понедельник, 26 сентября 2016 г.

СОИБ. Анализ. Уведомление регуляторов о компьютерных инцидентах

На 20-22 сентября выставке InfoSecurity Russia 2016 Дмитрий Николаевич Шевцов из ФСТЭК России рассказал о планируемых изменениях в 149-ФЗ в части информирования ФСТЭК России и ФСБ России о компьютерных инцидентах.



У меня сразу же возникли вопросы: как, кого и о чем необходимо будет информировать. Обязательно или добровольно? К сожалению, во время доклада никаких подробностей по этой теме не прозвучало. Давайте проведем самостоятельный анализ и попробуем определить, как оно может быть.

Текст законопроекта, о котором говорил Дмитрий Шевцов доступен по ссылке. Он уже прошел общественные обсуждения и антикоррупционную экспертизу. Процитирую его в части касающейся информирования:

"5.2. Операторы государственных информационных систем, а также иных информационных систем, в которых на основании договоров или иных законных основаниях обрабатывается информация, обладателями которой являются государственные органы или государственные корпорации, информируют федеральный орган исполнительной власти в области обеспечения безопасности и федеральный орган исполнительной власти, уполномоченный в области противодействия иностранным техническим разведкам и технической защиты информации, о событиях безопасности, в результате которых нарушено или прекращено функционирование информационной системы и (или) нарушена безопасность обрабатываемой в информационной системе информации (компьютерных инцидентах).»."

Что-то подобное мы уже слышали раньше в рамках концепции ГосСОПКА, не хватало только федерального закона, обязывающего сообщать об инцидентах.

Итак, давайте подумаем, как именно будет производится информирование (автоматически с СЗИ или вручную) и по каким каналам связи (телефон, почта, web портал, ГОССОПКА, отдельная система)?

В документах по ГосСОПКА применяются термин “компьютерная атака” которую надо обнаружить, предупредить, ликвидировать последствия, собирать и анализировать; и “компьютерный инцидент”, по которому необходимо установить причины и которым необходимо обмениваться. Вполне логично что “компьютерная атака” это то что автоматически обнаруживают сенсоры ГосСОПКА и автоматически пересылают в Центры ГосСОПКА. А “компьютерный инцидент” это то, что должно регистрировать вручную и пересылаться вручную же.     

К сожалению, о документе, который “в) определяет порядок обмена информацией между федеральными органами исполнительной власти о компьютерных инцидентах, связанных с функционированием информационных ресурсов Российской Федерации;” пока ничего не известно. А он мог бы пролить свет на то, как это будет.

Давайте посмотрим на самое близкое что уже используют наши регуляторы:

ФСТЭК России мог бы использовать уже существующий web портал БДУ и к имеющимся формам сообщения об уязвимости и угрозе, добавить ещё форму сообщения о компьютерном инциденте.  Единственное чего не хватает – возможности использования электронной подписи (про шутников и поддельные сообщения не надо забывать)

В части ФСБ России вполне можно взглянуть на актуальное в рамках борьбы с терроризмом информирование об инцидентах транспортной безопасности:
Приказ Минтранса №56: “3. Информирование об угрозах совершения и о совершении актов незаконного вмешательства на объектах транспортной инфраструктуры и транспортных средствах субъектами транспортной инфраструктуры и перевозчиками посредством имеющихся средств связи органов Федеральной службы безопасности Российской Федерации и органов внутренних дел Российской Федерации или их уполномоченных структурных подразделений, Федеральной службы по надзору в сфере транспорта и ее территориальных органов осуществляется по месту фактического нахождения объектов транспортной инфраструктуры..
4. Субъекты транспортной инфраструктуры и перевозчики при информировании об угрозах совершения и о совершении актов незаконного вмешательства на объектах транспортной инфраструктуры и транспортных средствах государственных органов, указанных в пункте 2 настоящего Порядка, используют телефонные и радиосредства связи, в случае их отсутствия используют электронные и/или факсимильные средства связи.
9. При представлении информации об угрозах совершения и о совершении актов незаконного вмешательства на объектах транспортной инфраструктуры и транспортных средствах в государственные органы, указанные в пункте 2 настоящего Порядка, по средствам электронной связи в электронном виде, информация подписывается электронно-цифровой подписью лица, заполнившего соответствующее приложение к настоящему Порядку …”

Ну и более-менее свежий пример конкретных контактов из публичного документа:

Как мы видим – основные каналы сбора информации об инцидентах у ФСБ России сейчас это телефон и email.

