Практическая кибербезопасность на госслужбе: что нужно знать об указе № 250

Об авторе: Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies

На протяжении последних двух кварталов госорганизации – главная мишень кибератак, на их долю приходится 18% таковых.

Изданный 1 мая 2022 г. Указ Президента России № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» меняет подход к обеспечению кибербезопасности в ключевых организациях страны, в первую очередь государственных.

Отметим, что 250-й указ — это не революция, а эволюция. Он подчёркивает ряд моментов, которые в той или иной форме присутствуют в ранее выпущенных нормативных документах.

Три ключевые идеи указа № 250

  • Руководитель организации несёт личную ответственность за обеспечение кибербезопасности – предыдущая практика предполагала ответственность руководителя службы ИБ.
  • Безопасность не должна быть «бумажной». Возможно, это главный тезис 250-го Указа. Он отправляет в прошлое «бумажных» безопасников, которые пороху не нюхали, с хакерами не сталкивались, угроз не отражали, но могли формально выполнить по чек-листу требования для прохождения аудита или получения аттестации.
  • Запрет средств защиты из недружественных государств. Этот тезис не новый, для отдельных российских организаций он действует еще с 2014 года. Речь обо всех иностранных средствах защиты, поскольку понятие «недружественное» не совсем однозначно. Помимо указа № 250 в том же направлении развиваются и другие нормативные акты: 166-й указ президента, различные постановления правительства, приказы Минцифры и других регуляторов. На деле все полумиллиона российских организаций, подпадающих под действие указа № 250, должны так или иначе переходить на отечественное программно-аппаратное обеспечение.

Сфера действия указа

  • федеральные органы исполнительной власти;
  • высшие исполнительные органы государственной власти субъектов Российской Федерации;
  • государственные фонды;
  • государственные корпорации (госкомпании);
  • стратегические предприятия, стратегические акционерные общества;
  • системообразующие организации российской экономики;
  • иные организации, созданные на основании федеральных законов.

В сферу действия указа входят все субъекты критической информационной инфраструктуры (КИИ), независимо от того, обладают они значимыми либо незначимыми объектами КИИ.

Сфера действия указа охватывает следующие отрасли:

  • здравоохранение;
  • науку;
  • транспорт;
  • связь;
  • энергетику;
  • банки и финансы;
  • топливную энергетику;
  • атомную энергетику;
  • оборонную промышленность;
  • горную добычу;
  • металлургию;
  • химическую промышленность.

Новые требования для госучреждений

Главная новация для государственных организаций состоит в том, что ответственное за ИБ лицо должно подчиняться коллегиальному органу — совету директоров, правлению или дирекции — и входить в состав такого органа.

Здесь нужно вспомнить и аббревиатуру CISO (chief information security officer). Первое слово (chief) означает, что ответственный за ИБ входит в коллегиальный орган управления. В России такая ситуация была редкой, но теперь указ требует именно этого. Ответственный за ИБ в организации не может быть сотрудником на третьем-четвёртом уровне иерархии, заместителем IT-директора или вице-президента, это должен быть заместитель руководителя. В субъекте Российской Федерации он получает пост вице-губернатора или заместителя мэра, а в финансовых организациях — заместителя председателя правления.

Таким лицом не может просто стать прежний руководитель службы ИБ с прежним набором служебных функций. Его надо поднимать в статусе, вводить в коллегиальный орган управления и наделять соответствующими полномочиями.

Требования к ответственному за ИБ

Во исполнение указа № 250 правительство выпустило постановление № 1272 об обязанностях и полномочиях подразделения ИБ и замруководителя службы ИБ.

Этот нормативный акт утверждает два типовых положения. Первое касается либо отдельного подразделения ИБ, либо тех функций, которые должны быть прописаны в уже действующем положении — например, об IT-службе.

Второе положение, гораздо более объёмное, связано с требованиями к заместителю руководителя организации по ИБ. Постановление требует, чтобы ответственный за ИБ в госорганизации понимал, какими государственными или муниципальными услугами она занимается, разбирался в поставленных перед ней целях госуправления.

