20 Апреля, 2012

Революция от ФСТЭК и новости от ФСБ

Алексей Лукацкий

Форум закончился. Прошло пару дней. Впечатления сформировались - можно ими и поделиться. Мне понравилось ;-) И не только потому, что мы были спонсором. Просто мероприятие действительно было ориентировано на аудиторию, что бывает не часто. И особенно порадовало то, что присутствовали представители ФСТЭК и ФСБ, которые не молчали как обычно и не отделывались общими фразами. Выступления Олега Залунина и Виталия Лютикова были конкретны и насыщены фактами и интересными новостями. С них и начну.
Тезисно из выступлений Олега Залунина (ФСБ):

  • Проекты двух новых Постановлений Правительства уже разработаны и направлены всем заинтересованным сторонам. Головным разработчиком постановлений по уровням защищенности и требованиям по ИБ была ФСБ. ФСБ старалась сохранить преемственность с ПП-781 и "приказом трех". Выпустить новые ПП должны в мае.

  • Новые понятие  "уровень защищенности" зависит от класса ИСПДН, модели угроз и модели нарушителя. Уровней будет 4.

  • Классификация ИСПДн останется почти без изменений - разделение на специальные и типовые уберут и оставят просто ИСПДн. Принципы классификации (объем и категория) останутся теми же.

  • Новое понятие новых Постановлений - модель нарушителя. Будет 3 категории нарушителей.

  • Наличие спецкатегории ПДн не означает, что защищать их надо будет по высшему классу. С помощью использования модели нарушителя можно будет выставить не самый высокий уровень защищенности.

  • Новое ПП про требования по защите ПДн делается на базе ПП-781. Ничего нового там почти не будет.

  • На базе новых ПП ФСТЭК и ФСБ детализирует свои требования по защите. Новые приказы ФСБ и ФСТЭК по ПДн будут в июне/июле. Могу от себя предположить, что по линии ФСТЭК скорее всего ничего сильно не поменяется. По линии ФСБ нас ждут сюрпризы.

  • Нормативки по защите трансгранички нет и пока не планируется.




 Тезисно из выступлений Виталия Лютикова (ФСТЭК):



  • Термин "конфиденциальная информация", который вызывает много вопросов надо было править в ФЗ "О лицензировании". Не смогли. Поэтому в ПП-79 оно осталось. Только в скобках добавили его трактовку.

  • Наличие контрольно-измерительноо оборудования при получении лицензии не нужно, если вы не будете заниматься техническими каналами утечек. Об этом же говорит и опубликованный во вторник документ на сайте ФСТЭК. А вообще список документов, необходимых для выполнения работ и оказания услуг по ТЗКИ также был опубликован во вторник на сайте ФСТЭК.

  • РД по антивирусам находится на регистрации в МинЮсте. В его основу положены принципы РД по IPS .

  • Планируются новые РД по средствам доверенной загрузки, двухфакторной аутентификации и DLP. Скорее всего в следующем году будут, не раньше.

  • От сертификации по ТУ ФСТЭК будет отходить и там, где есть разработанные РД, оценка будет вестись именно по ним, а не по ТУ. Я об этом писал уже в конце 2010-го года.

  • Готовятся новые требования по защите информации для госорганов на базе документов NIST. О том, что это планируется я писал , а вот о том, что речь идет о документах NIST, которые взяты за основу, я услышал впервые. Скорее всего будут взяты за основу документы 800-й серии , разработанные во исполнение американского закона FISMA. Планируемый РД заменит действующие уже около 20 лет СТР-К и РД по АС.

  • ФСТЭК хочет ввести новые требования по СУИБ и управлению инцидентами. Могу только приветствовать. Хотя эти требования (как минимум в части управления инцидентами) у ФСТЭК были еще в 2007-м году, в документах по защите ключевых систем информационной инфраструктуры.

  • Меняется подход к обновлению сертифицированного ПО. Будет примерно тоже, что сейчас прописано в РД по IPS .

  • Будет меняться ГОСТ по АС в защищенном исполнении.

  • Решение о получении лицензии ФСТЭК на ТЗКИ для собственных нужд принимается юрлицом самостоятельно.После новости о замене СТР-К это была вторая "бомба" от ФСТЭК. Правда, непонятно, насколько официальный ответ на такой запрос будет повторять данную позицию. Я могу ее трактовать примерно так: если вы спросите у ФСТЭК, то вам скажут, что лицензия нужна. А если не спросите, то и не парьтесь. Тут скорее нужно опять писать официальные запросы регулятору.

  • Сертификация СЗИ ПДн обязательна для всех. Основание - ПП-330.ФСТЭК в недоумении по поводу грифа "ДСП" на ПП-330. По их словам это МинОбороны начудило и ФСТЭК сама имеет от этого кучу проблем, т.к. приъодится делать выписки, писать разъяснения и т.д.

  • Аттестация ИСПДн для госучреждений является обязательной, а для коммерческих структур - на усмотрение оператора ПДн

  • По поводу ненасыщенности рынка сертифицированных средств защиты информации была приведена статистика. В 2011 выдано 1.5 миллиона голограмм на сертифифированные СЗИ. В этом году, только за первый квартал, было выдано уже 500 тысяч защитных знаков. Цифры немаленькие.


 


Жаль, что не было представителей РКН - они бы дополнили рассказ о регуляторике и смогли бы поделиться своими планами, кои есть.По остальным заметкам направляю всех в Twitter ( прямая ссылка на заметки только о мероприятии ) - ничего действительно стратегического там не было.





В остальном могу отметить большое количество докладов от потребителей, а не от производителей и интеграторов. Последние малость портили картину. Либо голимой рекламой (такая была от Аванпоста), либо непониманием тенденций и попыткой придумать несуществующие тенденции под собственные поделки. Ну а кто-то пытался рассказать о каких-то интересных темах ( риски , метрики , KPI), но не имея реального опыта, не мог поделиться практическим опытом. Вообще я сделал интересное наблюдение. Если какую-то тему рассказывает интегратор, то это означает только одно - потребителю эта тема либо неинтересна, либо он только приглядывается к теме и сам ее у себя не реализовывал. Ярким примером была тема, связанная с аутсорсингом ИБ. Эта тема сначала докладывалась одним из интеграторов (не совсем удачно). А потом я ее пытался поднять на секции по защите ЦОДов, где я хотел понять, кто-то арендует ЦОДы или нет. Оказалось, что нет ;-)





Вот примерно такое впечатление от мероприятия. Собственно я участвую в мероприятии, как минимум, 4-й раз, а может и пятый, и могу сказать, что все разы у меня впечатления только положительные.