Об авторе: Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies
На протяжении последних двух кварталов госорганизации – главная мишень кибератак, на их долю приходится 18% таковых.
Изданный 1 мая 2022 г. Указ Президента России № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» меняет подход к обеспечению кибербезопасности в ключевых организациях страны, в первую очередь государственных.
Отметим, что 250-й указ — это не революция, а эволюция. Он подчёркивает ряд моментов, которые в той или иной форме присутствуют в ранее выпущенных нормативных документах.
Три ключевые идеи указа № 250
- Руководитель организации несёт личную ответственность за обеспечение кибербезопасности – предыдущая практика предполагала ответственность руководителя службы ИБ.
- Безопасность не должна быть «бумажной». Возможно, это главный тезис 250-го Указа. Он отправляет в прошлое «бумажных» безопасников, которые пороху не нюхали, с хакерами не сталкивались, угроз не отражали, но могли формально выполнить по чек-листу требования для прохождения аудита или получения аттестации.
- Запрет средств защиты из недружественных государств. Этот тезис не новый, для отдельных российских организаций он действует еще с 2014 года. Речь обо всех иностранных средствах защиты, поскольку понятие «недружественное» не совсем однозначно. Помимо указа № 250 в том же направлении развиваются и другие нормативные акты: 166-й указ президента, различные постановления правительства, приказы Минцифры и других регуляторов. На деле все полумиллиона российских организаций, подпадающих под действие указа № 250, должны так или иначе переходить на отечественное программно-аппаратное обеспечение.
Сфера действия указа
- федеральные органы исполнительной власти;
- высшие исполнительные органы государственной власти субъектов Российской Федерации;
- государственные фонды;
- государственные корпорации (госкомпании);
- стратегические предприятия, стратегические акционерные общества;
- системообразующие организации российской экономики;
- иные организации, созданные на основании федеральных законов.
В сферу действия указа входят все субъекты критической информационной инфраструктуры (КИИ), независимо от того, обладают они значимыми либо незначимыми объектами КИИ.
Сфера действия указа охватывает следующие отрасли:
- здравоохранение;
- науку;
- транспорт;
- связь;
- энергетику;
- банки и финансы;
- топливную энергетику;
- атомную энергетику;
- оборонную промышленность;
- горную добычу;
- металлургию;
- химическую промышленность.
Новые требования для госучреждений
Главная новация для государственных организаций состоит в том, что ответственное за ИБ лицо должно подчиняться коллегиальному органу — совету директоров, правлению или дирекции — и входить в состав такого органа.
Здесь нужно вспомнить и аббревиатуру CISO (chief information security officer). Первое слово (chief) означает, что ответственный за ИБ входит в коллегиальный орган управления. В России такая ситуация была редкой, но теперь указ требует именно этого. Ответственный за ИБ в организации не может быть сотрудником на третьем-четвёртом уровне иерархии, заместителем IT-директора или вице-президента, это должен быть заместитель руководителя. В субъекте Российской Федерации он получает пост вице-губернатора или заместителя мэра, а в финансовых организациях — заместителя председателя правления.
Таким лицом не может просто стать прежний руководитель службы ИБ с прежним набором служебных функций. Его надо поднимать в статусе, вводить в коллегиальный орган управления и наделять соответствующими полномочиями.
Требования к ответственному за ИБ
Во исполнение указа № 250 правительство выпустило постановление № 1272 об обязанностях и полномочиях подразделения ИБ и замруководителя службы ИБ.
Этот нормативный акт утверждает два типовых положения. Первое касается либо отдельного подразделения ИБ, либо тех функций, которые должны быть прописаны в уже действующем положении — например, об IT-службе.
Второе положение, гораздо более объёмное, связано с требованиями к заместителю руководителя организации по ИБ. Постановление требует, чтобы ответственный за ИБ в госорганизации понимал, какими государственными или муниципальными услугами она занимается, разбирался в поставленных перед ней целях госуправления.
