Подписаться
Читать в телеграм
Новые рекомендации регуляторов и для кого они актуальны?
Детали Указа Президента РФ № 250
За последние несколько месяцев появилась масса новых рекомендаций и нормативки от регуляторов. Сфера ИБ динамично меняется — столько нововведений за столь короткое время мы, наверное, не видели никогда. Поэтому составили для вас их небольшой обзор и описали свои предположения по поводу ключевых «новинок».
Бюллетени НКЦКИ
НКЦКИ был создан ФСБ России в 2018 году для координации деятельности центров ГосСОПКА и субъектов КИИ по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.
Национальный координационный центр по компьютерным инцидентам (НКЦКИ) первым выпустил ряд бюллетеней по защите информации (не считая рекомендаций в отношении конкретных уязвимостей и вредоносного ПО):
- «Угроза кибератак на российские информационные ресурсы» от 24 февраля 2022 г.
- «О мерах повышения уровня защищенности информационных ресурсов Российской Федерации от целенаправленных компьютерных атак» от 2 марта 2022 г.
- «Рекомендации по обеспечению безопасности телекоммуникационного оборудования» от 5 марта 2022 г.
- «Рекомендации по повышению уровня защищенности российских web-приложений» от 11 марта 2022 г.
- «Рекомендации по первоочередным мерам, направленным на обнаружение, предупреждение и ликвидацию последствий компьютерных атак» от 16 марта 2022 г.
- «Рекомендации по компенсации ИТ-рисков для компаний и организаций Российской Федерации в условиях санкционных ограничений» от 19 марта 2022 г.
- «Рекомендации по защите от угроз фишинговых и вредоносных писем» от 25 марта 2022 г.
- «Рекомендации по защите информационной инфраструктуры компании от компьютерных атак с использованием программ-шифровальщиков» от 25 марта 2022 г.
- «Обобщенные рекомендации по минимизации возможных угроз информационной безопасности информационным ресурсам Российской Федерации» от 29 марта 2022 г.
Первый бюллетень не содержит конкретных рекомендаций, но указывает, что компаниям стоит усилить бдительность в части мониторинга событий на объектах КИИ. Бюллетени 2–8 содержат best practice, которые любая организация, серьезно относящаяся к ИБ, в принципе должна выполнять по умолчанию. В бюллетене 9 представлена выжимка самых критичных рекомендаций.
Некоторые рекомендации НКЦКИ из бюллетеней:
- Инвентаризация внешних IP-адресов, сервисов, доменов и поддоменов организаций, ресурсов, доступных из сети Internet, привилегированных учетных записей.
- Запрет незащищенного подключения к внутренним ресурсам, запрет удаленного доступа к сервисам управления технологическими и производственными процессами.
- Проверка корректности вводимых на веб-ресурсах пользовательских данных.
- Блокировка вложений электронных писем с расширениями APK, BAT, CMD, COM, DLL, EXE и др.
- Ужесточение парольной политики.
- Настройка логирования событий.
- Организация регулярного резервирования критичной информации и тестирования процесса восстановления из резервных копий.
Также в бюллетенях есть ряд рекомендаций, которые связаны с текущей геополитической ситуацией. На них нужно обратить особое внимание:
- Перенос инфраструктуры, на которой функционируют информационные системы и сервисы организаций, на территорию РФ.
- Отключение автоматического обновления программного обеспечения и его компонентов.
- Отключение взаимодействия с зарубежными серверами проверки лицензий, службами технической поддержки.
- Преимущественное использование доменной зоны .ru.
- Проведение ревизии SSL-сертификатов, разработка плана перехода на сертификаты, выпущенные удостоверяющими центрами на территории РФ, или самоподписанные сертификаты.
Для повышения общего уровня защищенности и отказоустойчивости ИТ-инфраструктуры советуем не ограничиваться «Обобщенными рекомендациями». Изучите каждый бюллетень и реализуйте предложенные меры с учетом потенциальных рисков.
ФСТЭК и Минцифры России
Помимо НКЦКИ отдельные пакеты рекомендаций выпустили ФСТЭК России и Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (Минцифры России). Письмо от ФСТЭК, опубликованное 24 марта, описывало меры по повышению защищенности инфраструктуры организаций-разработчиков ПО и оборудования АСУ ТП (меры во многом пересекались с рекомендациями НКЦКИ). Рекомендации Минцифры России касались государственных корпораций, компаний с госучастием, их дочек и т. д. Они были выпущены 10 марта и, в отличие от рекомендаций НКЦКИ, содержали временные ограничения.
- До 18 марта было необходимо возложить полномочия по обеспечению ИБ, обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты на лиц из числа заместителей руководителя организации, принять решение о заключении договоров на оказание услуг по повышению уровня ИБ с экспертными организациями и создать систему защиты от DDoS-атак.
