В России новые требования к кибербезопасности компаний. Как их выполнить

4 Июля 2022
Весной 2022 года число кибератак в России выросло как минимум в четыре раза, страна стала самой атакуемой в мире. В итоге были приняты указы, которые требуют от компаний усилить киберзащиту. Евгений Дружинин, ведущий эксперт по информационной безопасности ИТ-компании КРОК объяснил, что это значит для бизнеса.

Злоумышленники способны выполнить (и делают это) различного рода целевые атаки и DDoS-атаки, мощность которых в отдельных случаях измеряется терабайтами, а продолжительность может достигать 20 и более часов. Хакеры потенциально могут остановить крупное предприятие любой отрасли, блокировать или вывести из строя критически значимые ресурсы, спровоцировать blackout во всем городе или даже области.

Беспрецедентные нападения на ИТ-инфраструктуру госкомпаний, промышленного и коммерческого сектора повлияли на усиление киберзащиты во всех сферах. Указы Президента «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» и «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры РФ» поставили финальную точку в многолетнем процессе согласования формулировок, которые прежде вызывали множество возражений как со стороны отдельных отраслей, так и органов власти.

Ключевые требования указов

В указах говорится о киберзащите стратегически важных информационных ресурсов, в том числе значимых объектов критической информационной инфраструктуры. Регулирование напрямую касается органов власти, предприятий с государственным участием, субъектов КИИ.

В числе мер по укреплению технологического суверенитета страны – запрет на закупку иностранного ПО, в том числе в составе программно-аппаратных комплексов, для значимых объектов КИИ без согласования с регулирующим органом.
Документы запрещают не только закупки зарубежных ИТ-решений и средств защиты информации для значимых объектов КИИ, но и полностью исключают их использование с 1 января 2025 года.

За шесть месяцев Правительству РФ предстоит также разработать и реализовать мероприятия, которые приведут к тому, чтобы субъекты КИИ использовали преимущественно российскую радиоэлектронную продукцию и телекоммуникационное оборудование, включая доверенные программно-аппаратные комплексы.

Вот что конкретно требуют от компаний указы:

•    ответственность за обеспечение ИБ возлагается на заместителя генерального директора;
•    в компании должно быть структурное подразделение, отвечающее за ИБ, обнаружение и реагирование на атаки;
•    компания должна обеспечить обнаружение, предупреждение, ликвидацию и реагирования на компьютерные инциденты;
•    компания должна привлекать (при необходимости) лицензированные ФСТЭК организаций, чтобы обеспечить ИБ;
•    компания должен провести оценку уровня защищенности информационных систем до 1.07.2022 года (для организаций, определенных Правительством);
•    с 1 января 2025 года вводится запрет на использование иностранного программного обеспечения и средств защиты информации из недружественных стран.
Какие решения надо принять, чтобы исполнить требования указов

В числе первоочередных задач компаниям необходимо провести работы по распределению ответственности за обеспечение ИБ на должностных лиц, а именно, на заместителя генерального директора. Также нужно создать структурное подразделение, которое отвечает за ИБ, обнаружение и реагирование на атаки.
Также, если есть необходимость, нужно привести распорядительные документы о должностных обязанностях в соответствие нормам, которые ввело Правительство РФ.

Кроме того, следует выполнить аудит защищенности информационных ресурсов, в том числе инвентаризацию оборудования, которое находится в эксплуатации, чтобы выявить иностранное аппаратное и программное обеспечение, средства защиты информации.
Необходимо проанализировать подрядчиков в области ИБ на наличие у них необходимых лицензий, а в дальнейшем – и на наличие аккредитации у центров ГосСОПКА. Компаниям в текущей ситуации следует быть готовыми к оперативному взаимодействию с регулирующими органами (ФСБ России, ФСТЭК России) и выполнению их указаний.  

Вот что рекомендуем сделать, чтобы все это реализовать:

1. Подключить SOC – мониторинг информационной безопасности 24/7.
Компаниям необходимо постоянно мониторить рекомендации по нейтрализации актуальных угроз ИБ и оперативно принимать организационные и технические меры, которые предписанных ФСБ и ФСТЭК.
Нужно подключить Security Operations Center (SOC) – мониторинг информационной безопасности 24/7. Это совокупность специалистов, процессов и технологий, которые помогают обнаружить угрозы информационной безопасности и отреагировать на них.

В SOC, как правило, входят:
•    сервисы MSS (Managed Security Services), обеспечивающие выявление простых и средних массовых угроз,
•    сервисы MDR (Managed Detection and Response), предназначенные для обнаружения продвинутых целевых атак,
•    решение класса SIEM (Security information and event management), выполняющее анализ в реальном времени событий (инцидентов) безопасности, исходящих от различных источников событий ИБ, позволяющее реагировать на них до наступления существенного ущерба.

Весь этот комплекс сервисов и технологий обеспечивает режим full view или полной наблюдаемости инфраструктуры: сбор детальных логов, контроль сетевого трафика, сбор информации со всех компонент инфраструктуры.  

2. Обеспечить защиту КИИ.

Перечень организационных и технических мер по защите значимых объектов КИИ огромен. Он включает в себя идентификацию и аутентификацию, управление доступом, ограничение программной среды, защиту машинных носителей информации, антивирусную защиту, предотвращение вторжений (компьютерных атак) и так далее.

Согласно законодательству о защите КИИ, ее субъекты должны:
•    провести категорирование объектов КИИ,
•    реализовать организационные и технические меры по обеспечению их безопасности,
•    обеспечить интеграцию с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы (ГосСОПКА).

3. Оценить уровень защищенности инфраструктуры.

Часть компаний, которые определило Правительством РФ, должны провести оценку уровня защищенности до 1 июля 2022 года. Им следует выявить стратегические риски – недопустимые события для каждого предприятия, уязвимости в системе, которые могут быть использованы внешними и внутренними нарушителями, а также недостатки применяемых средств защиты.

После того, как риски исследованы, необходимо провести киберучения, в том числе тестирование на проникновение, проверку работы средств защиты и сканирование уязвимостей.

Источник: РБК Pro
Елена Давыдова
КРОК
+7 910 119 7872
elendavydova@croc.ru
https://pro.rbc.ru/demo/62b427879a7947025a54eb79