© 1995-2022 Компания «Инфосистемы Джет»
Обзор новых законов и нормативов регулирования в сфере ИБ
Информационная безопасность Информационная безопасность

Новые рекомендации регуляторов и для кого они актуальны? Детали Указа Президента РФ № 250.

Главная>Информационная безопасность>Краткий обзор «новинок» законодательства в сфере ИБ
Информационная безопасность Тема номера

Краткий обзор «новинок» законодательства в сфере ИБ

03.10.2022

Посетителей: 92

Просмотров: 120

Время просмотра: 2.3

Авторы

Автор
Николай Антипов Руководитель департамента консалтинга центра информационной безопасности компании «Инфосистемы Джет»

 

Новые рекомендации регуляторов и для кого они актуальны?


Детали Указа Президента РФ № 250

 

За последние несколько месяцев появилась масса новых рекомендаций и нормативки от регуляторов. Сфера ИБ динамично меняется — столько нововведений за столь короткое время мы, наверное, не видели никогда. Поэтому составили для вас их небольшой обзор и описали свои предположения по поводу ключевых «новинок».

 

Бюллетени НКЦКИ

НКЦКИ был создан ФСБ России в 2018 году для координации деятельности центров ГосСОПКА и субъектов КИИ по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.

Национальный координационный центр по компьютерным инцидентам (НКЦКИ) первым выпустил ряд бюллетеней по защите информации (не считая рекомендаций в отношении конкретных уязвимостей и вредоносного ПО):

 

  • «Угроза кибератак на российские информационные ресурсы» от 24 февраля 2022 г.
  • «О мерах повышения уровня защищенности информационных ресурсов Российской Федерации от целенаправленных компьютерных атак» от 2 марта 2022 г.
  • «Рекомендации по обеспечению безопасности телекоммуникационного оборудования» от 5 марта 2022 г.
  • «Рекомендации по повышению уровня защищенности российских web-приложений» от 11 марта 2022 г.
  • «Рекомендации по первоочередным мерам, направленным на обнаружение, предупреждение и ликвидацию последствий компьютерных атак» от 16 марта 2022 г.
  • «Рекомендации по компенсации ИТ-рисков для компаний и организаций Российской Федерации в условиях санкционных ограничений» от 19 марта 2022 г.
  • «Рекомендации по защите от угроз фишинговых и вредоносных писем» от 25 марта 2022 г.
  • «Рекомендации по защите информационной инфраструктуры компании от компьютерных атак с использованием программ-шифровальщиков» от 25 марта 2022 г.
  • «Обобщенные рекомендации по минимизации возможных угроз информационной безопасности информационным ресурсам Российской Федерации» от 29 марта 2022 г.

 

Первый бюллетень не содержит конкретных рекомендаций, но указывает, что компаниям стоит усилить бдительность в части мониторинга событий на объектах КИИ. Бюллетени 2–8 содержат best practice, которые любая организация, серьезно относящаяся к ИБ, в принципе должна выполнять по умолчанию. В бюллетене 9 представлена выжимка самых критичных рекомендаций.

Некоторые рекомендации НКЦКИ из бюллетеней:

 

  • Инвентаризация внешних IP-адресов, сервисов, доменов и поддоменов организаций, ресурсов, доступных из сети Internet, привилегированных учетных записей.
  • Запрет незащищенного подключения к внутренним ресурсам, запрет удаленного доступа к сервисам управления технологическими и производственными процессами.
  • Проверка корректности вводимых на веб-ресурсах пользовательских данных.
  • Блокировка вложений электронных писем с расширениями APK, BAT, CMD, COM, DLL, EXE и др.
  • Ужесточение парольной политики.
  • Настройка логирования событий.
  • Организация регулярного резервирования критичной информации и тестирования процесса восстановления из резервных копий.

 

Также в бюллетенях есть ряд рекомендаций, которые связаны с текущей геополитической ситуацией. На них нужно обратить особое внимание:

 

  • Перенос инфраструктуры, на которой функционируют информационные системы и сервисы организаций, на территорию РФ.
  • Отключение автоматического обновления программного обеспечения и его компонентов.
  • Отключение взаимодействия с зарубежными серверами проверки лицензий, службами технической поддержки.
  • Преимущественное использование доменной зоны .ru.
  • Проведение ревизии SSL-сертификатов, разработка плана перехода на сертификаты, выпущенные удостоверяющими центрами на территории РФ, или самоподписанные сертификаты.

