Свобода выбора, или Революция от ФСТЭК
После выхода приказа ФСТЭК № 17 по защите государственных информационных систем (ГИС) прошло уже больше года, а с момента его вступления в силу 1 сентября 2013-го — свыше девяти месяцев. Насколько младенец оказался живуч? Поделюсь только одним наблюдением, которое у меня сформировалось по результатам выступления на различных мероприятиях и после общения с представителями ИТ- и ИБ-сообщества, работающих в государственных и муниципальных организациях, на которых и распространяется данный приказ. Речь пойдет о свободе выбора, которую он дает, и о том, насколько Россия оказалось к этому готовой.
Экскурс в историю
Вопросами защиты информации, чьим владельцем является государство, в России занимаются очень давно. Не одно поколение специалистов по защите информации выросло на нормативной базе, составляющей основу деятельности любого государственного безопасника. И подходы, описанные в этих нормативах, созданные в 1990-х, с тех пор и не менялись. СТР-К, РД на АС (автоматизированные системы) и СВТ (средства вычислительной техники), «четверокнижие» по персональным данным 2008 года, приказ ФСТЭК № 58 2010 года... Какой бы документ мы ни взяли, в нем фиксировалась мысль, что потребитель не должен думать, а должен по военному взять под козырек и выполнить все, что написано в нормативных актах. Один, два, три... шаг влево, шаг вправо не разрешается. Набор защитных мер предопределен и мало учитывает отдельные особенности информационных систем конечных пользователей. Такое ограничение свободы выбора обладало и рядом достоинств, основным из которых была стандартизация защитных мер. Куда бы вы ни пришли — у вас были типовые защитные меры, типовые угрозы, типовые средства защиты. Переход из организации в организацию тоже не представлял никакой сложности — все у всех было одинаковым.
Попытка в конце 1990-х годов переломить ситуацию и внедрить так называемые общие критерии, ориентированные на оценку соответствия ИТ-решений и средств защиты требованиям по безопасности, так и не увенчалась успехом. Помимо негативного отношения к «американскому» стандарту, не была принята и идея свободы выбора защитных функций, которую этот стандарт пропагандировал.
Свобода выбора защитных мер
И вот настают новые времена. В конце 2012 года ФСТЭК затевает революцию — не только унифицирует защитные требования для разных типов информационных систем и защищаемой информации (персональные данные, государственные и муниципальные системы, автоматизированные системы управления технологическими процессами и т. п.), но и уходит от жестко зафиксированного перечня защитных мер. На свет появляется приказ № 17 «Об утверждении требований к защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», который определил совершенно новый алгоритм выбора мер обеспечения информационной безопасности информационных систем, создаваемых или созданных в государственных и муниципальных учреждениях.
Этот алгоритм подразумевает поэтапное выполнение ряда шагов:
· Определение базового набора мер. Базовый набор защитных мер — это не минимально возможный перечень мер защиты, как может показаться с самого начала. Скорее это рекомендуемый перечень мер защиты «по умолчанию», составленный на основе анализа передового опыта («лучших практик»).
· Адаптацию базового набора мер с учетом структурно-функциональных характеристик ИСПДн, ИТ, особенностей функционирования ИСПДн. На этом этапе можно и нужно исключать что-то ненужное в конкретной системе. Например, если у вас нет Wi-Fi, удаленного доступа или взаимодействия с внешним миром, то эти меры, входящие в базовый набор, можно преспокойно не реализовывать.
· Уточнение адаптированного базового набора с учетом не выбранных ранее мер. Учитывая, что общее число защитных мер в документах ФСТЭК приближается к 170, а в базовый набор включено не более половины из них, у владельца информационной системы есть возможность добавить необходимые меры, позволяющие повысить уровень защиты предприятия, например, систему антиспама или DLP, не включенные в базовый перечень.
· Дополнение уточненного адаптированного базового набора мер по обеспечению безопасности ПДн дополнительными мерами, установленными иными нормативными актами. Например, борьба с утечками по техническим каналам будет осуществляться в соответствие с СТР-К, а защита государственных систем общего пользования — в соответствии с совместным приказом ФСБ и ФСТЭК № 416/489.
