Редакция журнала "Информационная безопасность", 18/12/23
18 декабря исполняется 50 лет со дня основания Гостехкомиссии СССР, которая в 2004 г. стала называться ФСТЭК России. Круглая дата – это не столько повод для торжеств, сколько возможность оглянуться на пройденный путь, посмотреть на перспективы и улыбнуться от осознания нужности и важности дела, которым занимаешься. Редакция журнала “Информационная безопасность” задала вопросы экспертам рынка, чтобы вместе рассмотреть важные вехи проходимого пути.
Михаил Адоньев,
GR-директор ГК “Солар”
Федеральная служба по техническому и экспортному контролю за свой полувековой путь развития, стартовавший от момента создания Гостехкомиссии СССР, обеспечила неоценимый вклад в создание, совершенствование и укрепление государственной системы защиты информации. Деятельность в области защиты информации, как организационная и координирующая, так и исследовательская, нормотворческая, позволяет стабильно обеспечивать устойчивость страны и ее информационную безопасность даже в таких непростых условиях внешнего экономического и политического давления, которые сложились сейчас для нашего государства.
ГК "Солар" присоединяется к многочисленным поздравлениям коллективу ФСТЭК России, гордится уникальным опытом взаимодействия по развитию сферы информационной безопасности и желает коллегам оставаться твердой опорой в этом изменяющемся мире!
– Какие требования стоит осовременить или даже отменить, с учетом изменившейся реальности в вашей области?
– ФСТЭК России анализирует и систематизирует динамику изменений в области информационной безопасности, принимая взвешенные и свое- временные решения. Однако, учитывая стремительное развитие киберугроз, возможно видоизменение регулирования и вывод ряда решений, обязательных для исполнения, из нормативной плоскости для ускорения их применения и реализации.
– Для каких изменений в нормативные требования настало время или настанет в ближайшие 2–3 года в вашей области?
– В каждой отрасли есть своя специфика, которую необходимо систематизировать и учитывать для обеспечения безопасности на должном уровне. Это касается в том числе организации систем и процессов информационной безопасности. Именно формирование инструментов и механизмов регулирования вопросов информационной безопасности на отраслевом уровне в среднесрочной перспективе отразится в нормативных правовых актах.
Сергей Панасенко,
директор по научной работе Компании “Актив”
Поздравляем руководство и коллектив Федеральной службы по техническому и экспортному контролю со столь значительным событием – 50-летием со дня основания!
Желаем Службе в целом, как и раньше, не только успешно руководить отраслью информационной безопасности, но и оказывать позитивное и грамотное управляющее воздействие на множество смежных отраслей.
Желаем сотрудникам ФСТЭК России продолжать находить время и силы на непрерывное отслеживание новых вызовов и угроз, а также методов противодействия им и постоянную разработку и актуализацию требований, позволяющих обеспечить надлежащее высокое качество защиты информации. Ваша работа сложна, но ее результаты крайне важны и полезны для деятельности множества отечественных организаций. Искренне желаем личных успехов, счастья, здоровья и удачи!
– Какие нормативные требования вам показались наиболее интересными для реализации в вашей практической деятельности?
– В нашей повседневной деятельности мы применяем документы ФСТЭК России, относящиеся к различным направлениям, от нормативных документов, определяющих требования к сертифицируемым средствам защиты информации и процессу сертификации, до приказов ФСТЭК (прежде всего, это приказы № 239 от 25.11.2017 и № 31 от 14.03.2014 с последующими изменениями), устанавливающих требования к обеспечению защиты информации в информационных системах различного назначения.
И конечно, стандарты, выпускаемые техническими комитетами по стандатизации при прямом участии ФСТЭК России как в деятельности технических комитетов (в первую очередь это Технический комитет № 362 "Защита информации"), так и в непосредственной раз- работке стандартов.
Наша сертифицированная продукция используется в самых разных проектах, поэтому спектр применяемых документов ФСТЭК России достаточно широк, многие из них являются полезными для нас.
– Какие требования стоит осовременить или даже отменить, с учетом изменившейся реальности в вашей области?
