понедельник, 17 февраля 2020 г.

ТБ-ФОРУМ 2020. Итоги.






    12 февраля 2020 прошла традиционная секция ФСТЭК "Актуальные вопросы защиты информации" на ТБ-форуме 2020. Уникальная возможность живого общения с руководителями регулятора разного ранга. Чем же она запомнилась?

     1. Два доклада другого ФОИВ. В топовое время. Минпромторг удостоен великой части. И он не подкачал. Кратко: за все отечественное, против всего иностранного. В принудительном порядке.
     2. Малое количество собственных докладов ФСТЭК. Общий доклад Лютикова +два доклада (сертификация+проект методики по моделированию угроз), не было докладов от воронежского института ФСТЭК.
     3. Полное отсутствие тематики КИИ. С одной стороны, я поддерживаю такой подход. А с другой стороны, активность прокуратуры по выполнению 187-ФЗ вызвала новый всплеск интереса организаций к особенностям выполнения ПП127 и 236 приказа.
      ФСТЭК проигнорировала эту возможность повлиять на умы субъектов КИИ.
     4. Очередная и явная демонстрация внимания публики исключительно к докладам регулятора. Очень наглядно, когда по завершению доклада ФСТЭК, встает и выходит ползала.
     5. Видимо опыт предварительного сбора вопросов по тематики конференции признан неудачным. Оставили ли только опцию "вопросы из зала", причем с плохой организацией процесса (один микрофон на весь зал, который просто не успевают передавать спрашивающему). Если негатив вызван привлечением блогеров, то  РКН собирает вопросы на почту перед своими публичными семинарами.
     6. Сложилось мнение, что деятельность ФСТЭК по регулированию области защиты конфиденциальной информации и безопасности КИИ носит формат "чайка-менеджмент"
   Начинают менять правила в одной области (сертификации, аттестации и т.д.), до конца не доводят и начинают другую. На конференции постоянно звучало от Лютикова В.С., что ФСТЭК признает остроту проблем субъектов/лицензиатов, но приоритеты расставлены по другому - сначала поручения Президента и Правительства. Так что, "проблемы индейцев шерифа не волнуют".
    7. Нам обещано очередное изменение порядка сертификации (для использования в ГИС класса К2 и выше будут предъявляться отдельные требования к аппаратной части)





 и аттестации (порядки аттестации будут различны для разных объектов информатизации (распределенных систем, АРМ, ЦОД, ЛВС), изменят структуру БДУ. Через месяц обещают опубликовать для общественного обсуждения проект методики определения угроз. Интересно, что ничего не озвучено про предстоящие изменения в 17 приказ, хотя они есть в утвержденном плане на 2020 год.










    8. Производители сертифицированных СЗИ не прислушались к рекомендациям ФСТЭК. Так, в информационном сообщении от 29 марта 2019 г. N 240/24/1525 на сайте ФСТЭК было указано "Разработчикам и производителям сертифицированных средств защиты информации рекомендуется с привлечением испытательных лабораторий провести оценку соответствия средств защиты информации Требованиям к уровням доверия и представить результаты в ФСТЭК России для переоформления соответствующих сертификатов соответствия. Действие сертификатов соответствия средств защиты информации, в отношении которых указанная оценка соответствия не будет проведена до 1 января 2020 г. на основании пункта 83 Положения о сертификации средств защиты информации, утвержденного приказом ФСТЭК России от 3 апреля 2018 г. N 55, может быть приостановлено.". На начало года только 11% процентов производителей отреагировало. К 1 июня 2020 года ожидается выполнение требований ФСТЭК 80%. Вообще к производителям сертифицированных СЗИ звучало много нареканий от ФСТЭК. (из 148 СЗИ  переоформлено только 16)
   9. Обещают проведение централизованного обучения специалистов по использованию новой методики моделирования угроз, но формат и учебная база еще не определена.
   10. Шевцов Д.Н. в своем докладе сделал акцент на необходимости корректного и культурного отражения  в блогах критики деятельности ФСТЭК, в том числе и в графической форме (карикатуры).

    Собственно доклады:
Вступительное слово

   
Доклад Минпромторга
Вопросы к Минпромторгу

Комментарий Лютикова к докладу Минпромторга

Доклад Лютикова В.С.