Под «экспертными организациями» понимаются компании, оказывающие услуги по противодействию компьютерным атакам и компьютерным инцидентам. Они должны иметь действующее соглашение с ФСБ России или НКЦКИ о взаимодействии в области обнаружения, предупреждения и ликвидации последствий атак.
- До 11 апреля было необходимо провести мероприятия по повышению уровня ИБ, предусмотренные договорами на оказание услуг с экспертными организациями, организовать еженедельную отправку отчетов о реализации рекомендаций в Минцифры России, ФСБ России и ФСТЭК России, а также обеспечить участие ответственных по ИБ в соответствующих совещаниях, проводимых Минцифры России.
Тем не менее, большинство отечественных компаний не спешили выполнять эти рекомендации. Во-первых, это все еще были рекомендации, а не обязательные меры. Во-вторых, в России привыкли дожидаться правоприменительной практики. В-третьих, качественно реализовать все это в столь сжатые сроки было невозможно.
Указ Президента РФ № 250
1 мая был опубликован Указ Президента РФ № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации». Его положения распространяются на государственные организации, стратегические акционерные общества и системообразующие организации российской экономики, а также юридические лица, являющиеся субъектами КИИ. Последних выделим отдельно: по сути, речь идет о тысячах компаний из разных сфер. Организация считается субъектом КИИ, если владеет информационными системами, информационно-телекоммуникационными сетями, автоматизированными системами управления и работает в одной из этих областей:
Здравоохранение
Наука
Транспорт
Связь
Ракетно-космическая отрасль
Горнодобывающая отрасль
Энергетика
Финансы
ТЭК
Оборонная отрасль
Металлургическая отрасль
Химическая отрасль
Также в Указе № 250 говорится, что если организация привлекает к осуществлению мероприятий по ИБ сторонние компании, они должны быть лицензиатами ФСТЭК России и ФСБ России. Если же речь идет о мероприятиях по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты, то привлекаемая компания также должна иметь аккредитацию Центра ГосСОПКА (поскольку порядок аккредитации еще разрабатывается, допускается наличие соглашения о взаимодействии с НКЦКИ).
3 июня на сайте Минцифры России было опубликовано «Типовое техническое задание на выполнение работ по оценке уровня защищенности информационной инфраструктуры». Оно направлено на выявление и верификацию стратегических рисков ИБ в российских компаниях. При этом верификация — это имитация таргетированных атак с последующей разработкой маршрутной карты по модернизации ИТ-инфраструктуры.
Для реализации положений ТЗ необходимо:
- Выявить недопустимые события (события, реализация которых может существенно замедлить, остановить или разрушить деятельность компании) и сформировать их реестр.
- Определить возможные сценарии реализации рисков с учетом текущей ИТ-инфраструктуры и применяемых средств защиты.
- Осуществить практическую верификацию недопустимых событий с помощью тестирования на проникновение.
- Разработать отчетные документы и план по модернизации ИТ-инфраструктуры и ИБ-архитектуры компании.
Результаты проделанной работы необходимо по запросу предоставить Правительству Российской Федерации, а также во ФСТЭК и ФСБ России.
Рекомендации для организаций, подпадающих под действие Указа №250:
- Если орган (организация) были отнесены Правительством РФ к ключевым, им необходимо выполнить требования Указа № 250, в том числе провести работы по оценке уровня защищенности ИТ-инфраструктуры в соответствии с ТЗ Минцифры России.
- Если орган (организация) не вошли в перечень ключевых, им необходимо выполнить требования Указа № 250, исключая оценку уровня защищенности по ТЗ Минцифры России.
- Всем организациям следует задуматься о выполнении пункта, касающегося импортозамещения СЗИ и учитывать его при планировании закупок, в том числе оборудования и ПО, содержащего механизмы обеспечения ИБ.
Как указано выше, к выполнению требований Указа № 250 должны привлекаться лицензиаты ФСТЭК России и ФСБ России. Наш центр информационной безопасности (ЦИБ) имеет необходимые лицензии, центр мониторинга и реагирования на инциденты Jet CSIRT имеет соглашение о взаимодействии с НКЦКИ. Таким образом, ЦИБ может оказывать услуги по приведению в соответствие требованиям Указа № 250, как говорится, под ключ и в полном объеме.
Под действие Указа № 250 подпадает множество российских организаций. Даже если ваша компания пока не входит в их число, это не повод расслабляться. Сам факт выхода указа говорит о том, что меры регулирования в сфере ИБ продолжат ужесточаться.
На рис. 1 схематично показаны организации и в упрощенном виде перечислены требования новых нормативно-правовых актов, под которые они подпадают. Обращаем внимание, что банкам и некредитным финансовым организациям, помимо требований Указа № 250, которые были довольно подробно описаны в статье, необходимо выполнить требования Положения Банка России об операционной надежности.
