Задача выглядит непосильной, но… дорогу осилит идущий!

BIS Journal №3(42)/2021

17 августа, 2021

Задача выглядит непосильной, но… дорогу осилит идущий!

Требования и рекомендации НПА по ИБ постоянно обсуждаются и совершенствуются. В частности, уже четвёртый год (с 01.01.2018) действует ГОСТ Р 57580.1 [1] (далее — Стандарт), представляющий собой в основе своей каталог мер защиты для ссылок на него в нормативных актах Банка России.

Этот анонсированный ранее подход направлен на сокращение объёма этих нормативных актов, повышение системности в задании требований к мерам защиты и уменьшение опасности появления ошибок и противоречий в задаваемых требованиях. Наверное, можно считать, что эта задача решается.

В то же время практика общения со специалистами банков показывает, что было бы неплохо уже сейчас кое-что уточнить.

1. Согласен с В. А. Окулесским в отношении гармонизации «кирпичей» с требованиями других документов. Как это сделать, не создавая проблем в общении с авторами этих документов? Опыт показывает («письмо шестерых», а не четверых, хотя регуляторов там действительно четыре), что даже в тех случаях, когда есть формальное согласие засчитывать «чужие» требования (не своего ведомства), на местах это зачастую игнорируют. Автор своими ушами слышал заявление представителя областной структуры уважаемого ведомства, сделанное не где-нибудь в кулуарах, а с трибуны регионального совещания, что при проверках информация о соответствии требованиям каких-то там стандартов ЦБ во внимание приниматься не будет. Всё будет как всегда, а письмо? – а письмо – это не приказ.

В связи с этим возможно предложить там, где надо, детализировать «кирпичи» – разделить их на такие кусочки, чтобы из них можно было сложить как требования Стандарта, так и требования других НПА так, чтобы это не требовало доказательств.

Это помогло бы решить и другую задачу. Формулировки многих мер защиты в Стандарте допускают варианты их конкретной реализации, имеются ссылки на другие ГОСТы и нормативные документы (например, приказы ФСТЭК, профили защиты), в которых имеется определённый спектр требований. Регламентирование выбора конкретных требований из возможных, как представляется, существенно облегчило бы как работу «безопасников», так и контроль соответствия.

Тут сама собой вырастает следующая задача – а как это регламентировать? На основании анализа угроз, конечно. Заодно появляется ответ, как реализовать «адаптацию (уточнение) при необходимости выбранного состава и содержания мер защиты информации с учётом модели угроз и нарушителей безопасности информации финансовой организации» (п. 6.3 Стандарта). Один вопрос тянет за собой следующий – а кто и как будет оценивать адекватность модели угроз? Нужны какие-то рекомендации и типовые модели (прототипы). Основа есть [2].

Как всё это увязать вместе? С точки зрения возможности наиболее полного учёта угроз и индивидуализации подбора требований безопасности перспективным представляется использование подхода, реализованного в «Общих критериях» [3], где в соответствующие документы, помимо требований, включаются рассматриваемые угрозы и проводится обоснование включения требований с точки зрения противостояния угрозам. Впрочем, это тема отдельного разговора.

2. Здесь хотелось бы затронуть ещё такой вопрос. Мы молчаливо исходим из того, что представляем себе требования (разных регуляторов) во всём объёме, и дело только в том, как их экономно, но правильно покрыть мерами защиты.

А какие вообще есть требования (по ИБ/защите информации) к финансовым организациям? Вроде бы все (специалисты) о них знают. НО!

Чуть более 5 лет назад по заказу одного крупного российского банка была сделана попытка составить перечень всех обязательных требований, относящихся к ИБ, содержащихся в НПА, распространяющихся на банк. В результате выяснилось, что только содержащих такие требования документов разного уровня – от федеральных конституционных законов до ведомственных актов – около ста двадцати! (на тот момент). Конечно, они имели разный объём и содержание требований, но тем не менее. Плюс ещё полторы-две сотни стандартов, на многие из которых имеются ссылки. Число самих требований вообще привести затруднительно. Перечень органов власти, имеющих те или иные права в отношении защищаемой информации (в банке), тоже оказался больше, чем представлялось вначале. Конечно, далеко не все они имеют право устанавливать требования, но, например, могут запрашивать ту или иную информацию, подлежащую защите по закону. Нужно знать, какие из этих запросов законны, при каких условиях и т. п.

За прошедшие годы число этого всего только увеличилось. Динамика впечатляет.

Если уж пытаться ответить всем требованиям, то есть смысл уточнить, что значит «все», и иметь это хотя бы в качестве ориентира.

Коллеги! Всё это выглядит неподъёмно и, может быть, даже фантастично. Но ведь многого из того, что есть сейчас, тоже ещё недавно не было… Дорогу осилит идущий!

 

[1] ГОСТ Р 57580.1–2017. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер.

[2] Методический документ. Методика оценки угроз безопасности информации. Утверждён ФСТЭК России 5 февраля 2021 г.

[3] ГОСТ Р ИСО/МЭК 15408–2012 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.

ГОСТ Р ИСО/МЭК 15408–2013 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности.

ГОСТ Р ИСО/МЭК 15408–2013 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности.

ГОСТ Р ИСО/МЭК ТО 19791–2008 Информационная технология. Методы и средстваобеспечениябезопасности.Оценкабезопасностиавтоматизированных систем.

Смотрите также