Свобода определения угроз
Аналогичная ситуация происходит и с моделированием угроз. Раньше составление перечня актуальных угроз также редко стояло на повестке дня, поскольку закрытый список защитных мер уже подразумевал борьбу с наиболее распространенными проблемами и несанкционированными действиями. Но, как и в случае с мерами защиты, отсутствие свободы выбора сыграло злую шутку с многими государственными и муниципальными организациями. За 20 лет ландшафт угроз поменялся кардинально, а защитные меры были по-прежнему ориентированы на замкнутую среду, не имеющую выхода во внешние телекоммуникационные сети.
Новый, 17-й приказ ФСТЭК подразумевает, что перечень актуальных угроз будет составляться самим заказчиком или оператором ГИС на базе методики, которую ФСТЭК должна выпустить текущим летом. Но мы снова сталкиваемся с печальными реалиями: в госорганах просто не хватает людей, способных самостоятельно провести моделирование угроз. Я постоянно слышу упрек в сторону авторов новых документов ФСТЭК, что они не разработали готовую (базовую) модель угроз, что они не разработали таблицу сопоставления угроз и защитных мер, что они... Продолжать можно долго, но суть претензий не меняется — специалисты по защите информации ждут готовых рецептов от регулятора, не понимая, что при таком разнообразии ГИС и применяемых ИТ он не может разработать нечто универсальное.
Для тех, кто не готов моделировать угрозы самостоятельно и пересматривать защитные меры исходя из особенностей своей информационной системы, и предусмотрен базовый набор защитных мер. Но вот насколько он будет учитывать реалии защищаемой системы?..
Компенсационные меры
Идем дальше. Но что если даже при такой свободе выбора какие-то защитные меры реализовать нельзя? Технически невозможно или экономически нецелесообразно? На помощь приходит еще одно ноу-хау ФСТЭК в виде компенсирующих мер, призванных дать возможность заменить одну меру защиты другой, аналогичной по решаемым задачам и уровню обеспечиваемой защищенности. Но мы снова наталкиваемся на реальность, в которой все привыкли бездумно выполнять предписание регулятора. Компенсирующие меры заставляют задуматься о том, чем заместить первоначально определенное в базовом наборе требование защиты.
Например, мы сталкиваемся с ситуацией, что на планшетном компьютере iPad компании Apple мы не можем установить антивирус по причине его отсутствия. А наличие антивируса уже стало стандартом де-факто и включено в базовый перечень защитных мер. Но сейчас я могу посчитать, что это делать либо нецелесообразно, либо дорого, и попробовать заменить антивирус чем-то другим; иными словами, компенсировать отсутствие антивируса. Скажем, создать замкнутую программную среду с помощью MDM-агента, который не допустит попадания на компьютер чего-то постороннего и вредоносного. Или использовать технологию NAC (Network Admission Control), определяющую наличие вредоносного кода при доступе к защищаемой сети. Или вовсе можно перенаправить весь входящий/исходящий трафик через корпоративный периметр и шлюз, который и будет проверять весь трафик на предмет вредоносности. Во всех этих случаях установка антивируса на компьютере или мобильном устройстве становится избыточной и ненужной. Целых три альтернативы! Но ведь на их выбор надо потратить время и нервные клетки, к чему большинство специалистов просто не привыкло, полностью полагаясь на нормативы ФСТЭК.
А вдруг?!..
Вспомним, как было раньше... в СТР-К, в приказе № 58 (а до него в «четверокнижии» по ПДн), в документах по ключевым системам информационной инфраструктуры (КСИИ)? Был жесткий набор требований, которые надо было выполнить в зависимости от класса автоматизированной системы. Жесткий. От и до. Шаг вправо, шаг влево были не предусмотрены. С одной стороны, это вызывало нарекания из-за отсутствия гибкости в выборе защитных мер для различных объектов защиты. Очевидно же, что защитные меры для сервера, планшетного компьютера, ноутбука и смартфона будут различными. С другой — такая жесткость заставляла не думать, а просто делать то, что написано. Сказано, что нужно поставить антивирус и систему разграничения доступа, мобильные устройства запретить, а беспроводной доступ отключить, значит надо именно так и сделать. Все просто. К этой простоте все и привыкли. Шутка ли, эти неизменяемые списки требований в России приняты с 1992 года — больше 20-ти лет прошло.
