пятница, 10 февраля 2017 г.

ИБ. НПА. Новые требования к лицензиатам ФСТЭК - мониторинг

В предыдущей статье мы рассмотрели общие изменения требований к лицензиатам, а также требования Перечню оборудования пентестеров. В этой статье посмотрим на требования в рамках деятельности “в) услуги по мониторингу информационной безопасности средств и систем информатизации”




Рассмотрение самого термина вынес в приложение. А в начале мы рассмотрим варианты мониторинга на практике:
1 вариант. SOC. Тут у нас комплекс средств, персонала и процессов, которые собирают информацию, анализируют и реагируют. Как правило для автоматизации и формализации процессов SOC, а также для красивого представления этой информации заказчику – используется дополнительное web приложение, BI.  Видимо регулятор думал только про этот вариант мониторинга ИБ, когда готовил Перечень оборудования необходимого лицензиатам. 
2 вариант. SIEM.  В данном случае тоже оказывается услуга мониторинга и реагирования, но не применяется никаких надстроек, только коробочный SIEM, в который поставщик услуги не может вносить изменения. Никаких публичных сервисов не применяется. Отчет заказчику на бумаге раз в месяц. Один оператор в одной консоли управления.  
3 вариант. Узконаправленный мониторинг. Например, есть федеральная защищенная сеть и поставщик услуги должен мониторить только криптошлюзы. Например, криптошлюзы vipnet и система их мониторинга statewatcher. Никаких публичных сервисов не применяется. Отчет заказчику на бумаге раз в месяц. Один оператор в одной консоли управления.  (аналогично возможен узконаправленный мониторинг других типов СЗИ в своих специализированных консолях – не SIEM).
4 вариант.  Ручной или полу-ручной мониторинг. Фактически любой аутсорсер регулярно производит хотя бы минимальный мониторинг ИБ: просматривает журналы антивируса или журналы ОС. Зачастую это приходящий админ, который просматривает журналы на местах. Иногда это автоматический сбор журналов в хранилище с последующим ручным анализом. В общем случае это надо рассматривать как взаимодействие АРМ поставщика услуг и управляемого узла заказчика. Многие региональные компании / учреждения и не могут позволить себе более крутого мониторинга.
Причем, если представителей первого варианта от 4 до 15. То остальным мониторингом Иб занимается, наверное, половина текущих лицензиатов ФСТЭК, а это около 1000.

Давайте теперь посмотрим на требуемый к 1 июля 2017 года Перечень оборудования для этих лицензиатов:
А) Межсетевой экран уровня веб-сервера. Контроль и фильтрация в соответствии с заданными правилами информационных потоков по протоколу передачи гипертекста, проходящих через него. Применяется на сервере, обслуживающем сайты, веб-службы и веб-приложения, или на физической границе сегмента таких серверов (сервера). Должен иметь сертификат ФСТЭК России, удостоверяющий его соответствие Требованиям к межсетевым экранам, утверждённым приказом ФСТЭК России от 9 февраля 2016 г. N 9, не ниже чем по 4 классу защиты
Как я специально отмечал, в вариантах 2-4 нет никаких web серверов и публичных сервисов. Данное средство не применимо. Избыточное требование.

Б) Межсетевой экран уровня сети. Контроль и фильтрация в соответствии с заданными правилами информационных потоков, проходящих через него. Применяется на физической границе (периметре) информационной системы или между физическими границами сегментов информационной системы. Должен иметь сертификат ФСТЭК России, удостоверяющий его соответствие Требованиям к межсетевым экранам, утверждённым приказом ФСТЭК России от 9 февраля 2016 г. N 9, не ниже чем по 4 классу защиты
Так как во всех вариантах предполагается удаленное взаимодействие поставщика услуги с заказчиком (как минимум удаленное управление), то требование логичное. Не должен быть сапожник без сапог.

В) Средство (средства) антивирусной защиты, предназначенное (предназначенные) для применения на серверах и автоматизированных рабочих местах информационных систем, и средство (средства) их централизованного администрирования. Должно (должны) иметь сертификат (сертификаты) ФСТЭК России, удостоверяющий (удостоверяющие) соответствие средства (средств) Требованиям к средствам антивирусной защиты, утверждённым приказом ФСТЭК России от 20 марта 2012 г. N 28, не ниже чем по 4 классу защиты.
Также логичное требование. На узлах оператора услуги используем антивирус.

