Рубрикатор |
Блоги | Алексей ЛУКАЦКИЙ |
Дифференциация требований по ИБ на примере новой системы сертификации МинОбороны
27 февраля 2020 |
Наблюдая за тем, что делает ФСТЭК (ФСБ тоже), а точнее как, замечаешь
одну вещь. Регулятор воспринимает только два цвета - белое или черное.
Вспоминается дискуссия во время принятия последней редакции
Постановления Правительства о лицензировании отдельных видов
деятельности и перечня требования к лицензиатам на мониторинг ИБ. Кто
помнит, там есть такие пункты, которые обязывают владельца коммерческого
SOC иметь ряд сертифицированных средств защиты, например, SIEM, а также
аттестовать SOC по требованиям ГИС1. Первое требование обходится всеми
российскими SOCами, которые для лицензии покупают один SIEM, а в работе
использует другой :-) И проверять это регулятор не хочет, хотя нередко
упоминает, что они используют стратегию "тайного покупателя". Второе же
требование по сути не только запрещает виртуальные и мобильные SOCи, но и
закрывает доступ на российский рынок вход SOCам иностранным.
Когда обсуждался пункт про аттестацию на ГИС1 доводы ФСТЭК звучали
следующим образом: вдруг к SOCу придет госорган, который захочет купить
услугу мониторинга ИБ для своих ГИС 1-го класса? SOC должен иметь тот же
уровень аттестации. А на закономерный вопрос, что SOCов, к которым
могут прийти госорганы, у нас в стране можно пересчитать по пальцам
одной руки, и поэтому устанавливать в качестве обязательного требования
аттестацию ГИС1 не совсем разумно - это отсечет многие региональные
SOCи, которые будут ориентироваться на малый бизнес, который крупным
федеральным SOCам пока мало интересен. Но увы, деля все на черное и
белое, на все или ничего, регулятор не захотел пересматривать свои
взгляды. И так во всем - сертифицированное или несертифицированное,
отечественное или зарубежное, под контролем или не под контролем,
аттестованная или неаттестованная, лицензиат или нелицензиат...
А возможна ли ситуация с 50 оттенками серого между черным и белым? Да, вполне. Например, так поступило МинОбороны США, которое выпустило на днях систему сертификации компаний с точки зрения кибербезопасности (Cybersecurity Maturity Model Certification), которую должны соблюдать все компании, которые работают с американским военным ведомством, а их число насчитывает около 300 тысяч.
Я не буду подробно рассказывать о самой системе (желающие могут почитать про это сами), а коснусь только ключевых тезисов, показывающих ключевую идею новой системы:
Система CMMC, которую сейчас внедряет американское МинОбороны, находится только в самом начале своего пути и пока еще не отвечает на все вопросы (например, должны ли ей соответствовать поставщики обычного коммерческого софта, продаваемого на открытом рынке; а поставщики в рамках микрозакупок типа канцелярки или поставщики бухгалтерских услуг?). Но сама идея оценки состояния ИБ поставщиков, а также дифференциация требований по ИБ в зависимости от типа контракта и уровня защищаемой информации, является достаточно здравой и позволяющей учесть различные типы компаний, которые работают с министерством, а не грести всех под одну гребенку.
А возможна ли ситуация с 50 оттенками серого между черным и белым? Да, вполне. Например, так поступило МинОбороны США, которое выпустило на днях систему сертификации компаний с точки зрения кибербезопасности (Cybersecurity Maturity Model Certification), которую должны соблюдать все компании, которые работают с американским военным ведомством, а их число насчитывает около 300 тысяч.
Я не буду подробно рассказывать о самой системе (желающие могут почитать про это сами), а коснусь только ключевых тезисов, показывающих ключевую идею новой системы:
- Система разработана не для всех организаций, а только для тех, кто работает с МинОбороны США. Как не хватает нам в России такой же дифференциации. Вот есть требования, они жесткие, но они только для тех, кто имеет доступ к ВПК/ОПК. А вот есть требования для тех, кто работает с госорганами. Они различаются по уровню защищаемой информации. А для тех, кто работает с гражданским сектором требования устанавливаются на основе лучших практик или гражданского законодательства. Но нет... у нас всех под одну гребенку :-(
- Система охватывает не только прямых поставщиков, но и всю цепочку поставщиков. Причем речь идет не о требованиях к продуктам или компонентам, а о требованиях именно к самим компаниям, производящим или поставляющим что-то в интересах военного ведомства. Это связано с тем, что по мнению разработчиков системы, злоумышленники часто действуют не напрямую на военные организации или их прямых подрядчиков, а через поставщиков вплоть до 6-8 уровней.
- Новая система базируется на уже известных требованиях NIST SP800-53, ISO 27001, ISO 27032, NIST SP800-171.
- Малый бизнес, работающий в интересах МинОбороны, очень важен для него, но не всегда в состоянии выполнить те же самые требования, что и крупные игроки типа Lockheed Martin или Raytheon. Поэтому требования системы CMMC являются дифференцированными.
- На сертификацию выделяется 3 года. Невыполнение требований приведет не к штрафу, а к отказу от заключения контрактов. Такое "наказание" выглядит вполне действенным, так как серьезно бьет по карману собственников, не давая им зарабатывать; в отличие от штрафов, которые обычно фиксированные и их легко платить.
- Сертификацию проводят независимые аккредитованные организации, правила выбора и аккредитации которых еще предстоит разработать.
- Все требования по безопасности разбиваются на 5 уровней - от базовой кибергигены до продвинутого. Правила соотнесения определенного военного контракта и нужного уровня соответствия пока неясны - они находятся в разработке.
- Взлом компании не означает потерю контракта или потерю сертификата, но может потребовать повторной сертификации
Система CMMC, которую сейчас внедряет американское МинОбороны, находится только в самом начале своего пути и пока еще не отвечает на все вопросы (например, должны ли ей соответствовать поставщики обычного коммерческого софта, продаваемого на открытом рынке; а поставщики в рамках микрозакупок типа канцелярки или поставщики бухгалтерских услуг?). Но сама идея оценки состояния ИБ поставщиков, а также дифференциация требований по ИБ в зависимости от типа контракта и уровня защищаемой информации, является достаточно здравой и позволяющей учесть различные типы компаний, которые работают с министерством, а не грести всех под одну гребенку.
Оставить свой комментарий:
Комментарии по материалу
Данный материал еще не комментировался.