Дифференциация требований по ИБ на примере новой системы сертификации МинОбороны

Дифференциация требований по ИБ на примере новой системы сертификации МинОбороны
Наблюдая за тем, что делает ФСТЭК (ФСБ тоже), а точнее как, замечаешь одну вещь. Регулятор воспринимает только два цвета - белое или черное. Вспоминается дискуссия во время принятия последней редакции Постановления Правительства о лицензировании отдельных видов деятельности и перечня требования к лицензиатам на мониторинг ИБ. Кто помнит, там есть такие пункты, которые обязывают владельца коммерческого SOC иметь ряд сертифицированных средств защиты, например, SIEM, а также аттестовать SOC по требованиям ГИС1. Первое требование обходится всеми российскими SOCами, которые для лицензии покупают один SIEM, а в работе использует другой :-) И проверять это регулятор не хочет, хотя нередко упоминает, что они используют стратегию "тайного покупателя". Второе же требование по сути не только запрещает виртуальные и мобильные SOCи, но и закрывает доступ на российский рынок вход SOCам иностранным.

Когда обсуждался пункт про аттестацию на ГИС1 доводы ФСТЭК звучали следующим образом: вдруг к SOCу придет госорган, который захочет купить услугу мониторинга ИБ для своих ГИС 1-го класса? SOC должен иметь тот же уровень аттестации. А на закономерный вопрос, что SOCов, к которым могут прийти госорганы, у нас в стране можно пересчитать по пальцам одной руки, и поэтому устанавливать в качестве обязательного требования аттестацию ГИС1 не совсем разумно - это отсечет многие региональные SOCи, которые будут ориентироваться на малый бизнес, который крупным федеральным SOCам пока мало интересен. Но увы, деля все на черное и белое, на все или ничего, регулятор не захотел пересматривать свои взгляды. И так во всем - сертифицированное или несертифицированное, отечественное или зарубежное, под контролем или не под контролем, аттестованная или неаттестованная, лицензиат или нелицензиат...

А возможна ли ситуация с 50 оттенками серого между черным и белым? Да, вполне. Например, так поступило МинОбороны США, которое  выпустило  на днях систему сертификации компаний с точки зрения кибербезопасности (Cybersecurity Maturity Model Certification), которую должны соблюдать все компании, которые работают с американским военным ведомством, а их число насчитывает около 300 тысяч.

Я не буду подробно рассказывать о самой системе (желающие могут  почитать  про это сами), а коснусь только ключевых тезисов, показывающих ключевую идею новой системы:

  • Система разработана не для всех организаций, а только для тех, кто работает с МинОбороны США. Как не хватает нам в России такой же дифференциации. Вот есть требования, они жесткие, но они только для тех, кто имеет доступ к ВПК/ОПК. А вот есть требования для тех, кто работает с госорганами. Они различаются по уровню защищаемой информации. А для тех, кто работает с гражданским сектором требования устанавливаются на основе лучших практик или гражданского законодательства. Но нет... у нас всех под одну гребенку :-(
  • Система охватывает не только прямых поставщиков, но и всю цепочку поставщиков. Причем речь идет не о требованиях к продуктам или компонентам, а о требованиях именно к самим компаниям, производящим или поставляющим что-то в интересах военного ведомства. Это связано с тем, что по мнению разработчиков системы, злоумышленники часто действуют не напрямую на военные организации или их прямых подрядчиков, а через поставщиков вплоть до 6-8 уровней.
  • Новая система базируется на уже известных требованиях NIST SP800-53, ISO 27001, ISO 27032, NIST SP800-171.
  • Малый бизнес, работающий в интересах МинОбороны, очень важен для него, но не всегда в состоянии выполнить те же самые требования, что и крупные игроки типа Lockheed Martin или Raytheon. Поэтому требования системы CMMC являются дифференцированными.
  • На сертификацию выделяется 3 года. Невыполнение требований приведет не к штрафу, а к отказу от заключения контрактов. Такое "наказание" выглядит вполне действенным, так как серьезно бьет по карману собственников, не давая им зарабатывать; в отличие от штрафов, которые обычно фиксированные и их легко платить.
  • Сертификацию проводят независимые аккредитованные организации, правила выбора и аккредитации которых еще предстоит разработать.
  • Все требования по безопасности разбиваются на 5 уровней - от базовой кибергигены до продвинутого. Правила соотнесения определенного военного контракта и нужного уровня соответствия пока неясны - они находятся в разработке.
  • Взлом компании не означает потерю контракта или потерю сертификата, но может потребовать повторной сертификации


Система CMMC, которую сейчас внедряет американское МинОбороны, находится только в самом начале своего пути и пока еще не отвечает на все вопросы (например, должны ли ей соответствовать поставщики обычного коммерческого софта, продаваемого на открытом рынке; а поставщики в рамках микрозакупок типа канцелярки или поставщики бухгалтерских услуг?). Но сама идея оценки состояния ИБ поставщиков, а также дифференциация требований по ИБ в зависимости от типа контракта и уровня защищаемой информации, является достаточно здравой и позволяющей учесть различные типы компаний, которые работают с министерством, а не грести всех под одну гребенку.
Alt text