Новые обязанности по обеспечению информационной безопасности критической инфраструктуры с 2022 года

Внимание! С 30 марта 2022 года принципиально изменились требования значимым объектам критической информационной инфраструктуры. Опубликован Указ Президента Российской Федерации от 30.03.2022 № 166 “О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации”.

Данный документ радикально меняет всю структуру существовавших ранее требований и подходов к обеспечению защиты значимых объектов КИИ.

В частности:

1. С 31 марта 2022 года введен прямой запрет на закупку иностранных программных продуктов и программно-аппаратных комплексов для целей использования на значимых объектах КИИ. Исключения допускаются только по согласованию.
2. С 1 января 2025 года запрещается использование иностранного программного обеспечения и программно-аппаратных комплексов на значимых объектах КИИ.
3. Должны быть согласованы новые требования к ПО, а также правила закупок иностранного ПО (1 месяц).
4. Правительство должно обеспечить преимущественное применение отечественного оборудования и программно-аппаратных комплексов на значимых объектах КИИ (6 месяцев).

Таким образом, те субъекты КИИ, у которых имеются значимые объекты критической инфраструктуры (подробнее про категорирование в нашем материале Категорирование объектов критической информационной инфраструктуры (КИИ). Практические примеры), должны в экстренном порядке провести следующие работы:

История вопроса

Во второй половине 2018 года оформилась нормативная база в теме КИИ. Это дает нам возможность ответить на все основные вопросы.

Для начала определимся с основными понятиями.

Что такое критическая информационная инфраструктура?

Критическая информационная инфраструктура – это информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, а также сети электросвязи, используемые для организации их взаимодействия. Ключевым условием отнесения системы к КИИ является ее использование государственным органом или учреждением, либо российской компанией в следующих сферах:

• здравоохранение,
• наука,
• транспорт,
• связь,
• энергетика,
• банковский (финансовый) сектор,
• топливно-энергетический комплекс,
• атомная энергетика,
• оборонная промышленность,
• ракетно-космическая промышленность
• горнодобывающая промышленность,
• металлургическая промышленность
• химическая промышленность

Также к КИИ будут относиться системы, которые на праве собственности, аренды или на ином законном основании принадлежат российской компании или ИП, и обеспечивают взаимодействие указанных выше систем или сетей.

Понятие критической информационной инфраструктуры раскрыто в Федеральном законе №187-ФЗ от 26.07.2017 «О безопасности критической информационной инфраструктуры».

О чем говорит 187-фз «о безопасности критической информационной инфраструктуры»?

187-фз является базовым документом для всей тематики КИИ.

187-ФЗ:

• Вводит основные понятия
• Создает основу правового регулирования
• Определяет принципы обеспечения безопасности КИИ
• Вводит понятие Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее – ГосСОПКА)
• Вводит основу для создания Национального координационного центра по компьютерным инцидентам (далее – НКЦКИ)
• Описывает полномочия Президента и органов госвласти в области обеспечения безопасности КИИ
• Содержит базу для определения категорий объектов КИИ
• Создает законодательную основу ведения реестра значимых объектов КИИ
• Определяет права и обязанности субъектов КИИ
• Определяет задачи и требования системы обеспечения безопасности значимого объекта КИИ
• Закладывает основу оценки безопасности КИИ
• Распределяет права и обязанности по государственному контролю

• ГосСОПКА — это единый территориально распределенный комплекс, включающий силы и средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.
• Данное определение мы видим в 187-ФЗ.
• По своей сути, ГосСОПКА является территориально распределенной совокупностью центров (сил и средств), в числе которых — Национальный координационный центр по компьютерным инцидентам.
• Если обобщить, то структура ГосСОПКА выглядит следующим образом:

1. Указ Президента РФ от 15 января 2013 г. № 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации»
2. «Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации» (утв. Президентом РФ 03.02.2012№803)

Путин объявил в стране тотальную реформу кибербезопасности

04 Мая 2022 11:09 04 Мая 2022 11:09 |

Президент России Владимир Путин подписал указ о дополнительных мерах по обеспечению информационной безопасности страны. В госструктурах появятся специалисты, на которых возложат персональную ответственность за утечки данных и кибератаки. Также указ запрещает госорганам использовать средства защиты информации, выпущенные в «недружественных» странах.

Президент России Владимир Путин подписал указ о дополнительных мерах информационной безопасности в стране. Документ появился на официальном интернет-портале правовой информации.

Согласно указу, в каждому ведомстве, учреждении и системообразующих организациях должны появиться подразделения по ИТ-безопасности. Также организации вправе возложить ИБ-функцию на существующие отделы.

Речь идет о федеральных и региональных органах исполнительной власти, государственных корпорациях и фондах и стратегических предприятиях, среди которых «юридические лица, являющиеся субъектами критической информационной инфраструктуры» России.

