понедельник, 6 февраля 2017 г.

Загнанные в угол: новые требования ФСТЭК к SOC, аудиторам и правилам Pen-testing

Правки внесенные в Постановление Правительства №79 "О лицензировании деятельности по технической защите конфиденциальной информации" в прошлом году несколько расширили список лицензируемых видов деятельности. К ним, среди прочего теперь стали относить услуги по аудиту ИБ, тестам на проникновение (пен-тесты), что больше всего удивило, деятельность SOC

Что не менее важно, с лета 2017 года, т.е. через несколько месяцев, эти виды деятельности потребуют обязательного наличия сертификатов ФСТЭК. Это может стать крахом для небольших фирм и стартапов занимающих сегодня низ рынка услуг ИБ. Да и крупные игроки рынка должны будут пересмотреть свои активы, коснется это и технических средств и программных решений, и конечно же квалификации персонала, требования к которым, как известно у регулятора были всегда жесткие


Предыстория беды

15 июня 2016 года были внесены весьма важные поправки в существующее Постановление Правительства №79 "О лицензировании деятельности по технической защите конфиденциальной информации",  которые расширили спискок видов деятельности, которые теперь потребуют обязательной лицензии. Так отныне к ним стали относить такие услуги:
  • по контролю защищенности информации от утечек по техническим каналам
  • по контролю защищенности информации от несанкционированного доступа
  • по мониторингу ИБ
  • по аттестации
  • по проектированию в защищенном исполнении
  • по установке, монтажу, наладке, испытаниям, ремонту средств защиты информации.
Из этого списка, если отбросить специфические 1, 4 и 5 пункты, то у нас получается, что отныне вся деятельность аудиторов ИБ, пентесторов и SOC-ов подпадает под новое регулирование, и соответственно требует лицензии ФСТЭК. В принципе, логика  регулятора простота понятна: ФСТЭК ужесточает требования  к лицензиатам и таким образом очищает ИБ от фирмы-однодневок и других малоквалифицированных контор. Это несомненно плюс.. но, что делать добросовестным компаниям, аустсорсерам ИБ и консалтинговым фирмам не прочь порой предоставить услуги аудита ИБ или тестирования на проникновение?

А требования к лицензиатам совсем не простые. Первое, это численность и квалификация персонала, к которым предъявляются особые требования, их не смогут выполнить, к примеру небольшие фирмы и тем более стартапы. Второе, это требуется собственное защищенное по всем нормативизм ФСТЭК помещение. И, наконец, третье и последнее, это конечно же сертифицированные, а занчит и весьма дорогие средства контроля защищенности. 

Пен-тест, Аудит ИБ и SOC вне игры

Как известно с июня 2017-го года деятельность всех аутсорсинговых SOC, а также аудиторов ИБ и пентестеров подпадает под обязательное лицензирование деятельности. В декабре прошлого года ФСТЭК выложила на своем сайте перечень контрольно-измерительного и испытательного оборудования, а так же средств контроля защищенности, необходимых для выполнения работ и оказания услуг, установленных обновленным Положением о лицензировании деятельности по технической защите конфиденциальной информации.

Если отталкиваться от проекта 17 приказа ФСТЭК, о котором мы писали чуть ранее, то регулятор относит пентесты к одному из виду аттестационных испытаний, что коренным образом меняет к ним требования.

С SOC тоже все не просто, теперь от них  требуется наличие сертифицированных СЗИ, таких как, например, WAF, МСЭ и антивирус.. Причем сам сертификат не ниже 4-го класса, то есть максимально возможный для защиты информации не подпадающей под гостайну. 

Благо хоть не заставляют лицензировать "песочницу" и платформа направлению на Threat Intelligence. Тут очень важно сказать, что в России число своих отечественных песочниц можно пересчитать по пальцам  Поэтому  почти все отечественные SOC используют "песочницы" иностранного производства, а это уже  заставляет задуматься о локализации технических средств  и выполнении сертификационных требований.  К примеру, основа основ, а именно SIEM-система по логике регулятора должна иметь сертификат ФСТЭК.  В крайнем списке сертифицированных СрЗИ ФСТЭК содержится только одна SIEM-система, а именно ArcSight и все - больше ничего!. 

А учитывая, что каналы передачи данных от SOC до клиента должны быть защищены средствами шифрования, имеющими сертификат ФСБ, то все становится еще более сложнее, а что, критично - более дороже! 


Что же лето весьма  скоро, новые требования вступят в силу, мы посмотрим, что будет происходить с рынком ИБ.. 

Комментариев нет:

Отправить комментарий

Вы можете добавить свой комментарий...

Примечание. Отправлять комментарии могут только участники этого блога.