Для повышения общего уровня защищенности и отказоустойчивости ИТ-инфраструктуры советуем не ограничиваться «Обобщенными рекомендациями». Изучите каждый бюллетень и реализуйте предложенные меры с учетом потенциальных рисков.

ФСТЭК и Минцифры России

 

Помимо НКЦКИ отдельные пакеты рекомендаций выпустили ФСТЭК России и Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (Минцифры России). Письмо от ФСТЭК, опубликованное 24 марта, описывало меры по повышению защищенности инфраструктуры организаций-разработчиков ПО и оборудования АСУ ТП (меры во многом пересекались с рекомендациями НКЦКИ). Рекомендации Минцифры России касались государственных корпораций, компаний с госучастием, их дочек и т. д. Они были выпущены 10 марта и, в отличие от рекомендаций НКЦКИ, содержали временные ограничения.

 

  • До 18 марта было необходимо возложить полномочия по обеспечению ИБ, обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты на лиц из числа заместителей руководителя организации, принять решение о заключении договоров на оказание услуг по повышению уровня ИБ с экспертными организациями и создать систему защиты от DDoS-атак.

Под «экспертными организациями» понимаются компании, оказывающие услуги по противодействию компьютерным атакам и компьютерным инцидентам. Они должны иметь действующее соглашение с ФСБ России или НКЦКИ о взаимодействии в области обнаружения, предупреждения и ликвидации последствий атак.

  • До 11 апреля было необходимо провести мероприятия по повышению уровня ИБ, предусмотренные договорами на оказание услуг с экспертными организациями, организовать еженедельную отправку отчетов о реализации рекомендаций в Минцифры России, ФСБ России и ФСТЭК России, а также обеспечить участие ответственных по ИБ в соответствующих совещаниях, проводимых Минцифры России.

Тем не менее, большинство отечественных компаний не спешили выполнять эти рекомендации. Во-первых, это все еще были рекомендации, а не обязательные меры. Во-вторых, в России привыкли дожидаться правоприменительной практики. В-третьих, качественно реализовать все это в столь сжатые сроки было невозможно.


Указ Президента РФ № 250


1 мая был опубликован Указ Президента РФ № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации». Его положения распространяются на государственные организации, стратегические акционерные общества и системообразующие организации российской экономики, а также юридические лица, являющиеся субъектами КИИ. Последних выделим отдельно: по сути, речь идет о тысячах компаний из разных сфер. Организация считается субъектом КИИ, если владеет информационными системами, информационно-телекоммуникационными сетями, автоматизированными системами управления и работает в одной из этих областей:

Здравоохранение
Наука
Транспорт
Связь
Ракетно-космическая отрасль
Горнодобывающая отрасль
Энергетика
Финансы
ТЭК
Оборонная отрасль
Металлургическая отрасль
Химическая отрасль

 

Также в Указе № 250 говорится, что если организация привлекает к осуществлению мероприятий по ИБ сторонние компании, они должны быть лицензиатами ФСТЭК России и ФСБ России. Если же речь идет о мероприятиях по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты, то привлекаемая компания также должна иметь аккредитацию Центра ГосСОПКА (поскольку порядок аккредитации еще разрабатывается, допускается наличие соглашения о взаимодействии с НКЦКИ).
3 июня на сайте Минцифры России было опубликовано «Типовое техническое задание на выполнение работ по оценке уровня защищенности информационной инфраструктуры». Оно направлено на выявление и верификацию стратегических рисков ИБ в российских компаниях. При этом верификация — это имитация таргетированных атак с последующей разработкой маршрутной карты по модернизации ИТ-инфраструктуры.

 

Для реализации положений ТЗ необходимо:

 

  • Выявить недопустимые события (события, реализация которых может существенно замедлить, остановить или разрушить деятельность компании) и сформировать их реестр.
  • Определить возможные сценарии реализации рисков с учетом текущей ИТ-инфраструктуры и применяемых средств защиты.
  • Осуществить практическую верификацию недопустимых событий с помощью тестирования на проникновение.
  • Разработать отчетные документы и план по модернизации ИТ-инфраструктуры и ИБ-архитектуры компании.

 

Результаты проделанной работы необходимо по запросу предоставить Правительству Российской Федерации, а также во ФСТЭК и ФСБ России.

Рекомендации для организаций, подпадающих под действие Указа №250:

 

  • Если орган (организация) были отнесены Правительством РФ к ключевым, им необходимо выполнить требования Указа № 250, в том числе провести работы по оценке уровня защищенности ИТ-инфраструктуры в соответствии с ТЗ Минцифры России.
  • Если орган (организация) не вошли в перечень ключевых, им необходимо выполнить требования Указа № 250, исключая оценку уровня защищенности по ТЗ Минцифры России.
  • Всем организациям следует задуматься о выполнении пункта, касающегося импортозамещения СЗИ и учитывать его при планировании закупок, в том числе оборудования и ПО, содержащего механизмы обеспечения ИБ.

 

Как указано выше, к выполнению требований Указа № 250 должны привлекаться лицензиаты ФСТЭК России и ФСБ России. Наш центр информационной безопасности (ЦИБ) имеет необходимые лицензии, центр мониторинга и реагирования на инциденты Jet CSIRT имеет соглашение о взаимодействии с НКЦКИ. Таким образом, ЦИБ может оказывать услуги по приведению в соответствие требованиям Указа № 250, как говорится, под ключ и в полном объеме.

Под действие Указа № 250 подпадает множество российских организаций. Даже если ваша компания пока не входит в их число, это не повод расслабляться. Сам факт выхода указа говорит о том, что меры регулирования в сфере ИБ продолжат ужесточаться.

На рис. 1 схематично показаны организации и в упрощенном виде перечислены требования новых нормативно-правовых актов, под которые они подпадают. Обращаем внимание, что банкам и некредитным финансовым организациям, помимо требований Указа № 250, которые были довольно подробно описаны в статье, необходимо выполнить требования Положения Банка России об операционной надежности

Рис. 1. Ключевые «новинки» законодательства ИБ
Рис. 1. Ключевые «новинки» законодательства ИБ

Уведомления об обновлении тем – в вашей почте

«Без пилотирования мы ничего не внедряем. Это внутреннее табу»: информационная безопасность в «РусГидро»

Повлиял ли кризис на ИБ-стратегию «РусГидро»? Как холдинг участвует в разработке российских ИБ-продуктов? Почему внутренние компетенции лучше аутсорсинга?

Информационная безопасность - обзор основных положений. Часть 2

Руководящие документы по защите от несанкционированного доступа Гостехкомиссии при Президенте РФ  В 1992 году Гостехкомиссия при Президенте РФ опубликовала пять Руководящих документов, посвященных проблеме защиты от несанкционированного доступа ...

Решения Hewlett Packard для защиты информацион ных систем

Современные компании все шире внедряют корпоративные информационные системы (КИС) в свою деятельность. Это позволяет повысить эффективность деятельности за счет использования более оперативной и полной информации внутри компании, а также ...

Новые приоритеты в информационной безопасности США

Трагические события, которые произошли в США 11 сентября 2001 года и повергли в шок весь мир, вновь напомнили человечеству об обратной стороне технического прогресса. Варварские террористические акты, совершенные группой террористов-смертников ...

Обеспечение информационной безопасности в вычислительных комплексах на базе мэйнфреймов

Лет 30-40 назад информационные системы строились только на базе мэйнфреймов. Соответственно, архитектура информационной системы, как правило, была централизованной. Затем наступила эра малых машин, распределенных архитектур обработки ...

Аттестация автоматизированных систем

В современных условиях наиболее перспективным способом проверки достигнутого качества функционирования и уровня защищенности автоматизированных систем (АС) является процедура аттестации. В то время как для многих коммерческих АС аттестация ...

Облачная НЕбезопасность и как с ней бороться

Риски частных, публичных инфраструктурных облаков и облачных приложений. Как защитить компанию при переходе в cloud-среду?

«Хакеры не работают с 9 до 18»: как прошел SOC-Форум 2022

Почему отрасли нельзя расслабляться? В какую сторону развиваются отечественные ИБ-решения? Кого будут атаковать уже завтра?

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня