Обзор новых законов и нормативов регулирования в сфере ИБ
Информационная безопасность Информационная безопасность

Новые рекомендации регуляторов и для кого они актуальны? Детали Указа Президента РФ № 250.

Главная>Информационная безопасность>Краткий обзор «новинок» законодательства в сфере ИБ
Информационная безопасность Тема номера

Краткий обзор «новинок» законодательства в сфере ИБ

Дата публикации:
03.10.2022
Посетителей:
232
Просмотров:
255
Время просмотра:
2.3

Авторы

Автор
Николай Антипов Руководитель департамента консалтинга центра информационной безопасности компании «Инфосистемы Джет»

 

Новые рекомендации регуляторов и для кого они актуальны?


Детали Указа Президента РФ № 250

 

За последние несколько месяцев появилась масса новых рекомендаций и нормативки от регуляторов. Сфера ИБ динамично меняется — столько нововведений за столь короткое время мы, наверное, не видели никогда. Поэтому составили для вас их небольшой обзор и описали свои предположения по поводу ключевых «новинок».

 

Бюллетени НКЦКИ

НКЦКИ был создан ФСБ России в 2018 году для координации деятельности центров ГосСОПКА и субъектов КИИ по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.

Национальный координационный центр по компьютерным инцидентам (НКЦКИ) первым выпустил ряд бюллетеней по защите информации (не считая рекомендаций в отношении конкретных уязвимостей и вредоносного ПО):

 

  • «Угроза кибератак на российские информационные ресурсы» от 24 февраля 2022 г.
  • «О мерах повышения уровня защищенности информационных ресурсов Российской Федерации от целенаправленных компьютерных атак» от 2 марта 2022 г.
  • «Рекомендации по обеспечению безопасности телекоммуникационного оборудования» от 5 марта 2022 г.
  • «Рекомендации по повышению уровня защищенности российских web-приложений» от 11 марта 2022 г.
  • «Рекомендации по первоочередным мерам, направленным на обнаружение, предупреждение и ликвидацию последствий компьютерных атак» от 16 марта 2022 г.
  • «Рекомендации по компенсации ИТ-рисков для компаний и организаций Российской Федерации в условиях санкционных ограничений» от 19 марта 2022 г.
  • «Рекомендации по защите от угроз фишинговых и вредоносных писем» от 25 марта 2022 г.
  • «Рекомендации по защите информационной инфраструктуры компании от компьютерных атак с использованием программ-шифровальщиков» от 25 марта 2022 г.
  • «Обобщенные рекомендации по минимизации возможных угроз информационной безопасности информационным ресурсам Российской Федерации» от 29 марта 2022 г.

 

Первый бюллетень не содержит конкретных рекомендаций, но указывает, что компаниям стоит усилить бдительность в части мониторинга событий на объектах КИИ. Бюллетени 2–8 содержат best practice, которые любая организация, серьезно относящаяся к ИБ, в принципе должна выполнять по умолчанию. В бюллетене 9 представлена выжимка самых критичных рекомендаций.

Некоторые рекомендации НКЦКИ из бюллетеней:

 

  • Инвентаризация внешних IP-адресов, сервисов, доменов и поддоменов организаций, ресурсов, доступных из сети Internet, привилегированных учетных записей.
  • Запрет незащищенного подключения к внутренним ресурсам, запрет удаленного доступа к сервисам управления технологическими и производственными процессами.
  • Проверка корректности вводимых на веб-ресурсах пользовательских данных.
  • Блокировка вложений электронных писем с расширениями APK, BAT, CMD, COM, DLL, EXE и др.
  • Ужесточение парольной политики.
  • Настройка логирования событий.
  • Организация регулярного резервирования критичной информации и тестирования процесса восстановления из резервных копий.

 

Также в бюллетенях есть ряд рекомендаций, которые связаны с текущей геополитической ситуацией. На них нужно обратить особое внимание:

 

  • Перенос инфраструктуры, на которой функционируют информационные системы и сервисы организаций, на территорию РФ.
  • Отключение автоматического обновления программного обеспечения и его компонентов.
  • Отключение взаимодействия с зарубежными серверами проверки лицензий, службами технической поддержки.
  • Преимущественное использование доменной зоны .ru.
  • Проведение ревизии SSL-сертификатов, разработка плана перехода на сертификаты, выпущенные удостоверяющими центрами на территории РФ, или самоподписанные сертификаты.

