16 сентября 2015 г.

Оценка соответствия. Часть 2. Компетентностная

Согласно принятым в 2013 году нормативным документам ФСТЭК сложилась некоторая система то ли понимания, то ли недопонимания, а что нужно делать, проводя "оценку соответствия ИСПДн в установленной форме".

Много было комментариев по поводу вот этой фразы "в установленной форме" со ссылкой на ФЗ "О техническом регулировании", по которому можно оценивать соответствие и самостоятельно, и декларированием соответствия и путем ввода в эксплуатацию и путем сертификации.
В общем-то спектр вариантов широк, однако понятен многим только один из них - сертификация. Но не до конца. О чем чуть позднее.

Приказ ФСТЭК №21 особенен тем, что он очень прост в части организации работ по защите информации. Настолько прост, что упускает многое. Особенно в вопросах того, как прийти к пониманию, что система защиты соответствует требованиям и эффективна, а также как в последствии это понимание поддерживать.
Упускает приказ ФСТЭК №21 и еще один момент о том, что оценка соответствия имеет два уровня сложности:
  1. Оценить соответствие каждого средства защиты информации. Еще не внедрив его.
  2. Внедрить средства защиты, выполнить в них настройки своими руками и провести оценку соответствия внедренной системы.
Как видим задачи разного порядка и тут засада. Вот приказ ФСТЭК №21 говорит о первой задаче и даже предлагает как вариант для неё - сертификацию. Про другие способы оценки соответствия ФСТЭК, как регулятор, конечно же умалчивает. Понятно почему - они не могут отвечать за то, что прошло не через них. Потому их ответ будет "всегда сертификация".
О второй задаче ничего, хотя основные грабли часто заложены именно здесь, не смотря на наличие сертификатов. В общем, чтобы понять это нужно почитать отчеты Positive Technology, а также вот здесь и здесь. Справедливости ради отмечу, что об этом говорит сам ФЗ-152 - нужно оценивать соответствие (ст.18_1) и эффективность мер (ст.19). Но почему-то тот же Роскомнадзор это не спрашивает...

Теперь дам собственно свой комментарий по поводу альтернативных вариантов оценки соответствия.
К примеру, акт ввода в эксплуатацию фактически может означать в т.ч. проведенную оценку соответствия и оценку эффективности. Еще лучше, чтобы именно эти слова были вписаны в этот акт. Но важнее здесь даже вопрос не в том, как это содержательно было проведено, а в том, кто взял на себя ответственность в вопросе.
Ко мне часто обращаются специалисты разных организаций и просят так сказать выполнить "весь цикл ЗИ" и при том, чтобы затрат было минимум и чтобы оценка соответствия произошла, а в итоге это почти никак не ограничивало бы их дальнейшую деятельность по ковырянию файрволов, политик и т.п.
Надо понимать, что многие организации, а особенно их ИТ-специалисты, в вопросе создания низкобюджетных ИТ-инфраструктур часто прибегают к так называемому Open-Source. На базе различных сборок Linux, Bind, IPTables, Postfix, Sendmail, Apache, OpenVPN создаются довольно сложные и порой надежно и даже безопасно функционирующие сети.
Проблема в том, что сфера защиты информации - не та сфера, в которой можно кинуться на любой продукт, любую его неизвестно откуда взятую сборку и взять и оценить его соответствие. Про криптографию отдельный разговор - там без вопросов - только сертифицированные СКЗИ и меры по формуляру.
Однако ФСТЭК приказом №21 разрешил это делать самим. Поэтому попытаюсь сформулировать набор предпосылок к тому, чтобы оценка соответствия средств и системы защиты информации была:
  1. Проведена содержательно и компетентно.
  2. Взята под ответственность компетентного лица (лицензиата, в частности).
Итак, оценивать соответствие нужно следующих элементов:
  1. Самих средств защиты или их совокупности на наличие требуемых по приказу №21 методов защиты.
  2. Итоговой конфигурации средств защиты и всей системы защиты информации.
Что нужно, чтобы сделать это?
  1. Быть компетентным в части соответствующих продуктов и сред, в которые они внедряются.
  2. Быть опытным - уже иметь несколько внедрений и знать подводные камни.
  3. Самостоятельно внедрить их и провести конфигурацию.
Возникает вопрос по пункту 1: а как подтвердить, что человек компетентен по Windows 7 Pro или Windows Server 2012 или по Debian Linux? Элементарно - по наличию у специалиста официального сертификата производителя по этому продукту. Пусть он сдаст экзамен!

Это четкий критерий. 50% компетентности в экзамене, а еще 50% в опыте.
Сложнее всего оказывается с продуктами Open Source, особенно у нас в глубинке. Если специалистов с сертификатами Microsoft не много, но вполне найти можно (у нас например, как и специалистов по Cisco, Juniper, Huawei, vmWare :), то по линуксам их единицы и они на слуху.

Вузы, к сожалению, не уделяют этому достаточного внимания. Я бы рекомендовал кафедрам, выпускающим специалистов по направлению "ИБ", включать в учебный план большой курс по ИТ-инфраструктурам. С обширной практикой. Еще один курс - по архитектурам ИС. Два таких курса существенно бы подняли компетентность выпускников и спустили бы их из законодательно-нормативных облаков на землю.

В связи с этим возникает вопрос: а кто и как проводит оценку соответствия в реальности, если в целом уровень компетентности низкий, если оценивать по приведенному выше критерию?

А чаще всего никак.
 

Комментариев нет:

Отправить комментарий