Что еще обещала ФСТЭК в начале года?.. И что из этого (не)сделала?

15.12.2020 Лукацкий Алексей , Бизнес-консультант по безопасности

Ну и чтобы закрыть тему с анализом обещаний регулятора (вот ФСБ хорошо - они ничего не обещают публично и поэтому у них и анализировать что-то бессмысленно), посмотрим на выступление Виталия Сергеевича Лютикова на февральской конференции ФСТЭК, где заместитель директора главного ИБшного регулятора показал всем куда идти идет прогрессивная мысль. В отличие от прежних выступлений, в этот раз не только были показаны проблемы, но и предельно конкретно сформулированы задачи ведомства на ближайшее время. Правда без указания сроков, но обычно это краткосрочный горизонт в один год - от конференции до конференции. И хотя до следующей конференции еще пара месяцев (если она вообще случится), я подвести промежуточные итоги и  посмотреть, что из обещанного было реализовано.

Чтобы было проще я свел все озвученные задачи в таблицу - получилось 15 пунктов. На первом месте закономерно находится обещанная методика моделирования угроз, которую уже перестали даже обещать. В феврале обещали выпустить в течение месяца. Потом случился COVID-19, которые обнулил все обещания, и следующий раз представитель ФСТЭК о методике говорил уже в сентябре, указав, что при разработке документа вновь выявились противоречия у его разработчиков. На недавнем "Цифровом предприятии" выход методики и вовсе отложили на следующий год. Жаль...  

Про переработку банка данных угроз изначально говорили, что работа предстоит непростая и раньше, чем через год ждать ее не стоит. Поэтому в таблице я поставил "в процессе". Хотя при отсутствии утвержденной методики (то есть подхода к моделированию), говорить о банке данных угроз вообще преждевременно. Также как и о подготовке кадров в части моделирования угроз. Учить еще нечему. Соответственно нет и средства автоматизации моделирования угроз (пока у ФСТЭК есть только сканер ScanOVAL для Windows и Linux. Еще два мероприятия в области моделирования угроз также не реализованы (хотя Твиттер у ФСТЭК с публикацией данных об уязвимостях исправно работает уже не первый год). 

Что такое "усиление мер по выявлению событий безопасности" я и тогда не понимал, и сейчас. Может быть речь идет о проекта ГОСТа по ГосСОПКЕ, по мониторингу ИБ или регистрации событий ИБ? Короче, ХЗ... Тот же статус у методичек по аттестации. Хотя, может их просто закрыли от публичного взора и сделали ДСП.

О дифференциации требований по защите в зависимости от архитектуры ИС (АРМ, ЛВС, ИТКС,  ЦОД) ничего не слышно - по идее все это надо вносить в действующие приказы ФСТЭК, 17-й, 21-й, 31-й, 31-й (закрытый), 239-й, но никаких проектов по ним тоже не выкладывали на общественное обсуждение (а именно в этих приказах надо вносить изменения или ссылаться из них на эти изменения).

Вот с совершенствованием порядка сертификации у нас все в порядке. Вместо 131-го вышел 76-й приказ (о чем, похоже, забыли оповестить тот же Банк России, который в выпущенном позже положении 719-П ссылается на 131-й приказ, который к моменту вступления 719-П в силу уже прекратит свое существование). Приказ с одной стороны, вроде как и не меняет кардинально ничего, а с другой - перекладывает большинство работ с испытательных лабораторий на заявителей. Может потому, что задачу повышения квалификации работников ИЛ и качества работы ИЛ реализовать пока не удается? Не знаю. С нормативными документами, описывающими процедуры и порядки действий у нас в стране вообще все неплохо. Что делать, у нас знают (не всегда знают КАК, но это уже детали). 

Разработка новых и совершенствование имеющихся РД по разным типам средств защиты у нас все плохо - ни один план, как я писал вчера, так и не был реализован. Та же ситуация и с свершенствованием методической помощи при сертификации. Видимо, все силы соответствующего управления ФСТЭК брошены были на 76-й приказ и на все остальное сил просто не осталось. А может и с частью народа пришлось расстаться и он ушел в 8-е Управлении ФСТЭК по КИИ. Кто знает?.. Но факт есть факт - с разработкой обещанных нормативных документов регулятор не справился.

Вот с безопасным программированием все пока в порядке. ГОСТы пишутся и их немало. Да, пока они не внедрены в полном объеме у разработчиков средств защиты и не совсем понятно, как их соблюдение проверять у субъектов КИИ, от которых это теперь требуется согласно поправкам в 239-й приказ, но лед тронулся.

Если бы ФСТЭК была открытым акционерным обществом и ее акции котировались бы на бирже, то аналитики за такие прогнозы и невыполненный обещания вмиг бы уронили акции компании. Но ФСТЭК у нас регулятор, живущий на деньги граждан и бизнеса государства, и ни на какую биржу она не пойдет и бояться невыполненных обещаний ей не надо. Поэтому остается только надеяться, что после изменения Конституции регулятор не стал считать, что всего его обещания обнуляются и он может начать жизнь с чистого листа... 

ЗЫ. Регулятору бы вернуться к идее краудсорсинга и привлечения экспертов к работе над своими документами. Причем в условиях пандемии к работе вв удаленном режиме. Кредит доверия у регулятора пока еще не исчерпан и найдутся те, кто готов будет помогать регулятору в его благом деле повышения защищенности Российской Федерации и делать это бесплатно. Тем более, что у регулятора всегда есть способы поощрения особо отличившихся помощников - от указания на официально сайте (как это делается с исследователями уязвимостей) и выдачи благодарности за подписью директора ФСТЭК (как не смешно, но этот "приятный пустячок" ценится отдельными специалистами) до выдачи знака отличия "За заслуги в защите информации" или награждения медалью ФСТЭК России "За укрепление государственной системы защиты информации" I или II степени.

ЗЗЫ. На конференции регулятор упоминал, что он внимательно посмотрел мои предложения по улучшению нормативных документов и связанныз с ней деятельностью ФСТЭК (раз, два, три и четыре) и даже что-то готов реализовывать, но я так пока и увидел, где и как они это реализуют (про привязку угроз к защитным мерам выше я написал).