– В современном мире мы живем и работаем в условиях постоянных и существенных изменений как в нашей области деятельности, так и во многих других. Эти изменения происходят во многом благодаря непрекращающемуся техническому прогрессу, который значительно ускорился в последние десятилетия. Но и текущая политическая обстановка, особенно после начала 2022 г., значительно влияет на ситуацию в области обеспечения информационной безопасности и приводит к новым вызовам и угрозам, которым необходимо противостоять. Даже пандемия коронавируса значительно повлияла на отрасль, прежде всего массовым переходом сотрудников различных организаций на удаленную работу и появлением необходимости обеспечения безопасности при таком переходе.
В таких условиях, видимо, стоит говорить не об отмене или осовременивании каких-то частных требований, а о комплексной работе по постоянной и гармоничной доработке существующих нормативных документов и стандартов для их приведения в соответствие с текущими реалиями.
Мы видим, что эта работа ведется непрерывно и успешно. В качестве примера можно привести оперативную реакцию ФСТЭК России на упомянутый переход к удаленной работе, вызванный пандемией коронавируса, когда были в срочном порядке разработаны и выпущены требования, регулирующие и разъясняющие порядок обеспечения защищенной удаленной работы.
– Для каких изменений в нормативные требования настало время или настанет в ближайшие 2–3 года в вашей области?
– С нетерпением ждем появления семейства стандартов по разработке безопасного программного обеспечения (разрабатываемых сейчас в рамках деятельности ТК 362), а также соответствующих изменений в нормативных документах по сертификации средств защиты информации – они уже были анонсированы.
Упомянутые выше приказы ФСТЭК России, прежде всего приказ № 239, устанавливающий требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры, на наш взгляд, также нуждаются в актуализации в соответствии с текущими угрозами и возможностями.
Павел Кузнецов,
директор по стратегическим альянсам и взаимодействию с органами государственной власти группы компаний “Гарда”
ФСТЭК России на протяжении всего срока своей деятельности решает одну из важнейших задач в части инженерно-технической защиты информации – приземляет “космических фантазеров" и систематизирует, классифицирует базу знаний в области информационной безопасности в стройный набор документов и рекомендаций. Это нужная и важная работа, нацеленная на то, чтобы мы все, и производители, и сервис-провайдеры, и клиенты, существовали в едином понятийном инфополе и общались друг с другом на одном языке. Труд этот объемен и непрост. Поэтому желаем ФСТЭК России удачи, сил и свершений на пути!
– Какие нормативные требования вам показались наиболее интересными для реализации в вашей практической деятельности?
– Наиболее интересным показался проект методического документа по моделированию угроз безопасности информации. Отечественная отрасль ИБ оказалась в какой-то момент в ситуации, когда для оценки и моделирования угроз приходи- лось опираться на зарубежные популярные модели, такие как Cyber Kill Chain и MITRE ATT&CK. Безусловно, отличное начинание регулятора – приступить к созданию аналогичного по удобству фреймворка для проведения соответствующего анализа релевантных угроз для каждого защищаемого объекта.
– Для каких изменений в нормативные требования настало время или настанет в ближайшие 2–3 года в вашей области?
– Полагаю, в этой части нет и не будет никаких сюрпризов. Области, где прямо сейчас необходимы усилия, экспертам ФСТЭК России прекрасно известны. Во многом это требования к наиболее популярным средствам защиты информации, например к многофункциональным межсетевым экранам и иным решениям, уже активно применяющимся "в поле", но слабо описанным в нормативно-правовой сфере, в том числе по причине того, что ранее эти ниши были плотно заняты зарубежными производителями, уже покинувшими российский рынок. ФСТЭК России проводит в данном направлении большую работу, хочется пожелать сотрудникам Службы сил в этом непростом деле.
Дмитрий Сатанин,
руководитель направления по работе с госорганами АО “Лаборатория Касперского”
За последние 20 лет ФСТЭК России прошла большой путь развития, существенно нарастив вес и авторитет в отрасли защиты информации. Если в начале 2000-х название “Гостехкомиссия" знал узкий круг профессионалов (большей частью из госорганов), в круг обязанностей которых входили вопросы обеспечения безопасности информации ограниченного распространения и организации электронного документооборота, то сейчас с нормативной базой ФСТЭК России работает практически любая организация, как минимум по вопросам защиты персональных данных. Стоит отметить и открытость ФСТЭК России: уже более десяти лет Служба практикует открытое обсуждение проектов нормативных документов с представителями отрасли. Искренне желаю ФСТЭК России дальнейшей плодотворной работы на очень непростой ниве защиты информации и во благо нашей Родины, а сотрудникам Службы – здоровья и простого человеческого счастья!
