05.07.2015
Безопасность ГИС: пора жить по-новому
Ровно год назад я написал статью для IT Manager о том, что государственные и муниципальные органы оказались не готовы к революции от ФСТЭК, вытекающей из 17-го приказа, устанавливающего требования по защите информации государственных и муниципальных информационных систем и дающего определенную свободу действий в выборе защитных мер.
И теперь можно уже констатировать, что ФСТЭК действительно затеяла перестройку всего того наследия, которое тяжким грузом лежало на отрасли с начала 90-х годов, когда стала появляться первая открытая нормативная база регулятора. За прошедший год произошли воистину революционные изменения, а часть других ждет своего часа, который должен наступить в ближайшие год-полтора. Чего же стоит ждать государственным и муниципальным учреждениям в контексте защиты информации?
Новая версия приказа № 17
Почти два с половиной года назад, в феврале 2013-го, ФСТЭК выпустила свой 17-й приказ, который сегодня является наиболее детально прописанным документом по безопасности госорганов. Спустя год, в феврале 2014-го, была выпущена методичка, подробно расписывающая, что подразумевалось под той или иной защитной мерой. Однако информатизация госуслуг не стоит на месте, и госорганы внедряют все новые и новые технологии, что заставляет пересматривать и расширять требования по их защите. Поэтому в начале 2015 года ФСТЭК объявила о сборе предложений по развитию 17-го приказа, новая версия которого должна появиться в первом квартале 2016 года. Чего стоит ждать тем, на кого распространяется данный документ? Сейчас говорить об этом сложно, но можно предположить, что в новую редакцию войдут пункты, присутствующие в последовавших за 17-м 21-м и 31-м приказах: управление инцидентами, управление конфигурацией, безопасная разработка программного обеспечения, управление обновлениями, планирование мероприятий по обеспечению защиты информации, обеспечение действий в нештатных ситуациях, информирование и обучение пользователей, а также анализ угроз безопасности информации и рисков от их реализации.
Моделирование угроз
Второй долгожданный документ был опубликован ФСТЭК между майскими праздниками. Речь идет о методике моделирования угроз, которая станет обязательным для государственных и муниципальных органов руководством по определению угроз, актуальных соответственно для государственных и муниципальных информационных систем. И хотя финальный текст должен появиться ближе к осени, уже сейчас можно констатировать, что получился добротный документ, который позволяет, пройдя по его шагам, получить на выходе список актуальных угроз. Из интересных моментов, которые стоит отметить, изучая проект и, видимо, финальный вариант методики можно назвать следующие.
Моделирование должно производиться на разных этапах жизненного цикла информационной системы, а не только в момент ее создания, что не всегда возможно (особенно для систем, уже разработанных и введенных в эксплуатацию).
Угроза может быть реализована не только против самой информации или государственной информационной системы, но и против обслуживающей инфраструктуры, например против DNS-сервера, официального Twitter-канала госоргана, хостинговой площадки или канала связи, которые находятся во владении совершенно иных организаций, не имеющих ничего общего с государственным органом или муниципальным предприятием.
Очень важно, что среди угроз рассматриваются низкое качество обслуживания со стороны обслуживающих информационные системы организаций или низкое качество инженерных систем, которые могут привести к реализации ущерба. Не забыты и косвенные угрозы, например недоступность обновления средств защиты, что в текущих условиях становится вполне реальным. Принимать эти угрозы в качестве актуальных или нет – это вопрос того, кто будет моделировать угрозы, но важно, что этот момент не был забыт авторами методики.
Учтено, что угрозы могут быть реализованы не только на объекты информационной системы, но и на ее пользователей (субъектов) за счет применения методов социальной инженерии. Раньше про это ФСТЭК в своих документах тоже не упоминала. Не забыта «случайная» атака, под раздачу которой может попасть ничего не подозревающая государственная или муниципальная организация, чей сайт располагается на одном сервере с исходной жертвой. Например, такая проблема может возникнуть при веерной DDoS-атаке, которая может зацепить не только прямую жертву, но и сотни других организаций.
Приведена классификация видов нарушителей (от спецслужб до бывших работников), а также возможных мотиваций совершения ими несанкционированных действий. Среди источников угроз названы не только хакеры, группировки или отдельные компании, но также целые государства, что в текущей геополитической ситуации вполне актуальная проблема.
Впервые в документах ФСТЭК дается пример видов ущерба от нарушения триады: конфиденциальности, целостности и доступности. К таким видам ФСТЭК относит экономический (финансовый), социальный, политический, репутационный, технологический и т. п.
