ИБ. НПА. Новые требования к лицензиатам ФСТЭК - мониторинг

В предыдущей статье мы рассмотрели общие изменения требований к лицензиатам, а также требования Перечню оборудования пентестеров. В этой статье посмотрим на требования в рамках деятельности “в) услуги по мониторингу информационной безопасности средств и систем информатизации”




Рассмотрение самого термина вынес в приложение. А в начале мы рассмотрим варианты мониторинга на практике:
1 вариант. SOC. Тут у нас комплекс средств, персонала и процессов, которые собирают информацию, анализируют и реагируют. Как правило для автоматизации и формализации процессов SOC, а также для красивого представления этой информации заказчику – используется дополнительное web приложение, BI.  Видимо регулятор думал только про этот вариант мониторинга ИБ, когда готовил Перечень оборудования необходимого лицензиатам. 
2 вариант. SIEM.  В данном случае тоже оказывается услуга мониторинга и реагирования, но не применяется никаких надстроек, только коробочный SIEM, в который поставщик услуги не может вносить изменения. Никаких публичных сервисов не применяется. Отчет заказчику на бумаге раз в месяц. Один оператор в одной консоли управления.  
3 вариант. Узконаправленный мониторинг. Например, есть федеральная защищенная сеть и поставщик услуги должен мониторить только криптошлюзы. Например, криптошлюзы vipnet и система их мониторинга statewatcher. Никаких публичных сервисов не применяется. Отчет заказчику на бумаге раз в месяц. Один оператор в одной консоли управления.  (аналогично возможен узконаправленный мониторинг других типов СЗИ в своих специализированных консолях – не SIEM).
4 вариант.  Ручной или полу-ручной мониторинг. Фактически любой аутсорсер регулярно производит хотя бы минимальный мониторинг ИБ: просматривает журналы антивируса или журналы ОС. Зачастую это приходящий админ, который просматривает журналы на местах. Иногда это автоматический сбор журналов в хранилище с последующим ручным анализом. В общем случае это надо рассматривать как взаимодействие АРМ поставщика услуг и управляемого узла заказчика. Многие региональные компании / учреждения и не могут позволить себе более крутого мониторинга.
Причем, если представителей первого варианта от 4 до 15. То остальным мониторингом Иб занимается, наверное, половина текущих лицензиатов ФСТЭК, а это около 1000.

Давайте теперь посмотрим на требуемый к 1 июля 2017 года Перечень оборудования для этих лицензиатов:
А) Межсетевой экран уровня веб-сервера. Контроль и фильтрация в соответствии с заданными правилами информационных потоков по протоколу передачи гипертекста, проходящих через него. Применяется на сервере, обслуживающем сайты, веб-службы и веб-приложения, или на физической границе сегмента таких серверов (сервера). Должен иметь сертификат ФСТЭК России, удостоверяющий его соответствие Требованиям к межсетевым экранам, утверждённым приказом ФСТЭК России от 9 февраля 2016 г. N 9, не ниже чем по 4 классу защиты
Как я специально отмечал, в вариантах 2-4 нет никаких web серверов и публичных сервисов. Данное средство не применимо. Избыточное требование.

Б) Межсетевой экран уровня сети. Контроль и фильтрация в соответствии с заданными правилами информационных потоков, проходящих через него. Применяется на физической границе (периметре) информационной системы или между физическими границами сегментов информационной системы. Должен иметь сертификат ФСТЭК России, удостоверяющий его соответствие Требованиям к межсетевым экранам, утверждённым приказом ФСТЭК России от 9 февраля 2016 г. N 9, не ниже чем по 4 классу защиты
Так как во всех вариантах предполагается удаленное взаимодействие поставщика услуги с заказчиком (как минимум удаленное управление), то требование логичное. Не должен быть сапожник без сапог.

В) Средство (средства) антивирусной защиты, предназначенное (предназначенные) для применения на серверах и автоматизированных рабочих местах информационных систем, и средство (средства) их централизованного администрирования. Должно (должны) иметь сертификат (сертификаты) ФСТЭК России, удостоверяющий (удостоверяющие) соответствие средства (средств) Требованиям к средствам антивирусной защиты, утверждённым приказом ФСТЭК России от 20 марта 2012 г. N 28, не ниже чем по 4 классу защиты.
Также логичное требование. На узлах оператора услуги используем антивирус.

Г) Система обнаружения вторжений.  Автоматизированное обнаружение (за счет сбора и анализа данных сетевого трафика) в информационных системах действий, направленных на несанкционированный доступ к информации, специальные воздействия на неё (носители информации, средства вычислительной техники), и реагирование на них. Должна иметь сертификат ФСТЭК России, удостоверяющий соответствие средства Требованиям к системам обнаружения вторжений, утверждённым приказом ФСТЭК России от 6 декабря 2011 г. N 638, не ниже чем по 4 классу защиты
Обнаруживать вторжения откуда? D вариантах 2-4, у оператора нет никаких web серверов и публичных сервисов. А внутри сети несколько доверенных пользователей. Данное средство не применимо. Избыточное требование.