Г) Система обнаружения вторжений.  Автоматизированное обнаружение (за счет сбора и анализа данных сетевого трафика) в информационных системах действий, направленных на несанкционированный доступ к информации, специальные воздействия на неё (носители информации, средства вычислительной техники), и реагирование на них. Должна иметь сертификат ФСТЭК России, удостоверяющий соответствие средства Требованиям к системам обнаружения вторжений, утверждённым приказом ФСТЭК России от 6 декабря 2011 г. N 638, не ниже чем по 4 классу защиты
Обнаруживать вторжения откуда? D вариантах 2-4, у оператора нет никаких web серверов и публичных сервисов. А внутри сети несколько доверенных пользователей. Данное средство не применимо. Избыточное требование.

Д) Средство автоматизированного реагирования на инциденты информационной безопасности. Автоматизированное выявление инцидентов информационной безопасности по заданным индикаторам, идентификация типовых инцидентов и их локализация.
Посмотрите определения в приложении. Автоматическое реагирование не входит в понятие мониторинг ИБ ни в одном из них!!  Заказчику не всегда нужно реагирование. Если это критический объект, автоматическое реагирование может быть вообще запрещено.  Избыточное требование.

Е) Замкнутая система (среда) предварительного выполнения программ (обращения к объектам файловой системы). Изолированная информационная система (её сегмент), представляющая собой среду безопасного выполнения программ (обращения к объектам файловой системы) в целях анализа влияния указанных программ (объектов файловой системы) на безопасность информации
Это такое хитрое название для песочницы. Но в вариантах 2-4 она не применима. Песочницы и проверка подозрительных файлов, это как правило отдельная услуга, заказываемая независимо от мониторинга ИБ.  

Ж) Система управления информацией об угрозах безопасности информации. Сбор и управление информацией, поступающей из различных источников, об угрозах безопасности информации, оповещение операторов информационной системы, предназначенной для мониторинга информационной безопасности, а также операторов средств и систем информатизации, в отношении которых осуществляется мониторинг информационной безопасности, об актуальных угрозах безопасности информации
Быть в курсе актуальных угроз ИБ и уведомлять о них заказчиков, это нормально для любого лицензиата ТЗКИ. Но зачем для этого отдельная Система? Посмотрите на ГосСОПКА и FinCERT – обмен идет по электронной почте. Никакой специальной системы для этого не требуется. 
Почему сбор информации именно из разных источников?   Если источник хороший, то достаточно и одного.
И каким может быть подтверждение наличия у заказчика такой системы?  Лицензия, патент, приказ? В общем – под большим вопросом

З) Система управления событиями безопасности информации. SIEM Автоматизированное обнаружение (за счет сбора и анализа данных о событиях безопасности, регистрируемых программными и программно-техническими средствами) в средствах и системах информатизации признаков несанкционированного доступа к информации и специального воздействия на неё (носители информации, средства вычислительной техники). Должна иметь сертификат соответствия ФСТЭК России
Для варианта 1-2 применимо. Для вариантов 3-4 SIEM не применим и не нужен. Избыточное требование.
Опять же, на соответствие каким требованиям должна быть сертификация. Достаточно ли, например, сертификации на требования к МЭ или САВЗ? Ведь там сертифицирован программный комплекс, включающий в том числе систему управления, которая умеет собирать события безопасности.  Тогда формально корпоративного антивируса в минимальной комплектации с системой управления будет достаточно для этого пункта.

И) Система управления инцидентами информационной безопасности. Централизованная регистрация событий (инцидентов) информационной безопасности средств и систем информатизации, регистрация обращений операторов средств и систем информатизации, в отношении которых осуществляется мониторинг информационной безопасности, оповещение уполномоченных пользователей об инцидентах информационной безопасности, о возможных мерах по их нейтрализации и контроль обработки (нейтрализации) инцидентов информационной безопасности средств и систем информатизации, координация действий участников процесса нейтрализации инцидентов информационной безопасности, формирование и модификация шаблонов инцидентов информационной безопасности, в том числе инструкций по их нейтрализации
Мониторинг ИБ и управление инцидентами ИБ – это несвязанные друг с другом термины. В приказах ФСТЭК – это разные блоки мер защиты. Заказчику мониторинга в вариантах 2-4 зачастую этого не требуется. Избыточное требование.