Для повышения общего уровня защищенности и отказоустойчивости ИТ-инфраструктуры советуем не ограничиваться «Обобщенными рекомендациями». Изучите каждый бюллетень и реализуйте предложенные меры с учетом потенциальных рисков.

ФСТЭК и Минцифры России

 

Помимо НКЦКИ отдельные пакеты рекомендаций выпустили ФСТЭК России и Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (Минцифры России). Письмо от ФСТЭК, опубликованное 24 марта, описывало меры по повышению защищенности инфраструктуры организаций-разработчиков ПО и оборудования АСУ ТП (меры во многом пересекались с рекомендациями НКЦКИ). Рекомендации Минцифры России касались государственных корпораций, компаний с госучастием, их дочек и т. д. Они были выпущены 10 марта и, в отличие от рекомендаций НКЦКИ, содержали временные ограничения.

 

  • До 18 марта было необходимо возложить полномочия по обеспечению ИБ, обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты на лиц из числа заместителей руководителя организации, принять решение о заключении договоров на оказание услуг по повышению уровня ИБ с экспертными организациями и создать систему защиты от DDoS-атак.

Под «экспертными организациями» понимаются компании, оказывающие услуги по противодействию компьютерным атакам и компьютерным инцидентам. Они должны иметь действующее соглашение с ФСБ России или НКЦКИ о взаимодействии в области обнаружения, предупреждения и ликвидации последствий атак.

  • До 11 апреля было необходимо провести мероприятия по повышению уровня ИБ, предусмотренные договорами на оказание услуг с экспертными организациями, организовать еженедельную отправку отчетов о реализации рекомендаций в Минцифры России, ФСБ России и ФСТЭК России, а также обеспечить участие ответственных по ИБ в соответствующих совещаниях, проводимых Минцифры России.

Тем не менее, большинство отечественных компаний не спешили выполнять эти рекомендации. Во-первых, это все еще были рекомендации, а не обязательные меры. Во-вторых, в России привыкли дожидаться правоприменительной практики. В-третьих, качественно реализовать все это в столь сжатые сроки было невозможно.


Указ Президента РФ № 250


1 мая был опубликован Указ Президента РФ № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации». Его положения распространяются на государственные организации, стратегические акционерные общества и системообразующие организации российской экономики, а также юридические лица, являющиеся субъектами КИИ. Последних выделим отдельно: по сути, речь идет о тысячах компаний из разных сфер. Организация считается субъектом КИИ, если владеет информационными системами, информационно-телекоммуникационными сетями, автоматизированными системами управления и работает в одной из этих областей:

Здравоохранение
Наука
Транспорт
Связь
Ракетно-космическая отрасль
Горнодобывающая отрасль
Энергетика
Финансы
ТЭК
Оборонная отрасль
Металлургическая отрасль
Химическая отрасль

 

Также в Указе № 250 говорится, что если организация привлекает к осуществлению мероприятий по ИБ сторонние компании, они должны быть лицензиатами ФСТЭК России и ФСБ России. Если же речь идет о мероприятиях по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты, то привлекаемая компания также должна иметь аккредитацию Центра ГосСОПКА (поскольку порядок аккредитации еще разрабатывается, допускается наличие соглашения о взаимодействии с НКЦКИ).
3 июня на сайте Минцифры России было опубликовано «Типовое техническое задание на выполнение работ по оценке уровня защищенности информационной инфраструктуры». Оно направлено на выявление и верификацию стратегических рисков ИБ в российских компаниях. При этом верификация — это имитация таргетированных атак с последующей разработкой маршрутной карты по модернизации ИТ-инфраструктуры.

 

Для реализации положений ТЗ необходимо:

 

  • Выявить недопустимые события (события, реализация которых может существенно замедлить, остановить или разрушить деятельность компании) и сформировать их реестр.
  • Определить возможные сценарии реализации рисков с учетом текущей ИТ-инфраструктуры и применяемых средств защиты.
  • Осуществить практическую верификацию недопустимых событий с помощью тестирования на проникновение.
  • Разработать отчетные документы и план по модернизации ИТ-инфраструктуры и ИБ-архитектуры компании.

 

Результаты проделанной работы необходимо по запросу предоставить Правительству Российской Федерации, а также во ФСТЭК и ФСБ России.

