Новый подход ФСТЭК vs NIST 800-53. За Державу обидно :(((

Новый подход ФСТЭК vs NIST 800-53. За Державу обидно :(((
Что-то в последнее время все чаще слышу, что новый подход ФСТЭК России к обеспечению информационной безопасности (Приказы 21 и 17 + проект методических рекомендаций) " напоминают NIST SP 800-53 по своей идеологии ". От такого сравнения становится очень обидно за документы нашего регулятора, уж слишком "не дотягивают" до уровня "американского"... С тем же успехом можно сравнивать подход ФСТЭК России с любым другим стандартом по информационной безопасности, и, если захотите, то сходства найдете...

И нет бы пойти по пути простого перевода (ведь, ISO 27001-2005 переведен и стал ГОСТом, да и старая версия ISO 17799 тоже доступна в качестве ГОСТ). А этой задачей, насколько я знаю, занимались коллеги из ФСТЭКовского ГНИИИ ПТЗИ. Но нет, стали изобретать велосипед заново. Ну, ладно, что-то я отвлекся.

Итак, NIST SP 800-53 (rev 4 04-2013) " Security and Privacy Controls for Federal Information Systems and Organizations " довольно большой документ, 457 страниц.
Посмотрим, что есть в нем, и что забыли коллеги из ФСТЭК России (если, конечно, брали его за основу):

1. Оформление и содержание документа

Документ NIST довольно удобный, он состоит из 3 глав ("Introduction", "The fundamentals", "The process") и набора приложений. Что мне нравится в документе (и этого почему-то нет в подходе ФСТЭК России):
  • Явно прописаны назначение и цели документа, целевая аудитория. А под кого писались документы ФСТЭК России? Для операторов? Нет, слишком сложно. Скорее для интеграторов и консультантов по ИБ...
  • Даны ссылки на рабочие группы и конкретных разработчиков документов. Согласитесь, приятно знать кто, разрабатывал документ.
  • Есть краткое описание документа, назначения его частей и приложений. На мой взгляд, введение и первые главы проекта методических рекомендации ФСТЭК России содержат мало полезно информации...
  • Даны комментарии по изменениям документа, новой версии. Кстати, вы обратили внимание, что ФСТЭКовские документы обычно не пересматривают/дорабатывают, а переделывают с "0"? А вот у этого документа NIST уже 4я редакция...
  • Дан глоссарий (на 25 страниц), терминология, кстати, выверена с прочими документами NIST. В документах ФСТЭК России все очень плохо с терминами. Явных ошибок, конечно, нет, но и единый глоссарий отсутствует.
  • Есть маппинг с другими стандартами по информационной безопасности (например, ISO 27001 (2005) и ISO 15408).Это очень удобно при использовании и полезно при разработке документа. 
  • Общий перечень мер защиты представлен в разных вариантах (группировках), удобных для различных задач и аналитики. У ФСТЭК России такого нет...
  • На каждой странице присутствуют дополнительные колонтитулы, позволяющие лучше ориентироваться в документе.В документах ФСТЭК России есть лишь номера страниц.
Вообще, на мой взгляд, оформление и структура документов, которые разрабатывают наши регуляторы не самые удачные и удобные. Может пора уже пересмотреть?

2. Постоянное совершенствование и управление рисками

В документе NIST явно прописана модель непрерывного совершенствования информационной безопасности, вот она:

В документах ФСТЭК России подход схожий, но регулярная оценка угроз прописана не в явном виде, совершенствование информационной безопасности предполагается, но прямых ссылок на это найти сложно, модель развития/совершенствования не определена.

3. Набор мер

В документе NIST определены следующие группы (family) мер:
  • AC - Access Control
  • AT - Awareness and Training
  • AU - Audit and Accountability
  • CA - Security Assessment and Authorization
  • CM - Configuration Management
  • CP - Contingency Planning
  • IA - Identification and Authentication
  • IR - Incident Response
  • MP - Media Protection
  • PE - Physical and Environmental Protection
  • PL - Planning
  • PS - Personnel Security
  • RA - Risk Assessment
  • SA - System and Services Acquisition
  • SC - System and Communications Protection
  • SI - System and Information Integrity
  • MA - Maintenance
  • PM - Program Management
Больше половины групп мер (да и сами меры из них) не нашли своего отражения в документах ФСТЭК России. Да и меры из остальных групп представлены тоже далеко не полно. Приведу пример мер из группы по управлению конфигурацией (CM), напомню, что в Приказе 21 это отдельная группа, а в Приказе 17 требования "размазаны" по тексту:
  • CM-1 CONFIGURATION MANAGEMENT POLICY AND PROCEDURES
  • CM-2 BASELINE CONFIGURATION
  • CM-3 CONFIGURATION CHANGE CONTROL
  • CM-4 SECURITY IMPACT ANALYSIS
  • CM-5 ACCESS RESTRICTIONS FOR CHANGE
  • CM-6 CONFIGURATION SETTINGS
  • CM-7 LEAST FUNCTIONALITY
  • CM-8 INFORMATION SYSTEM COMPONENT INVENTORY
  • CM-9 CONFIGURATION MANAGEMENT PLAN
  • CM-10 SOFTWARE USAGE RESTRICTIONS
  • CM-11 USER-INSTALLED SOFTWARE
Большинство из этих мер вы не найдете в документах ФСТЭК России...

