ИБ. Некоторые моменты создания ведомственных и корпоративных центров ГосСОПКА
Недавно прошел двухсерийный
вебинар Positive Technologies посвященный их опыту создания центров ГосСОПКА. С видео и
основными тезисами из вебинара можно ознакомится по ссылке
Тут же хотелось бы обсудить
некоторые интересные цитаты и идеи.
1. На вебинаре ФСТЭК и ФСБ
показаны как противопоставляющие и дополняющие друг друга.
·
ФСТЭК дает
базовые требования. ФСБ дает дополнительные требования”
·
ФСТЭК
требует защиты критических систем – ГИС. ФСБ требует защищенности объекта в
целом
·
ФСТЭК
наказывает за формальное несоблюдение требований. ФСБ наказывает за пропущенные
атаки и инциденты
Может быть это такое желание у PT, но на практике мы не
сталкиваемся с подобным. За инциденты никто не наказывается. Проверок ИБ со
стороны ФСТЭК и ФСБ фактически не проводится, а если проводится, то и тот и
другой регулятор выделяют в нарушения - только обязательные требования.
И при правильном подходе,
требования ФСТЭК к ГИС – это не базовые меры. Если мы правильно подошли к
моделированию угроз, выбору мер защиты, выбору мер усиления – то в итоге
получили все необходимые меры защиты.
Те требования, которые приходят с
ГосСОПКА скорее связаны с обменом информацией в области ИБ и исходят из
аксиомы, что сообщество или группа служб ИБ смогут более эффективно обеспечивать
защиту чем одна отдельная служба ИБ.
2. В качестве одной из обязательных
функций центра ГосСОПКА называется анализ угроз. Давайте посмотрим, что PT подразумевает под этим:
·
Что может
делать нарушитель
·
Какие
следы он может оставить
·
Как
обнаружить эти следы
·
Что делать
если обнаружили
·
Чем можем
пожертвовать
·
Кто может
помочь
Согласитесь, что довольно
странный анализ угроз. Наверное, ЭТО надо было назвать «планированием
реагирования на атаки» или чем-то другим?
3. “Корпоративный или
ведомственный центр ГосСОПКА работает не на ФСБ России, он работает на свое ведомство
или корпорацию и решает их задачи”
Этот ответ на вопросы слушателей
неоднократно повторялся на вебинаре. Все так. Только напомню, что основная идея
ГосСОПКА – обмен информацией и коллективное более эффективное противодействие
атакам.
4. Предлагается персонал центра
ГосСОПКА разделить на 3 линии.
·
Первая линия
–взаимодействие с пользователями, прием заявок, регистрация инцидентов, типовые
действия по инструкции
·
Вторая
линия – квалифицированные, но типовые действия по реагированию
·
Третья
линия – руководство и эксперты
Откуда ведомству или корпорации взять персонал. Предлагается не
набирать 1-2 линию в Москве - большие запросы по зарплате, ведомства ограничены
в окладах, толковых спецов быстро перекупят конкуренты.
PT говорят, что
центр ГосСОПКА территориально не привязан к объектам защиты. Предлагают набирать 1-2 линию в регионах, в
которых есть хорошие ВУЗы, выпускающие ИБ специалистов, такие как Екатеринбург,
Челябинск и другие.
Так что, центры ГосСОПКА - добро
пожаловать в Краснодар. Тут несколько ВУЗов выпускают ИБшников.
Экспертов предлагают на первое время брать на аутсорсинг во внешней
организации, например, в том же PT. А своего достаточно иметь
только Руководителя центра ГосСОПКА.
5. На этом вебинаре PT публично
упомянули новое решение – PT Ведомственный (Корпоративный) Центр. В результате создается
впечатление что именно по материалам PT были разработаны недавние требования ФСТЭК к оборудованию SOC.
Комментарии
2. "Может быть это такое желание у PT, но на практике мы не сталкиваемся с подобным.". Во-первых, ФСТЭК уже несколько лет, еще при Федичеве активно пинал проверяемых за "чисто бумажную безопасность". Даже пентестеров к проверкам привлекал и привлекает. Во вторых, ты и не можешь столкнуться с практикой от ФСБ, потому что для нее пока нет нормативной базы - она должна быть основана на ФЗ "О безопасности критически важной инфраструктуры", который еще не принят, и подзаконных актов к нему. Тем не менее, регулятор предупреждает: его политика будет именно такой, готовьтесь.
3. "Согласитесь, что довольно странный анализ угроз". Ну не могли авторы методических рекомендаций написать прямым текстом: "Парни, та порнография, которую вы почему-то называете "разработкой модели угроз", для практической защиты от компьютерных атак на фиг не сдалась. Делайте вот так". Поэтому они написали коротко - "Делайте вот так" :) Кажется это кому-то странным или нет - делать надо вот так :)
4. "Только напомню, что основная идея ГосСОПКА – обмен информацией и коллективное более эффективное противодействие атакам.". Основная идея ГосСОПКА - научить тех, кто обязан защищаться от компьютерных атак, наконец-таки научиться защищаться от компьютерных атак :) Это - официальная позиция регулятора, ответственного за создание ГосСОПКА, если что. "Обмен" и "коллективное более" - просто вспомогательные инструменты, помогающие решать эту задачу.
5. "В результате создается впечатление что именно по материалам PT были разработаны недавние избыточные требования ФСТЭК к оборудованию SOC."
Вот так, да? Тут, значит, как тот Ролан, грудью встаешь на пути отдельных несознательных личностей, которые на совещании во ФСТЭК пытаются впихнуть в этот перечень еще и IDM, и тебя же подозревают в лоббировании решений компании :) Скажи спасибо, что благодаря моим героическим усилиям, кроме IDM, в перечень не попали еще несколько интересных разновидностей средств защиты :) На днях еще одно совещание, постараемся убрать из перечня еще несколько пунктов.
Эти несколько тезисов я выбрал, так как не для не для всех они очевидны, а значит есть о чем подумать и пообсуждать. В целом на вебинаре было много полезной информации...
Само собой :) Тема вообще неоднозначная, Лютиков, например, насчет раздела про анализа угроз еще жестче высказывается. Но авторы так видят :)
Да в том-то и фигня :) Ну сколько в РФ этих несчастных лицензиатов? Было бы ради чего стараться. А скажут - скажут - что это злобный вендор использовал административный ресурс, чтобы каждый лицензиат прикупил себе немножко сертифицированного XSpider'а с лицензией на пару IP-адресов :)