Конференция ФСТЭК: мониторинг ИБ и SOCи
|
16 февраля 2017 |
|
По SOCам на конференции ФСТЭК особо ничего нового не прозвучало, кроме нескольких отдельных моментов:
- Все опубликованные ФСТЭК требования к
SOC (услуге по мониторингу) придуманы не ФСТЭК, а поставщиками услуг
ФСТЭК, которые были приглашены в ноябре в ФСТЭК для обсуждения
требований к новому виду деятельности. Это прозвучало интересно на фоне
того, что во время обсуждения моей заметки
в Фейсбуке, участвующие во встрече поставщики услуг SOC, заявили, что
они были против того, что появилось в финальной версии документа. Если
все были против, а ФСТЭК сама ничего не придумала, то кто все это
придумал?
- Требования к SOC прописаны по максимуму, что было
мотивировано тем, что к владельцу SOC может обратиться владелец ГИС 1-го
класса защищенности и владелец врядли откажется от денег за мониторинг.
Отсюда и максимальные требования. При этом никаких делений по видам
деятельности клиентов не предусмотрено, так как закон о лицензировании
отдельных видов деятельности, как и 79-е Постановление Правительства
также не проводят никакого водораздела.
- Позицию ФСТЭК по списку
обязательного для получении лицензии ФСТЭК оборудования я не понял. С
одной стороны мысль о том, что SOC, имеющий доступ к средствам защиты
заказчика, должен и сам быть защищенным, вполне разумна. Но вот дальше
не совсем понятно. Почему список используемых средств именно такой? И
ЧТО ТАМ ДЕЛАЮТ WAF? На конференции прозвучало, что WAF должен быть не у
SOC, а у заказчика, которого взяли на мониторинг. ЗАЧЕМ??? Если уж SOC
должен быть аттестован на соответствие требованиям к ГИС 1-го класса, то
зачем отдельно устанавливать еще какие-то требования к номенклатуре
средств защиты, применяемых для защиты SOC?
- SOC должен быть
аттестован по требованиям к ГИС 1-го класса. Эта позиция была уже
обоснована выше. Если к владельцу SOC придет владелец ГИС 1-го класса,
то два владельца смогут подружиться, только имея системы с одинаковым
уровнем защиты. А то, что владелец SOC может быть ориентирован только на
малый бизнес и вообще не хотеть работать с госорганами, так это ФСТЭК
не особо волнует, так как они исходят из худшего сценария развития
событий (worst case).
- Непрозвучавшая на конференция тема с
применением только сертифицированных СКЗИ от SOC до объектов мониторинга
особо развернута не была. С одной стороны ФСТЭК утверждает, что это
придумали сами владельцы SOC. С другой - в кулуарах была высказана
версия, что как раз Национальный координационный центр по компьютерным
инцидентам при ФСБ (НКЦКИ), отвечающий за ГосСОПКУ, такие требования
даже не планировал устанавливать, понимая, что это малореально. А
малореально это потому, что существует большое количество сценариев
, где сертифицированных СКЗИ попросту нет. Но владельцы SOC дышат
оптимизмом - в запале дискуссий на эту тему они даже заявляют, что у них
и сейчас клиенты присоединяются к SOC с помощью сертифицированных VPN.
Ситуация с SOCами мне сейчас видится не очень позитивной. С одной
стороны отрадно, что регулятор столь оперативно обратился к ней. А с
другой, выставленные требования не очень-то и разовьют эту нишу рынка
ИБ. И дело тут не в отсутствии конкуренции (иностранным SOCам кислород
перекрыли, видимо, опасаясь сравнения не в свою пользу), а в
недальновидности. Любой только зарождающийся рынок надо развивать и
стимулировать, а не ставить препоны в виде жестких требований, которые в
России способны выполнить единицы. В любом случае посмотрим, что с этой
темой выгорит.
Оставить свой комментарий:
Комментарии по материалу
Данный материал еще не комментировался.