Ещё можно посмотреть на ЦБ которые в рамках FINCERT собирают информацию об инцидентах на email fincert@cbr.ru в форме указанной в регламенте. Какой-либо электронной подписи не предусмотрено. Упоминается такой вариант защиты как шифрование архива под пароль и передача пароля по альтернативному каналу. Не очень похоже на лучшие практики. Зато в регламенте fincert можно посмотреть содержание информации об инцидентах, которую могут попросить регуляторы.

PS: Отправил запросы в ФСТЭК и ФСБ, посмотрим что подскажут ... 


понедельник, 5 сентября 2016 г.

Обучение. Профессиональные стандарты по ИБ. Часть 2

Продолжение предыдущей статьи. Итак, мы ожидаем в этом году принятие 6 проф. стандартов по ИБ.  Что в них есть? Что с ними делать?
               
В стандартах есть общая функциональная карта



Есть описание обобщенной трудовой функции с указанием наименования должностей, требованиями к образованию и опыту.

Есть описание отдельной трудовой функции с указанием трудовых действий, необходимых знаний и умений.


Как работодатели будут применять эти проф. Cтандарты по ИБ?  
·         цитировать из стандарта требования к образованию, опыту, знаниям и умениям в описании вакансии при поиске персонала
·         проверять соответствие квалификации при найме персонала
·         вносить изменения в действующие трудовые договора/должностные инструкции – приводить описание трудовых функций в соответствии со стандартом
·         оценить квалификацию имеющихся сотрудников по ИБ на соответствие стандарту
·         отправить на повышение квалификации или переподготовку несоответствующих сотрудников либо уволить и нанять на работу соответствующих стандарту
·         учитывать при оплате труда уровни квалификации (в ИБ они достаточно высокие, соответственно и уровень оплаты труда должен быть выше)


 Обязательны ли будут профессиональные стандарты ИБ для применения?

В соответствии с письмом Минтруда РФ от 04.04.2016 № 14-0/10/В-2253
“ТК РФ устанавливает обязательность применения требований, содержащихся в профессиональных стандартах, в том числе при приеме работников на работу, в следующих случаях:
- согласно части второй статьи 57 ТК РФ наименование должностей, профессий, специальностей и квалификационные требования к ним должны соответствовать наименованиям и требованиям, указанным в квалификационных справочниках или профессиональных стандартах, если в соответствии с ТК РФ или иными федеральными законами с выполнением работ по этим должностям, профессиям, специальностям связано предоставление компенсаций и льгот либо наличие ограничений;
- согласно статье 195.3 ТК РФ требования к квалификации работников, содержащиеся в профессиональных стандартах, обязательны для работодателя в случаях, если они установлены ТК РФ, другими федеральными законами, иными нормативными правовыми актами Российской Федерации.”

По поводу ограничений хороший пример – это сотрудники, допущенные к гос. тайне.  На них накладываются ограничения и соответственно они должны соответствовать требованиям к квалификации из стандарта.
По поводу иных НПА – есть требования к лицензиатам и есть Постановление Правительства Российской Федерации от 27.06.2016 № 584 "Об особенностях применения профессиональных стандартов в части требований, обязательных для применения государственными внебюджетными фондами Российской Федерации, государственными или муниципальными учреждениями, государственными или муниципальными унитарными предприятиями, а также государственными корпорациями, государственными компаниями и хозяйственными обществами, более пятидесяти процентов акций (долей) в уставном капитале которых находится в государственной собственности или муниципальной собственности".

В соответствии с этим НПА во всех указанных организациях должны применяться профессиональные стандарты в следующем порядке:
·         разработать план применения профстандартов
o   определить список ПС подлежащих применению – в том числе ИБ
o   провести анализ квалификации сотрудников и определить потребность в обучении
o   выделить этапы применения ПС
·         реализовать план не позднее 1 января 2020 года
Так как во всех организациях есть обязанность назначить ответственного за обеспечение безопасности ПДн в ИСПДн (ПП 1119) а у гос. учреждений назначить ответственного за ЗИ (ПП 399), то будет обязательным как минимум применение ПС “Специалист по защите информации в автоматизированных системах”.