Установлен рекомендуемый срок пересмотра модели угроз – раз в год, а также в случае изменения законодательства, конфигурации системы, появления новых уязвимостей или появления фактов о новых возможностях нарушителей. Если предположить, что Сноуден говорил правду, то по новой методике это должно было стать причиной пересмотра модели угроз.
Резюмируя, можно отметить, что у ФСТЭК получился добротный методический документ, который позволит описывать действительно реальные угрозы, нейтрализация которых будет возможна за счет защитных мер из 17-го приказа.
В дополнение к данному документу ФСТЭК разработала банк угроз (bdu.fstec.ru), содержащий сводный перечень угроз, которым можно руководствоваться при определении своего списка актуальных угроз. Этот каталог будет регулярно пополняться для включения в него новых опасностей, с которыми сталкиваются отечественные государственные и муниципальные структуры.
Методические документы
Однако ни 17-й приказ, ни методичка «Меры защиты информации в государственных информационных системах» не могут ответить на все вопросы, возникающие у владельцев, заказчиков и операторов государственных и муниципальных информационных систем. Поэтому ФСТЭК готовит еще шесть новых документов, дополняющих и разъясняющих отдельные моменты 17-го приказа? Это «Порядок аттестации информационных систем», «Порядок обновления программного обеспечения и информационной системы», «Порядок выполнения и устранения уязвимостей в информационных системах», «Защита информации в информационной системе при использовании мобильных устройств», «Порядок реагирования на инциденты, связанные с нарушением функционирования информационной системы» и «Защита информации в информационных системах при применении устройств беспроводного доступа».
Год, несмотря на скепсис отдельных экспертов, прошел не впустую: ФСТЭК разработала проекты первых четырех из шести упомянутых документов, а разработка проектов оставшихся двух документов запланирована на второй квартал этого года.
Совершив революцию с 17-м приказом, ФСТЭК готовит новое потрясение для своих подопечных. Это должно произойти в текущем году с выходом нового порядка аттестации информационных систем, в котором упор будет делаться не только и не столько на чеклисты (как раньше), сколько на способность системы защиты противостоять реальным угрозам безопасности. По сути, новый порядок аттестации является переходным шагом от «бумажной» безопасности к реальной. Эта «новая» аттестация будет сродни аудиту, в рамках которого не столько проверяется соответствие информационной системы неким требованиям, сколько будет анализироваться процесс управления уязвимостями (их обнаружения и устранения), процесс непрерывного мониторинга состояния защищенности и т. п. Иными словами, если раньше организации получали аттестат соответствия и на три года, до следующей аттестации, могли расслабиться, то новая методика будет лучше учитывать именно непрерывный процесс обеспечения защиты информации, повышающий реальную защищенность предприятия в динамическом ландшафте угроз.
Еще один подготовленный документ – порядок обновления программного обеспечения в информационных системах, включая и ПО средств защиты информации. Этот документ должен также поставить точки над i в вопросе: можно ли обновлять сертифицированное средство защиты или установка нового патча изменит контрольную сумму и сертификат перестанет действовать? Насущная проблема для многих потребителей, которые вынуждены выбирать между сертифицированным, но необновленным и, следовательно, уязвимым продуктом и обновленным, но потерявшим сертификат средством защиты.
Управление уязвимостями
Кстати, об управлении уязвимостями. Это еще один вопрос, которому ФСТЭК стал уделять большое внимание. Во-первых, это и соответствующий раздел в новой методике по аттестации информационных систем. Это и раздел в методике обновления программного обеспечения. Наконец, это три новых ГОСТа, которые уже разработаны и находятся на финальной стадии обсуждения:«Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем»; «Защита информации. Уязвимости информационных систем. Правила описания уязвимостей»; «Защита информации. Уязвимости информационных систем. Содержание и порядок выполнения работ по выявлению и оценке уязвимостей информационных систем».
Данные стандарты подведут методическую базу под процесс управления уязвимостями, который упомянут в 17-м приказе ФСТЭК и которому посвящена отдельная методичка ФСТЭК, планируемая к выпуску в ближайшее время.
Ввиду того, что все (даже сертифицированные) сканеры дыр ориентированы на иностранные базы уязвимостей (CVE, NVD и т. п.), а в условиях текущей геополитической ситуации это не совсем правильно, ФСТЭК разработала банк данных уязвимостей, который содержит свыше 10 тыс. описаний проблем в программном обеспечении, активно используемом в государственных и муниципальных учреждениях. Данная база, первый проект которой находится по адресу http://bdu.fstec.ru/, будет активно развиваться, и постепенно сертифицированные в России сканеры безопасности должны будут ссылаться именно на нее, снижая зависимость от зарубежных источников.
Повышение качества ПО с точки зрения безопасности
Но непрерывный мониторинг состояния безопасности и выстроенный процесс управления уязвимостями – это далеко не всё, над чем сейчас трудится ФСТЭК. Очевидно, что зачастую гораздо эффективнее не устранять дыры и последствия от их использования, а вовсе не допускать их появления в программном обеспечении. Этому вопросу посвящен проект нового ГОСТа «Обеспечение безопасной разработки программного обеспечения», призванный повысить качество системного и прикладного ПО. В него вошли четыре основных набора мероприятий - управление конфигурациями, безопасная поставка ПО, защита инфраструктуры разработки ПО и защищенное программирование.
Сертификация и новые требования к средствам защиты информации
Однако любые установленные требования должны быть каким-то образом подтверждены. Для ФСТЭК существует только одна форма оценки соответствия для государственных и муниципальных организаций – обязательная сертификация по требованиям безопасности. ФСТЭК видит в качестве основных направлений совершенствования системы сертификации средств защиты три темы:
- разработка и совершенствование требований к средствам защиты информации и методических подходов к их сертификации;
- совершенствование порядка аккредитации органов по сертификации и испытательных лабораторий;
- совершенствование порядка сертификации средств защиты информации.
Те, кто занимается сертификацией, знает, что испытательные лаборатории иногда, мягко говоря, спустя рукава подходят к процессу. Поэтому ФСТЭК уже пару лет назад как запланировала выпуск типовых программ и методик сертификационных испытаний средств защиты информации. В нынешнем году это должно произойти, так же как и принятие новых правил аккредитации испытательных лабораторий и органов по сертификации.
Большинство потребителей интересует в первую очередь первое направление развития системы сертификации. Оно и понятно. Наибольшее число потребителей сталкивается именно с ним и их важно знать, что будет делать регулятор в ближайшее время. А будет он расширять число типов средств защиты, под которые будут «подложены» свои требования. ФСТЭК в данном случае последовательно выполняет обещанное при выпуске 17-го приказа: под каждое требование, которое может быть закрыто средством защиты, разрабатывает свой руководящий документ (РД) с требованиями к средствам защиты. Запланирована разработка документов с наборами требований для следующих классов защитных средств - межсетевого экранирования, управления потоками информации, идентификации и аутентификации, управления доступом, защиты от несанкционированного вывода (ввода) информации (DLP), контроля и анализа защищенности, разграничения доступа, контроля целостности, очистки памяти, ограничения программной среды, защиты виртуализации, а также требования по защите BIOS, операционных систем и СУБД.
По части защиты от утечек по техническим каналам у ФСТЭК тоже большие планы. В частности, утвердить РД для средств активной защиты информации от утечки по каналам ПЭМИН, средств виброакустической защиты информации, ПЭВМ, защищенных от утечки информации по каналам ПЭМИН, средств пассивной защиты информации от утечки по каналам ПЭМИН и средств защиты информации от утечки за счет микрофонного эффекта.
Рост внимания к стандартизации и гармонизации
Наконец, созданный и курируемый ФСТЭК технический комитет по стандартизации ТК362 при Ростехрегулировании запланировал на ближайшие год-два разработку и утверждение следующих ГОСТов - «Безопасность суперкомпьютерных и грид-технологий», «ИБ виртуализации», «ИБ облачных вычислений», «Документация по технической защите информации на объекте информатизации», «Угрозы безопасности информации», «Номенклатура показателей качества», «Основные термины и определения», а также запланирован перевод и гармонизация 72 стандартов ISO по вопросам обеспечения ИБ, управления ИБ, обеспечения защиты персональных данных и т.п.
Подводя итоги
Подводя итог, можно сделать вывод, что ФСТЭК не просто выпустила в 2013 году 17-й приказ и расслабилась, почивая на лаврах. Нет! ФСТЭК планомерно закрывает наболевшие вопросы в области информационной безопасности государственных и муниципальных учреждений, постепенно повышая их реальную защищенность. Описанные в статье проекты и планы, многие из которых уже реализованы, лишний раз доказывают, что ФСТЭК хочет наверстать упущенное и в условиях нарастания киберугроз подготовить своих подопечных к возможному отражению самых современных атак.
Возможно, не все из перечисленных документов будут приняты в озвученные сроки (все-таки планов очень много, а ресурсов, как обычно, не хватает), но задел сделан большой, и можно констатировать, что ФСТЭК уже не свернет с той дороги, на которую она вступила, разработав 17-й приказ.