– Какие нормативные требования вам показались наиболее интересными для реализации в вашей практической деятельности?
– Среди уже достаточно объемной нормативной базы ФСТЭК России я бы выделил требования по обеспечению безопасности критической информационной инфраструктуры, так как данный документ чрезвычайно актуален в настоящее время. Следует отметить также требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности (Требования доверия) и Методику оценки угроз безопасности информации. Требования доверия являются документом, положения которого обязательны для реализации во всех средствах обеспечения информационной безопасности, соответствие которому дает гарантии отсутствия недокументированных возможностей (в том числе уязвимостей), потенциально способных приводить к нарушениям в работе устройств. Методика оценки угроз безопасности информации имеет очень большое практическое значение, которое трудно переоценить. Ведь практически любая организация, которая задумалась над проблемой своей информационной безопасности, получила доступный инструмент, который позволяет сформировать перечень актуальных для нее угроз и построить соответствующую систему защиты.
– Какие требования стоит осовременить или даже отменить, с учетом изменившейся реальности в вашей области?
– Следует отметить, что ФСТЭК России достаточно оперативно реагирует на изменения области безопасности информации. Например, в требования по обеспечению безопасности критической информационной инфраструктуры, утвержденные в декабре 2017 г., уже трижды вносились изменения: в 2018, 2019 и 2020 гг. А доработка Методики оценки угроз, принятой в начале 2021 г., запланирована на 2024 г.
– Для каких изменений в нормативные требования настало время или настанет в ближайшие 2–3 года в вашей области?
– Нужно понимать, что, вводя в действие новый нормативный документ, ФСТЭК России в первую очередь ставит задачу перед собой, так как именно ФСТЭК России сама должна выполнять большой объем работ по внедрению документа, его популяризации (формирования понимания, зачем он нужен и как с ним работать) и контролю его исполнения. При этом зачастую ФСТЭК России это делает за счет маневра уже имеющимися у нее ресурсами. Поэтому и с учетом сказанного выше я не берусь предлагать какой-то развернутый план работы на ближайшую и среднесрочную перспективы для Службы, но мы бы хотели обратить внимание на направление обеспечения и обоснования доверия к аппаратной базе или программно-аппаратным комплексам в целом по типу Требований доверия, о которых говорилось выше.
Виктор Иванов,
руководитель проектного направления, группа сертификации и лицензирования InfoWatch
Наиболее сильными качествами работы Службы, по моему мнению, в настоящее время являются продуктивность деятельности по формированию требований к современным СЗИ, достаточно высокое качество проработки данных требований, активное взаимодействие с разработчиками СЗИ при разработке проектов нормативных документов, определенная гибкость в отношении ранее принятых решений, несвоевременных в текущей ситуации.
Компания InfoWatch поздравляет ФСТЭК России с 50-летием и искренне желает долгих лет плодотворной работы!
– Какие нормативные требования вам показались наиболее интересными для реализации в вашей практической деятельности?
– Таковыми, по моему мнению, являются Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий (утв. приказом ФСТЭК России от 2 июня 2020 г. № 76) и ГОСТ 56939–2016 "Защита информации. Разработка безопасного программного обеспечения. Общие требования", поскольку оба этих документа существенно, а порой и принципиально меняют подходы к организации жизненного цикла СЗИ.
– Какие требования стоит осовременить или даже отменить, с учетом изменившейся реальности в вашей области?
– Необходимо актуализировать стандарты группы ГОСТ ЕСПД, не обновлявшиеся с 70-х гг. XX века и требующие приведения в соответствие с современной практикой разработки ПО.