Д) Средство автоматизированного реагирования на инциденты информационной безопасности. Автоматизированное выявление инцидентов информационной безопасности по заданным индикаторам, идентификация типовых инцидентов и их локализация.
Посмотрите определения в приложении. Автоматическое реагирование не входит в понятие мониторинг ИБ ни в одном из них!!  Заказчику не всегда нужно реагирование. Если это критический объект, автоматическое реагирование может быть вообще запрещено.  Избыточное требование.

Е) Замкнутая система (среда) предварительного выполнения программ (обращения к объектам файловой системы). Изолированная информационная система (её сегмент), представляющая собой среду безопасного выполнения программ (обращения к объектам файловой системы) в целях анализа влияния указанных программ (объектов файловой системы) на безопасность информации
Это такое хитрое название для песочницы. Но в вариантах 2-4 она не применима. Песочницы и проверка подозрительных файлов, это как правило отдельная услуга, заказываемая независимо от мониторинга ИБ.  

Ж) Система управления информацией об угрозах безопасности информации. Сбор и управление информацией, поступающей из различных источников, об угрозах безопасности информации, оповещение операторов информационной системы, предназначенной для мониторинга информационной безопасности, а также операторов средств и систем информатизации, в отношении которых осуществляется мониторинг информационной безопасности, об актуальных угрозах безопасности информации
Быть в курсе актуальных угроз ИБ и уведомлять о них заказчиков, это нормально для любого лицензиата ТЗКИ. Но зачем для этого отдельная Система? Посмотрите на ГосСОПКА и FinCERT – обмен идет по электронной почте. Никакой специальной системы для этого не требуется. 
Почему сбор информации именно из разных источников?   Если источник хороший, то достаточно и одного.
И каким может быть подтверждение наличия у заказчика такой системы?  Лицензия, патент, приказ? В общем – под большим вопросом

З) Система управления событиями безопасности информации. SIEM Автоматизированное обнаружение (за счет сбора и анализа данных о событиях безопасности, регистрируемых программными и программно-техническими средствами) в средствах и системах информатизации признаков несанкционированного доступа к информации и специального воздействия на неё (носители информации, средства вычислительной техники). Должна иметь сертификат соответствия ФСТЭК России
Для варианта 1-2 применимо. Для вариантов 3-4 SIEM не применим и не нужен. Избыточное требование.
Опять же, на соответствие каким требованиям должна быть сертификация. Достаточно ли, например, сертификации на требования к МЭ или САВЗ? Ведь там сертифицирован программный комплекс, включающий в том числе систему управления, которая умеет собирать события безопасности.  Тогда формально корпоративного антивируса в минимальной комплектации с системой управления будет достаточно для этого пункта.

И) Система управления инцидентами информационной безопасности. Централизованная регистрация событий (инцидентов) информационной безопасности средств и систем информатизации, регистрация обращений операторов средств и систем информатизации, в отношении которых осуществляется мониторинг информационной безопасности, оповещение уполномоченных пользователей об инцидентах информационной безопасности, о возможных мерах по их нейтрализации и контроль обработки (нейтрализации) инцидентов информационной безопасности средств и систем информатизации, координация действий участников процесса нейтрализации инцидентов информационной безопасности, формирование и модификация шаблонов инцидентов информационной безопасности, в том числе инструкций по их нейтрализации
Мониторинг ИБ и управление инцидентами ИБ – это несвязанные друг с другом термины. В приказах ФСТЭК – это разные блоки мер защиты. Заказчику мониторинга в вариантах 2-4 зачастую этого не требуется. Избыточное требование.

К) Средство (средства) защиты каналов передачи данных. Должно (должны) обеспечивать конфиденциальность и целостность данных, передаваемых по каналам связи между информационной системой, предназначенной для управления информационной безопасностью, и средствами, и системами информатизации, в отношении которых осуществляется мониторинг. Должно (должны) иметь сертификат (сертификаты) соответствия ФСБ России
С одной стороны, защита каналов связи между клиентом и заказчиком – это логичное требование. С другой стороны, требовать предъявить СКЗИ на этапе получения лицензии – глупо. На российском рынке более 30 вендоров СКЗИ и все они не совместимы между собой. Либо оператору услуги придется покупать все возможные варианты заранее, либо, что более вероятно, получать нужный вариант в момент заключения договора или контракта
К тому же, что даст ФСТЭК России формальное предъявление лицензиатом 1 сертифицированного vipnet клиента? Этого будет достаточно?
Гораздо логичнее добавить в 17 и 21 приказы требования того, что необходима защита событий безопасности, удаленного управления, результатов мониторинга ИБ и т.п. Чтобы заказчик услуги потом требовал это от оператора услуги.

