Государственно-частное партнерство на примере последнего документа ФСТЭК по SOC

Государственно-частное партнерство на примере последнего документа ФСТЭК по SOC
Сегодня я должен был выступать в Гармиш-Партенкирхене на конференции по международной ИБ и рассказывать о возможных шагах по улучшению государственно-частного партнерства в области информационной безопасности на примере законопроекта "О безопасности критической информационной инфраструктуры". Но, увы, не сложилось. Визу получил только вчера и лететь было уже поздно.

Но сама тема внезапно получила продолжение после публикации в пятницу обновленного списка контрольно-измерительного оборудования, необходимого для получения лицензии ФСТЭК, в том числе и лицензии по мониторингу ИБ (SOC). Первоначальная версия этого документа не выдерживала никакой критики, что вызвало дискуссию в социальных сетях и... сподвигло ФСТЭК на беспрецедентный шаг - пригласить экспертов для обсуждения поправок в данный документ.

Предвидя закономерный вопрос, что надо было сразу делать нормально и тогда не потребовалось бы вносить изменения, отвечу. Первая версия документа писалась тоже экспертами, но работающими в отечественных компаниях, которые занимаются SOCами, что и обусловило некоторый перекос в требованиях. Я на первом заседании, на котором обсуждался этот перечень не присутствовал и не знаю, что и как там предлагалось. Но вот на последнее совещание меня позвали :-)

Общие замечания относительно этого перечня были следующими:
  • требование наличия некоторых средств защиты являются избыточными
  • требование наличия некоторых инструментов для SOC являются избыточными
  • требования по сертификации некоторых инструментов SOC являются избыточными
  • требования по аттестации на ГИС1 являются избыточными.

В итоге:
  • Средства контроля целостности были убраны из требований к лицензированию SOC.
  • Средства, предназначенные для пентестов, WAF, МСЭ, антивирус, IDS были удалены совсем, так как изначально было непонятно, для чего они нужны. Для защиты SOC или для мониторинга с помощью SOC?
  • Средства автоматизированного реагирования на инциденты объединили с другими инструментами.
  • Поменяли местами формулировки. Например, раньше мониторили средства и системы информатизации, а сейчас информационные системы; добавили термин "песочница", "системы" заменили на "средства" и т.д.
  • Сертификаты должны быть только у сканеров безопасности, SIEM и средств защиты каналов связи. Остальные решения могут обойтись формулярами, составляемыми разработчиками или лицензиатами ФСТЭК. Это было сделано для тех случаев, когда используются различные open source или freeware решения. Требования к составу и содержанию формуляра описаны в ГОСТ 19.501-78.
  • Убрали требование по нахождению SOC по адресу осуществления данного вида деятельности ( виртуальные SOC вновь могут жить).
Требование наличия сертифицированных VPN (даже несмотря на то, что представители ГосСОПКИ не требовали этого) осталось. Как и требование ГИС1 к системам защиты SOC. Тут надо дать пояснения. В первоначальной версии перечня последний пункт звучал не совсем так, как об этом говорили представители ФСТЭК в частных беседах. Читалось, что сам SOC должен быть аттестован на ГИС1, включая и используемые им инструменты - SIEM, управление инцидентами, сканеры безопасности и т.п. А так как речь шла о ГИС1, то сертификация должна была быть произведена и на отсутствие НДВ, что было малореально. В итоге текущая формулировка теперь касается только системы защиты самого SOC, а не входящих в него компонентов.

Кстати, VPN и ГИС1 - это требования, не относящиеся к переченю контрольно-измерительного оборудования, необходимого при оказании услуг. И вообще-то они должны были быть вынесены за скобки этого документа, например, на уровень ПП-541 по лицензированию (там как раз и прописываются требования к лицензиату). Но тогда об этом не подумали и поэтому пришлось вносить эти пункты в отдельный НПА ФСТЭК (хотя требование сертифицированных VPN вообще ни к селу, ни к городу в обоих документах - выбивается оно).

И хотя не все пожелания экспертов были учтены (читай, мои рекомендации по отказу от требования сертифицированных VPN и ГИС1 для небольших SOCов), все-таки такое государственно-частное партнерство (пусть и без формализации) в деле разработки нормативных документов я считаю очень и очень позитивным. Сейчас перечень требований к лицензиатам SOC стал гораздо более выполнимым и адекватным.

Схожая деятельность ведется и другими регуляторами (исключая, пожалуй, РКН, который идею консультативного совета превратил в фикцию), но, может быть, не так активно. Тот же Банк России активно собирает мнения от участников отрасли в рамках ТК122. ФСБ пытается работать с частным бизнесом через ТК26, но туда попасть могут не все и взаимодействие, как мне кажется, не является равноправным. Как собственно и другие направления сотрудничества ФСБ.

ЗЫ. Были и другие поправки в перечне контрольно-измерительного оборудования, которые не имели отношения к SOC:
  • средства контроля эффективности применения СЗИ разделили на средства поиска остаточной информации на машинных носителях и средства контроля подключения устройств (что не совсем логично, на мой взгляд)
  • исключили необходимость наличия оборудования для некоторых видов работ.

Alt text
Комментарии для сайта Cackle