На сайте Минцифры опубликовано в среду типовое техническое задание на выполнение работ по оценке уровня защищённости информационной инфраструктуры; датой публикации указано 3 июня.
Как следует из ТЗ, от исполнителя требуется провести работы по оценке уровня (состояния) защищённости информационной инфраструктуры, работа включает два этапа: оценку защищённости и поиск следов успешной компрометации информационной инфраструктуры злоумышленником.
При оценке защищённости необходимо решить следующие задачи:
- выявление и консолидация стратегических рисков (недопустимых событий) информационной безопасности;
- выявление уязвимостей информационной инфраструктуры, которые могут быть использованы внешними и внутренними нарушителями для несанкционированных действий, направленных на нарушение свойств конфиденциальности, целостности, доступности обрабатываемой информации, а также технических средств обработки информации, в результате которых может быть нарушен их штатный режим функционирования, что приведёт к недопустимым событиям;
- выявление недостатков применяемых средств защиты информации и программных продуктов, а также оценка возможности их использования нарушителем;
- проверка практической возможности использования уязвимостей (на примере наиболее критических);
- получение оценки текущего уровня защищённости на основе объективных свидетельств;
- разработка маршрутной карты модернизации информационной инфраструктуры.
Документ описывает также организационные рамки проекта, состав и содержание работ (в том числе типы нарушителя, требование к оценке защищенности веб-приложений и т.д.), требования к отчётной документации и гарантии качества.
Список опубликованных документов:
- Типовое техническое задание на выполнение работ по оценке уровня защищённости информационной инфраструктуры;
- Типовая форма отчёта о выполнении мероприятий;
- Пример заполненной типовой формы отчёта о выполнении мероприятий.
Напомним, сфера информационной безопасности (ИБ) в России пережила за последние месяцы тектонический сдвиг – после начала спецоперации на Украине наша страна столкнулась со всеми видами атак, многочисленными утечками данных, уходом западных компаний, угрозой устойчивого функционирования Интернета на территории страны.
На форуме Positive Hack Days в мае глава Минцифры Максут Шадаев говорил о важности постоянного поиска уязвимостей в инфраструктуре компаний специализированными командами.
См. также: Актуальные ИБ-угрозы национального масштаба – данные «Ростелекома» >>>
С подписанием 1 мая указа президента России «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» в стране началось создание системы национальной IT-безопасности.
Упомянутый указ предусматривает создание специальных ИБ-подразделений в ФОИВ, госкомпаниях, государственных фондах и иных органах (организациях), созданных в соответствии с федеральными законами, а также персональную ответственность руководителей этих органов (организаций) за состояние информационной безопасности (ИБ), и руководить ИБ-подразделениями в соответствии с указом должны должностные лица в ранге заместителя руководителя органа (организации).
Повышение защищённости информационных систем и сетей связи в государственных органах президент назвал отдельной задачей обеспечения ИБ страны.