К) Средство (средства) защиты каналов передачи данных. Должно (должны) обеспечивать конфиденциальность и целостность данных, передаваемых по каналам связи между информационной системой, предназначенной для управления информационной безопасностью, и средствами, и системами информатизации, в отношении которых осуществляется мониторинг. Должно (должны) иметь сертификат (сертификаты) соответствия ФСБ России
С одной стороны, защита каналов связи между клиентом и заказчиком – это логичное требование. С другой стороны, требовать предъявить СКЗИ на этапе получения лицензии – глупо. На российском рынке более 30 вендоров СКЗИ и все они не совместимы между собой. Либо оператору услуги придется покупать все возможные варианты заранее, либо, что более вероятно, получать нужный вариант в момент заключения договора или контракта
К тому же, что даст ФСТЭК России формальное предъявление лицензиатом 1 сертифицированного vipnet клиента? Этого будет достаточно?
Гораздо логичнее добавить в 17 и 21 приказы требования того, что необходима защита событий безопасности, удаленного управления, результатов мониторинга ИБ и т.п. Чтобы заказчик услуги потом требовал это от оператора услуги.

Л) Информационная система, предназначенная для мониторинга информационной безопасности. Информационная система, предназначенная для оказания услуг по мониторингу информационной безопасности средств и систем информатизации, в состав которой входят средства и системы (или их компоненты), содержащиеся в настоящем перечне под NN 27-32, и в которой приняты меры по защите информации для первого класса защищенности государственных информационных систем в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. N 17. Должна располагаться по адресу осуществления лицензируемого вида деятельности
Требованием маловыполнимое в вариантах мониторинга 2-3, когда используются некоторые коробочные решения без собственной разработки.
В конце концов требование защиты по ГИС класса К1 (а также СЗИ 4 класса защищенности) не логично, если осуществляется мониторинг ИСПДн, например, класса УЗ4. Получается, что система мониторинга на стороне оператора будет стоить гораздо дороже системы мониторинга на стороне Заказчика. А единственная причина почему аутсорсинг и услуги по мониторингу ИБ развиваются хоть какими-то вялыми темпами заключается в небольшой экономии.  
Необходимо сформулировать требование так, чтобы в системе мониторинга выполнялись меры защиты, соответствующие классу / уровню защищаемой информационной системы.

Вывод в целом. В Перечне ФСТЭК России с оборудованием необходимым лицензиатам для оказания услуг, имеются некорректные и избыточные требования, которые не могут быть выполнены иными лицензиатами, кроме операторов 1 вариант – SOC. В связи с тем, что услуги SOC (как и ГосСОПКа) дорогие и рассчитаны исключительно на крупные корпорации и федеральные ведомства (по словам владельцев SOC с SOC-forum) - деятельность многих других лицензиатов ФСТЭК окажется вне закона, а региональные   компании, гос. органы и учреждения полностью лишатся возможности мониторинга ИБ.

Предлагаю исключить из перечня избыточные требования к деятельности по мониторингу ИБ, либо определять в официальных документах, что данные требования распространяются только на особый вид мониторинга ИБ, на базе центров оперативного управления ИБ.   Часть требований к оборудованию перенести в приказы ФСТЭК №17, 21, 31 как требования к процессам мониторинга.