Ну, ладно, может быть "американцы" что-то забыли? ФСТЭК России оперирует следующими группами мер (в приказе 21 групп немного больше, но приказ 17 я бы брал за основу):
  • ИАФ - Идентификация и аутентификация субъектов доступа и объектов доступа
  • УПД - Управление доступом субъектов доступа к объектам доступа
  • ОПС - Ограничение программной среды
  • ЗНИ - Защита машинных носителей информации
  • РСБ - Регистрация событий безопасности
  • АВЗ - Антивирусная защита
  • СОВ -Обнаружение вторжений
  • АНЗ - Контроль (анализ) защищенности информации
  • ОЦЛ - Обеспечение целостности информационной системы и информации
  • ОДТ - Обеспечение доступности информации
  • ЗСВ - Защита среды виртуализации
  • ЗТС - Защита технических средств
  • ЗИС - Защита информационной системы, ее средств и систем связи и передачи данных
Вы можете заметить, что у ФСТЭК России есть свои "уникальные" группы мер. Но в документе NIST они не потеряны. В нем есть и про виртуализацию, и про анализ уязвимостей и пр.
Если опуститься на уровень описания мер, то там да, возможно наличие "уникальных" требований. Но я не уверен, что они очень важны и не описаны в NIST. Как вы понимаете, проверка займет много времени...

Вообще, обратите внимание, что группировка и наименование мер в документе NIST НАМНОГО удачнее и проще. Группы понимаются однозначно, количество мер в них сбалансировано, нет излишне сложных наименований мер типа "ЗИС.7 КОНТРОЛЬ САНКЦИОНИРОВАННОГО И ИСКЛЮЧЕНИЕ НЕСАНКЦИОНИРОВАННОГО ИСПОЛЬЗОВАНИЯ ТЕХНОЛОГИЙ МОБИЛЬНОГО КОДА, В ТОМ ЧИСЛЕ РЕГИСТРАЦИЯ СОБЫТИЙ, СВЯЗАННЫХ С ИСПОЛЬЗОВАНИЕМ ТЕХНОЛОГИИ МОБИЛЬНОГО КОДА, ИХ АНАЛИЗ И РЕАГИРОВАНИЕ НА НАРУШЕНИЯ, СВЯЗАННЫЕ С ИСПОЛЬЗОВАНИЕМ ТЕХНОЛОГИИ МОБИЛЬНОГО КОДА". 

Приведу пример (часть таблицы) из NISTа:

А это, для сравнения, из Приказа 17:

4. Документирование ИБ (политики и процедуры)

В документе NIST в явном виде прописаны документированные требования и процедуры. Каждая первая мера в группе содержит описание именно документации. Например:
  • IA-1 IDENTIFICATION AND AUTHENTICATION POLICY AND PROCEDURES
  • IR-1 INCIDENT RESPONSE POLICY AND PROCEDURES
  • MA-1 SYSTEM MAINTENANCE POLICY AND PROCEDURES
  • MP-1 MEDIA PROTECTION POLICY AND PROCEDURES
  • ...
ФСТЭК России тоже часто упоминает документы, регламентирующие управление и обеспечение информационной безопасности в компаниях. Точнее не сами документы, а обязательное требование по "регламентированию". 
А сколько документов? Какой из уровень и наименования? Детализация и содержание? Ответы на эти вопросы нам ФСТЭК России не дает...

5. Приоретизация мер

В документе NIST определены приоритеты мер, сразу видно с чего следует начать внедрение, а что стоит пока "притормозить":


Вот, это первое, что бросилось в глаза при изучении документа NIST. 

И даже при том, что структура описания мер из проекта методических рекомендации ФСТЭК России очень похожа на описание из NIST (в нем тоже есть меры и что-то типа "усиления", а также табличка под разные уровни), но этого явно не хватает для громких заявлений о схожести идеологии и преемственности опыта...



А еще можете посмотреть:

Обзор стандартов ИБ ПДн Приказ17
Alt text
Комментарии для сайта Cackle

Andrey Prozorov

Информационная безопасность в России и мире