Загнанные в угол: новые требования ФСТЭК к SOC, аудиторам и правилам Pen-testing

Загнанные в угол: новые требования ФСТЭК к SOC, аудиторам и правилам Pen-testing
Правки внесенные в Постановление Правительства №79 "О лицензировании деятельности по технической защите конфиденциальной информации" в прошлом году несколько расширили список лицензируемых видов деятельности. К ним, среди прочего теперь стали относить услуги по аудиту ИБ, тестам на проникновение (пен-тесты), что больше всего удивило, деятельность SOC!

Что не менее важно, с лета 2017 года, т.е. через несколько месяцев, эти виды деятельности потребуют обязательного наличия сертификатов ФСТЭК. Это может стать крахом для небольших фирм и стартапов занимающих сегодня низ рынка услуг ИБ. Да и крупные игроки рынка должны будут пересмотреть свои активы, коснется это и технических средств и программных решений, и конечно же квалификации персонала, требования к которым, как известно у регулятора были всегда жесткие


Предыстория беды

15 июня 2016 года были внесены весьма важные поправки в существующее Постановление Правительства №79 "О лицензировании деятельности по технической защите конфиденциальной информации" ,  которые расширили спискок видов деятельности, которые теперь потребуют обязательной лицензии. Так отныне к ним стали относить такие услуги:
  • по контролю защищенности информации от утечек по техническим каналам
  • по контролю защищенности информации от несанкционированного доступа
  • по мониторингу ИБ
  • по аттестации
  • по проектированию в защищенном исполнении
  • по установке, монтажу, наладке, испытаниям, ремонту средств защиты информации.
Из этого списка, если отбросить специфические 1, 4 и 5 пункты, то у нас получается, что отныне вся деятельность аудиторов ИБ, пентесторов и SOC-ов подпадает под новое регулирование, и соответственно требует лицензии ФСТЭК. В принципе, логика  регулятора простота понятна: ФСТЭК ужесточает требования  к лицензиатам и таким образом очищает ИБ от фирмы-однодневок и других малоквалифицированных контор. Это несомненно плюс.. но, что делать добросовестным компаниям, аустсорсерам ИБ и консалтинговым фирмам не прочь порой предоставить услуги аудита ИБ или тестирования на проникновение?

А требования к лицензиатам совсем не простые. Первое, это численность и квалификация персонала, к которым предъявляются особые требования, их не смогут выполнить, к примеру небольшие фирмы и тем более стартапы. Второе, это требуется собственное защищенное по всем нормативизм ФСТЭК помещение. И, наконец, третье и последнее, это конечно же сертифицированные, а занчит и весьма дорогие средства контроля защищенности.

Пен-тест, Аудит ИБ и SOC вне игры

Как известно с июня 2017-го года деятельность всех аутсорсинговых SOC, а также аудиторов ИБ и пентестеров подпадает под обязательное лицензирование деятельности. В декабре прошлого года ФСТЭК выложила на своем сайте перечень контрольно-измерительного и испытательного оборудования, а так же средств контроля защищенности, необходимых для выполнения работ и оказания услуг, установленных обновленным Положением о лицензировании деятельности по технической защите конфиденциальной информации.

Если отталкиваться от проекта 17 приказа ФСТЭК, о котором мы писали чуть ранее , то регулятор относит пентесты к одному из виду аттестационных испытаний, что коренным образом меняет к ним требования.

С SOC тоже все не просто, теперь от них  требуется наличие сертифицированных СЗИ, таких как, например, WAF, МСЭ и антивирус.. Причем сам сертификат не ниже 4-го класса, то есть максимально возможный для защиты информации не подпадающей под гостайну.

Благо хоть не заставляют лицензировать "песочницу" и платформа направлению на Threat Intelligence. Тут очень важно сказать, что в России число своих отечественных песочниц можно пересчитать по пальцам  Поэтому  почти все отечественные SOC используют "песочницы" иностранного производства, а это уже  заставляет задуматься о локализации технических средств  и выполнении сертификационных требований.  К примеру, основа основ, а именно SIEM-система по логике регулятора должна иметь сертификат ФСТЭК.  В крайнем списке сертифицированных СрЗИ ФСТЭК содержится только одна SIEM-система, а именно ArcSight и все - больше ничего!.

А учитывая, что каналы передачи данных от SOC до клиента должны быть защищены средствами шифрования, имеющими сертификат ФСБ, то все становится еще более сложнее, а что, критично - более дороже!


Что же лето весьма  скоро, новые требования вступят в силу, мы посмотрим, что будет происходить с рынком ИБ..
SOC audit аудит фстэк ФСБ требования лицензия сертификат SIEM ArcSight пен тест pen test Аутсорсинг
Alt text

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!

Иван Пискунов

Персональный блог Ивана Пискунова о безопасности, реверс инжениринге и ИТ-менеджменте. Аналитика, новости, обзоры, события