Мы поддерживаем нынешнее развитие процесса сертификации в сторону фактического внедрения безопасной разработки, а не построения "потемкинской деревни" в виде разово сертифицированной версии продукта. Однако хотим привлечь внимание к дальнейшей проработке этого вопроса. Так как в реальной жизни требуется частый выпуск продукта, в том числе с целью оперативного устранения уязвимостей и ответов на новые угрозы, то мы выражаем надежду, что в случае сертифицированного процесса разработчикам не придется в каждом выпуске проходить длительную процедуру сертификации. По примеру Республики Беларусь у разработчиков появится возможность сертифицироваться автоматом, если нет принципиальных изменений в возможностях функции безопасности.
– Для каких изменений в нормативные требования настало время или настанет в ближайшие 2–3 года в вашей области?
– На наш взгляд, назрела необходимость разработки и ввода в действие следующих документов:
- стандартов и/или руководящих документов, определяющих требования к средствам динамического анализа ПО;
- методик проверок соответствия процессов безопасной разработки требованиям (ГОСТ 56939–2016);
- стандартов и/или руководящих доку- ментов, определяющих требования к организациям по уровню/качеству контроля за обменом информации как внутри организации, так и с внешними контр- агентами;
- методик проверок соответствия процессов контроля за обменом/оборотом информации в соответствии со стандартами.
Вячеслав Половинко,
руководитель направления собственных продуктов АМТ-ГРУП
От всей души поздравляем коллектив ФСТЭК России с юбилеем! Приятно отметить, что представители Службы всегда приходят на помощь, стараются дать исчерпывающую информацию по процедурам, указанным в нормативных документах, оказать помощь советом, как на практике следует двигаться в ходе выполнении тех или иных требований. Отзывчивость, адекватная оценка рынка, предметность были и остаются сильными сторонами Службы.
– Какие нормативные требования вам показались наиболее интересными для реализации в вашей практической деятельности?
– Переход на уровни доверия и комплексное изменение системы сертификации крайне положительно сказались на качестве продуктов. С одной стороны, были дерегулированы избыточные требования, которые фактически были превращены в рамочные, опорные. С другой стороны, ужесточились и были отрегулированы практические требования к сертифицированным средствам защиты информации. Поэтому приказ ФСТЭК России № 76 считаем одним из наиболее значимых (не единственным) и конструктивных нормативных документов, которые привнесли много положительного в практику производителей СЗИ.
– Какие требования стоит осовременить или даже отменить, с учетом изменившейся реальности в вашей области?
– Уже сейчас Cлужба проводит большую работу по формированию отдельных требований для сертификации каждого вида средств защиты. Мы надеемся, что со временем не останется практически ни одного решения в области ИБ, которое бы не было в той или иной мере охвачено базовыми требованиями. Это позволит, с одной стороны, более полно подойти к формированию референсных архитектур, с другой – упорядочить толь- ко формирующиеся рынки некоторых классов средств защиты.
– Для каких изменений в нормативные требования настало время или настанет в ближайшие 2–3 года в вашей области?
– Нам кажется, что завершение работы по сертификации процессов безопасной разработки – давно назревшее изменение. Проекты нормативных документов уже находятся на экспертизе в Министерстве юстиции. Значимыми будут и уже выпущенный, и последующие документы в этом направлении. Они позволят дополнить существующие требования по сертификации СЗИ и сформировать более безопасную экосистему производства продуктов в целом.
Алексей Парфентьев,
руководитель отдела аналитики “СёрчИнформ”
Специалисты ФСТЭК России не раз помогали нам с экспертизой, всегда активно откликались на различные профессиональные инициативы и открыты для обсуждения проблем и задач ИБ-отрасли. Сотрудники ФСТЭК России принимают участие в наших отраслевых конференциях, выступают с практическими докладами, участвуют в круглых столах и с готовностью откликаются на прямые запросы ИБ-специалистов со стороны компаний-заказчиков.
Считаем, что это показатель высокого профессионализма и желания принести максимальную пользу как разработчикам защитных решений, так и организациям, использующим их. Включенность в проблемы отрасли и проактивное стремление усилить инфобез в России – это необходимые условия для благополучия и безопасности нашей страны!
– Какие нормативные требования вам показались наиболее интересными для реализации в вашей практической деятельности?
