3 рекомендации по улучшению приказов ФСТЭК. Приоритезация!

3 рекомендации по улучшению приказов ФСТЭК. Приоритезация!
3 с лишним года назад я написал пару заметок о том, как можно было бы улучшить 17-й (ну и до кучи 21-й, 31-й и 239-й) приказ ФСТЭК ( тут и тут ) с точки зрения его обвязки (по контенту у меня тоже были предложения ). И вроде бы ничего сложного я не предложил, но, видимо, идея с самооценкой регулятору не зашла. Но в преддверии конференции ФСТЭК у меня вновь появились рацпредложения :-) Целых 3! В этой заметке я напишу про приоритезацию защитных мер.

В августе я уже про это упоминал , но не грех и повторить. В условиях нехватки бюджета или времени с каких из 150+ защитных мер начать? С сегментации или управления доступом, с внедрения средств защиты от вредоносного кода или межсетевого экранирования, с повышения осведомленности персонала или с регистрации событий безопасности? В австралийских требованиях по ИБ все защитные меры (их уже не 35, а 37) распределяются по 5 приоритетам - Essential, Excellent, Very Good, Good и Limited). Начинать рекомендуется с 8 базовых защитных мер, которые при этом дают не менее 90% эффекта.

Схожая конструкция у Center of Internet Security (CIS), который развивает еще один фреймворк (а фиг знает как это перевести на русский язык) с защитными мерами - CIS Controls, который иногда по старинке еще называют SANS Top20. Если у SANS был просто список из 20 защитных мер, то у CIS каждый из пунктов двадцатки - это уже название блока защитных мер (в приказах ФСТЭК или NIST CSF та же идея), в каждом из которых свой набор мер.


В CIS 20 все защитные меры также сгруппированы в так называемые группы внедрения (Implementation Group), которые направлены на компании с разными ресурсами, разной экспертизой в ИБ, разной зрелоостью и моделями угроз. Таких груп три и они каждая из них содержит свой перечень защитных мер по нарастающей.

Вот такой бы подход я бы и реализовал применительно к приказам ФСТЭК. Причем необязательно ждать, чтобы регулятор это внес в свои документы. Этого можно ждать долго и так и не дождаться. Почему бы самому не разбить полторы сотни защитных мер на группы в зависимости от того, какой эффект для защиты они дают? Взял на себя смелость предложить следующие Топ10 защитных мер из 17-го приказа, с которых я бы начал построение системы защиты в первую очередь:

  1. ОПС.3 - Установка (инсталляция) только разрешенного к использованию ПО и (или) его компонентов.
  2. АНЗ.2 - Контроль установки обновлений ПО, включая обновление ПО средств защиты информации. От себя добавлю, что речь идет не только о контроле установки обновлений, но и о самом обновлении.
  3. АНЗ.3 - Контроль работоспособности, параметров настройки и правильности функционирования ПО и средств защиты информации. В качестве первых кандидатов на ПО, настройки которого стоит не только контролировать, но и улучшать, я бы назвал MS Office, Adobe Acrobat, Adobe Flash, браузеры. 
  4. АНЗ.5 - Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализация прав разграничения доступа, полномочий пользователей в информационной системе.
  5. УПД.5 - Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы.
  6. ИАФ.1 - Идентификация и аутентификация пользователей, являющихся работниками оператора. От себя добавлю, что речь в первую очередь должна идти о многофакторной аутентификации.
  7. ИАФ.2 - Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных.
  8. ОДТ.4 - Периодическое резервное копирование информации на резервные машинные носители информации.
  9. ОДТ.2 - Резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системы. От себя добавлю, что здесь также подразумевается и резервное копирование конфигураций ПО и технических средств.
  10. ЗИС.17 - Разбиение информационной системы на сегменты (сегментирование информационной системы) и обеспечение защиты периметров сегментов информационной системы.

Надо отметить, что в приказах ФСТЭК есть определенная приоритезация, но не такая, как в тех же документах австралийского ASD или американского CIS. В наших документах состав базового набора защитных мер зависит не от наличия ресурсов, экспертизы или зрелости, а от уровня значимости защищаемой информации (в 21-м приказе - от типа и объема обрабатываемых ПДн, в 31-м и 239-м приказах - от критичности АСУ ТП/КИИ).

Приведенный выше список из 10-ти защитных мер, на мой взгляд, должен быть реализован в любой компании. Но тут стоит учитывать, что эта десятка включена в базовые наборы не с самого минимального уровня (правда, это не мешает вам эти меры все равно реализовать):

  • ИАФ.2 - только с 2-го уровня
  • ОДТ.4 - только с 2-го уровня
  • ОДТ.2 - только с 1-го уровня
  • ЗИС.17 - только с 2-го уровня.
Вот такое рацпредложение.


Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.