ПРИЛОЖЕНИЕ
ГОСТ Р 53114-2008
“А.19 мониторинг: Систематическое или непрерывное наблюдение за объектом с обеспечением контроля и/или измерения его параметров, а также проведение анализа с целью предсказания изменчивости параметров и принятия решения о необходимости и составе корректирующих и предупреждающих действий.
3.5.2 мониторинг информационной безопасности организации; мониторинг ИБ организации: Постоянное наблюдение за процессом обеспечения информационной безопасности в организации с целью установить его соответствие требованиям по информационной безопасности.”
ГОСТ Р 50922-2006
“2.8.7 мониторинг безопасности информации: Постоянное наблюдение за процессом обеспечения безопасности информации в информационной системе с целью установить его соответствие требованиям безопасности информации.”
ГОСТ Р ИСО/МЭК 27001—2006
“А.10.10 Мониторинг - Цель: Обнаруживать несанкционированные действия, связанные с обработкой информации
A.10.10.1 (Ведение журналов аудита) Должны быть обеспечены ведение и хранение в течение определенного периода времени журналов аудита, регистрирующих действия пользователей, нештатные ситуации и события информационной безопасности, в целях помощи в будущих расследованиях и проведении мониторинга контроля доступа
A.10.10.2 (Мониторинг использования средств обработки информации) Должны быть установлены процедуры, позволяющие вести мониторинг и регулярный анализ результатов мониторинга использования средств обработки информации
A.10.10.3 (Защита информации журналов регистрации) Средства регистрации и информация журналов регистрации должны быть защищены от вмешательства и несанкционированного доступа
A.10.10.4 (Журналы регистрации действий администратора и оператора) Действия системного администратора и системного оператора должны быть регистрируемыми
A.10.10.5 (Регистрация неисправностей) Неисправности должны быть зарегистрированы, проанализированы и устранены
A.10.10.6 (Синхронизация часов) Часы всех соответствующих систем обработки информации в пределах организации или охраняемой зоны должны быть синхронизированы с помощью единого источника точного времени”
Приказ ФСТЭК №31
“16.8. В ходе контроля (мониторинга) за обеспечением уровня защищенности автоматизированной системы управления осуществляются:
контроль за событиями безопасности и действиями персонала в автоматизированной системе управления;
контроль (анализ) защищенности информации, обрабатываемой в автоматизированной системе управления, с учетом особенностей ее функционирования;
анализ и оценка функционирования системы защиты автоматизированной системы управления, включая выявление, анализ и устранение недостатков в функционировании системы защиты автоматизированной системы управления;
документирование процедур и результатов контроля (мониторинга) за обеспечением уровня защищенности автоматизированной системы управления;
принятие решения по результатам контроля (мониторинга) за обеспечением уровня защищенности автоматизированной системы управления о необходимости пересмотра требований к защите информации в автоматизированной системе управления и доработке (модернизации) ее системы защиты.
Регистрация событий безопасности РСБ.5 - Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них”


PS: Другие комментарии к новым требованиям можно почитать у Алексея Лукацкого и Андрея Прозорова




среда, 8 февраля 2017 г.

ИБ. НПА. Новые требования к лицензиатам ФСТЭК - пентестеры


Постановления Правительства РФ от15.06.2016 N 541 внесло изменения в Постановление Правительства РФ от 3 февраля 2012 г. N 79 «о лицензировании деятельности по технической защите конфиденциальной информации»

Изменения вступают в силу 17.06.2017.

Давайте вспомним что изменилось:
1) виды работ и услуг:
В ряде случаев вместо “работ и услуг” стало применяться только “услуг по”.
Убрали сертификационные испытания и добавили услуги по мониторингу
- в) сертификационные испытания на соответствие требованиям по безопасности информации продукции …;
+ в) услуги по мониторингу информационной безопасности средств и систем информатизации;

В область лицензирования попала наладка СЗИ.  В СКЗИ-шном лицензировании “наладка” всегда упоминалась. Теперь вот и в ТЗКИ. Когда мы говорится про наладку программного обеспечения очевидно имеется в ввиду его настройка.
- е) установка, монтаж, испытания, ремонт средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации).
+ е) услуги по установке, монтажу, наладке, испытаниям, ремонту средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля эффективности защиты информации).

Сменили термин “Средства контроля защищенности” -> “средства контроля эффективности защиты”.
                Первый был в приказах ФСТЭК
“18.8. Меры по контролю (анализу) защищенности информации должны обеспечивать контроль уровня защищенности автоматизированной системы управления путем проведения мероприятий по выявлению и анализу уязвимостей, контролю установки обновлений программного обеспечения, состава программного обеспечения и технических средств и правильности функционирования средств защиты информации”
Второй из ГОСТ Р 50922-2006
“2.7.3 средство контроля эффективности защиты информации: Средство защиты информации, предназначенное или используемое для контроля эффективности защиты информации.
2.9.1 эффективность защиты информации: Степень соответствия результатов защиты информации цели защиты информации.”

2) От требования к наличию специалистов с образованием -> наличие руководителя с образованием (переподготовкой) и опытом + не менее 2х технических работников с образованием (переподготовкой) + стаж.
Теперь требуется повышать квалификацию (замечу, что минимально допустимый срок повышения квалификации – 16 часов, но среди программ согласованных с ФСТЭК скорее всего придется выбирать от 72 часов) указанных лиц не реже одного раза в 5 лет.  Раньше же лицензиаты вполне могли обходится сотрудниками, получившими высшее образование 10-15 лет назад.

