Как ФСТЭК выполняет свои обещания. Анализ за 6 лет
На прошедшем на прошлой неделе эфире AM Live, посвященном средствам защиты от несанкционированного доступа , был поднят вопрос о том, зачем нужны средства защиты, которые покупаются преимущественно госорганами для выполнения "бумажных" требований, которые, при этом, не менялись с 1992-го года (да, РД на СВТ не менялся уже почти 30 лет). На это поступило возражение, что для современных систем защиты, которые уже ближе к решениям класса EPP по версии Gartner (Endpoint Protection), при сертификации применяются либо набор из РД (по СВТ, по МСЭ, по антивирусам, по контролю съемных носителей), либо продукт сертифицируется по заданию по безопасности (оно же техническое задание), которое разрабатывается специально под решение и которое описывает весь включаемый в область действия сертификации функционал. И вот тут я подумал, что если ФСТЭК не может обновить свой документ 1992-го года, то как вообще обстоит дело с требованиями к различным средствам защиты, которые должны использоваться при сертификации и которые упоминаются во всех требованиях ФСТЭК по защите ИСПДн, ГИС, АСУ ТП, КИИ и других объектов защиты (дспшные требования)?
Я поступил просто - взял презентации выступлений руководителей ФСТЭК за последние 6 лет, прозввучавшие на февральской конференции регулятора, проводимой в рамках ТБ Форума. То есть никакой отсебятины - одни факты. Вначале, в 2015-м и 2016-м годах ФСТЭК очень активно давала обещания по разрабатываемым документам, проекты которых уже разработаны и "вот-вот" должны быть утверждены. И такие обещания укладывались в общую картину, которая заключалась в том, что регулятор еще в 2013-м году пообещал, что за каждым требованием 17-го и 21-го, которое может быть реализовано с помощью средства защиты, будет свой руководящий документ, который и устанавливает требования к этим средствам. Логично... Но вот реальность оказалась совсем иной.
 |
| Желтое означает обещание. Зеленое - его выполнение |
После того, как блогеры (читай - я) и в 2016-м, и в 2017-м годах в заметках "спросил" регулятора про его обещания, ФСТЭК стала более осмотрительной, и в 2017-м году забыла про все ранее данные обещания (хотя врядли про сами документы, которые в недрах регуляторы должны были и дальше разрабатываться и появиться как чертик из табакерки; по аналогии с РД на операционные системы, о котором в 2015-м году не упоминали, а в 2016-м уже разработали и утвердили). В 2017-м регулятор пообещал только три новых документа - по управлению потоками информации (на фоне постоянных вопросов о том, можно ли VLANами или встроенными возможностями сетевого оборудования защищать внутренние сети), по системам управления базами данных и по средствам защиты среды ввиртуализации. Но не получилось...
В 2018-м году по стране победно шел ФЗ-187 и вся конференция ФСТЭК была посвящена именно этой теме - про сертификацию не сказали ни слова. Вновь к этой теме вернулись в 2019-м году, и регулятор не только вспомнил про обещание разработать тройку РД по управлению потоками информации, СУБД и виртуализации, но и пообещал обновить 6 ранее разработанных документов - по межсетевым экранам, операционным системам, антивирусам, системам обнаружения вторжения, средствам контроля съемных носителей и средствам доверенной загрузки. Но увы, тоже не получились...
В этом году, на конференции ФСТЭК не вспоминала об обещании обновить шесть РД, ограничившись обещанием обновить только требования к антивирусам. Требования по защите виртуализации тоже не упомянули, оставив планы только на два новых документа - по управлению потоками информации и по СУБД.
И вот, мы подходим к концу 2020-го года, который ознаменовался тем, что многие сидели по домам, не ездили в командировки, не участвовали в надзорной деятельности и, вроде бы, времени должно было быть чуть больше чем в прежние года. Но увы. Опять (буду рад ошибиться, если за оставшиеся пару недель регулятор выпустит эти документы) ничего. Опять обещания не выполнены.
Итоги обещаний по новым РД свел в таблицу (выше). Из 19 обещанных за 6 лет документов разработано только 2 (!) и то, в 2016-м году. Обновлений ранее разработанных документов так и не случилось. Но вроде бы уже и не ждешь. Привыкли :-(
ЗЫ. У ФСТЭК был еще нигде не озвучивавшийся план по требованиям к средствам отражения DDoS-атак, но вот уже прошло больше двух лет, а документ так и не выпущен.
ЗЗЫ. А может все требования выпустили, но засекретили? И даже приказы об утверждении тоже секретные?..
