Самые популярные фразы в рамках прошедшей недавно комплексной проверки ФСТЭК России по УрФО в отношении ОГВ автономного округа..
Результаты еще раз однозначно подтвердили, кто идет в верном направлении и кто занимается профанацией самой идеи ИБ. ОГВ, имеющие дееспособное подразделение, укомплектованное желанием:) и инструментами (SIEM, рабочие политики ИБ, СОВ, САЗ) не имели «бледного вида» перед проверяющими (хотя и здесь не обошлось без замечаний, по большей части из-за излишнего доверия к лицензиатам-исполнителям некоторых работ). ОГВ, выбравшие в качестве своей концепции отстраненное отношение к ИБ, отношение только как Заказчика к очередному виду не нужных работ и пытающиеся «уповать» на различные структуры, занимающиеся государственным или бизнес аутсорсингом ИБ в ОГВ округа, в основном слышали от проверяющих фразу из названия данной заметки….
Но эта заметка о работе инспекторов, а не ОГВ ХМАО. Что нового в работе регулятора, какие тенденции удалось увидеть или просто показалось….:
1) Регулятор стал не только признавать высокую роль уязвимостей в прикладном и системном программном обеспечении (несмотря на наличие средств защиты информации), но и уделять первоочередное внимание анализу уязвимостей на объектах.
Пока это только 2 момента:
- проверка устранения уязвимостей, оглашенных в письмах ФСТЭК
- проверка сканерами уязвимостей (как имеющимися на объектах, так и собственными).
Но очевидна тенденция к переходу на вопросы о более серьезном подходе к всестороннему анализу уязвимостей, о тестах на проникновение (пентестах) в их полноценном объёме (смотрите мою статью про аудит в блоге).
Здесь и фразы, попавшие в предписания (не рассмотрены уязвимости БДУ ФСТЭК, не проводится пересмотр угроз, не рассмотрены уязвимости применительно к применяемому прикладному ПО на объекте и т.п.). Вспомним также уже попадающие ранее (и к сожалению, исключенную из окончательной редакции приказа по ГИС) фразы про тесты на проникновение и в целом растущий рынок этой услуги и ее предложений от «законодателей ИБ моды». Уверен, что с ростом профессионализма в этом направлении среди инспекторов регулятора (а он очевидно прослеживается) вопросы реального моделирования атак и результаты этого моделирования будут все более и более интересовать регулятора. А так и до какой-нибудь методичке о составе и средствах такого тестирования (пентеста) дорастем! Это серьезный шаг к обеспечению реальной безопасности на объектах!
2) Вопросы определения состава объекта информатизации (в т.ч. его сегментирования, распространения аттестатов на сегменты) в текущих условиях развития ИТ до сих пор являются «секретом» не только для операторов объектов, но и для большинства лицензиатов (исполнителей работ). Тяжело комментирует эти вопросы и регулятор, выдавая замечания только в явно понятных случаях (как например аттестация сервера с информацией на котором работает множество пользователей абонентских пунктов (толстых клиентов), но никакой информации об этом нет в аттестационных документах на сервер с базой данных). Более сложные вопросы сегментирования и т.п. инспекторы старательно обходят стороной, в т.ч. и вопросы дополнительных угроз в ходе информационного межсетевого взаимодействия, а также вопросы правильной организации такого взаимодействия. Видимо по этому вопросу позиции так и не выработано.
Ну и в конечном счете мысль, проходящая «красной нитью» по нашему блогу в очередной раз на проверке была подтверждена.
СОВ, антивирусы, САЗ и многое другое были у всех, но абсолютно не помогли всем, кто не имел рабочих политик ИБ – эти инструменты, как правило, были даже не обновлены (базы решающих правил, базы антивирусных средств)…