Ежегодный форум «Технологии безопасности» в значительной мере интересен активным участием в нем российских регуляторов сферы информационной безопасности. На недавно завершившемся очередном «ТБ Форуме» ФСТЭК России провела отдельную конференцию «Актуальные вопросы защиты информации».
Из многообразия вопросов, относящихся к этой теме заместитель директора ФСТЭК России Виталий Лютиков предложил участникам конференции сосредоточиться на актуализировавшихся за последние полтора пандемических года вопросах обеспечения ИБ при удаленной работе.
Свое выступление он предварил заявлением о том, что ФСТЭК, сославшись на запрос некоторых специалистов, решила не делиться с экспертным сообществом своими долгосрочными планами. Отныне Служба намерена уведомлять общественность только о том, что уже сделано ею, с тем чтобы «не будоражить сознание некоторых специалистов тем, что мы обещали [что-то] и не выполнили; обещать не будем, а будем работать по факту — вышел документ, и все бросились его реализовывать». По этой причине свое выступление он в значительной мере построил как обзор итогов работы Службы в 2020 г.
За прошлый год были подготовлены и внесены изменения в положение о ФСТЭК (указ президента от 31.08.2020 № 535) в части наделения Службы полномочиями по определению порядка аттестации объектов информатизации. По мнению регуляторов, это ускорит разработку и издание нормативно-правовых актов, определяющих обязательность тех или иных связанных с аттестацией процедур, в первую очередь тех из них, за неисполнение которых налагается та или иная ответственность.
После подписания данного указа ФСТЭК приступила к разработке документа, определяющего порядок аттестации объектов информатизации, обрабатывающих закрытую информацию (в настоящее время находится в Минюсте на госрегистрации) и документа, определяющего порядок аттестации объектов, обрабатывающих конфиденциальную информацию — к таким объектам относятся государственные информационные системы, прочие объекты критической информационной инфраструктуры (КИИ), информационных систем персональных данных (дорабатывается по результатам обсуждения экспертным сообществом). Виталий Лютиков подчеркнул, что в результате всех изменений контроль над процессом аттестации, в первую очередь со стороны лицензиатов ФСТЭК, будет усилен.
На протяжении 2020 г., сообщил он, Служба принимала меры к усилению требований доверия к средствам и технологиям обеспечения ИБ. Так, взамен приказа ФСТЭК № 131 от 30.07.2018, устанавливающего такие требования, выпущен приказ ФСТЭК № 76 от 02.06.2020, который в первую очередь усиливает требования к аппаратной составляющей средств защиты информации. Новая редакция также вытесняет из требований аморфные, неоднозначно трактуемые формулировки. При этом, подчеркнул Виталий Лютиков, сертификаты под новые требования следует получать только после окончания сроков действия уже имеющихся.
В декабре 2020 г. ФСТЭК утвердила новую методику выявления уязвимостей недекларированных возможностей в ПО. Документ, по мнению Виталия Лютикова, стал более компактным и понятным. Его рассылка по лабораториям лицензиатов и основным разработчикам системы сертификации начнется ориентировочно с середины февраля. Общая концепция проведения и виды испытаний сохранились, и поэтому, как полагают в ФСТЭК, изменения не должны вызвать трудности у тех, кому методика предназначена.
Наблюдения 2020 г. показывают, что заявители, выходящие на сертификацию разработанного ими ПО с внедренными процедурами безопасной разработки, значительно сокращают время и стоимость процесса сертификации. Действующий стандарт безопасной разработки ПО в настоящее время, согласно планам ФСТЭК, подлежит переработке, при этом, по словам Виталия Лютикова, в новой редакции стандарта будут сохранены общий подход и практики безопасной разработки, одновременно стандарт станет плотнее увязан с процедурами сертификации.
В апреле 2020 г. на общественное обсуждение была представлена методика моделирования угроз и определения угроз ИБ в информационных системах и сетях. Полученные в ходе обсуждения замечания были отработаны, и в ближайшее время ФСТЭК обещает утвердить отредактированный документ. При этом Виталий Лютиков обратил внимание на то, что полная оценка рисков в российских компаниях не приживается: при оценке рисков они, как правило, стремятся минимизировать применение ИБ-средств и технологий, масштабы последствий реализации ИБ-угроз указываются как нулевые, и здесь выручает только привязка рисков к масштабам систем. В то же время оценка угроз без определения негативных последствий их реализации практически невозможна.
В Госдуме в прошлом году были приняты в первом чтении изменения в кодексе об административных правонарушениях, касающиеся обеспечения безопасности КИИ: предусмотрена административная ответственность за невыполнение требований к ИБ значимых объектов КИИ, за непредоставление сведений о категорировании объектов КИИ, за нарушение сроков предоставления сведений о категорировании и нарушение порядка информирования об инцидентах.
Существенной угрозой для компаний при массовом переводе персонала на удаленную работу, согласно наблюдениям специалистов ФСТЭК, стало обеспечение доверия рабочему месту удаленных пользователей.
Оптимальным вариантом обеспечения ИБ удаленно работающих сотрудников по рекомендациям ФСТЭК является обеспечение их удаленным рабочим местом с предустановленным ПО и необходимыми настройками. Однако для большинства компаний такой вариант оказался неподъемно дорогим. На это наложился также быстро сформировавшийся на рынке дефицит ноутбуков. К удаленному доступу в корпоративную сеть с использованием технологии VPN не все оказались готовы, и в силу необходимости поддержки рабочих процессов использовались Интернет и сети общего пользования.
В результате средства удаленного доступа к ресурсам государственных информационных систем априори следует считать недоверенными, не подчиняющимися действующим ИБ-политикам, имеющими существенно увеличившуюся поверхность для кибератак. В то же время, отметил Виталий Лютиков, в государственных компаниях не была проведена связанная с переходом на удаленку коррекция модели угроз. Полагаться только на административные меры обеспечения ИБ удаленной работы невозможно в силу отсутствия возможности контроля их исполнения. Совместно с Минцифры были разработаны решения, направленные на нивелирование новых угроз.
В силу ограниченности финансирования госструктуры редко располагают глубоко эшелонированной ИБ-защитой, ограничиваются минимальным набором средств защиты, их инфраструктура оказалась не готова к нивелированию новых угроз. Эта проблема остается актуальной. Применительно к объектам КИИ ФСТЭК разработала проект требований к обеспечению ИБ при удаленном доступе. Средства обеспечения ИБ удаленного доступа должны будут проходить сертификацию на соответствия этим требованиям. В ближайшее время проект будет представлен на утверждение директору ФСТЭК.