3) Убрали требования к наличию лицензионных ОС, СУБД и другого ПО
4) Вместо наличия средств контроля защищенности -> теперь требуются средства контроля эффективности + средства контроля исходных текстов программного обеспечения

Ну а дальше перейдем к самому нашумевшему – утвержденному директором ФСТЭК России 16 декабря 2016 г. «Перечень контрольно-измерительного и испытательного оборудования, средств контроля защищенности, необходимых для выполнения работ и оказания услуг, установленных Положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79»

Для начала формальные ошибки:
·         ПП №79 в новом варианте требует средства контроля эффективности защиты, а в Перечне – средства контроля защищенности
·         ПП №79 в новом варианте требует средства контроля исходных текстов ПО, а в перечне о нем ни слова

Далее про пентестеров:  на SOС–forum ФСТЭК говорил что эта деятельность входит в лицензируемую “б) услуги по контролю защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации”

Из планируемых изменений в 17 приказ ФСТЭК следовало что пентесты входят и в деятельность по аттестации.

А из Перечня следует, что “Средства, предназначенные для осуществления тестирования на проникновение” применяются в деятельности б, в, г.1, д.1. (контроль защищенности, мониторинг ИБ, аттестация, установка СЗИ). 

Не вижу тут какого-либо противоречия. Просто есть пентестеры – для которых это основной вид деятельности, тогда это деятельность по контролю защищенности.  А есть тестирование которые проводятся в рамках других крупных работ – создании СЗПДн, аттестации (интеграторы или аттестаторы)

Посмотрим какие средства требуются именно пентестерам (услуги по контролю защищенности КИ от НСД) для получения лицензии.
Программные средства формирования и контроля полномочий доступа в информационных (автоматизированных) системах
Должны иметь сертификат соответствия ФСТЭК России
Средства контроля эффективности применения средств защиты информации
Должны иметь сертификаты соответствия ФСТЭК России
Программное средство контроля целостности программ и программных комплексов
Должно иметь сертификат соответствия ФСТЭК России
Система контроля (анализа) защищенности информационных систем
Должна иметь сертификат соответствия ФСТЭК России
Средства, предназначенные для осуществления тестирования на проникновение

На первый взгляд ничего страшного нет. Классический набор + новые средства тестирования на проникновения, под которые пока не требуется сертификат и подойдет пачка опенсорсных утилит с функциями: 

Должны выявлять угрозы безопасности информации путём имитации действий нарушителя, в том числе осуществления сбора данных о проектных решениях и о параметрах настройки средств и систем информатизации, в отношении которых осуществляется мониторинг информационной безопасности, и преодоления (обхода) их систем защиты информации за счет внедрения во вводимые данные структурированных запросов к базам данных, межсайтового исполнения сценариев, некорректного управления сеансами связи, отсутствия подтверждения корректности перенаправлений и эксплуатации других уязвимостей


В следующий раз про мониторинг.



вторник, 7 февраля 2017 г.

СЗПДн. Анализ. Уточнение и повышение штрафов за нарушения в области ПДн

Не смог пройти мимо, раз уж поправки в КоАП были утверждены и опубликованы.

Пункт статьи 13.11 КоАП РФ
Штраф до
Гражданин
Должностное лицо
Юр. лицо
1. Обработка ПДн без оснований или несовместимая с целями сбора ПДн
3 тыс. руб.
10 тыс. руб.
50 тыс. руб.
2. Обработка ПДн без согласия (или неверное согласие) в письменной форме, когда оно необходимо
5 тыс. руб.
20 тыс. руб.
75 тыс. руб.
3. Не опубликование политики обработки и требований защиты
1 тыс. руб.
6 тыс. руб.
30 тыс. руб.
4. Не предоставление информации субъекту ПДн
2 тыс. руб.
6 тыс. руб.
40 тыс. руб.
5. Невыполнение законных требований субъекта ПДн по уточнению, блокированию или удалению
2 тыс. руб.
10 тыс. руб.
45 тыс. руб.
6. Невыполнение требований к безопасному хранению при неавтоматизированной обработке ПДн
2 тыс. руб.
10 тыс. руб.
50 тыс. руб.
7. Невыполнение обязанностей гос. и муниципальных органов по обезличиванию или нарушение правил обезличивания

6 тыс. руб.

ИТОГО в случае множественных нарушений
15 тыс. руб.
68 тыс. руб.
290 тыс. руб.

Уточнили варианты нарушений, повысили штрафы, исключили необходимость возбуждать дела прокурором - теперь РКН может.