Руководители госорганов и организаций будут нести личную ответственность за информационную безопасность и должны назначить заместителя, который будет отвечать за ее обеспечение. Среди ключевых задач — обнаружение, предупреждение и ликвидация последствий кибератак.

В органах власти и госкомпаниях появятся замы, отвечающие за ИБ. Госструктуры будут предоставлять ФСБ беспрепятственный доступ к принадлежащим им ресурсам

Кроме того, госструктуры должны предоставлять органам ФСБ беспрепятственный доступ, в том числе удаленный, к принадлежащим или используемым ими ресурсам для мониторинга и выполнять их указания по его результатам.

В течение месяца Правительство России выпустит типовое положение о заместителе руководителя, ответственного за ИБ, а также положение об ИБ-подразделении.

Также в течение 30 дней появится перечень ключевых госорганов, которые должны будут оценить свой уровень защищенности. Помогут им в этом организации с лицензиями ФСТЭК и ФСБ. Представителям госорганов дадут время до 1 июля 2022 г.

, чтобы направить отчет об уровне своей защиты в Правительство России.

Никаких «недружественных» антивирусов

Привлекать к работе над защитой информации в госструктурах можно только организации, имеющие лицензии на осуществление деятельности по технической защите конфиденциальной информации.

«Котируются» также услуги организаций, которые являются аккредитованными центрами госсистемы обнаружения, предупреждения и ликвидации последствий компьютерных атак.

Аккредитацию таких центров в указе предписывается провести ФСБ.

Также, согласно указу, госорганы с 1 января 2025 г. не могут использовать средства защиты информации, произведенные в «недружественных» странах. На переход на «суверенные» программы-антивирусы дается два с половиной года.

Андрей Рыбинцев, «Авито»: За два года безопасность на платформе выросла в 20 раз

Безопасность

Ограничение распространяется и на производителей, которые находятся под юрисдикцией «недружественных» государств, «прямо или косвенно подконтрольны им либо аффилированы с ними».

Напомним, на данный момент в списке недружественных стран 48 государств, среди которых США, Канада, Великобритания, Сингапур, Тайвань, Германия, Франция, Швейцария, Япония и другие.

Больше уязвимостей, больше атак

Ранее эксперты Group-IB сообщили о том, что в России в 2021 г. были обнаружены 5493 незащищенных баз данных, которыми могут воспользоваться киберпреступники. А в середине апреля 2022 г. стало известно, что в сеть утекли электронные письма российского министерства и губернаторской администрации Тверской области.

В конце марта 2022 г. с масштабным взломом столкнулась Росавиация, потерявшая 65 ТБ информации. Хакеры удалили всю почту и документооборот, а резервных копий у ведомства не оказалось. Организации пришлось перейти на бумажный документооборот.

Как получить ₽30 млн на вывод решения в области искусственного интеллекта на новые рынки

Поддержка ИТ-отрасли

О лавинообразном росте числа компьютерных атак на российские госструктуры и финансовые организации сообщали также в МИД России.

Среди жертв кибератак оказались производители энергоресурсов и сельхозпродукции, транспортные компании, органы исполнительной и судебной власти.

Антон Кузьмин, руководитель центра мониторинга и реагирования CyberART (группа Innostage) сообщил CNews о том, что «родина» большинства кибератак за последние два месяца – это Украина, США и Германия.

• Приложения для слежки за чужим смартфоном, за которые вам ничего не будет

Анжела Патракова

Подписаться на новости Короткая ссылка

«Вы лично отвечаете за инциденты». Почему 1 мая началась новая эпоха в информационной безопасности — Газета.Ru

— 1 мая был подписан указ президента о дополнительных мерах по обеспечению информационной безопасности Российской Федерации. Почему безопасники считают подписание этого указа уникальным событием?

— Потому что именно этот указ заставляет всех, кто попадает под его действие (а это существенная часть российских организаций), отойти от формальной безопасности и прийти к защите наших персональных данных, информационных систем и объектов критической инфраструктуры по-настоящему.

— Что же здесь является узловым моментом, который невозможно обойти, как и раньше, обозначив меры безопасности на бумаге?

— Ключевой момент – персональная ответственность первого лица компании, — что и прописано в указе. То есть первое лицо нашего государства говорит первым лицам крупнейших органов власти, государственных и других компаний: «Вы лично отвечаете инциденты, которые могут у вас произойти». И этот момент теперь нельзя будет «спустить на тормозах».

Конечно же, дается инструкция, как действовать, чтобы избежать этих инцидентов.

В ней как раз и говорится о необходимости создания специализированных подразделений в организациях, которые должны обнаруживать, предупреждать хакерские атаки и противодействовать им, об обязательности постоянного анализа защищенности.

А также о том, что при необходимости организации могут привлекать внешние компании для работы над своей защищенностью, ну и конечно об импортозамещении, которое в области информационной безопасности превращается из идеи или концепции в повседневную реальность.