Рекомендации для организаций, подпадающих под действие Указа №250:

 

  • Если орган (организация) были отнесены Правительством РФ к ключевым, им необходимо выполнить требования Указа № 250, в том числе провести работы по оценке уровня защищенности ИТ-инфраструктуры в соответствии с ТЗ Минцифры России.
  • Если орган (организация) не вошли в перечень ключевых, им необходимо выполнить требования Указа № 250, исключая оценку уровня защищенности по ТЗ Минцифры России.
  • Всем организациям следует задуматься о выполнении пункта, касающегося импортозамещения СЗИ и учитывать его при планировании закупок, в том числе оборудования и ПО, содержащего механизмы обеспечения ИБ.

 

Как указано выше, к выполнению требований Указа № 250 должны привлекаться лицензиаты ФСТЭК России и ФСБ России. Наш центр информационной безопасности (ЦИБ) имеет необходимые лицензии, центр мониторинга и реагирования на инциденты Jet CSIRT имеет соглашение о взаимодействии с НКЦКИ. Таким образом, ЦИБ может оказывать услуги по приведению в соответствие требованиям Указа № 250, как говорится, под ключ и в полном объеме.

Под действие Указа № 250 подпадает множество российских организаций. Даже если ваша компания пока не входит в их число, это не повод расслабляться. Сам факт выхода указа говорит о том, что меры регулирования в сфере ИБ продолжат ужесточаться.

На рис. 1 схематично показаны организации и в упрощенном виде перечислены требования новых нормативно-правовых актов, под которые они подпадают. Обращаем внимание, что банкам и некредитным финансовым организациям, помимо требований Указа № 250, которые были довольно подробно описаны в статье, необходимо выполнить требования Положения Банка России об операционной надежности

Рис. 1. Ключевые «новинки» законодательства ИБ
Рис. 1. Ключевые «новинки» законодательства ИБ

Уведомления об обновлении тем – в вашей почте

Пентест CRM: как шкатулка с секретами превращается в ящик Пандоры

«Ширли-мырли» в CRM. Про недостатки в управлении пользовательскими сессиями: неограниченное время жизни, неконтролируемый выпуск токенов, отсутствие механизма отзыва и др. Конь троянский. Недостатки, связанные с загрузкой файлов и получением доступа к ним (от классической загрузки шелла и хранимой XSS в файле аватарки (SVG) до кейсов с S3 и CDN). Так и запишем. Чрезмерное и небезопасное логирование. К чему приводит бесконтрольная запись действий пользователя.

Аудит информационных систем

Под термином аудит Информационной Системы понимается системный процесс получения и оценки объективных данных о текущем состоянии ИС, действиях и событиях, происходящих в ней, устанавливающий уровень их соответствия определенному критерию ...

«Мы возвращаемся, но в параллельное русло»: информационная безопасность в «Русагро»

Как «Русагро» готовится к таргетированным атакам? Успевают ли ИБ-специалисты спать во время кризиса? Какие вызовы встанут перед отраслью в ближайшие годы?

Как сотрудники компаний относятся к биометрии: исследование «Инфосистемы Джет»

Отечественный бизнес все чаще использует биометрические данные для идентификации сотрудников. Мы провели исследование и выяснили отношение россиян к этой тенденции.

Физическая защита информационных систем

Характерной тенденцией развития информационных технологий является процесс тотальной интеграции. Этой тенденцией охвачены микроэлектроника и техника связи, сигналы и каналы, системы и сети. В качестве примеров можно сослаться на сверхбольшие ...

«Самое страшное уже позади, а самое сложное — впереди»: угрозы 2022 глазами Jet CSIRT

Динамика роста ИБ-инцидентов за последние месяцы? Кто стоит за этими киберпреступлениями? Что делать, чтобы подготовиться к актуальным угрозам?

Пара слов об XDR

Что такое XDR? Варианты построения системы? Must have продукты экосистемы XDR?

DLP-отношения: от рабочей рутины до судебных процессов

Кто кому должен: обязанности компаний и сотрудников? Как регламентировать работу с конфиденциальной информацией? DLP-кейсы: почему компания может проиграть дело? Чек-лист: как оформлять данные из DLP для судебного разбирательства?

Не прерываемся: 10 шагов к непрерывности бизнеса

Угрозы для российского бизнеса. Откуда ждать проблем? Чек-лист «Что делать, чтобы работа компании внезапно не остановилась». Наши кейсы.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня