Согласно принятым в 2013 году нормативным документам ФСТЭК сложилась некоторая система то ли понимания, то ли недопонимания, а что нужно делать, проводя "оценку соответствия ИСПДн в установленной форме".
Много было комментариев по поводу вот этой фразы "в установленной форме" со ссылкой на ФЗ "О техническом регулировании", по которому можно оценивать соответствие и самостоятельно, и декларированием соответствия и путем ввода в эксплуатацию и путем сертификации.
В общем-то спектр вариантов широк, однако понятен многим только один из них - сертификация. Но не до конца. О чем чуть позднее.
Приказ ФСТЭК №21 особенен тем, что он очень прост в части организации работ по защите информации. Настолько прост, что упускает многое. Особенно в вопросах того, как прийти к пониманию, что система защиты соответствует требованиям и эффективна, а также как в последствии это понимание поддерживать.
Упускает приказ ФСТЭК №21 и еще один момент о том, что оценка соответствия имеет два уровня сложности:
О второй задаче ничего, хотя основные грабли часто заложены именно здесь, не смотря на наличие сертификатов. В общем, чтобы понять это нужно почитать отчеты Positive Technology, а также вот здесь и здесь. Справедливости ради отмечу, что об этом говорит сам ФЗ-152 - нужно оценивать соответствие (ст.18_1) и эффективность мер (ст.19). Но почему-то тот же Роскомнадзор это не спрашивает...
Теперь дам собственно свой комментарий по поводу альтернативных вариантов оценки соответствия.
К примеру, акт ввода в эксплуатацию фактически может означать в т.ч. проведенную оценку соответствия и оценку эффективности. Еще лучше, чтобы именно эти слова были вписаны в этот акт. Но важнее здесь даже вопрос не в том, как это содержательно было проведено, а в том, кто взял на себя ответственность в вопросе.
Ко мне часто обращаются специалисты разных организаций и просят так сказать выполнить "весь цикл ЗИ" и при том, чтобы затрат было минимум и чтобы оценка соответствия произошла, а в итоге это почти никак не ограничивало бы их дальнейшую деятельность по ковырянию файрволов, политик и т.п.
Надо понимать, что многие организации, а особенно их ИТ-специалисты, в вопросе создания низкобюджетных ИТ-инфраструктур часто прибегают к так называемому Open-Source. На базе различных сборок Linux, Bind, IPTables, Postfix, Sendmail, Apache, OpenVPN создаются довольно сложные и порой надежно и даже безопасно функционирующие сети.
Проблема в том, что сфера защиты информации - не та сфера, в которой можно кинуться на любой продукт, любую его неизвестно откуда взятую сборку и взять и оценить его соответствие. Про криптографию отдельный разговор - там без вопросов - только сертифицированные СКЗИ и меры по формуляру.
Однако ФСТЭК приказом №21 разрешил это делать самим. Поэтому попытаюсь сформулировать набор предпосылок к тому, чтобы оценка соответствия средств и системы защиты информации была:
Это четкий критерий. 50% компетентности в экзамене, а еще 50% в опыте.
Сложнее всего оказывается с продуктами Open Source, особенно у нас в глубинке. Если специалистов с сертификатами Microsoft не много, но вполне найти можно (у нас например, как и специалистов по Cisco, Juniper, Huawei, vmWare :), то по линуксам их единицы и они на слуху.
Вузы, к сожалению, не уделяют этому достаточного внимания. Я бы рекомендовал кафедрам, выпускающим специалистов по направлению "ИБ", включать в учебный план большой курс по ИТ-инфраструктурам. С обширной практикой. Еще один курс - по архитектурам ИС. Два таких курса существенно бы подняли компетентность выпускников и спустили бы их из законодательно-нормативных облаков на землю.
В связи с этим возникает вопрос: а кто и как проводит оценку соответствия в реальности, если в целом уровень компетентности низкий, если оценивать по приведенному выше критерию?
А чаще всего никак.
Много было комментариев по поводу вот этой фразы "в установленной форме" со ссылкой на ФЗ "О техническом регулировании", по которому можно оценивать соответствие и самостоятельно, и декларированием соответствия и путем ввода в эксплуатацию и путем сертификации.
