Проверки ФСТЭК: от номинальной защиты к практической

Автор: | 02.06.2016

У меня была заготовлена идея поста про типовые нарушения, выявляемые в государственных информационных системах ФСТЭКом в ходе проверок. Но тут у меня в руках оказалось свежее заключение с одной из последних проверок. И я бы не стал писать этот пост, если бы в выявленных нарушениях значились бы уже набившие оскомину:

  • использование несертифицированных СЗИ (в том числе и СЗИ с просроченным и не продленным сертификатом);
  • утрата эталонных дистрибутивов СЗИ;
  • «плохая» модель угроз;
  • и далее по списку.

Так вот, в новом заключении четко читаются следующие нарушения:

  • средства защиты есть, но не используются и/или некорректно настроены (вообще не настроены);
  • документы по защите информации утверждены, но мероприятия, прописанные в этих документах не проводятся;
  • события безопасности определены во внутренних документах, но их аудит и анализ не проводится;
  • сканер уязвимостей закуплен, но не используется.

Какой из этого вывод? Если раньше во многих организациях бытовало мнение «разоримся один раз на СЗИ и аттестацию и забудем на три года про информационную безопасность», то сейчас, наконец-то ФСТЭК заставляет всех понять: с аттестации информационная безопасность только начинается. ИБ это не разовое мероприятие а постоянный процесс.

Купили СЗИ, но не используете? Получите нарушение.

Утвердили ворох документов, но не исполняете утвержденные политики? Получите нарушение.

Есть сертифицированный сканер уязвимостей, но вы не в курсе, какого размера у вас дыра на шлюзе? Получите нарушение.

Я считаю, что ФСТЭК в этом плане движется в правильном направлении. Еще одна острая проблема — кадровая и вопросы осведомленности сотрудников в сфере информационной безопасности. Но и этим ФСТЭК тоже занимается, уже известно, что в новой редакции 17 приказа будет раздел требований об обучении, но пока не ясно как будет этот раздел выглядеть (какие именно требования будут сформированы). Поживем-увидим. Но тенденции в целом именно такие — уже бумажками и сертифицированными СЗИ, которые пылятся на полке не отделаешься.