«Категория нарушителя повышается и наши модели угроз это не учитывают!» (с) Конференция «Информационная безопасность банков» — о работе с нормативными требованиями

«Категория нарушителя повышается и наши модели угроз это не учитывают!» (с) Конференция «Информационная безопасность банков» — о работе с нормативными требованиями

Одной из особенностей апрельской конференции «Информационная безопасность банков» стало единение «бумажной» ИБ и практической реализации мер по защите информации и кибербезопасности в условиях т.н. «новой реальности».

После 24 февраля оперативные меры по корректировке «нормативки» стали одним из ключевых факторов в повышении защищённости объектов КИИ и иных объектов, деятельность которых критически зависит от устойчивости компьютерной информационной инфраструктуры.

В своих комментариях к сложившейся ситуации Виталий Лютиков, заместитель директора ФСТЭК России, упоминал и скорую актуализацию 149 ФЗ, и упрощение процедур сертификации российских разработчиков, и наполнение новыми смыслами понятийного аппарата ИБ. Последнее относится, в частности, к термину «сложные целенаправленные атаки» (advanced persistent threat, APT), к представлениям о злоумышленнике, организующим такие атаки и о его технологиях кибератак. Как отметил заместитель директора ФСТЭК России, сегодня в первую очередь злоумышленниками стали государства и компании-вендоры. А технологиями для ART-атак становятся отзыв сертификатов и обновлений для «окирпичивания» оборудования. Об этом же говорил и Сергей Корелов (НКЦКИ), который упомянул в одном из своих комментариев об угрозах отзывов сертификатов и отключения части функционала зарубежных средств защиты.

В этих условиях, как отметил заместитель директора ФСТЭК России, регуляторы оперативно вырабатывают, наряду с техническими, также и организационные меры по повышению защищённости объектов, направляя свои рекомендации как в органы регионального и федерального уровня власти, так и субъектам КИИ.

Уместно заметить, что в то время, когда одни игроки рынка предпринимают оперативные меры для исправления ситуации с недочётами в имеющейся «нормативке» (пример – уже упомянутая тенденция к занижению в «мирной» документации категории нарушителя), другие пытаются извлечь выгоды из сложившейся ситуации. В качестве примера можно привести просьбы о приостановлении санкций в отношении финансовых учреждений, не реализовавших до 24 февраля комплекс мер по импортозамещению. О такой инициативе упомянул в ходе ключевой дискуссии Алексей Войлуков, вице-президент Ассоциации банков России.

Авторы инициативы ссылаются на то, что «даже если есть полноценные отечественные аналоги СЗИ, то быстро их внедрить в крупных и средних банках не так просто».

Но зачем быстро? Кто мешал «перекреститься» до того, как «грянул гром»?

Одним из ответов на такую «аргументацию» стала инициатива ФСТЭК по разработке документа по упрощению ряда процедур сертификации российских разработчиков. Как отметил на ключевой дискуссии Виталий Лютиков, этот документ касается и процедурных вопросов, и вопросов, связанных с отработкой отдельных положений требований доверия.

Интересная и знаковая (ИМХО) «перепалка» произошла на ключевой дискуссии между ведущим Владимиром Дрюковым (директор центра противодействия кибератакам Solar JSOC. «Ростелеком-Солар») и заместителем директора ФСТЭК России.

На вопрос представителя «Ростелеком-Солар» о причинах размещения грифа «Для служебного пользования» на ряде документов ФСТЭК, Виталий Лютиков обратил внимание на то, для какой категории работников предназначена эта документация и на сферы их ответственности. А на последующие сетования Владимира Дрюкова о недоступности «грифованных» документов для представителей иностранных вендоров заместитель директора ФСТЭК России вполне резонно обратил внимание «оппонента» не только на юридическую обоснованность такой ситуации, но и на то, что сами иностранные регуляторы де-юре и регуляторы де-факто не спешат в полном объёме знакомить ФСТЭК со своими методическими и нормативными наработками в сфере ИБ и кибербезопасности.

