Новости ФСТЭК с ТБФорума

Новости ФСТЭК с ТБФорума

Я редко пишу о новостях, вся суть которых сводится к изменениям, которые ждут нас в будущем. Дело это неблагадарное, ибо не раз уже случалось так, что это самое будущее не наступало или серьезно отличалось от заявленного. Вспомните, хотя бы, историю с поднятием штрафов за ПДн....

Но сегодня, пожалуй, можно сделать исключение.

Так вот. 12 февраля на ТБФоруме ФСТЭК выступил с рядом многообещающих заявлений.
Начать, наверное, стоит с Виталия Сергеевича Лютикова. Виталий Сергеевич - начальник 2 управления ФСТЭК России. Светлая голова, ясное изложение мыслей, хорошая презентация и множество полезных инициатив. Такого человека на такой должности мы ждали давно, и он появился. Это, несомненно, хорошо, но плохо другое: у меня сложилось впечатление, что он там такой один. Отчасти это подтверждается блеклыми слайдами и речами его коллег. Поэтому нам с вами нужно его поддерживать, если мы не хотим снова гонятся за призраками ИТР и защищать перс.данные генераторами ЭМИ.

Главная новость, пожалуй, это долгожданная  смена парадигмы аттестации. Мы постепенно уходим от периодической проверки требований к обеспечению требуемового уровня ИБ. "Новая аттестация" должна быть сориентирована на блокировку актуальных угроз, постоянное выявление уязвимостей и разработку процедур поддержания ИБ на заданном уровне. Под эту концепцию создается новая методика разработки модели угроз, с начала марта запускается вебсайт с угрозами и уязвимостями (как я понял, разработкой сайта занимается НПО Эшелон). ФСТЭК так же фокусируется сейчас на защите ГИС и АСУ ТП. Причем с ГИС есть  сложности:
  • что считать ГИС до сих пор неясно. Регулятором в этой области является Минкомсвязь, и они не видят тут проблемы: ГИС то, что есть в реестре ГИС (а там практически ничего то и нет);
  • СТРК в силе и часто идет параллельно с 17 приказом ФСТЭК;
  • понятия служебной тайны нет. Отсюда появляются сложности с выделением тех категорий информации, которые мы будем считать объектами защиты.
Еще одна нерешенная проблема с аттестацией - это разделение "сфер влияния" между ФСТЭК и ФСБ. Все аспекты регулирования использования средств шифрования определяются ФСБ. Поэтому если мы при аттестации доходим до использования ЭП, VPN и шифрованных разделов на жёстком диске, то просто не обращаем на них внимания и идём дальше.

Главная проблема с АСУ ТП - нет закона, нет обязательных требований к защите, нет штрафов, нет инцидентов ИБ. Несмотря на наличие необходимых РД по защите АСУ ТП, защищать её никто не спешит. Риски, связанные с взломом либо проверками Регулятора, пока что гораздо меньше, чем затраты на системы ИБ для АСУ ТП.  

В докладах других участников конференции мне так же запомнились некоторые моменты:
  • ФСТЭК не разрешает сдавать в субаренду оборудование и помещения, необходимые для лицензии по ТЗКИ. При получении лицензии нужно представить зарегистрированный в юстиции договор на аренду помещения, в котором должен быть пункт о запрете субаренды. Это вольная трактовка требований ПП79, но ФСТЭКу, видимо, надоело, что на один и тот же комплект техники и помещение регистрируют несколько лицензий по ТЗКИ.
  • Можно попробовать при сертификации СЗИ описать в документации "порядок обновления средств защиты". Тогда есть шансы, что патчи для СЗИ можно будет выпускать без инспекционного контроля. 
  • Большая проблема с вендорами - нежелание искать и патчить уязвимости. Пока они будут так себя вести -  поблажек при сертификации СЗИ не будет. Вот внедрят себе secure SDLC - тогда другой разговор. 
  • Согласовывать модели угроз можно, но зачем? Если решите согласовывать - готовьтесь к долгой и увлекательной переписке со ФСТЭК.
В целом новостей, как вы видите, оказалось на конференции много, при этом каких-то конкретных изменений в требованиях пока что нет. Ждём сайт с угрозами и уязвимостями в марте. 

Более подробный обзор у Андрея Прозорова
Alt text

Anonymous объявили войну Илону Маску, ФБР следило за преступниками по всему миру через собственный зашифрованный чат, Apple возместила моральный вред американской студентке за слив ее интимных фото в новом выпуске Security-новостей на нашем Youtube канале.

Артем Агеев

root@itsec.pro:~#