Ответы Лютикова В.С. на вопросы из зала

Доклад Шевцова Д.Н. по сертификации

Доклад Гефнер И.С. по проекту методики определения угроз
Ответы Гефнер И.С. на вопросы из зала



* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite
******Группа вконтакте https://vk.com/klub187fz


10 комментариев:

  1. Спасибо за видео.
    Прокомментирую как разработчик-производитель пункт 8. Ситуация вполне отражает реальное положение вещей, а может быть даже несколько приукрашена. ФСТЭК за несколько лет фактически полностью изменил правила сертификации и дополнил это закручиванием гаек заменой НДВ на уровни доверия. Фактически от сертификации продукции был сделан переход к сертификации процесса её производства. Совершенно естественно, что не все компании поспевают за такими изменениями, потому что они обсуждаются только не публично, нет никакой дорожной карты. А изменения в процесс разработки и производства нужно внести колоссальные. Может быть для тех кто выпускает только СЗИ, тех кто "трется" вокруг регулятора, тех кто помогает регулятору писать правила игры это не проблема и не сюрприз. Но для остальных компаний, для которых сертификация ФСТЭК это не самоцель, а просто одно из множества других требований к продукту, такие изменения довольно болезнены и существенны. Даже на саму внеплановую пересертификацию нужно найти бюджет, не говоря уже про выполнение новых требований... Мы видим зачистку рынка со стороны ФСТЭК.
    Более того, сейчас мы наблюдаем изменение только верхнеуровневой нормативной базы и национальных стандартов, а методики, руководства, ГОСТы регулирующие отдельные вопросы её применения находятся в состоянии черновиков, проектах или же только в очередных планах. Но выполнение их уже требуют - привычная ситуация для госов, но не для каждого бизнеса.

    ОтветитьУдалить
  2. Спасибо за такой развернутый комментарий. Ситуация характерна для всех областей сертификации, не только в области ФСТЭК. На форуме звучали намёки от регуляторов, что производителя СЗИ пора объединится в СРО или подобный формат

    ОтветитьУдалить
  3. Из всех выступлений мне понравилось только выступление Гефнер, более-менее что-то понятное говорила, осталось дело за малым, чтобы эта методика не утонула в дебрях ФСТЭК

    ОтветитьУдалить
    Ответы
    1. Учитывая слова Лютикова, что три раза уже меняли идею методики и именно из-за отсутствия определённости по сути снова отсрочка на месяц. В опасности методика.

      Удалить
  4. ФСТЭК много критикуют. В том числе и потому, что они пытаются донести до общественности свою точку зрения.
    В системе сертификации ФСБ все абсолютно непрозрачно и непредсказуемо, правила игры (если они есть) известны только избранным. Не говоря уже об отсутствии каких бы то ни было методик.
    И никакой критики :)
    ФСБ нужно просто понравиться.

    ОтветитьУдалить
    Ответы
    1. У ФСТЭК просто нет такого административной ресурса для продавливания своих документов, как у ФСБ. Вот и приходится "доносить общественности". Но они уже "наелись народной любви" и максимум нормативки переводят в ДСП. И не будет никакой критики от общественности

      Удалить
  5. Верно. Заодно Воронежский ГНИИИ на пометке ДСП немножко денег заработает...

    ОтветитьУдалить
  6. Презентация Гефнер И.С. с ТБ-форум 2020 http://new.groteck.ru/images/catalog/134537/40067bf09c15c8a3130e9099dfa18fff.pdf?__hstc=205132687.9d15517b4d253c9830d45781ef5cb6e6.1573732658901.1581341713511.1582619050989.10&__hssc=205132687.5.1582619050989&__hsfp=1019734174

    ОтветитьУдалить
  7. Презентация Шевцов Д.Н. с ТБ-форум 2020 http://new.groteck.ru/images/catalog/134535/b5cc102e83bc37f2908075eb47538ab9.pdf?__hstc=205132687.9d15517b4d253c9830d45781ef5cb6e6.1573732658901.1581341713511.1582619050989.10&__hssc=205132687.4.1582619050989&__hsfp=1019734174

    ОтветитьУдалить
  8. Презентация Лютикова В.С. с ТБ-форум 2020 http://new.groteck.ru/images/catalog/134516/7d6463c3669c4f7f8fd17771953850e2.pdf?__hstc=205132687.9d15517b4d253c9830d45781ef5cb6e6.1573732658901.1581341713511.1582619050989.10&__hssc=205132687.3.1582619050989&__hsfp=1019734174

    ОтветитьУдалить