уязвимостей информационно-телекоммуникационных технологийВладимир Минаков, начальник отдела ФАУ "ГНИИИ ПТЗИ" ФСТЭК России.

Еще раз отмечу, что коллеги из ФСТЭК России помимо собственно докладов еще активно и по существу отвечали на вопросы зала. Ответили на все. В итоге слушатели смогли получить очень много полезной информации. 

Кто следил сегодня за моими публикациями в твиттер , то уже знают основные новости, для остальных расскажу подробно:


1. Общая информация

Основные тенденции (внешние условия), влиющие на актуальность вопросов ИБ, по мнению В.С.Лютикова:
  • курс на импортозамещение
  • рост (количества) инцидентов
  • рост (количества) уязвимостей

Заявленная основная тематика секции - угрозы и уязвимости. Были представлены наработки Службы по данному вопросу.


2. Про методические документы

Новые методические документы ФСТЭК России по защите государственных ИС:
  • Методика определения угроз безопасности информации в информационных системах (проект разработан, 1й приоритет по разработке)
  • Порядок аттестации информационных систем  (проект разработан, 2й приоритет по разработке)
  • Порядок обновления программного обеспечения в информационных системах  (проект разработан)
  • Порядок выявления и устранения уязвимостей в информационных системах  (проект разработан)
  • Порядок реагирования на инциденты, связанные с нарушением безопасности информации (проект - II кв. 2015 года)
  • Защита информации в информационной системе при использовании мобильных устройств  (проект разработан)
  • Защита информации в информационной системе при применении устройств беспроводного доступа (проект разработан)

Показали структуру многих документов, но там ничего важного, общие слова.

Напомнили про ожидаемый пересмотр Приказа №17, предложения по совершенствованию можно отправлять на адрес prikaz_17@fstec.ru до 15 апреля 2015 года. Концепция документа пока меняться не будет "чтобы не вводить отрасль в шоковое состояние". Внесение изменений планируется в I квартале 2016 года, а правки в соответствующий Приказу 17 документ "Меры защиты..." - во II квартале 2016 года. 

Вообще, будут стараться придерживаться 3-4-летнего цикла обновления документов.

Новые методические документы ФСТЭК России по защите информации в АСУ ТП (ожидаем проекты документов в 2016 году):
  • Меры защиты информации в автоматизированных системах управления
  • Методика определения угроз безопасности информации в автоматизированных системах управления
  • Порядок выявления и устранения уязвимостей в автоматизированных системах управления
  • Порядок реагирования на инциденты, связанные с нарушение безопасности информации

СТР-К сейчас действует, его планируют начать обновлять в 2016 году. "Документ работает, есть определенные нюансы, но актуальность его изменения уже назрела."

Проект закона о служебной тайне, о котором говорили 1-2 года назад, сняли с рассмотрения еще в 2013 году. Похоже, что новых требований или хотя бы простой формализации термина "служебная тайна" (с ним есть сложности, смотрите тут ) мы в ближайшее время не получим.

Системы штрафов за невыполнение рекомендаций по защите АСУ ТП сейчас нет (пока нет), документы носят рекомендательный характер (нет соответствующего обязывающего закона).


3. Про модели угроз и базу угроз и уязвимостей

В прошлом году ФСТЭК России рассмотрели 60 моделей угроз, которые им прислали на согласование. Больше половины из них были возвращены на доработку исполнителям. Сотрудники ФСТЭК России озвучили основные проблемы и ошибки, совершаемые операторами ИС (или интеграторами) при разработке моделей угроз. Напишу про это отдельный пост.

Сейчас подготовлен проект документа "Методика определения угроз безопасности информации в информационных системах", скоро мы его увидим. Задержка с его разработкой связана с тем, что ФСТЭК России решил помимо собственно методики создать еще и базу угроз и уязвимостей. Работы по ней ведет ГНИИИ ПТЗИ, в марте обещают представить доступ к данной базе (будет ссылка на сайте ФСТЭК России). Напишу про это отдельный пост.


4. Про изменение подхода к аттестации ИС

В.С.Лютиков:"Задача аттестации получить 2 основных результата:
  1. Блокирует ли система защиты информации угрозы, определенные для этой информационной системы? Сюда попадут, в том числе, вопросы анализа уязвимостей этой информационной системы.
  2. Реализованы ли у  организации, которая будет эксплуатировать эту систему, все процедуры, по крайней мере документированы ли они, для поддержания этого уровня (защищенности) в ходе эксплуатации защищенной информационной системы."

В частности, будет необходимо провести оценку выполнения следующих процедур (по приказу №17):
  • Управление (администрирование) системы защиты информации ИС
  • Выявление инцидентов и реагирование на них
  • Управление конфигурацией аттестованной ИС и ее СЗИ
  • Контроль (мониторинг) за обеспечением уровня защищенности информации, содержащиеся в ИС


5. Про деятельность органов по сертификации

В структуру системы сертификации ФСТЭК России на сегодняшний день включены 9 органов по сертификации (более 100 экспертов), 350 разработчиков и производителей, 42 испытательные лаборатории (более 600 специалистов), 425 органов по аттестации (более 10 000 специалистов)

Показатели деятельности системы сертификации:



Основные направления совершенствования сертификации СЗИ:
  • Разработка и совершенствование требований к СЗИ и методических подходов по их сертификации
  • Совершенствование порядка аккредитации органов по сертификации и испытательных лабораторий
  • Совершенствование порядка сертификации СЗИ


6.Про требования к сертификации

На данный момент утверждены требования к следующим СЗИ:
  • Системы обнаружения вторжений (утв.приказом ФСТЭК России от 6 декабря 2011 г. №638). 12 методических документов, устанавливающих профили защиты
  • Средства антивирусной защиты (утв.приказом ФСТЭК России от 20 марта 2012 г. №28). 24 методических документов, устанавливающих профили защиты
  • Средства доверенной загрузки (утв.приказом ФСТЭК России от 27 сентября 2013 г. №119). 10 методических документов, устанавливающих профили защиты
  • Средства контроля съемных машинных носителей информации (утв.приказом ФСТЭК России от 28 июля 2014 г. №87). 10 методических документов, устанавливающих профили защиты

Планируются к утверждению в 2015 и 2016 годах требования к следующим СЗИ:
  • Средства межсетевого экранирования
  • Средства управления потоками информации
  • Средства идентификации и аутентификации
  • Средства управления доступом
  • Средства защиты от несанкционированного вывода (ввода) информации (DLP-системы)
  • Средства контроля и анализа защищенности
  • Средства разграничения доступа
  • Средства контроля целостности
  • Средства очистки памяти
  • Средства ограничения программной среды
А также требования к:
  • Средствам защиты среды виртуализации
  • Базовым системам ввода-вывода
  • Операционным системам
  • Система управления азами данных

Упомянули про наличие и планы по требованиям к СЗИ от утечки по техническим каналам:
  • Требования к средствам активной защиты информации от утечки по каналу ПЭМИН (утверждены)
  • Требования к средствам виброакустической защиты информации (утверждены)
  • Требования к ПЭВМ, защищенным от утечки информации по каналам ПЭМИН (планируются к утверждению в 2015 году)
  • Требования к средствам пассивной защиты инфомации от утечки по каналам ПЭМИН (планируются к утверждению в 2016 году)
  • Требования к средствам защиты информации от утечки за счет микрофонного эффекта (планируются к утверждению в 2016 году)

По сути, сейчас всеми силами стараются уйти от сертификации СЗИ по ТУ. Для тех СЗИ, на которых разработаны профили защиты (по 15408) необходимо сертифицировать именно по ним.

В разработке находится проект национального стандарта ГОСТ Р "Защита информации. Разработка защищенного программного обеспечения. Общие положения", который планируют сделать сначала рекомендательным, а потом обязательным для разработчиков СЗИ (которые будут подавать свои продукты на сертификацию).

7 апреля 2014 г. было опубликовано Информационное сообщение №240/24/1208 "О применении сертифицированной по требованиям безопасности информации операционной системы Windows XP в условиях прекращения ее поддержки разработчиком".


7. Про аккредитацию органов сертификации и получение лицензий

Важные документы:
  • Утвержден приказ ФСТЭК России от 18 января 2015 г. №5 "Об утверждении формы аттестата аккредитации".
  • Подготовлен проект приказа "Об утверждении Правил выполнения отдельных работ по аккредитации органов по сертификации и испытательных лабораторий, выполняющих работы по оценке (подтверждению) соответствия в отношении продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, и продукции (работ, услуг), сведения о которой составляют государственную тайну, в установленной ФСТЭК России сфере деятельности". 
  • Опубликовано Информационное сообщение от 23 января 2015 года № 240/24/223 "По вопросу продления сроков действия сертификатов соответствия на средства защиты информации, эксплуатируемые на объектах информатизации". 

Рассказали про типичные ошибки, допускаемые соискателями на получение лицензий ФСТЭК России:




В очередной раз ответили на вопрос, что при построении системы защиты "для себя" (если не будет оказывать соответствующих услуг другим) не нужно получать лицензию на ТЗКИ.


Итого

Конференция прошла очень хорошо, был аншлаг (всем не хватило места, очень много людей стояло по несколько часов). Много людей приехало из дальних городов России специально на эту мероприятие. 

В.С.Лютиков обещал, что презентации оставят организаторам, значит может надеятся, что они будут доступны. Хотя я вроде про все основное рассказал...

Информации к размышлению мы получили очень много (в посте я написал только про выступления ФСТЭК России, а были еще и другие, программу можно посмотреть тут ). ФСТЭК России уже проделал большую работу по совершенствованию своих подходов по защите информации, а планов еще больше. Направление развития, на мой взгляд, выбрано вполне адекватно, чувствуются и российские наработки и перенимание "лучших мировых практик" (а это я люблю).

Обратил внимание, что тему ПДн практически не обсуждали. ФСТЭК России сейчас ориентируется на защиту государственных ИС и информации, не составляющей государственную тайну, в АСУ ТП (КСИИ). Однако, для защиты ПДн и выполнения положений Приказа 21 вполне можно (и это правильно) использовать наработки по Приказу 17.

Хотелось бы выразить огромную благодарность организаторам данной конференции и отдельно Лютикову Виталию Сергеевичу (я знаю, что Вы читаете мой блог) за хорошие информативные доклады коллег и, самое главное, за готовность отвечать на вопросы и давать разъяснения по вопросам деятельности Службы. Спасибо!