• close
• 100%

— В ваше министерство звонят первые лица компаний, возмущенные новой ответственностью?

— Да. Уже в праздники, сразу после подписания указа, министру позвонило несколько первых лиц с вопросом: «Неужели это я теперь лично отвечаю за информационную безопасность?» Ответ на это: «Да, это действительно так». Что любопытно, есть и другие звонки.

Указ касается системозначимых предприятий. И если раньше компании хотели попасть в этот список ради набора льгот (например, в области кредитования), то теперь они хотят, наоборот, из этого списка выйти.

Так что была и некоторая доля звонков в стиле: «Можно нас убрать из перечня? Мы теперь не хотим в нем быть, потому что мы же теперь должны будем нести ответственность».

Однако отмечу – таких звонков были единицы.

— Получается, действительно, информационная безопасность была полностью бумажной, раз такой вал звонков?

— Ну не совсем так. Многие организации как раз профессионально занимаются безопасностью. Вот они остались равнодушными к указу, поскольку занимаются информационной безопасностью на постоянной основе и все его пункты уже исполнены ранее.

Если приводить прямо отраслевые примеры, то нельзя не упомянуть банковские организации — у них ничего не поменялось. Да, вопрос импортозамещения, конечно, и перед ними сейчас стоит — но Центробанк давно эту историю контролирует.

Или, скажем, отдельные организации в сфере энергетики и топливно-энергетического комплекса тоже весьма серьезно озабочены своей реальной защищенностью.

— Так скольких компаний коснулся этот указ?

— Это сотни тысяч компаний.

Конечно же, в этом списке федеральные органы исполнительной власти — там наиболее объемные ГИСы (государственные информационные системы), наибольшее количество персональных данных граждан, процессы, которые используются в управлении страной.

Второй большой блок организаций, на которые распространяется действие указа — компании из списка 91-Р (акционерные общества с государственным участием, включенные в специальный перечень) — то есть все крупнейшие госкорпорации и госкомпании.

Ну и третья составляющая общего списка, которую нельзя не отметить — юридические лица с объектами критической инфраструктуры (КИИ). Что важно — в указе применительно к ним нет слова «значимые», а это значит, что даже «незначимые» объекты КИИ должны быть защищены в соответствии с теми ожиданиями, которые формирует указ.

— Например?

— Да даже ломбарды на самом деле сегодня попадают под это. Но подробный ответ на этот вопрос конечно нужно адресовать ФОИВам (Федеральным органам исполнительной власти), отвечающим за свои сегменты отрасли. Каждый из них будет смотреть, что конкретно из того, что находится в его ведении, относится к КИИ.

— Это совсем разные компании. Каким образом понять, что для каждой из них является нарушением?

— Мы стремимся использовать выражение: «недопустимое событие». То есть руководители подразделений должны понимать, что именно для их организации является недопустимым.

Например, если ты стратегическое предприятие, то твой специалист по информационной безопасности может вдруг осознать, что, скажем, используемый сотрудниками публичный видеохостинг, а вернее его недоступность, несет опасность или является для компании «недопустимым событием» (потому что атака на него может привести к прекращению работы). Что это значит? Что его надо либо закрыть, либо обезопасить — других вариантов, по сути, нет.

— Каждый оператор персональных данных сейчас является КИИ?

— Нет, не каждый. Например, электронные университеты, которые обрабатывают у себя персональные данные учащихся, сегодня не являются КИИ.

— Руководителей, которые в страхе вам звонили, теперь могут посадить, если вдруг на их «вотчине» случится инцидент?

— Нет. Сажают у нас по статьям, предусмотренных Уголовным кодексом, а в него новых статей не вносилось. Точно такая же история с административной ответственностью. И КоАП, и УК привязаны к нарушению федерального закона. Указ же президента — это как бы шаг «до».

Само подписание говорит о том, что государство теперь очень внимательно следит за информационной безопасностью. Мы со своей стороны также будем особое внимание обращать на тех, кто не озаботится кибербезопасностью на должном уровне, так как такое попустительство чревато нарушением работоспособности компаний, которое может задеть широкий круг граждан.

— Согласитесь, ведь существуют указы президента, которые не исполняются годами?

— Да, существуют. Но здесь вопрос в контроле исполнения и в постоянном внимании к этой задаче. Минцифры обещает это внимание в полной мере.

— В указе сказано про «беспрепятственный доступ должностным лицам, органам Федеральной службы безопасности к информационным ресурсам компании»? Как он будет осуществляться?

— В данном случае необходимо дождаться соответствующего нормативного акта, который в ближайшее время выпустит Федеральная служба безопасности. В нем будут все необходимые пояснения.

— Указ предполагает доклад в правительство Российской Федерации по итогам оценки уровня защищенности. Что он должен содержать? Когда он планируется?

1. — Уже совсем скоро —1 июля.
2. В ближайшее время мы определим первичный список компаний, которые должны будут до 1 июля провести работы по оценке уровня защищенности и доложить о результатах в правительство.
3. Также, в связи с этим, наше министерство в ближайшие дни выпустит рекомендации по проведению оценки уровня защищенности, который будет по факту содержать типовое техническое задание — это должно осязаемо облегчить задачу компаниям, которые должны будут провести такую оценку.
4. — И что будет в этих рекомендациях?

— Некий алгоритм проверки, который похож на классический пентест (метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника).

То есть история, которая в целом для отрасли не нова. В правительство нужно будет предоставить заполненный итоговый отчет (executive summary).

В нем описано, когда и кем проводился анализ защищенности, оценка защищенности периметра, список реализованных «плохих» событий.

— То есть сейчас «запентестится» вся страна?

— К сожалению она пентестится и «багбаунтится» (нахождение уязвимостей за вознаграждение «белыми хакерами») всем миром уже 3 месяца, при этом совершенно неуправляемо нами.

Сейчас же мы хотим запустить процесс, который будет давать, во-первых, более качественный результат, во-вторых — его можно будет направить в созидательное русло, повышая в конечном счете защищенность наших организаций.

И для этого мы хотим привлечь всех специалистов внутри страны.

— Привлекаться к пентестам могут только лицензированные компании или действительно все?

— Перечень организаций, которые могут проводить эту работу, будет выбирать сама организация. Мы не даем список. Но лицензия, конечно, должна быть. Как минимум лицензия ТЗКИ (техническая защита конфиденциальной информации). Ее имеет практически любая компания в сфере информационной безопасности.

— И сколько компаний должны будут отчитаться в Минцифры до 1 июля?

— Перечень будет небольшой. Он не состоит из тысяч. Мы понимаем, что времени немного. И сосредоточимся на ключевых объектах информатизации. Однако всем остальным мы настойчиво рекомендуем запустить аналогичные программы на постоянной основе самостоятельно.

— Будут ли как-то проверяться эти отчеты? Вдруг там можно описать несуществующий пентест?

— Чем крупнее организация, тем меньше шансов, что нам будут врать. Это невыгодно, ведь в какой-то момент случится утечка. Это — инцидент. Сложно представить, что, скажем, условный «Яндекс» скажет: «У меня не утекали никакие данные из «Яндекс.

Еды» (справедливости ради, коллеги из «Яндекса» очень оперативно отреагировали и активно вкладываются в свою ИБ). Ведь все это попадает в публичный доступ.

И в том числе, отчет злоумышленников о том, каким образом «ломали» тот или иной ресурс — истории такого типа сейчас уже не редкость: злоумышленники стали не просто «брать на себя ответственность за взлом», но и публиковать подробности, подтверждающие успешность их действий.

— Понадобится очень много пентестеров. У нас хватит?

— Это действительно проблема.

В стране мало безопасников, они нужны. Сейчас мы видим это, например, по радикальному росту зарплат. С 24 февраля по некоторым сегментам в информационной безопасности они выросли сразу в 2 раза.

— В указе сказано, что с 2025 года российские компании не должны использовать средства защиты, разработанные в недружественных странах. Но как понять, какая страна будет дружественной или наоборот в будущем?

— Это сложный вопрос. Нас спрашивают: «Можем ли мы точно вот этот конкретный продукт использовать после 2025 года?» Мы говорим: «К сожалению, нет».

И мы не просто так это делаем, а потому что прекрасно понимаем, что завтра какая-то страна станет нам недружественной, а организация, которая владеет этими продуктами, и являющаяся резидентом этой страны, за одну секунду превратит хороший продукт практически в «кирпич».

С точки зрения вопросов технологической независимости, замена продуктов недружественных стран стоит на первом месте.

— То есть в самое ближайшее время будет выпущено несколько разъяснений указа президента, подписанного 1 мая?

— Да. Правительство до 1 июня выпустит типовые положения: о заместителе руководителя и структурном подразделении. Второе — будет опубликован перечень организаций, которым необходимо до 1 июля провести оценку уровня защищенности.

ФСБ определит порядок, в рамках которого они будут осуществлять мониторинг организаций. И четвертое — Минцифры выпустит рекомендации по исполнению 4 пункта указа, и по тому, как отчитываться о выполнении оценки уровня защищенности.

Это самые ближайшие планы.

Каким требованиям по информационной безопасности надо соответствовать в 2022 году

В этом посте расскажем о последних изменениях стандартов и нормативных актов по ИБ, а также о реальной необходимости их применения в текущих условиях. Кроме того, рассмотрим, какие сложности сейчас возникают с поддержанием необходимого уровня защищенности в условиях недоступности подписок и поддержки на средства защиты информации. 

В 2022 году произошли изменения в требованиях к защите информации. Обновления в нормативной базе и в стандартах происходят постоянно, но в этот раз они стали более заметны в связи с уходом из РФ некоторых производителей и последовавших изменений на рынке ИТ и ИБ.

В статье мы рассмотрим следующие темы:

1. Изменения в стандарте PCI DSS и применимость стандарта в целом.

2. Новые требования к ИБ ЦБ РФ. 

3. Изменения в положении об аттестации.

4. Подход к поддержанию защищенности с отзывом подписок и поддержки на некоторые средства защиты информации.

5. Приказ Президента РФ №250 от 01.05.2022 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации».

6. Оценка критичности внесения изменений в статус соответствия.

Изменения в стандарте PCI DSS и применимость стандарта в целом

Кратко: стандарт PCI DSS действует и продолжает быть нужным. Усложнились требования на соответствие ему, однако, значительная их часть выполняется достаточно легко. 

Подробнее: стандарт PCI DSS не является государственным или национальным, он разработан Советом (PCI Council), и к нему присоединяются разнообразные платежные системы: Visa, Master, UnionPay, «Мир» и т.д. 

Стандарт широко распространенный и зрелый, с понятными и привычными принципами, четкими правилами проверки и налаженной системой обучения и аккредитации аудиторов. Поэтому для платежных систем достаточно выгодно и удобно присоединиться к существующему стандарту, а не создавать свой.

Цепочка применения стандарта выглядит так: платежные системы, приходя в новую страну, подключают несколько крупных банков или процессинговых центров, и требуют от них:

• Соответствовать PCI DSS.
• Требовать соответствия PCI DSS от собственных клиентов (получающих доступ к платежной системе через эти крупные процессинговые центры).

В России подключение к платежным системам осуществляется через процессинг НСПК. НСПК еще и является оператором платежной системы «Мир», которая присоединилась к PCI DSS.

Таким образом, на территории России решения о соответствии PCI DSS принимает НСПК. И официальная позиция НСПК – необходимо продолжать соответствовать PCI DSS.

Кроме того, так как НСПК требует подтверждения соответствия клиентов от крупных банков и процессинговых центров, то и они в свою очередь продолжают требовать соответствия от своих клиентов и могут приостановить подключение к платежным системам при несоответствии.

Сложности в обеспечении соответствия стандарту такие:

1. Для успешной сертификации необходимо пройти ASV-сканирование на уязвимости.

   ASV-сканирование – это сервис, при оказании которого вендор (имеющий статус ASV) подтверждает корректность и применимость отчета.

   Абсолютное большинство сканирований производилось с помощью услуги от компании Qualys, которая ушла с рынка РФ. Но ASV-вендоров много, и найти другого – можно. Например, с помощью вашего PCI-аудитора.

2. Для успешной сертификации необходимо регулярно устанавливать обновления безопасности и обновления сигнатур средств защиты (антивируса, IPS, WAF и т.д.

   ) Некоторые производители ушли с рынка, и обновления для них теперь не достать. Способ тут один – обновить сигнатурные средства защиты на что-то, для чего доступны обновления.

   В качестве временной меры можно перейти на публичные фиды сигнатур в snort-формате.

Новые требования ЦБ РФ

• Банк России достаточно активно взялся за обновление и внедрение новых требований в части обеспечения информационной безопасности за последние два года.
• ЦБ активно внедряет риск-ориентированный подход и разрабатывает массу документов, детализирующих требования по обработке операционных рисков.
• В этом году сумма изменений сложилась в единую и целостную картину:

• Обновились положения по защите информации для некредитных финансовых организаций и при осуществлении переводов средств: положения 757-П, 747-П и 719-П (вместо старых 684-П, 672-П и 382-П соответственно);
• Опубликованы требования по обеспечению отказоустойчивости и операционной надежности для кредитных организаций (Положение 787-П), и для некредитных финансовых организаций (Положение 779-П).

Наиболее интересными в контексте этой статьи являются требования по отказоустойчивости. И одним из быстрых способов внедрения является перевод всех старых или проблемных активов на сервисную модель — например, в облака с заранее оговоренным SLA.

ЦБ внедряет риск-ориентированный подход, в том числе в ИТ и ИБ, требующий очень много всего.

В части ИТ:

• обеспечивать отказоустойчивость;
• подбирать подрядчиков, например, облачных провайдеров, обеспечивающих подходящий уровень отказоустойчивости;
• разработать требования к «функциональному качеству», грубо говоря, архитектурные требования к подсистемам: какие можно использовать ОС, ПО, методы аутентификации, методы интеграции с БД, и т.д.

В части ИБ:

• подбирать подрядчиков, например, облачных провайдеров, обеспечивающих требуемый уровень соответствия применимым требованиям по ИБ.

Изменения в положении об аттестации

Это достаточно консервативная часть информационной безопасности, тем не менее, она тоже меняется. Из свежих обновлений — Приказ ФСТЭК России №77 от 29.04.2021 «Порядок организации и проведения работ по аттестации объектов информатизации».

