Это школа Соломона Пляра
Школа бальных танцев, Вам говорят.
Две шаги направо, две шаги налево,
Шаг вперед и две назад.
И. С. Руденков
В декабре 2024 года был опубликован проект «Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений», которые идут на смену знаменитому приказу ФСТЭК России №17 устанавливающего требования по защите информации в ГИС. Планируется, что они вступят в силу в 2026 году. Отрадно, что ФСТЭК России проводит большую работу по совершенствованию защиты информации в государственных информационных системах. Главное, чтобы этот процесс шел не по крылатой фразе В. С. Черномырдина: «Хотели как лучше, а получилось как всегда». Вопросов к новому документу много. Наверное, в дальнейшем будут дополнительные разъяснения как его применять. Но хотелось бы сделать так, чтобы лишних вопросов, требующих дополнительных комментариев было меньше. Вот поэтому я и хочу задать несколько вопросов заранее, может быть это поможет немного «подрихтовать» такой нужный документ.
Ох, уж этот великий могучий русский язык
Полтора века назад Иван Сергеевич Тургенев сказал: «Во дни сомнений, во дни тягостных раздумий о судьбах моей родины, — ты один мне поддержка и опора, о великий, могучий, правдивый и свободный русский язык!» [1]. Вот и я, сейчас, в сомнениях. Конечно, классик вряд ли мог себе представить, что к ХХI веку язык пополнится новыми выдуманными словами, заимствованиями и многим другим. Это я о названии нового документа. Очень режет слух: «Требования о защите информации…» Я уж подумал, что, наверное, отстал от норм русского языка. (Правда, и в законах можно найти такое выражение, но насколько это правильно? В наших законах можно еще и не такое увидеть, но это не делает им чести.) Но все-таки, в официальном документе должны, на мой взгляд, использоваться устоявшиеся и узаконенные термины. Оказывается, что я был недалек от истины. Достаточно было глянуть в действующий ГОСТР 50922 «Защита информации. Основные термины и определения»: требование по защите информации — установленное правило или норма, которая должна быть выполнена при организации и осуществлении защиты информации, или допустимое значение показателя эффективности защиты информации [2]. Так что лучше прислушиваться к ГОСТу и не выдумывать новые сущности. Ну, это не главное, это так, записки на полях…
Аналогии из прошлого: зачем два раза наступать на грабли?
Хочу вспомнить историю появления ГОСТ ИСО/МЭК 15408, известного как «Общие критерии», его первую реинкарнацию начала 2000-х годов. Первоначально предполагалось, что владельцы информационных систем могут выбрать из каталога оцененных профилей защиты наиболее подходящий по условиям использования своих информационных систем (именно систем, а не средств защиты) или разработать свой профиль защиты. Такой подход грозил лавинооборазным ростом количества профилей, что, естественно, могло бы существенно затруднить не только сертификацию средств защиты, но и значительно удорожало сам процесс защиты информации [3]. Слава Богу, этого не произошло. Объяснялось это с одной стороны трудностями при разработке профилей — требовалось наличие высококлассных специалистов, что было не по карману многим владельцам информационных систем, а с другой стороны — отсутствием самого депозитария готовых профилей.
Зато весь процесс разработки профилей вошел в нужное русло: профили стали разрабатывать под эгидой ФСТЭК России, профили стали разрабатывать для определенных классов средств защиты (например, межсетевые экраны, операционные системы). И при этом, для каждого класса средств защиты были определены различные типы таких средств защиты (например, тип А, Б, В, etect), А самое главное, требования, изложенные в этих профилях, были детализированы относительно классов защиты информационных систем. То есть, был разработан не один профиль, а семейство профилей для каждого типа средств защиты. Ну, и надо заметить, что все требования в этих профилях были проверены и имели определенный уровень доверия. И теперь, владельцу информационной системы, знающего требуемый класс защищенности своей системы, даже не имея высококлассных специалистов (читай дорогих), было легко выбрать требуемое средство защиты, покрывающее его потребности по степени защиты информации (нейтрализации указанных в профиле угроз безопасности информации) и уровню доверия к реализации функций безопасности. И это хорошо!
Спасение утопающих — дело рук самих утопающих
А что в новых требованиях? Именно оператор должен разработать внутренние стандарты по защите информации, устанавливающие требования к реализации мер по защите информации [4]. При этом, сами мероприятия по реализации в информационных системах мер по их защите и содержащейся в них информации должны включать реализацию базового набора мер защиты информационных систем и содержащейся в них информации соответствующих классов защищенности [5]. То есть, говоря простым языком, Оператор сам должен сформировать требования по защите информации. А сможет ли он это сделать [6]? А есть ли у него достаточное количество квалифицированных специалистов для формирования таких требований? Это же практически разработка профиля защиты для своей информационной системы. По-большому, это требует применения математических(формальных) моделей угроз, которые позволяют провести обоснование требований и выбор нужных мерзащиты с оценкой достигаемой эффективности защиты информации, с решением задач оптимизации построения системы защиты в информационной системе [7].
И мы, вольно или невольно, возвращаемся к ситуации начала 2000 годов со всеми теми трудностями, которые описаны выше. Такой подход приведет к удорожанию системы защиты информации при сомнительном доверии к ее качеству. Ведь принимаемые меры по защите информации должны быть направлены на блокирование (нейтрализацию) актуальных угроз безопасности информации [8]. К сожалению, требования, приведенные в самом документе [9], в этой ситуации не помогут, потому что они не детализированы по классам защищенности информационных систем (о привязке к угроза — будет ниже). Да и что такое «базовый набор мер», который надо адаптировать и верифицировать [10] — не ясно. Учтем также и тот факт, что методический документ, определяющий меры защиты информации [11], который помогал правильно сформировать требования к информационной системе, автоматически прекращает свое действие с отменой приказа ФСТЭК России №17.
А какие проблемы будут при аттестации информационных систем! На что аттестовывать? На требования, которые придумал оператор? Не получится ли здесь как в басне И, А. Крылова [12]? Ведь оператор, как лицо заинтересованное, придумает не те меры, которые требуются для определенного уровня защиты, а те, что попроще, подешевле. Кто может гарантировать достаточность принимаемых оператором мер защиты? Вопрос открытый.
Мне возразят, мол, можно использовать требования профилей защиты для средств защиты соответствующего класса защищенности информационной системы. Вроде бы так, но, к сожалению, существующие семейства профилей не перекрывают весь спектр мер, предусмотренных новыми требованиями [13], следовательно, это и не реально. Вот и получается, что оператор брошен в бурный поток защиты информации, а выплывет он или нет — это сугубо его дело.
Что в лоб, что полбу
Сейчас требования к мерам по защите информации не привязаны к угрозам. В новых требованиях угрозы не привязаны к требованиям. Об этом мы говорим уже не первый раз и не первый год [14]. В требованиях, введенных приказом ФСТЭК России №17, есть абзац: «Требования к системе защиты информации информационной системы определяются в зависимости от класса защищенности информационной системы и угроз безопасности информации, включенных в модель угроз безопасности информации [15]». И далее: «В качестве исходных данных для определения угроз безопасности информации должен использоваться банк данных угроз безопасности информации» (bdu.fstec.ru). Но это только декларация! На самом деле меры защиты выбираются исходя из класса защищенности информационной системы, который, определяется совсем по другим критериям, но никак не отталкиваясь от угроз. Ну здесь хотя бы есть альтернатива: если не от угроз, то хоть от класса защищенности информационной системы.
Да и сам банк данных угроз, на который дается ссылка, никак не говорит какую угрозу каким методом можно устранить или ослабить. Нет взаимосвязи между самими угрозами и теми мерами, которые позволяют их нейтрализовать. Получается, что в данном случае угрозы, вернее модель угроз, построенная на их основе, выступает в качестве некоего «сферического коня в вакууме».
Правда, на просторах Интернета можно найти некие таблицы, где сопоставляются угрозы безопасности информации мерам защиты, изложенным в приказах ФСТЭК России [16], но это, к сожалению, только личное мнение блогера (хотя и правильное и вполне разумное).
В новых же требованиях, вообще нет альтернативы: «Модель угроз безопасности информации … должна использоваться в качестве исходных данных для разработки и внедрения мер по защите информации, а также для выбора средств защиты информации и их функциональных возможностей в ходе создания (развития) подсистем защиты информации информационных систем [17]». Здесь нигде ничего не сказано о классах защищенности информационных систем, да и привычной таблицы мер тоже нет.
Безусловно, сама идея — использовать модель угроз при выборе мер защиты — абсолютно верная. Однако, не отрицая важности самого процесса оценки угроз безопасности информации при выборе адекватных мер защиты, такая идея действительно будет работать, если каждой угрозе будет сопоставлена соответствующая мера или совокупность мер защиты информации с обязательной оценкой доверия к ее эффективности (и вряд ли это под силу специалистам оператора, ответственным за формирование требований по защите информации для своих информационных систем). А пока этого нет — подход, изложенный в новых Требованиях, вряд ли можно реализовать. Ну, точно как у дедушки Крылова: «Вертит Очками так и сяк: То к темю их прижмёт, то их на хвост нанижет, То их понюхает, то их полижет; Очки не действуют никак [18]». И происходит это по банальной причине: нет связи между угрозами и мерами.
И еще, по поводу использования модели для выбора средств защиты и их функциональных возможностей. Эх, эти бы слова, да Богу в уши…
P.S. Я, конечно, не ретроград, но все же золотое правило IТ-шников: «работает — не трогай!» бывает справедливым…
[1] И. С. Тургенев, заметка «Русский язык», 1882 г.
[2] ГОСТ Р 50922-2006: Защита информации. Основные термины и определения, п. 2.9.2
[3] Я уже как-то писал об этом, см. BIS JOURNAL №1 / 2020, С. Вихорев, «Перемен! — требуют наши сердца»
[4] П. 23 проекта Требований
[5] П. 53 проекта Требований
[6] См. также BIS JOURNAL №1 / 2020, Ю. Язов, «Вершина айсберга во тьме».
[7] См. BIS JOURNAL №2 / 2021, Ю. Язов, «Нищета… знаний о БДУ»
[8] П. 30 проекта Требований
[9] Раздел III проекта Требований
[10] П. 53 проекта Требований
[11] «Методический документ. Меры защиты информации в государственных информационных системах», утв. ФСТЭК России 11.02.2014
[12] И. А. Крылов, басня «Медведь у пчел», 1818
[13] Раздел III проекта Требований
[14] Например, дискуссия в журнале BIS JOURNAL №2 / 2021 С. Вихорев, «Блеск и нищета… БДУ», А. Калашников, «Главное — ущерб», В. Окулесский, «Тусклый блеск… почти науки», Ю. Язов, «Нищета знаний … о БДУ»
[15] «Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»,утв. Пр. ФСТЭК от 11.02.2013 №17, п.14.4
[16] Например, в блоге Сергея Борисова про ИБ
[17] п.35 проекта новых Требований
[18] И. А. Крылов, басня «Мартышка и очки»
.jpg)