В России новые требования к кибербезопасности компаний. Как их выполнить

Весной 2022 года число кибератак в России выросло как минимум в четыре раза, страна стала самой атакуемой в мире. В итоге были приняты указы, которые требуют от компаний усилить киберзащиту. Евгений Дружинин, ведущий эксперт по информационной безопасности ИТ-компании КРОК объяснил, что это значит для бизнеса.

Злоумышленники способны выполнить (и делают это) различного рода целевые атаки и DDoS-атаки, мощность которых в отдельных случаях измеряется терабайтами, а продолжительность может достигать 20 и более часов. Хакеры потенциально могут остановить крупное предприятие любой отрасли, блокировать или вывести из строя критически значимые ресурсы, спровоцировать blackout во всем городе или даже области.

Беспрецедентные нападения на ИТ-инфраструктуру госкомпаний, промышленного и коммерческого сектора повлияли на усиление киберзащиты во всех сферах. Указы Президента «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» и «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры РФ» поставили финальную точку в многолетнем процессе согласования формулировок, которые прежде вызывали множество возражений как со стороны отдельных отраслей, так и органов власти.

Ключевые требования указов

В указах говорится о киберзащите стратегически важных информационных ресурсов, в том числе значимых объектов критической информационной инфраструктуры. Регулирование напрямую касается органов власти, предприятий с государственным участием, субъектов КИИ. 

В числе мер по укреплению технологического суверенитета страны – запрет на закупку иностранного ПО, в том числе в составе программно-аппаратных комплексов, для значимых объектов КИИ без согласования с регулирующим органом.

Документы запрещают не только закупки зарубежных ИТ-решений и средств защиты информации для значимых объектов КИИ, но и полностью исключают их использование с 1 января 2025 года. 

За шесть месяцев Правительству РФ предстоит также разработать и реализовать мероприятия, которые приведут к тому, чтобы субъекты КИИ использовали преимущественно российскую радиоэлектронную продукцию и телекоммуникационное оборудование, включая доверенные программно-аппаратные комплексы.

Вот что конкретно требуют от компаний указы:

• ответственность за обеспечение ИБ возлагается на заместителя генерального директора;
• в компании должно быть структурное подразделение, отвечающее за ИБ, обнаружение и реагирование на атаки;
• компания должна обеспечить обнаружение, предупреждение, ликвидацию и реагирования на компьютерные инциденты;
• компания должна привлекать (при необходимости) лицензированные ФСТЭК организаций, чтобы обеспечить ИБ;
• компания должен провести оценку уровня защищенности информационных систем до 1.07.2022 года (для организаций, определенных Правительством);
• с 1 января 2025 года вводится запрет на использование иностранного программного обеспечения и средств защиты информации из недружественных стран.

Какие решения надо принять, чтобы исполнить требования указов

В числе первоочередных задач компаниям необходимо провести работы по распределению ответственности за обеспечение ИБ на должностных лиц, а именно, на заместителя генерального директора. Также нужно создать структурное подразделение, которое отвечает за ИБ, обнаружение и реагирование на атаки. 

Также, если есть необходимость, нужно привести распорядительные документы о должностных обязанностях в соответствие нормам, которые ввело Правительство РФ.

Кроме того, следует выполнить аудит защищенности информационных ресурсов, в том числе инвентаризацию оборудования, которое находится в эксплуатации, чтобы выявить иностранное аппаратное и программное обеспечение, средства защиты информации. 

Необходимо проанализировать подрядчиков в области ИБ на наличие у них необходимых лицензий, а в дальнейшем – и на наличие аккредитации у центров ГосСОПКА. Компаниям в текущей ситуации следует быть готовыми к оперативному взаимодействию с регулирующими органами (ФСБ России, ФСТЭК России) и выполнению их указаний.  

Вот что рекомендуем сделать, чтобы все это реализовать. 

1. Подключить SOC – мониторинг информационной безопасности 24/7.

Компаниям необходимо постоянно мониторить рекомендации по нейтрализации актуальных угроз ИБ и оперативно принимать организационные и технические меры, которые предписанных ФСБ и ФСТЭК.

Нужно подключить Security Operations Center (SOC) – мониторинг информационной безопасности 24/7. Это совокупность специалистов, процессов и технологий, которые помогают обнаружить угрозы информационной безопасности и отреагировать на них.

В SOC, как правило, входят: 

• сервисы MSS (Managed Security Services), обеспечивающие выявление простых и средних массовых угроз, 
• сервисы MDR (Managed Detection and Response), предназначенные для обнаружения продвинутых целевых атак, 
• решение класса SIEM (Security information and event management), выполняющее анализ в реальном времени событий (инцидентов) безопасности, исходящих от различных источников событий ИБ, позволяющее реагировать на них до наступления существенного ущерба. 

Весь этот комплекс сервисов и технологий обеспечивает режим full view или полной наблюдаемости инфраструктуры: сбор детальных логов, контроль сетевого трафика, сбор информации со всех компонент инфраструктуры.  

2. Обеспечить защиту КИИ.

Перечень организационных и технических мер по защите значимых объектов КИИ огромен. Он включает в себя идентификацию и аутентификацию, управление доступом, ограничение программной среды, защиту машинных носителей информации, антивирусную защиту, предотвращение вторжений (компьютерных атак) и так далее.

Согласно законодательству о защите КИИ, ее субъекты должны:

• провести категорирование объектов КИИ, 
• реализовать организационные и технические меры по обеспечению их безопасности, 
• обеспечить интеграцию с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы (ГосСОПКА). 

3. Оценить уровень защищенности инфраструктуры.

Часть компаний, которые определило Правительством РФ, должны провести оценку уровня защищенности до 1 июля 2022 года. Им следует выявить стратегические риски – недопустимые события для каждого предприятия, уязвимости в системе, которые могут быть использованы внешними и внутренними нарушителями, а также недостатки применяемых средств защиты. 

После того, как риски исследованы, необходимо провести киберучения, в том числе тестирование на проникновение, проверку работы средств защиты и сканирование уязвимостей.

 Источник: https://pro.rbc.ru/demo/62b427879a7947025a54eb79