Как ФСТЭК выполняет свои обещания. Анализ за 6 лет
На прошедшем на прошлой неделе эфире AM Live, посвященном средствам защиты от несанкционированного доступа , был поднят вопрос о том, зачем нужны средства защиты, которые покупаются преимущественно госорганами для выполнения "бумажных" требований, которые, при этом, не менялись с 1992-го года (да, РД на СВТ не менялся уже почти 30 лет). На это поступило возражение, что для современных систем защиты, которые уже ближе к решениям класса EPP по версии Gartner (Endpoint Protection), при сертификации применяются либо набор из РД (по СВТ, по МСЭ, по антивирусам , по контролю съемных носителей), либо продукт сертифицируется по заданию по безопасности (оно же техническое задание), которое разрабатывается специально под решение и которое описывает весь включаемый в область действия сертификации функционал. И вот тут я подумал, что если ФСТЭК не может обновить свой документ 1992-го года, то как вообще обстоит дело с требованиями к различным средствам защиты, которые должны использоваться при сертификации и которые упоминаются во всех требованиях ФСТЭК по защите ИСПДн, ГИС, АСУ ТП, КИИ и других объектов защиты (дспшные требования)?
Я поступил просто - взял презентации выступлений руководителей ФСТЭК за последние 6 лет, прозввучавшие на февральской конференции регулятора, проводимой в рамках ТБ Форума. То есть никакой отсебятины - одни факты. Вначале, в 2015-м и 2016-м годах ФСТЭК очень активно давала обещания по разрабатываемым документам, проекты которых уже разработаны и "вот-вот" должны быть утверждены. И такие обещания укладывались в общую картину, которая заключалась в том, что регулятор еще в 2013-м году пообещал, что за каждым требованием 17-го и 21-го, которое может быть реализовано с помощью средства защиты, будет свой руководящий документ, который и устанавливает требования к этим средствам. Логично... Но вот реальность оказалась совсем иной.
 |
| Желтое означает обещание. Зеленое - его выполнение |
После того, как блогеры (читай - я) и в 2016-м, и в 2017-м годах в заметках "спросил" регулятора про его обещания, ФСТЭК стала более осмотрительной, и в 2017-м году забыла про все ранее данные обещания (хотя врядли про сами документы, которые в недрах регуляторы должны были и дальше разрабатываться и появиться как чертик из табакерки; по аналогии с РД на операционные системы, о котором в 2015-м году не упоминали, а в 2016-м уже разработали и утвердили). В 2017-м регулятор пообещал только три новых документа - по управлению потоками информации (на фоне постоянных вопросов о том, можно ли VLANами или встроенными возможностями сетевого оборудования защищать внутренние сети), по системам управления базами данных и по средствам защиты среды ввиртуализации. Но не получилось...
В 2018-м году по стране победно шел ФЗ-187 и вся конференция ФСТЭК была посвящена именно этой теме - про сертификацию не сказали ни слова. Вновь к этой теме вернулись в 2019-м году, и регулятор не только вспомнил про обещание разработать тройку РД по управлению потоками информации, СУБД и виртуализации, но и пообещал обновить 6 ранее разработанных документов - по межсетевым экранам, операционным системам, антивирусам, системам обнаружения вторжения, средствам контроля съемных носителей и средствам доверенной загрузки. Но увы, тоже не получились...
В этом году, на конференции ФСТЭК не вспоминала об обещании обновить шесть РД, ограничившись обещанием обновить только требования к антивирусам. Требования по защите виртуализации тоже не упомянули, оставив планы только на два новых документа - по управлению потоками информации и по СУБД.
И вот, мы подходим к концу 2020-го года, который ознаменовался тем, что многие сидели по домам, не ездили в командировки, не участвовали в надзорной деятельности и, вроде бы, времени должно было быть чуть больше чем в прежние года. Но увы. Опять (буду рад ошибиться, если за оставшиеся пару недель регулятор выпустит эти документы) ничего. Опять обещания не выполнены.
Итоги обещаний по новым РД свел в таблицу (выше). Из 19 обещанных за 6 лет документов разработано только 2 (!) и то, в 2016-м году. Обновлений ранее разработанных документов так и не случилось. Но вроде бы уже и не ждешь. Привыкли :-(
ЗЫ. У ФСТЭК был еще нигде не озвучивавшийся план по требованиям к средствам отражения DDoS-атак, но вот уже прошло больше двух лет, а документ так и не выпущен.
ЗЗЫ. А может все требования выпустили, но засекретили? И даже приказы об утверждении тоже секретные?..