В этом приказе особенно хотелось бы отметить пункты №№ 32 и 33, регламентирующие действия при изменении аттестованной системы. Раньше аттестованную систему нельзя было изменять, но при незначительных изменениях можно было проводить периодический контроль.

Теперь периодический контроль обязательно надо проводить не реже одного раза в два года в любом случае (даже при отсутствии изменений). И протоколы испытаний необходимо предоставлять во ФСТЭК.

А при незначительных изменениях надо проводить процедуру «дополнительных аттестационных испытаний». В процессе этой процедуры вносятся изменения в Паспорт системы и подтверждается актуальность аттестата (с сохранением его номера).

Сложности информационной безопасности: есть ли замена ушедшим с рынка решениям

Возможность поиска решений может быть ограничена для компаний, входящих в санкционные списки или отнесенных к критическим элементам инфраструктуры и государственных информационных систем.

Для компаний, не подпадающих под вышеуказанные ограничения, выбор чуть больше: 

• Приобретение подписок и обновлений через аффилированные юридические лица вне РФ;
• Перевод инфраструктуры на open source;
• Использование существующих средств защиты с поддержкой от российских компаний и наполнение подписок из других источников. Например, некоторые российские компании анонсировали разработку собственных сигнатур, совместимых по формату с распространенными западными средствами защиты.

Для компаний, попавших под более строгие ограничения, пока что решение видится в переходе на средства защиты, доступные для покупки и сопровождающиеся поддержкой на территории РФ. Т.е. решения из стран, не входящих в перечень недружественных (Китай, Израиль), или на российские решения. А также использование open source.

Приказ Президента РФ №250 от 01.05.2022

К приказу разработан перечень организаций, подпадающих под его действие. Эти организации должны были в ближайшее время оценить уровень своей информационной безопасности и наладить процесс информирования об инцидентах ИБ.

Очевидно, что из этого приказа следует, что:

• Оценивать надо по методологии, которая на момент написания статьи еще не опубликована, но скорее всего будет охватывать больше тем и мер защиты, нежели Приказ ФСТЭК №21.
• Из оценки логично следует необходимость улучшать этот уровень защищенности. Требований, к сожалению, также пока что нет.
• Для того, чтобы информировать об инцидентах, необходимо настроить логирование событий так, чтобы:
  • Видеть в логах отображение инцидентов в бизнес-процессах. Включая отказы, нарушения отказоустойчивости и т.п.
  • Собирать и коррелировать эти логи.

1. Да и для подключения к ГосСОПКА необходимо выполнить некоторые мероприятия по защите информации.
2. К сожалению методология оценки и улучшения защищенности информационных систем еще не опубликована, поэтому пока больше подробностей нет.
3. Итог: как оценивать для себя критичность изменений в законодательстве в новых условиях?
4. Конкретный roadmap у каждой компании будет уникален, но общий порядок действий таков:

1. Идентифицировать ИТ и ИБ активы, оставшиеся без поддержки и подписок или обновлений.

2. Определить, применимы ли способы получения поддержки и обновлений или подписок для существующего оборудования. Для оборудования, обеспечивающего функционирование критичных процессов, для которого нет возможности получать обновления и поддержку, необходимо запланировать замену.

3. Если компания относится к финансовому сектору, то оценить свое соответствие требованиям по отказоустойчивости. Возможно, вместо замены оборудования логично сразу переносить системы к сервис-провайдерам: и оборудование менять не понадобится, и SLA появится.

4. В зависимости от видов деятельности, проверить возможность продления статусов соответствия (в части ГОСТ и PCI DSS в первую очередь): замену оборудования в платежных сегментах нужно планировать в срок до начала переоценки или пересертификации. Если же срок переоценки или пересертификации близок, то необходимо обсудить с аудитором применимые компенсирующие меры.

5. В случае, если информационная система аттестована – то сначала провести все мероприятия по замене. И только потом делать дополнительные аттестационные испытания.

Как Указ Президента №250 повысит кибербезопасность государственных и коммерческих структур

Как Указ Президента №250 повысит кибербезопасность государственных и коммерческих структур

На этой неделе было опубликовано Постановление Правительства от 15 июля 2022 года №1272 «Об утверждении типового положения о заместителе руководителя органа (организации), ответственного за обеспечение информационной безопасности в органе (организации), и типового положения о структурном подразделении в органе (организации), обеспечивающим информационную безопасность органа (организации)». В нем прописаны ключевые положения, направленные на реализацию Указа Президента от 01 мая 2022 года №250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации».Постановление определяет права, полномочия, обязанности, квалификационные требования и ответственность заместителя руководителя по информационной безопасности — эта должность вводится Указом — и соответствующего структурного подразделения.

Чтобы разобраться в новых требованиях к кибербезопасности, мы поговорили с кандидатом технических наук, заместителем директора Академии Информационных Систем Игорем Хайровым.

Что изменится после реализации Указа Президента №250?