Что ещё интересного можно ждать в области профстандартов для ИБ?  Федеральный закон «О независимой оценке квалификации» № 238-ФЗ от 03.07.2016 вступает в силу 1 января 2017 года.
В соответствии с этим ФЗ работодатели для проверки квалификации могут отправлять сотрудников на независимую оценку в Центр оценки квалификации; либо специалисты могут самостоятельно отправляться на такую оценку – проходить профессиональный экзамен. Национальное агентство развития квалификаций будет вести реестры специалистов подтвердивших свою квалификацию.
До свидания CISSP и CISM. Здравствуй квалифицированный “Специалист по защите информации в автоматизированных системах” и т.п.

Об этом и некотором другом недавно разговаривали на семинаре с учреждениями здравоохранения. Выкладываю презу с данного мероприятия, возможно будет интересной.




воскресенье, 4 сентября 2016 г.

Обучение. Профессиональные стандарты по ИБ. Часть 1

Наверное, все вы сталкивались с тем, что ответственными за защиту информации назначались лица, не имеющие необходимых знаний, умений или опыта подобной работы (ИТ специалисты, кадровики, бухгалтера, специалисты по физ. безопасности и т.п.).   Особенно часто с такой ситуацией можно было столкнуться в небольших организациях или гос. учреждениях.


В 2012 году в ТК РФ внесены изменения связанные с понятиями квалификации работника и профессиональный стандарт.  Далее последовали правила разработки, утверждения и применения профстандартов. (сборник НПА)
“Квалификация работника – уровень знаний, умений, профессиональных навыков и опыта работы работника.
Профессиональный стандарт – характеристика квалификации, необходимой работнику для осуществления определенного вида профессиональной деятельности.”
Собственно, были прописаны 3 области применения стандартов:
·         Работодателями -  формирование кадровой политики, организация обучения, установление системы оплаты труда и т.п.
·         Образовательными организациями – разработка соответствующих учебных программ
·         Росминтрудом – при разработке федеральных гос. образовательных стандартов 

В 2014 году была начата разработка пакета профессиональных стандартов в области информационной безопасности. В марте 2016 года поступила информация, что пакет стандартов был одобрен на заседании национального совета при президенте РФ.

Были выложены сами стандарты и пояснительные записки (ПЗ) к ним:
·         Специалист по автоматизации информационно-аналитической деятельности в сфере безопасности
·         Специалист по безопасности компьютерных систем и сетей
·         Специалист по защите информации автоматизированных систем
·         Специалист по защите информации в телекоммуникационных системах и сетях
·         Специалист по технической защите информации

Кроме этого на 2016 год планировался к разработке стандарт Специалист по криптографической защите информации.

Что особенно понравилось в ПЗ – подробная информация об экспертах, участвующих в разработке стандартов и привлеченных к согласованию и обсуждению. Вплоть до их конкретных предложений. Вот чего не хватало при публичном обсуждении документов по защите ПДн.

Например, возьмём стандарт «защита информации в автоматизированных системах». Разрабатывали 13 экспертов. А к публичным обсуждениям привлекалось уже более 240. Причем большое количество гос. органов: ФСТЭК России, ФСБ России, Банк России, Минтруд России, Академия ФСБ, Минкомсвязи России, Роскомнадзор, МВД России, Минобороны России, Академия ФСО России, ГНИИ ПТЗИ ФСТЭК России, Аппарат совета безопасности РФ, огромное количество образовательных организаций, почти все ведущие российские вендоры, и Зегжда П.Д., на учебниках которого мы все учились – упомянут аж 3 раза.  Есть даже раздел посвященный конкретным предложениям конкретных экспертов:


Если это всё не палочные показатели, а реальная активность – то организаторами проделана огромная работа.

Я ожидал что проф. стандарты по ИБ вот-вот будут утверждены. Но прошло уже немало времени, а утверждения всё нет. По моему запросу получил следующую информацию:
“Данные профессиональные стандарты пока не утверждены Минтрудом России. В настоящее время профессиональный стандарт "Специалист по защите информации автоматизированных систем" проходит утверждение (находится на визировании у юристов). По остальным профессиональным стандартам идет устранение разработчиками замечаний, полученных от экспертов Минтруда России. ”

Ок, будем ждать в этом году.
 А в следующей части подробнее про применение стандартов…