Думаю, многие слышали о том, что наши регуляторы ввели мораторий на проведение надзорных мероприятий, а ФСТЭК еще и отменила оплату государственной пошлины за госуслуг по предоставлению лицензии на деятельность по ТЗКИ и лицензии на деятельность по разработке и производству средств защиты конфиденциальной информации. На конференции «Информационная безопасность банков» Виталий Сергеевич Лютиков также сказал, что они выпустили информационное сообщение для разработчиков по ИБ, а также испытательных лабораторий, которое вводит послабления для них в сложившихся условиях, а именно:
- сокращение сроков рассмотрения документов по сертификации и сроков проведения отдельных работ
- возможность внесения изменений в сертифицированные средства самим разработчиков без привлечения испытательной лаборатории
- снижение требований по предоставлению спецификаций, описаний, документации и т.п., необходимых для подтверждения уровней доверия, в частности аппаратная платформа средства защиты информации может и не быть включена в единый реестр российской радиоэлектронной продукции.
Все это, конечно, важно, но, на мой взгляд, все это рассчитано на разработчиков средств защиты, но никто не подумал о том, чтобы поддержать заказчиков, которые также сталкиваются со сложностями реализации требований по ИБ, установленных регуляторами (преимущественно ФСТЭК, но и ФСБ в том числе). Будь я директором ФСТЭК или замдиректора ( опять размечтался), руководителем ФСБ или директором ДИБ Банка России, то я бы предложил следующие временные послабления для организаций, попадающих под действие 17/21/31/31/239 приказов ФСТЭК, 378-го приказа ФСБ и ГОСТ 57580.1, а также положений Банка России:
- Как можно скорейшее определение позиции по российским процессорам, которые должны применять средства защиты согласно требованиям ФСТЭК. Чтобы выполнить это требование к 1-му января 2024-го года, средства защиты должны быть уже поданы на сертификацию, чтобы завершить этот процесс к концу 22-го года и успеть в бюджетный цикл 23-го года, когда многие начнут планировать закупки на 24-й год. Выполнить это требование и раньше было невозможно в такие сроки, а теперь и подавно. Разработчики-то получат очередное информационное сообщение в конце 2023-го года и вздохнут спокойно, а вот потребителям ответ нужен уже сейчас, чтобы планировал свои закупки. Они сейчас стоят перед выбором — на что менять решения приостановивших свою деятельность в России иностранных компаний и этот выбор должен быть верным. Если сейчас выбрать вендора, сертификат на продукцию которого через год или два регулятор приостановит или аннулирует, безопасник регулятору спасибо не скажет.
- Мораторий на требование использования сертифицированных средств защиты информации; особенно для госорганов. Да, вот такая вот революция. Я бы этот мораторий ввел на три года, чтобы все заказчики и операторы информационных и автоматизированных систем, а также объектов КИИ, могли применять все, что они найдут на российском рынке. Это и раньше было непросто, реализовать все требования приказов ФСТЭК с помощью сертифицированных продуктов, а сегодня так и вовсе невозможно. Да, у нас есть около 200 разработчиков , но у половины у них сертификатов вообще нет и в текущих условиях получить их им будет непросто — ресурсов немного, кредиты не дают, разработчики уезжают… В таких условиях требовать тратить ресурсы еще и на сертификацию? Ну такое… Но даже если разработчики начнут тратить и даже если учесть сокращение сроков сертификации, легализация продуктов произойдет не раньше конца года, а это поздно — продукты надо выбирать уже прямо сейчас. А потом их надо тестировать, пилотировать и внедрять. Оптимистично, срок миграции на российские решения в среднестатистической компании займет не менее года, а в крупных — не менее 2-3-х лет. Требование по сертификации убивает новый, изолированный внешними ограничениями рынок. А вот по истечении трех лет можно и вернуться к вопросу сертификации — тогда и с процессорами станет понятнее, и с логистикой аппаратных платформ, и с выжившими игроками рынка.
- Мораторий на аттестацию или внешнюю оценку соответствия. Временно отменяя одну форму оценки соответствия можно отменить и другую, заменив ее на самооценку. Финансовым организациям это не будет в новинку (ЦБ в свое время ее использовал, но потом от нее отказался), а остальные могут перенять этот опыт. Я 6 лет назад уже писал файл в Телеграмме) проект такой облегченной методики:
Фрагмент системы самооценки по ИБ - Мораторий на согласование модели угроз с ФСТЭК и ФСБ из 676-П, как условие ввода в эксплуатацию ГИС. Это и в прошлом году было нетривиальной задачей (67% отказов в согласовании только у ФСТЭК), а уж сейчас, когда приходится учитывать совершенно новые угрозы, связанные с уходом разработчиков ПО, supply chain атаками на open source и т.п., а также готовится новая методика, требовать согласования моделей неразумно. На год можно и приостановить это требование, хотя для этого надо вносить правки в Постановление Правительства и информационным сообщением тут не обойтись. Я бы вообще на месте регуляторов выпустил типовую модель угроз для ГИС (их же описания у регуляторов есть и даже сами модели угроз есть — на их основе сделать типовую или типовые будет несложно).
- Мораторий на оценку рисков по 716-П. Вот реально, последние документы Банка России — 779-П, 787-П, 716-П, — это какой-то кошмар с точки зрения русского языка, концепции, взаимоувязанности с другими требованиями регулятора, сырости, отсутствия практической ценности и т.п. В текущих условиях заставлять организации выполнять это все — гнобить финансовую систему, которой и так приходится непросто. С одной стороны тебя мочат санкциями, международные платежные системы отказываются с тобой сотрудничать, тебе не дают займов, международные компании не хотят поставлять тебе свои решения, клиентов больше не становится, переводы денежных средств сокращаются, число кибератак растет, а тут бац, новые требования по операционной надежности и оценке рисков, которые ложатся не на соответствующие подразделения, а снова на ИБ.
Вот таких пять предложений. Они несложные, как мне кажется, и вполне возможные для реализации на уровне каждого из регуляторов. А высвободившееся время можно было бы потратить на улучшение качества имеющихся документов, их практическую аппробацию, а также разработку централизованных сервисов по ИБ по модели SaaS, которые бы сняли нагрузку с организаций по ряду направлений, например, анализ защищенности, моделирование угроз и анализ рисков, выбор защитных мер, обучение и повышение осведомленности и т.п.
Я же не многого хочу?
Заметка А не пора ли ввести мораторий на сертификацию по требованиям регуляторов? была впервые опубликована на Бизнес без опасности .