Помимо упомянутых «высокоуровневых» деталей работы с нормативной документацией, на сессии «Практика реализации нормативных требований в области информационной безопасности в финансовом секторе» были затронуты и некоторые частные вопросы из сферы практики выполнения регуляторных требований.

И одна из наиболее актуальных тем по этой части – проведения оценок соответствия требованиям ГОСТ Р 57580.1-2017. Этому вопросу были посвящены доклады АО «ДиалогНаука» (Статистика и опыт проведения оценок соответствия требованиям ГОСТ Р 57580.1-2017) и компании «Дейтерий» (ГОСТ 57580.1-2017 в публичном облаке – аутсорсинг выполнения).

Уместно заметить, что особая актуальность оперативного решения вопросов уточнения «облачной» регуляторики, поставленных докладчиком из компании «Дейтерий», стала ещё более очевидной в ходе обсуждений на Круглом столе «Санкции. Новая старая реальность», в ходе которого были затронуты в т.ч. и вопросы внедрения облачных сервисов в практику средних и малых банков.

Возвращаясь же к сессии «Практика реализации нормативных требований в области информационной безопасности в финансовом секторе» заметим, что обратил на себя внимание доклад компании Spacebit «Автоматизация управления безопасностью конфигураций», анонсировавший предложение рынку нового инструментария для автоматизации процессов, «ручное» управление которыми чревато опасными ошибками.

Полезный методологический доклад «Разработка ОРД с учетом требований по ИБ для финансовых организаций» был представлен компанией Angara Security. В нём был изложен системный подход к решению задачи по подготовке корпоративной «нормативки».

О необходимости в самое ближайшее время принять решение по вопросу о целесообразности и необходимости дальнейшего использования международных и корпоративных стандартов информационной безопасности напомнил слушателям доклад А.П. Курило. Формулировка этого вопроса и была использована в качестве темы доклада.

Однако к постановке проблемы в этой редакции к словам «о целесообразности и необходимости» уместно ИМХО добавить слова «и формах» – «О целесообразности, необходимости И ФОРМАХ дальнейшего использования международных и корпоративных стандартов информационной безопасности».

Ведь говоря о стандартизации, можно с ностальгией вспомнить «жёсткость» системы стандартизации в СССР, когда мы сегодня сталкиваемся с продуктами и лекарствами сомнительного качества или несомненно некачественными. Такая система хороша применительно к устоявшимся базовым отраслям производства, к опасным производствам, к производствам/сферам жизни общества, напрямую влияющим на каждого гражданина (пищевая промышленность, фармацевтическая промышленность, образование, медицинское обслуживание).

Однако «жёсткая» стандартизация может оказаться тормозом в развитии новых отраслей, особенно когда в формировании стандартов заинтересовано большое количество организаций.

При этом вряд ли можно поспорить с тем, что количество, компаний, задействованных, например, в сфере ИТ гораздо больше, чем в металлургии или электроэнергетике, в добывающей промышленности. Централизованная государственная система стандартизации может и не поспевать за инновациями в такой отрасли, может и не отследить и справедливо учесть интересы всех участников рынка.

Зарубежный опыт подсказывает, что в новых высокотехнологичных отраслях более приемлемой формой стандартизации может оказаться т.н. «открытая» стандартизация, которая отличается от «жёсткой» стандартизации большей свободой для участия в процессе принятия стандарта всех заинтересованных сторон процесса. Целью «открытой» стандартизации является поддержание долгосрочного взаимного диалога сторон, участвующих в процессе стандартизации, на основе открытых встреч, достижения консенсуса на каждом этапе согласований (что не исключает использования процедуры постановки на голосование спорных вопросов с одной стороны, и права на апелляцию со стороны несогласных, с другой) и постоянного улучшения стандарта.

Однако в новой реальности, на жизнь в которой ориентировал свои рекомендации А.П. Курило, пока не решён вопрос о том, какого рода компании будут ответственны за развитие ИТ-отрасли страны в «новой реальности» – множество стартапов или несколько крупных игроков. В контексте сказанного практически очевидно, что международные стандарты надо изучать (анализировать), но окончательные решения по их внедрению следует принимать на основе решения именно этого вопроса.