Вопрос обеспечения информационной безопасности (ИБ) в организации поднимется на совершенно иной уровень, т.к. ответственным за обеспечение ИБ должен быть назначен заместитель руководителя организации.

Руководитель организации теперь несет персональную ответственность за обеспечение ИБ — безопасникам будет проще достучаться до руководства.

Также появятся подразделения, ответственные за обеспечение ИБ, хотя эту функцию можно возложить на уже имеющееся департаменты.

Согласно Постановлению Правительства руководящий состав организации и сотрудники подразделений ИБ должны участвовать в профильных мероприятия: форумах, конференциях. Это впервые прямо прописывается в нормативном документе такого уровня.

Какие установлены сроки реализации этих положений?

Воплотить это всё в жизнь нужно было ещё «вчера».

Любая организация, тем более имеющая объекты критической информационной инфраструктуры (КИИ), должна быть защищена изначально. Если возникнут проблемы с ИБ, проверяющие органы не будут смотреть на то, что Постановление Правительства утвердили лишь июле и требования Указа выполнить ещё не успели.

Они будут смотреть на масштаб бедствия и отталкиваться от него, применяя санкции к руководителю организации. По части его персональной ответственности Указ уже можно считать вступившим в силу.

На каких предприятиях появятся зам. руководителя по ИБ?

В Указе речь идет о коммерческих и государственных организациях, включая стратегические, системообразующие и просто субъекты КИИ. По факту это сотни тысяч организаций.

Какое образование должно быть у зам. руководителя?

• В Постановлении к ним предъявляются следующие квалификационные требования: высшее образование в области ИБ (не менее магистратуры или специалитета — бакалавриата недостаточно) или диплом о профессиональной переподготовке по ИБ.
• Также он должен регулярно повышать компетенции и знания в области ИБ, проходя курсы повышения квалификации.
• Чем профпереподготовка отличается от повышения квалификации?
• Профессиональная переподготовка — это билет в новую специальность, которая может кардинально отличаться от предыдущей.
• Повышения квалификации — это возможность актуализировать навыки и знания в рамках уже имеющейся профессии.

Отличаются они и длительностью. Если повышение квалификации по ИБ начинается от 40 часов, а по лицензионным требованиям ФСБ России — со 100 часов, то профпереподготовка по ИБ даже в теории не может быть короче 360 часов, а на практике это чаще всего минимум 500 часов.

Есть ли курсы по переподготовке короче 500 часов?

500 часов — это минимум по лицензионным требованиям ФСБ, если у специалиста нет профильного ИБ-образования. Именно такие курсы чаще всего реализуют компетентные в области ИБ учебные центры.

Первая программа свыше 500 часов, которую ФСБ согласовала по появившимся тогда требованиям, была разработана в Академии Информационных Систем в 2012 году и с тех пор активно применяется на рынке.

Однако согласно Приказу Минобрнауки от 19.10.

2020 №1316 «Об утверждении Порядка разработки дополнительных профессиональных программ, содержащих сведения, составляющие государственную тайну, и дополнительных профессиональных программ в области информационной безопасности» профпереподготовка по ИБ не должна быть короче 360 часов. Аналогичное требование прописано в лицензионных требованиях ФСТЭК России.

Подойдет ли для зам. руководителя по ИБ профпереподготовка в объеме 360 часов?

Прямо в Постановлении Правительства требования к продолжительности программы профпереподготовки не указаны. Однако в документе прописан ряд требований к квалификации ИБ-руководителей, т.е. то, что они должны знать и уметь. Речь идет об очень высоком стандарте подготовки.

Такой объем информации с учетом отработки на практике полученных знаний сложно дать даже за 500 часов, не говоря уже о 360. Готовить ответственных за обеспечение информационной безопасности объектов КИИ, системообразующих или стратегических предприятия по стандарту в 360 часов, на мой взгляд, — профанация.

Объясню. Программа в объеме 360 часов раскрывает лишь один хоть и большой аспект защиты информации — техническая защита конфиденциальной информации (ТЗКИ). В программах от 500 часов в том числе раскрываются многие другие аспекты, которые перечислены в

Постановлении. Например, вопросы обеспечения кибербезопасности, вопросы обнаружения, предупреждения и ликвидации последствий компьютерных атак, реагирование на инциденты ИБ, управление проектами по ИБ.

1. Кто может проводить профпереподготовку?
2. Учебный центр должен обладать соответствующей образовательной лицензией, а программы профпереподготовки по ИБ, по которым ведется обучение, согласно уже упомянутому Приказу Минобрнауки №1316 требуют согласования ФСТЭК и/или ФСБ.
3. Я бы ещё обращал внимание на опыт в реализации образовательных программ по ИБ и репутацию учебного центра.
4. Формализованных требований к преподавателям нет, но, учитывая специфику отрасли, это должен быть профессионал с большим практическим опытом в информационной безопасности.
5. Можно ли пройти профпереподготовку дистанционно?
6. Да, ряд учебных центров предусматривают такую возможность.

