У меня была заготовлена идея поста про типовые нарушения, выявляемые в государственных информационных системах ФСТЭКом в ходе проверок. Но тут у меня в руках оказалось свежее заключение с одной из последних проверок. И я бы не стал писать этот пост, если бы в выявленных нарушениях значились бы уже набившие оскомину:
- использование несертифицированных СЗИ (в том числе и СЗИ с просроченным и не продленным сертификатом);
- утрата эталонных дистрибутивов СЗИ;
- «плохая» модель угроз;
- и далее по списку.
Так вот, в новом заключении четко читаются следующие нарушения:
- средства защиты есть, но не используются и/или некорректно настроены (вообще не настроены);
- документы по защите информации утверждены, но мероприятия, прописанные в этих документах не проводятся;
- события безопасности определены во внутренних документах, но их аудит и анализ не проводится;
- сканер уязвимостей закуплен, но не используется.
Какой из этого вывод? Если раньше во многих организациях бытовало мнение «разоримся один раз на СЗИ и аттестацию и забудем на три года про информационную безопасность», то сейчас, наконец-то ФСТЭК заставляет всех понять: с аттестации информационная безопасность только начинается. ИБ это не разовое мероприятие а постоянный процесс.
Купили СЗИ, но не используете? Получите нарушение.
Утвердили ворох документов, но не исполняете утвержденные политики? Получите нарушение.
Есть сертифицированный сканер уязвимостей, но вы не в курсе, какого размера у вас дыра на шлюзе? Получите нарушение.
Я считаю, что ФСТЭК в этом плане движется в правильном направлении. Еще одна острая проблема — кадровая и вопросы осведомленности сотрудников в сфере информационной безопасности. Но и этим ФСТЭК тоже занимается, уже известно, что в новой редакции 17 приказа будет раздел требований об обучении, но пока не ясно как будет этот раздел выглядеть (какие именно требования будут сформированы). Поживем-увидим. Но тенденции в целом именно такие — уже бумажками и сертифицированными СЗИ, которые пылятся на полке не отделаешься.