В общем-то спектр вариантов широк, однако понятен многим только один из них - сертификация. Но не до конца. О чем чуть позднее.
Приказ ФСТЭК №21 особенен тем, что он очень прост в части организации работ по защите информации. Настолько прост, что упускает многое. Особенно в вопросах того, как прийти к пониманию, что система защиты соответствует требованиям и эффективна, а также как в последствии это понимание поддерживать.
Упускает приказ ФСТЭК №21 и еще один момент о том, что оценка соответствия имеет два уровня сложности:
- Оценить соответствие каждого средства защиты информации. Еще не внедрив его.
- Внедрить средства защиты, выполнить в них настройки своими руками и провести оценку соответствия внедренной системы.
О второй задаче ничего, хотя основные грабли часто заложены именно здесь, не смотря на наличие сертификатов. В общем, чтобы понять это нужно почитать отчеты Positive Technology, а также вот здесь и здесь. Справедливости ради отмечу, что об этом говорит сам ФЗ-152 - нужно оценивать соответствие (ст.18_1) и эффективность мер (ст.19). Но почему-то тот же Роскомнадзор это не спрашивает...
Теперь дам собственно свой комментарий по поводу альтернативных вариантов оценки соответствия.
К примеру, акт ввода в эксплуатацию фактически может означать в т.ч. проведенную оценку соответствия и оценку эффективности. Еще лучше, чтобы именно эти слова были вписаны в этот акт. Но важнее здесь даже вопрос не в том, как это содержательно было проведено, а в том, кто взял на себя ответственность в вопросе.
Ко мне часто обращаются специалисты разных организаций и просят так сказать выполнить "весь цикл ЗИ" и при том, чтобы затрат было минимум и чтобы оценка соответствия произошла, а в итоге это почти никак не ограничивало бы их дальнейшую деятельность по ковырянию файрволов, политик и т.п.
Надо понимать, что многие организации, а особенно их ИТ-специалисты, в вопросе создания низкобюджетных ИТ-инфраструктур часто прибегают к так называемому Open-Source. На базе различных сборок Linux, Bind, IPTables, Postfix, Sendmail, Apache, OpenVPN создаются довольно сложные и порой надежно и даже безопасно функционирующие сети.
Проблема в том, что сфера защиты информации - не та сфера, в которой можно кинуться на любой продукт, любую его неизвестно откуда взятую сборку и взять и оценить его соответствие. Про криптографию отдельный разговор - там без вопросов - только сертифицированные СКЗИ и меры по формуляру.
Однако ФСТЭК приказом №21 разрешил это делать самим. Поэтому попытаюсь сформулировать набор предпосылок к тому, чтобы оценка соответствия средств и системы защиты информации была:
- Проведена содержательно и компетентно.
- Взята под ответственность компетентного лица (лицензиата, в частности).
- Самих средств защиты или их совокупности на наличие требуемых по приказу №21 методов защиты.
- Итоговой конфигурации средств защиты и всей системы защиты информации.
- Быть компетентным в части соответствующих продуктов и сред, в которые они внедряются.
- Быть опытным - уже иметь несколько внедрений и знать подводные камни.
- Самостоятельно внедрить их и провести конфигурацию.
Это четкий критерий. 50% компетентности в экзамене, а еще 50% в опыте.
Сложнее всего оказывается с продуктами Open Source, особенно у нас в глубинке. Если специалистов с сертификатами Microsoft не много, но вполне найти можно (у нас например, как и специалистов по Cisco, Juniper, Huawei, vmWare :), то по линуксам их единицы и они на слуху.
Вузы, к сожалению, не уделяют этому достаточного внимания. Я бы рекомендовал кафедрам, выпускающим специалистов по направлению "ИБ", включать в учебный план большой курс по ИТ-инфраструктурам. С обширной практикой. Еще один курс - по архитектурам ИС. Два таких курса существенно бы подняли компетентность выпускников и спустили бы их из законодательно-нормативных облаков на землю.
В связи с этим возникает вопрос: а кто и как проводит оценку соответствия в реальности, если в целом уровень компетентности низкий, если оценивать по приведенному выше критерию?
А чаще всего никак.
Комментариев нет:
Отправить комментарий