И вдруг ФСТЭК делает ход конем и дает своим «подопечным» свободу выбора. Критиковали за отсутствие свободы? Получайте. Хотели самостоятельно выбирать защитные меры? Вот вам, пожалуйста. Добивались возможности увязывать список защитных мер с технологией обработки данных, особенностями информационной системы и актуальными угрозами? Вперед, разрешаем! И вот тут произошла нестыковка (я надеюсь, временная). Отвыкли специалисты по защите, нацеленные на выполнение нормативных документов ФСТЭК, от свободы принятия решения. Привыкли, что за них все решает регулятор. Ну ладно бы потребители. Так и лицензиаты, и органы по аттестации тоже отвыкли.
Теперь же надо думать, принимать решения и брать на себя ответственность. Всем сторонам. Заказчик должен теперь самостоятельно определить актуальные для себя угрозы (раньше можно было к этому этапу подойти спустя рукава — список защитных мероприятий от угроз почти не зависел). А еще заказчик может теперь сказать, что та или иная мера экономически нецелесообразна и защищаемая информация дешевле стоимости защитных мер. Мы настолько привыкли к прежнему подходу регулятора, что классический постулат «система защиты не должна стоить дороже защищаемой информации» нами воспринимался как нечто с другой планеты и неприменимое в России. Но сейчас ФСТЭК дала наконец-то возможность на практике реализовать эту аксиому. А заказчик боится. А вдруг я что-то не так сделаю? А вдруг я какую-то угрозу забуду включить в свою модель угроз? А вдруг регулятор или орган по аттестации не согласится с моим мнением о дороговизне средства защиты? А вдруг меня не аттестуют? А вдруг...
Органы по аттестации тоже не могут перестроиться на новые условия работы. Еще бы. Разработав типовые документы и процедуры, можно было штамповать их направо и налево. А сейчас нет. Сейчас каждый заказчик уникален — у него своя модель угроз, своя информационная система, своя граница экономической целесообразности. В итоге система защиты на выходе тоже будет своя, уникальная, отличная от других. Это непривычно. Вот и происходят сплошь и рядом ситуации, когда заказчик, поверив в добрую волю ФСТЭК, сталкивается с неприятием со стороны лицензиата, или лицензиат, пытаясь предложить заказчику новый взгляд на систему защиты, получает «это сложно, давайте по старинке».
А если вспомнить про компенсирующие меры, то ситуация становится и вовсе патовой. Раньше все было четко. Есть требование?! Выполняй. А сейчас я могу экспериментировать. Но это приводит к увеличению числа степеней свободы. Если без компенсирующих мер у меня проблема только с изменяющимся числом защитных мер, то, вводя компенсационные меры, я сталкиваюсь не только с количественными изменениями системы защиты, но и с качественными. Теперь заказчик должен обосновать замену одной меры другой, лицензиат должен с этим согласиться (и наоборот), а орган по аттестации подтвердить. Это ж какой взрыв мозга получается :-)
При всем богатстве выбора...
Когда год назад предложенный ФСТЭК алгоритм выбора защитных мер только появился, я считал это замечательным достижением и подспорьем в деятельности многих специалистов по безопасности. Я и сейчас продолжаю так считать, но практика показывает, что не все готовы быстро перестраиваться под новые изменения. Кого-то устраивает прежняя ситуация. А учитывая отсутствие четкого ответа регулятора по поводу статуса СТР-К, неразбериху с термином «государственная информационная система» и продолжением существования РД на АС, 17-й приказ ФСТЭК внедряется не так быстро, как хотелось бы.
Опубликовано 02.07.2014