13.02.2017

Конференция ФСТЭК: общие впечатления

На прошлой неделе прошла конференция “Актуальные вопросы защиты информации”, традиционно проводимая ФСТЭК России. У меня будет еще несколько фокусных заметок по отдельным темам, озвученным на мероприятии, а сейчас я бы хотел тезисно осветить то, что мне запомнилось из общих тем:
  • Уже традиционно могу отметить готовность регулятора к диалогу, умение вести дискуссию, навыки чтения презентаций. Это позитивно и улучшается каждый раз, что я вижу публичные выступления ФСТЭК.
  • Некоторые коллеги обвиняют ФСТЭК в картельном сговоре с крупными разработчиками и интеграторами, которые диктуют свои условия и пытаются монополизировать рынок. Я с этим не могу согласиться, считая взаимодействие ФСТЭК с бизнесом примером государственно-частного партнерства, пусть и не без косяков.
  • Проект нового 17-й приказа появится к концу этого года, когда будут приняты поправки в ФЗ-149 и доработаны в связи с этим требования по защите информации. ФСТЭК обещает выложить проект приказа для всеобщего обсуждения.
  • Из под действия поправок в ФЗ-149 выведены госкорпорации - остались только организации, которые обрабатывают информацию, обладателем которой является государство. На них, а точнее на куски информационной системы, которые обрабатывают такую информацию. Это может быть и госкорпорация, выполняющая работы по госзаказу, и банки, подключившиеся к ГИС ГМП, и многие другие организации. Но на эти куски ИС будет распространяться новый 17-й приказ.
  • Учитывая предыдущий пункт, встает вопрос о способе подтверждения соответствия ИС требования 17-го приказа. Для госорганов (и, возможно, муниципалов) аттестация останется обязательной. Для остальных организаций вопрос с оценкой соответствия будет решаться. Хочу обратить внимание, что в случае принятия законопроекта (а сомневаться в этом не стоит - он разработан во исполнение распоряжения Президента), спектр ИС в госорганах, попадающих под аттестацию расширится. Если раньше это требование многие заказчики распространяли только на ГИС, а вопрос с классификацией ГИС всегда вызывал вопросы, то сейчас совершенно неважно, есть у вас ГИС или нет; достаточно наличия информации, обладателем которой является государство, а у госов - это почти любая система.
  • В новом ФЗ-149 будет установлена обязанность уведомлять ФСТЭК и ФСБ об инцидентах. На эту тему будет принят отдельный НПА, согласованный с двумя регуляторами. Но опять хочу обратить внимание, что данное требование об уведомлении распространяться будет не на организации различных видов собственности, а на вид информации, которая обрабатывается в информационной системе. Произошел, например, у банка инцидент в месте сопряжения с ГИС ГМП, и все, надо уведомлять. На мероприятии была упомянута ГосСОПКА, как тот инструмент, который будет принимать такие уведомления, но прозвучало не очень конкретно - думаю, ясности еще по этому вопросу нет.
  • Когда я описывал промежуточный проект 17-го приказа, я уже упоминал, что пентесты включили в список аттестационных мероприятий со всеми вытекающими отсюда последствиями. На конференции прозвучало, что ФСТЭК решила исключить пентесты из этого вида деятельности. По крайней мере на текущий момент, пока не разработаны соответствующие методические и нормативные документы. Однако по-прежнему пентесты относятся к такому виду деятельности как контроль защищенности.
  • ФСТЭК переходит на новую классификацию сертифицированных средств защиты (6-4 классы для конфиденциалки и 3-1 - для гостайны). Отсюда изменения и в соотнесении этих классов защиты с классами защищенности ГИС и АСУ ТП и уровнями защищенности ИСПДн. В 17-й приказ такие изменения будут внесены в самое ближайшее время, а в 21/31 приказы такие изменения не за горами. Соответственно средства защиты 6-го класса можно будет применять в ГИС и АСУ ТП 3-го класса и в ИСПДн 3-4-го уровней защищенности; средства защиты 5-го класса - в ГИС, АСУ ТП и ИСПДн 2-го класса/уровня, а средства защиты 4-го класса - в ГИС, АСУ ТП и ИСПДн 1-го класса/уровня.

Из ключевых тезисов, пожалуй, все. В следующих заметках попробую пересказать то, что ФСТЭК рассказала о новых требованиях к лицензированию, о SOC, о сертификации средств защиты и о межсетевых экранах.

ЗЫ. Выступал я с презентацией по CSDL.