Закон «Об образовании» позволяет проводить обучения удаленно, если слушатели могут общаться с преподавателем напрямую в режиме реального времени. Это называется контактной формой обучения.

Важно, чтобы в дистанционном формате сохранялась практическая часть обучения. В ИБ без практики никуда.

Этот процесс можно реализовать по-разному. Например, в АИС, наряду с работой на реальном оборудовании, мы используем виртуальные машины, которые эмулируют реальные средства защиты. Учащимся выдаются подробные инструкции, а преподаватели в обязательном порядке проверяют их работы.

Риски неисполнения Указа

Как я уже отмечал ранее, за обеспечение ИБ персональную ответственность теперь несет руководитель организации. Причем ответственность эта в зависимости от квалификации может быть как административной, так и уголовной.

Путин обязал госструктуры дать ФСБ доступ к информационным ресурсам — РБК

Госструктуры должны создать подразделения по обеспечению информационной безопасности или возложить эту функцию на существующие отделы. С 2025 года госорганы и организации обязаны перейти на отечественный софт

Сергей Савостьянов / ТАСС

Президент России Владимир Путин подписал указ о дополнительных мерах информационной безопасности. Документ опубликован на официальном интернет-портале правовой информации.

Указ касается федеральных и региональных органов исполнительной власти, государственных компаний и фондов, стратегических и системообразующих предприятий, а также «юридических лиц, являющихся субъектами критической информационной инфраструктуры» Российской Федерации.

Их руководители должны определить заместителя, который будет отвечать за обеспечение информационной безопасности, в том числе обнаружение, предупреждение и ликвидацию последствий кибератак.

Помимо того, они обязаны создать подразделения, которые будут выполнять эту функцию, или возложить ее на существующие отделы.

Госструктуры должны предоставлять органам ФСБ беспрепятственный доступ, в том числе удаленный, к принадлежащим или используемым ими ресурсам для мониторинга и выполнять их указания по его результатам. Руководители госорганов и организаций несут личную ответственность за информационную безопасность.

Кроме того, указ запрещает госорганам использовать средства защиты информации, произведенные в «недружественных» странах. Запрет начнет действовать с 1 января 2025 года.

• «Установить, что с 1 января 2025 года органам (организациям) запрещается использовать средства защиты информации, странами происхождения которых являются иностранные государства, совершающие в отношении Российской Федерации, российских юридических лиц и физических лиц недружественные действия», — говорится в нем.
• Это относится и к производителям, находящимся под юрисдикцией «недружественных» государств, «прямо или косвенно подконтрольных им либо аффилированных с ними».
• «Если раньше основным регулятором была ФСТЭК [Федеральная служба по техническому и экспортному контролю], которая выпускала различные требования по защите информации, которые обязаны были выполнять госорганы, то последние события показали, что либо сами требования, либо процесс их реализации, либо используемый инструментарий оказались неэффективными», — сказал РБК эксперт по кибербезопасности Алексей Лукацкий.

Теперь, указал Лукацкий, все госструктуры обязаны выполнять требования ФСБ по результатам мониторинга и реагированию на киберинциденты, тогда как раньше спецслужба отвечала лишь за криптографию (обеспечение конфиденциальности данных), а также устанавливала требования по отражению атак для объектов критической информационной инфраструктуры. «При этом требования ФСТЭК никто не отменяет», — отметил он.

Говоря о запрете на использование иностранных средств защиты, эксперт уточнил, что нельзя будет устанавливать зарубежные антивирусы, «хотя они и так уже практически полностью вытеснены российскими компаниями», пользоваться иностранными межсетевыми экранами, системами обнаружения вторжений, мониторинга, защиты от утечек информации, средствами аутентификации и др.

Руководитель отдела продвижения продуктов компании «Код Безопасности» Павел Коростелев также заявил РБК, что речь идет об антивирусах, межсетевых экранах, средствах обнаружения вторжений, системе управления информационной безопасностью и системах анализа уязвимостей.

«Любопытно, что идея этого указа в том, что здесь есть требования по возложению функций обеспечения информационной безопасности на человека в ранге заместителя директора или заместителя главы органа государственной власти, а это очень высокий уровень», — сказал он, отметив, что обычно эти функции выполняют люди «со второго или даже третьего уровня подчинения».

«Это потенциально повысит уровень зрелости организаций и повысит уровень инвестиций в информационную безопасность», — считает эксперт.

В список «недружественных» государств, составленный правительством, попали все страны ЕС, США, Южная Корея, Сингапур, Тайвань, Япония и некоторые другие.

В конце марта Путин подписал указ, согласно которому госструктурам с 1 января 2025 года не разрешается использовать иностранное программное обеспечение (ПО) на объектах критической информационной инфраструктуры. К этому времени они должны перейти на софт отечественной разработки. С 31 марта запрещены государственные закупки зарубежного ПО для использования на критической инфраструктуре без согласования.