Правки внесенные в Постановление Правительства №79 "О лицензировании деятельности по технической защите конфиденциальной информации" в прошлом году несколько расширили список лицензируемых видов деятельности. К ним, среди прочего теперь стали относить услуги по аудиту ИБ, тестам на проникновение (пен-тесты), что больше всего удивило, деятельность SOC!
Что не менее важно, с лета 2017 года, т.е. через несколько месяцев, эти виды деятельности потребуют обязательного наличия сертификатов ФСТЭК. Это может стать крахом для небольших фирм и стартапов занимающих сегодня низ рынка услуг ИБ. Да и крупные игроки рынка должны будут пересмотреть свои активы, коснется это и технических средств и программных решений, и конечно же квалификации персонала, требования к которым, как известно у регулятора были всегда жесткие
Предыстория беды
15 июня 2016 года были внесены весьма важные поправки в существующее Постановление Правительства №79 "О лицензировании деятельности по технической защите конфиденциальной информации", которые расширили спискок видов деятельности, которые теперь потребуют обязательной лицензии. Так отныне к ним стали относить такие услуги:
- по контролю защищенности информации от утечек по техническим каналам
- по контролю защищенности информации от несанкционированного доступа
- по мониторингу ИБ
- по аттестации
- по проектированию в защищенном исполнении
- по установке, монтажу, наладке, испытаниям, ремонту средств защиты информации.
Из этого списка, если отбросить специфические 1, 4 и 5 пункты, то у нас получается, что отныне вся деятельность аудиторов ИБ, пентесторов и SOC-ов подпадает под новое регулирование, и соответственно требует лицензии ФСТЭК. В принципе, логика регулятора простота понятна: ФСТЭК ужесточает требования к лицензиатам и таким образом очищает ИБ от фирмы-однодневок и других малоквалифицированных контор. Это несомненно плюс.. но, что делать добросовестным компаниям, аустсорсерам ИБ и консалтинговым фирмам не прочь порой предоставить услуги аудита ИБ или тестирования на проникновение?
А требования к лицензиатам совсем не простые. Первое, это численность и квалификация персонала, к которым предъявляются особые требования, их не смогут выполнить, к примеру небольшие фирмы и тем более стартапы. Второе, это требуется собственное защищенное по всем нормативизм ФСТЭК помещение. И, наконец, третье и последнее, это конечно же сертифицированные, а занчит и весьма дорогие средства контроля защищенности.
Пен-тест, Аудит ИБ и SOC вне игры
Как известно с июня 2017-го года деятельность всех аутсорсинговых SOC, а также аудиторов ИБ и пентестеров подпадает под обязательное лицензирование деятельности. В декабре прошлого года ФСТЭК выложила на своем сайте перечень контрольно-измерительного и испытательного оборудования, а так же средств контроля защищенности, необходимых для выполнения работ и оказания услуг, установленных обновленным Положением о лицензировании деятельности по технической защите конфиденциальной информации.
Если отталкиваться от проекта 17 приказа ФСТЭК, о котором мы писали чуть ранее, то регулятор относит пентесты к одному из виду аттестационных испытаний, что коренным образом меняет к ним требования.
С SOC тоже все не просто, теперь от них требуется наличие сертифицированных СЗИ, таких как, например, WAF, МСЭ и антивирус.. Причем сам сертификат не ниже 4-го класса, то есть максимально возможный для защиты информации не подпадающей под гостайну.
Благо хоть не заставляют лицензировать "песочницу" и платформа направлению на Threat Intelligence. Тут очень важно сказать, что в России число своих отечественных песочниц можно пересчитать по пальцам Поэтому почти все отечественные SOC используют "песочницы" иностранного производства, а это уже заставляет задуматься о локализации технических средств и выполнении сертификационных требований. К примеру, основа основ, а именно SIEM-система по логике регулятора должна иметь сертификат ФСТЭК. В крайнем списке сертифицированных СрЗИ ФСТЭК содержится только одна SIEM-система, а именно ArcSight и все - больше ничего!.
А учитывая, что каналы передачи данных от SOC до клиента должны быть защищены средствами шифрования, имеющими сертификат ФСБ, то все становится еще более сложнее, а что, критично - более дороже!
Что же лето весьма скоро, новые требования вступят в силу, мы посмотрим, что будет происходить с рынком ИБ..
Комментариев нет:
Отправить комментарий
Вы можете добавить свой комментарий...
Примечание. Отправлять комментарии могут только участники этого блога.