– Наиболее значимым я считаю пере- ход на требования по уровням доверия, потому что этот процесс регулирует не только проверку самого исходного кода продукта, но и процесса разработки: придерживается ли вендор без- опасных принципов разработки, про- водит ли проверки самостоятельно, следит ли за версионностью исходников, как происходят обновления. Все это говорит о серьезном подходе к без- опасности на системном уровне, а не какого-то одного сертифицированного продукта.
– Какие требования стоит осовременить или даже отменить, с учетом изменившейся реальности в вашей области?
– Количество угроз ИБ стремительно растет, но методика оценки НДВ остается прежней. Доработка продукта, затрагивающая функции безопасности (а в СЗИ практически любые функции – это функции безопасности), по сути, означает перепроверку ПО, которая занимает время, так как сертификат присваивается конкретным чек-суммам исполняемых фай- лов. У функциональных заказчиков этого времени нет, им нужно прямо сейчас закрывать Zero-Day, но они становятся перед выбором: ждать безопасной проверенной версии СЗИ либо же использовать пока не сертифицированные версии.
– Для каких изменений в нормативные требования настало время или настанет в ближайшие 2–3 года в вашей области?
– Убежден, что необходима официальная методика, государственный стандарт по защите от разглашения либо утечки конфиденциальных данных, в том числе ПДн граждан России. Эта проблема на данный момент носит массовый характер, а по количеству инцидентов и реальному ущербу обгоняет иные киберпреступления, такие как целена- правленные атаки либо атаки на отказ в обслуживании. На данный же момент такого стандарта нет. Более того, нет и обязательных мер в приказах по борьбе с утечками по вине внутреннего нарушителя.
Дмитрий Овчинников, главный специалист отдела комплексных систем защиты ООО “Газинформсервис
Многие мои коллеги, работающие в ИТ-сфере считают, что разные регуляторы только мешают им работать. Однако на самом деле в любой зрелой отрасли, в любом взрослом государстве появляется необходимость в госрегулировании. И ФСТЭК России отлично справляется с этой непростой работой. Ведь в интересах всей страны необходимо защищать информационные системы, причем делать это системно. И всем участникам процесса важно работать в одном направлении. Именно эту работу и выполняют сотрудники ФСТЭК России.
Я хотел бы пожелать им терпения, ведь не все инициативы можно оценить сразу. Как говорил классик, “большое видится на расстоянии".
– Какие нормативные требования вам показались наиболее интересными для реализации в вашей практической деятельности?
– Персонально для меня и для моих служебных обязанностей наиболее интересными показались приказы № 19, № 21 и № 31 о защите данных, не являющихся гостайной, ПДн и технологических систем. В свое время эти приказы хорошо стандартизировали требования по защите информации. В будущем хорошим ходом было бы разработать требования по защите критической ИТ-инфраструктуры. Работы по данному направлению действительно важны, и разнообразные мероприятия типа Standoff и других соревнований среди пентестеров многократно подтвердили необходимость защиты такой инфраструктуры.
– Какие требования стоит осовременить или даже отменить, с учетом изменившейся реальности в вашей области?
– Я бы не сказал, что у нас надо что- то отменять в срочном порядке. Лучшим подходом стало бы создание единых государственных стандартов в области информационной безопасности для всех типов обрабатываемой информации. Например, свежий набор приказов, чтобы любой сотрудник организации мог самостоятельно классифицировать информацию, выбирать необходимый уровень защиты или как минимум проверить существующие системы защиты на соответствие требованиям.
– Для каких изменений в нормативные требования настало время или настанет в ближайшие 2–3 года в вашей области?
– Как человеку, который погружен в тематику мошеннических звонков, социальной инженерии, поддельных номеров и спама, мне кажется, что при- шло время достаточно серьезно заняться проработкой вопросов поражения в социальных правах дроперов и организаторов подставных фирм. С технической стороны уже все готово: есть государственная антифрод-система, есть точечные системы в банках. ФСТЭК России могла бы выступить в роли координатора и технического руководителя в борьбе с подобными преступными деяниями на стыке ИТ и реального мира. Важным направлением, я уверен, становятся работы в части безопасной разработки программного обеспечения и стимулирования использования безопасного года с самых ранних стадий разработки. Я считаю, что с растущей ИБ-грамотностью разработчиков ПО будет повышаться и общая защищенность информационных систем.