В постановлении правительства также говорится, что отвечать за ИБ может человек с высшим образованием в этой области на уровне специалитета или магистратуры. Бакалавриат не подойдет. Другой вариант: пройти профпереподготовку по направлению «Информационная безопасность». На роль ответственного за ИБ нельзя назначить действующего замруководителя, если у него нет профильного образования. Длительность курса переподготовки не может составлять менее 360 учебных часов, а на практике большинство программ рассчитаны на 500 и более часов.

Взаимодействие с ГосСОПКА

В указе не раз упоминается необходимость взаимодействовать с государственной системой обнаружения, предотвращения и ликвидации последствий компьютерных атак (ГосСОПКА). Её задача — собирать данные обо всех инцидентах, которые происходят на объектах в организациях, подпадающих под регулирование ГосСОПКА.

Если вы хотите поручить взаимодействие с этим органом или круглосуточный мониторинг атак внешней организации, то должны соблюсти одно условие: эта организация должна иметь аккредитацию ФСБ. Это означает, что не всякий лицензиат ФСТЭК может стать центром ГосСОПКА и взять мониторинг атак на аутсорсинг.

Есть три пути для взаимодействия с Национальным координационным центром по компьютерным инцидентам (НКЦКИ) и ГосСОПКА:

  • без посредников отправлять данные в ГосСОПКА об инцидентах по формату, который определён в документах НКЦКИ и опубликован в виде карточки инцидента на сайте safe-surf.ru;
  • обратиться за аутсорсингом этой функции во внешнюю компанию, аккредитованную в качестве центра ГосСОПКА;
  • автоматизировать процесс с помощью решений для сбора данных о событиях ИБ, этот путь подходит для крупных организаций с территориально распределённой инфраструктурой и большим количеством объектов контроля.

Тренд на практическую безопасность

Концепция практической, результативной безопасности отталкивается от «недопустимых событий» и требует их верификации. Эта концепция сформулирована как в указе № 250, постановлении № 1272 и в постановлении № 860 об эксперименте по повышению уровня защищенности государственных информационных систем федеральных органов исполнительной власти и подведомственных им учреждений (ГИС ФОИВ).

Постановление № 860 касается только госорганизаций, решивших войти в эксперимент добровольно. Оно содержит перечень всех ключевых практических мер, включая определение недопустимых событий, методы их подтверждения и меры для их нейтрализации.

Понятие «недопустимое событие» не ново, он присутствует и в других нормативных документах, описывающих риски ИБ. Методики и подходы для оценки рисков содержат такие формулировки, как «ключевой» и «критический» риски, а также риски в отношении КИИ и критического процесса. Существует методика оценки угроз ФСТЭК, которая сейчас претерпевает определённые изменения, но концептуально останется такой же, какой мы её знаем уже больше полутора лет. В этом документе говорится, что процесс обеспечения безопасности начинается с определения негативных событий и ущерба организации.

Смысл указа № 250 и постановления № 860 можно сформулировать так: «Недопустимое — невозможно».

На сайте Минцифры есть техническое задание и пример отчёта организаций, участвующих в добровольном эксперименте. С привлечением независимых экспертов участники должны подтвердить, что недопустимые события у них не реализуются. По сути, им следует доказать, что злоумышленник лишён возможности попасть в целевую систему, где он мог бы совершить недопустимое событие.

В июльских поправках к 152-му федеральному закону о персональных данных тоже есть требование незамедлительно сообщать об утечках личных данных в Роскомнадзор и в ГосСОПКА. Для этого в компании должны быть выстроены процессы мониторинга, реагирования и уведомления регуляторов. В других действующих или запланированных документах мы также видим схожую конструкцию.

Мало выполнить требование того или иного ведомственного приказа и расслабиться ещё на три года до следующей аттестации, аудита или проверки – теперь следует вести непрерывный мониторинг уязвимостей, инцидентов и атак.

Следите за нашим Телеграм-каналом, чтобы не пропускать самое важное!

Поделиться: