Перечитывал тут на днях Постановление Правительства №541 от 15 июня 2016 года , вносящее правки в Положения о лицензировании деятельности № 79 (ТЗКИ) и №171 (производство и разработка средств защиты конфиденциальной информации).
О нем в последнее время стали много говорить, особенно после конференции SOC Forum (там его тоже упоминали). Дело в том, что в обновленном варианте Положения № 79 появилась, вроде как, новая лицензируемая деятельность - "услуги по мониторингу информационной безопасности средств и систем информатизации". И существует мнение (например, Алексея Лукацкого ), что SOCам и MSSP необходимо будет обновить свои лицензии на ТЗКИ, добавить в них еще один вид деятельность.
Это, кстати, не сложно сделать, ведь "тяжелых" новых требований не появилось. Так, обсуждаемое ранее требования по наличию (сертифицированной) СУИБ прошло мимо документ, и из него даже убрали обязательство по наличию "системы производственного контроля" (все ориентировались на СМК по 9001) из требований к соискателю лицензии по ТЗКИ. Аналогично не появились и "пугающие" требования по использованию сертифицированных средств мониторинга (особенно SIEM) и защиты для предоставления сервисов SOC, и положения о необходимости аттестации всей инфраструктуры SOC (инфраструктуры, необходимой для предоставления услуг)... Ну, а новые (расширенные) требования по штатной численности "опытных" специалистов в штате и наличию специального оборудования решается SOCами, на мой взгляд, по умолчанию.
Это, кстати, не сложно сделать, ведь "тяжелых" новых требований не появилось. Так, обсуждаемое ранее требования по наличию (сертифицированной) СУИБ прошло мимо документ, и из него даже убрали обязательство по наличию "системы производственного контроля" (все ориентировались на СМК по 9001) из требований к соискателю лицензии по ТЗКИ. Аналогично не появились и "пугающие" требования по использованию сертифицированных средств мониторинга (особенно SIEM) и защиты для предоставления сервисов SOC, и положения о необходимости аттестации всей инфраструктуры SOC (инфраструктуры, необходимой для предоставления услуг)... Ну, а новые (расширенные) требования по штатной численности "опытных" специалистов в штате и наличию специального оборудования решается SOCами, на мой взгляд, по умолчанию.
Но вернемся к документу и попробуем разобраться...
Стоит обратить внимание, что сами правки Положения №79 скорее "косметические", в нем нет фундаментальных изменений. По сути, чуть-чуть подточили формулировки, и немного их конкретизовали. Например, указали необходимое количество лет опыта у персонала, добавили про положения про наличие средств контроля (анализа) исходных кодов текстов программного обеспечения, сократили перечень "грубых нарушений лицензионных требований".
"Какие же они "косметические""? - спросите вы. "Ведь появился новый лицензируемый вид деятельности - "услуги по мониторингу информационной безопасности средств и систем информатизации"".
"Какие же они "косметические""? - спросите вы. "Ведь появился новый лицензируемый вид деятельности - "услуги по мониторингу информационной безопасности средств и систем информатизации"".
Но новый ли он? Давайте сравним 2 редакции документа ("4. При осуществлении лицензируемого вида деятельности лицензированию подлежат:..."):
Было:
Было:
в) сертификационные испытания на соответствие требованиям по безопасности информации продукции, используемой в целях защиты конфиденциальной информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации);
Стало:
в) услуги по мониторингу информационной безопасности средств и систем информатизации;
Причем это именно замена, а не дополнение текста. Отдельно услуга по "сертификационным испытаниям" (а это один из важнейших видов деятельности испытательных лабораторий) не возвращается в документ...
Получается очень странная ситуация, которую мы может трактовать по-разному.
Вариант 1. Под мониторингом ИБ ФСТЭК России подразумевает именно "сертификационные испытания". SOCи и MSSP не обновляют лицензию ТЗКИ, а лаборатории обновляют.
Это подтверждается следующими аргументами:
Т.е. мониторинг ИБ необходим для "оценки соответствия", а это важный шаг к "сертификации" и "аттестации"...
Вариант 2. ФСТЭК России понимает термин "мониторинг" в соответствии с "лучшими международными практиками" (они ниже), и это действительно новый вид деятельности. А вот сертификационные испытания убраны (неожиданно) намеренно или по ошибке. При этом варианте SOCи и MSSP должны обновлять свои лицензии на ТЗКИ, а вот испытательные лаборатории могут выпасть из правового поля...
Этому варианту тоже можно найти подтверждение, но для этого надо смотреть трактования базового термина в национальных стандартах, рекомендованных ФСТЭК России .
Вот "мониторинг" по ГОСТ Р 53114-2008 "Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения."
Согласитесь, что этот подход уже вполне соответствует с международному! Вот, например:
Но, на мой взгляд, самый полезный вариант мониторинга описан в Приказе ФСТЭК России №17:
Вместо заключения
Вот как-то так. Обновленное Положение оставляет открытым вопрос "А кто должен обновлять свою лицензию на ТЗКИ: лаборатории или SOCи и MSSP?" , и у отрасли есть еще полгода для поиска ответа на него (Постановление вступает в силу 17.06.2017)...
Ждем разъяснение (или хотя бы мнение) регулятора, оно очень нужно!
Получается очень странная ситуация, которую мы может трактовать по-разному.
Вариант 1. Под мониторингом ИБ ФСТЭК России подразумевает именно "сертификационные испытания". SOCи и MSSP не обновляют лицензию ТЗКИ, а лаборатории обновляют.
Это подтверждается следующими аргументами:
- Ну, не могли же исключить деятельность испытательных лабораторий из перечня лицензируемых видов деятельности?!
- ФСТЭК России иногда действительно неожиданно трактует международные термины ИБ, так, например, случилось с понятием " оценка эффективности ИБ ". Может так произошло и в этот раз?
- В Положении о лицензировании есть неоднозначное требование к лицензиатам по наличию "программных (программно-технических) средств, включая средства контроля эффективности защиты информации, сертифицированных по требованиям безопасности информации, а также средств контроля (анализа) исходных текстов программного обеспечения". Если мы его рассматриваем именно с позиции проведения сертификационных испытаний, то все нормально...
- Можем посмотреть термин "мониторинг" в ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения":
2.8.7 Мониторинг безопасности информации: Постоянное наблюдение за процессом обеспечения безопасности информации в информационной системе с целью установить его соответствие требованиям безопасности информации.
Тут стоит обратить внимание на номер, термин находится в группе "2.8 Термины, относящиеся к способам оценки соответствия требованиям по защите информации", поэтому имеет смысл смотреть на него в контексте еще и этих терминов:
2.8.1 Оценка соответствия требованиям по защите информации: Прямое или косвенное определение степени соблюдения требований по защите информации, предъявляемых к объекту защиты информации.
2.8.2 Лицензирование в области защиты информации: Деятельность, заключающаяся в проверке (экспертизе) возможностей юридического лица выполнять работы в области защиты информации в соответствии с установленными требованиями и выдаче разрешения на выполнение этих работ.
2.8.3 Сертификация на соответствие требованиям по безопасности информации: Форма осуществляемого органом по сертификации подтверждения соответствия объектов оценки требованиям по безопасности информации, установленным техническими регламентами, стандартами или условиями договоров.
Вариант 2. ФСТЭК России понимает термин "мониторинг" в соответствии с "лучшими международными практиками" (они ниже), и это действительно новый вид деятельности. А вот сертификационные испытания убраны (неожиданно) намеренно или по ошибке. При этом варианте SOCи и MSSP должны обновлять свои лицензии на ТЗКИ, а вот испытательные лаборатории могут выпасть из правового поля...
Этому варианту тоже можно найти подтверждение, но для этого надо смотреть трактования базового термина в национальных стандартах, рекомендованных ФСТЭК России .
Вот "мониторинг" по ГОСТ Р 53114-2008 "Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения."
3.5.2 Мониторинг информационной безопасности организации; мониторинг ИБ организации: Постоянное наблюдение за процессом обеспечения информационной безопасности в организации с целью установить его соответствие требованиям по информационной безопасности.
Общетехнические понятия:
А.19 Мониторинг: Систематическое или непрерывное наблюдение за объектом с обеспечением контроля и/или измерения его параметров, а также проведение анализа с целью предсказания изменчивости параметров и принятия решения о необходимости и составе корректирующих и предупреждающих действий.А вот "мониторинг" по Р 50.1.053-2005 "Информационные технологии. Основные термины и определения в области технической защиты информации."
3.3.6 IT security monitoring. Мониторинг безопасности информации (при применении информационных технологий): Процедуры регулярного наблюдения за процессом обеспечения безопасности информации при применении информационных технологий.
Согласитесь, что этот подход уже вполне соответствует с международному! Вот, например:
NIST:
Continuous Monitoring – The process implemented to maintain a current security status for one or more information systems or for the entire suite of information systems on which the operational mission of the enterprise depends. The process includes: 1) The development of a strategy to regularly evaluate selected IA controls/metrics, 2) Recording and evaluating IA relevant events and the effectiveness of the enterprise in dealing with those events, 3) Recording changes to IA controls, or changes that affect IA risks, and 4) Publishing the current security status to enable information-sharing decisions involving the enterprise.
Information Security Continuous Monitoring (ISCM) – Maintaining ongoing awareness of information security, vulnerabilities, and threats to support organizational risk management decisions.
Risk Monitoring – Maintaining ongoing awareness of an organization’s risk environment, risk management program, and associated activities to support risk decisions.
Threat Monitoring – Analysis, assessment, and review of audit trails and other information collected for the purpose of searching out system events that may constitute violations of system security.
PCI DSS:
Monitoring – Use of systems or processes that constantly oversee computer or network resources for the purpose of alerting personnel in case of outages, alarms, or other predefined events.
Но, на мой взгляд, самый полезный вариант мониторинга описан в Приказе ФСТЭК России №17:
18.4. В ходе контроля (мониторинга) за обеспечением уровня защищенности информации, содержащейся в информационной системе, осуществляются:
-контроль за событиями безопасности и действиями пользователей в информационной системе;
-контроль (анализ) защищенности информации, содержащейся в информационной системе;
-анализ и оценка функционирования системы защиты информации информационной системы, включая выявление, анализ и устранение недостатков в функционировании системы защиты информации информационной системы;
-периодический анализ изменения угроз безопасности информации в информационной системе, возникающих в ходе ее эксплуатации, и принятие мер защиты информации в случае возникновения новых угроз безопасности информации;
-документирование процедур и результатов контроля (мониторинга) за обеспечением уровня защищенности информации, содержащейся в информационной системе;
-принятие решения по результатам контроля (мониторинга) за обеспечением уровня защищенности информации о доработке (модернизации) системы защиты информации информационной системы, повторной аттестации информационной системы или проведении дополнительных аттестационных испытаний.
Вместо заключения
Вот как-то так. Обновленное Положение оставляет открытым вопрос "А кто должен обновлять свою лицензию на ТЗКИ: лаборатории или SOCи и MSSP?" , и у отрасли есть еще полгода для поиска ответа на него (Постановление вступает в силу 17.06.2017)...
Ждем разъяснение (или хотя бы мнение) регулятора, оно очень нужно!