Л) Информационная система, предназначенная для мониторинга информационной безопасности. Информационная система, предназначенная для оказания услуг по мониторингу информационной безопасности средств и систем информатизации, в состав которой входят средства и системы (или их компоненты), содержащиеся в настоящем перечне под NN 27-32, и в которой приняты меры по защите информации для первого класса защищенности государственных информационных систем в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. N 17. Должна располагаться по адресу осуществления лицензируемого вида деятельности
Требованием маловыполнимое в вариантах мониторинга 2-3, когда используются некоторые коробочные решения без собственной разработки.
В конце концов требование защиты по ГИС класса К1 (а также СЗИ 4 класса защищенности) не логично, если осуществляется мониторинг ИСПДн, например, класса УЗ4. Получается, что система мониторинга на стороне оператора будет стоить гораздо дороже системы мониторинга на стороне Заказчика. А единственная причина почему аутсорсинг и услуги по мониторингу ИБ развиваются хоть какими-то вялыми темпами заключается в небольшой экономии.  
Необходимо сформулировать требование так, чтобы в системе мониторинга выполнялись меры защиты, соответствующие классу / уровню защищаемой информационной системы.

Вывод в целом. В Перечне ФСТЭК России с оборудованием необходимым лицензиатам для оказания услуг, имеются некорректные и избыточные требования, которые не могут быть выполнены иными лицензиатами, кроме операторов 1 вариант – SOC. В связи с тем, что услуги SOC (как и ГосСОПКа) дорогие и рассчитаны исключительно на крупные корпорации и федеральные ведомства (по словам владельцев SOC с SOC-forum) - деятельность многих других лицензиатов ФСТЭК окажется вне закона, а региональные   компании, гос. органы и учреждения полностью лишатся возможности мониторинга ИБ.

Предлагаю исключить из перечня избыточные требования к деятельности по мониторингу ИБ, либо определять в официальных документах, что данные требования распространяются только на особый вид мониторинга ИБ, на базе центров оперативного управления ИБ.   Часть требований к оборудованию перенести в приказы ФСТЭК №17, 21, 31 как требования к процессам мониторинга.


ПРИЛОЖЕНИЕ
ГОСТ Р 53114-2008
“А.19 мониторинг: Систематическое или непрерывное наблюдение за объектом с обеспечением контроля и/или измерения его параметров, а также проведение анализа с целью предсказания изменчивости параметров и принятия решения о необходимости и составе корректирующих и предупреждающих действий.
3.5.2 мониторинг информационной безопасности организации; мониторинг ИБ организации: Постоянное наблюдение за процессом обеспечения информационной безопасности в организации с целью установить его соответствие требованиям по информационной безопасности.”
ГОСТ Р 50922-2006
“2.8.7 мониторинг безопасности информации: Постоянное наблюдение за процессом обеспечения безопасности информации в информационной системе с целью установить его соответствие требованиям безопасности информации.”
ГОСТ Р ИСО/МЭК 27001—2006
“А.10.10 Мониторинг - Цель: Обнаруживать несанкционированные действия, связанные с обработкой информации
A.10.10.1 (Ведение журналов аудита) Должны быть обеспечены ведение и хранение в течение определенного периода времени журналов аудита, регистрирующих действия пользователей, нештатные ситуации и события информационной безопасности, в целях помощи в будущих расследованиях и проведении мониторинга контроля доступа
A.10.10.2 (Мониторинг использования средств обработки информации) Должны быть установлены процедуры, позволяющие вести мониторинг и регулярный анализ результатов мониторинга использования средств обработки информации
A.10.10.3 (Защита информации журналов регистрации) Средства регистрации и информация журналов регистрации должны быть защищены от вмешательства и несанкционированного доступа
A.10.10.4 (Журналы регистрации действий администратора и оператора) Действия системного администратора и системного оператора должны быть регистрируемыми
A.10.10.5 (Регистрация неисправностей) Неисправности должны быть зарегистрированы, проанализированы и устранены
A.10.10.6 (Синхронизация часов) Часы всех соответствующих систем обработки информации в пределах организации или охраняемой зоны должны быть синхронизированы с помощью единого источника точного времени”
Приказ ФСТЭК №31
“16.8. В ходе контроля (мониторинга) за обеспечением уровня защищенности автоматизированной системы управления осуществляются:
контроль за событиями безопасности и действиями персонала в автоматизированной системе управления;
контроль (анализ) защищенности информации, обрабатываемой в автоматизированной системе управления, с учетом особенностей ее функционирования;
анализ и оценка функционирования системы защиты автоматизированной системы управления, включая выявление, анализ и устранение недостатков в функционировании системы защиты автоматизированной системы управления;
документирование процедур и результатов контроля (мониторинга) за обеспечением уровня защищенности автоматизированной системы управления;
принятие решения по результатам контроля (мониторинга) за обеспечением уровня защищенности автоматизированной системы управления о необходимости пересмотра требований к защите информации в автоматизированной системе управления и доработке (модернизации) ее системы защиты.
Регистрация событий безопасности РСБ.5 - Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них”


PS: Другие комментарии к новым требованиям можно почитать у Алексея Лукацкого и Андрея Прозорова




Комментарии

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Модель угроз безопасности клиента финансовой организации

КИИ. Категорирование объектов, часть 3