Кибербезопасность: план действий в новой реальности

Дата: 05.07.2022. Автор: КРОК. Категории: Статьи по информационной безопасности
Кибербезопасность: план действий в новой реальности

Первого мая Президент России подписал указ № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации», направленный на усиление киберзащиты отечественных компаний и госструктур. Рассмотрим подробнее положения принятого указа и выясним, что именно нужно делать компаниям.

В 250 указе говорится о киберзащите стратегически важных информационных ресурсов, в том числе объектов КИИ. Регулирование напрямую касается органов власти, предприятий с государственным участием, субъектов критической информационной инфраструктуры. В числе мер по укреплению технологического суверенитета страны — запрет на закупку иностранного ПО и оборудования для значимых объектов КИИ без согласования с регулирующим органом.

Документ запрещает не только закупки госзаказчиками зарубежных ИТ-решений для значимых объектов КИИ, но и полностью исключает их использование с 1 января 2025 года. В ближайшее время ожидается публикация детальных требований к такому ПО и оборудованию, а также правил согласования их закупок и соответствующих услуг. За шесть месяцев Правительству РФ предстоит разработать и реализовать мероприятия, обеспечивающие преимущественное использование субъектами КИИ российской радиоэлектронной продукции и телекоммуникационного оборудования, включая доверенные программно-аппаратные комплексы.

Ключевые требования указа

  • Ответственность за обеспечение ИБ возлагается на заместителя генерального директора;
  • Наличие в компании структурного подразделения, отвечающего за ИБ, обнаружение и реагирование на атаки;
  • Обеспечение обнаружения, предупреждения, ликвидации и реагирования на компьютерные инциденты;
  • Привлечение (при необходимости) лицензированных ФСТЭК организаций для обеспечения ИБ;
  • Оценка уровня защищенности информационных систем до 1.07.2022 г. (для организаций, определенных Правительством);
  • С 1 января 2025 года запрет на использование средств защиты информации из недружественных стран.

Решения для исполнения требований указа

В числе первоочередных задач компаниям необходимо провести работы по распределению ответственности за обеспечение ИБ на должностных лиц, а именно, на заместителя генерального директора, а также создать структурное подразделение, отвечающее за ИБ, обнаружение и реагирование на атаки.

Также, если есть необходимость, нужно привести распорядительные документы о должностных обязанностях в соответствие нормам, которые ввело Правительство РФ.

Кроме того, следует выполнить аудит защищенности информационных ресурсов, в том числе инвентаризацию оборудования, которое находится в эксплуатации, чтобы выявить иностранное аппаратное и программное обеспечение, средства защиты информации.

Необходимо проанализировать подрядчиков в области ИБ на наличие у них необходимых лицензий, а в дальнейшем – и на наличие аккредитации у центров ГосСОПКА. Компаниям в текущей ситуации следует быть готовыми к оперативному взаимодействию с регулирующими органами (ФСБ России, ФСТЭК России) и выполнению их указаний.

Вот что рекомендуем сделать, чтобы все это реализовать.

  1. Подключить SOC – мониторинг информационной безопасности 24/7

Компаниям необходимо постоянно мониторить рекомендации по нейтрализации актуальных угроз ИБ, с оперативной реализацией предписанных ФСБ и ФСТЭК организационных и технических мер.

Компаниям необходимо постоянно мониторить рекомендации по нейтрализации актуальных угроз ИБ и оперативно принимать организационные и технические меры, которые предписанных ФСБ и ФСТЭК.

Нужно подключить Security Operations Center (SOC) – мониторинг информационной безопасности 24/7. Это совокупность специалистов, процессов и технологий, которые помогают обнаружить угрозы информационной безопасности и отреагировать на них.

В SOC, как правило, входят:

  • сервисы MSS (Managed Security Services), обеспечивающие выявление простых и средних массовых угроз,
  • сервисы MDR (Managed Detection and Response), предназначенные для обнаружения продвинутых целевых атак,
  • решение класса SIEM (Security information and event management), выполняющее анализ в реальном времени событий (инцидентов) безопасности, исходящих от различных источников событий ИБ, позволяющее реагировать на них до наступления существенного ущерба.

Весь этот комплекс сервисов и технологий обеспечивает режим full view или полной наблюдаемости инфраструктуры: сбор детальных логов, контроль сетевого трафика, сбор информации со всех компонент инфраструктуры.  В Центре мониторинга кибербезопасности КРОК возможны различные форматы подключения к SOC-сервису:

  • Подключение ИБ-систем к SOC по сервисной или гибридной модели;
  • Мониторинг 24/7, регулярные отчеты об инцидентах ИБ;
  • Автоматизированное реагирование на инциденты ИБ;
  • Подключение к ГосСОПКА и передача инцидентов в НКЦКИ;
  • Защита от таргетированных атак.
  1. Обеспечить защиту КИИ

Перечень организационных и технических мер по защите значимых объектов КИИ огромен. Он включает в себя идентификацию и аутентификацию, управление доступом, ограничение программной среды, защиту машинных носителей информации, антивирусную защиту, предотвращение вторжений (компьютерных атак) и так далее. Согласно законодательству о защите КИИ, ее субъекты должны провести категорирование систем, обеспечить интеграцию (встраивание) в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы (ГосСОПКА), а также принять организационные и технические меры по обеспечению безопасности КИИ. Предлагаем следующее по защите КИИ:

  • Защита КИИ «под ключ»: от категорирования систем до внедрения средств защиты информации (СЗИ);
  • Выстраивание процессов организационной защиты КИИ;
  • Расследование инцидентов ИБ экспертами SOC;
  • Оперативная миграция с зарубежных СЗИ в связи с риском остановки бизнес-процессов;
  • Аудит, создание концепции развития и дорожной карты импортозамещения до 2025 года;
  • Чек-ап защищенности сетевого периметра, донастройка существующих СЗИ;
  • Техническая поддержка средств защиты информации.
  1. Оценить уровень защищенности инфраструктуры

Часть компаний, которые определило Правительством РФ, должны провести оценку уровня защищенности до 1 июля 2022 года. Им следует выявить стратегические риски – недопустимые события для каждого предприятия, уязвимости в системе, которые могут быть использованы внешними и внутренними нарушителями, а также недостатки применяемых средств защиты.

Для выполнения этих требований предлагаем провести:

  • Тестирование на проникновение в инфраструктуру (пентест);
  • Анализ защищенности АСУ ТП и ИС;
  • Аудит исходного кода приложений;
  • Мониторинг уязвимостей.

Для оценки компании могут привлечь любые профильные организации, сертифицированные ФСТЭК и ФСБ. После того, как риски исследованы, необходимо провести киберучения, в том числе тестирование на проникновение, проверку работы средств защиты и сканирование уязвимостей.

Автор: Евгений Дружинин, ведущий эксперт по информационной безопасности ИТ-компании КРОК

Об авторе КРОК

КРОК входит в число крупнейших интеграторов России в сфере защиты информации. С 2003 года эксперты по информационной безопасности ИТ-компании КРОК реализовали более 1000 проектов для заказчиков.
Читать все записи автора КРОК

Добавить комментарий

Ваш адрес email не будет опубликован.