В постановлении правительства также говорится, что отвечать за ИБ может человек с высшим образованием в этой области на уровне специалитета или магистратуры. Бакалавриат не подойдет. Другой вариант: пройти профпереподготовку по направлению «Информационная безопасность». На роль ответственного за ИБ нельзя назначить действующего замруководителя, если у него нет профильного образования. Длительность курса переподготовки не может составлять менее 360 учебных часов, а на практике большинство программ рассчитаны на 500 и более часов.
Взаимодействие с ГосСОПКА
В указе не раз упоминается необходимость взаимодействовать с государственной системой обнаружения, предотвращения и ликвидации последствий компьютерных атак (ГосСОПКА). Её задача — собирать данные обо всех инцидентах, которые происходят на объектах в организациях, подпадающих под регулирование ГосСОПКА.
Если вы хотите поручить взаимодействие с этим органом или круглосуточный мониторинг атак внешней организации, то должны соблюсти одно условие: эта организация должна иметь аккредитацию ФСБ. Это означает, что не всякий лицензиат ФСТЭК может стать центром ГосСОПКА и взять мониторинг атак на аутсорсинг.
Есть три пути для взаимодействия с Национальным координационным центром по компьютерным инцидентам (НКЦКИ) и ГосСОПКА:
- без посредников отправлять данные в ГосСОПКА об инцидентах по формату, который определён в документах НКЦКИ и опубликован в виде карточки инцидента на сайте safe-surf.ru;
- обратиться за аутсорсингом этой функции во внешнюю компанию, аккредитованную в качестве центра ГосСОПКА;
- автоматизировать процесс с помощью решений для сбора данных о событиях ИБ, этот путь подходит для крупных организаций с территориально распределённой инфраструктурой и большим количеством объектов контроля.
Тренд на практическую безопасность
Концепция практической, результативной безопасности отталкивается от «недопустимых событий» и требует их верификации. Эта концепция сформулирована как в указе № 250, постановлении № 1272 и в постановлении № 860 об эксперименте по повышению уровня защищенности государственных информационных систем федеральных органов исполнительной власти и подведомственных им учреждений (ГИС ФОИВ).
Постановление № 860 касается только госорганизаций, решивших войти в эксперимент добровольно. Оно содержит перечень всех ключевых практических мер, включая определение недопустимых событий, методы их подтверждения и меры для их нейтрализации.
Понятие «недопустимое событие» не ново, он присутствует и в других нормативных документах, описывающих риски ИБ. Методики и подходы для оценки рисков содержат такие формулировки, как «ключевой» и «критический» риски, а также риски в отношении КИИ и критического процесса. Существует методика оценки угроз ФСТЭК, которая сейчас претерпевает определённые изменения, но концептуально останется такой же, какой мы её знаем уже больше полутора лет. В этом документе говорится, что процесс обеспечения безопасности начинается с определения негативных событий и ущерба организации.
Смысл указа № 250 и постановления № 860 можно сформулировать так: «Недопустимое — невозможно».
На сайте Минцифры есть техническое задание и пример отчёта организаций, участвующих в добровольном эксперименте. С привлечением независимых экспертов участники должны подтвердить, что недопустимые события у них не реализуются. По сути, им следует доказать, что злоумышленник лишён возможности попасть в целевую систему, где он мог бы совершить недопустимое событие.
В июльских поправках к 152-му федеральному закону о персональных данных тоже есть требование незамедлительно сообщать об утечках личных данных в Роскомнадзор и в ГосСОПКА. Для этого в компании должны быть выстроены процессы мониторинга, реагирования и уведомления регуляторов. В других действующих или запланированных документах мы также видим схожую конструкцию.
Мало выполнить требование того или иного ведомственного приказа и расслабиться ещё на три года до следующей аттестации, аудита или проверки – теперь следует вести непрерывный мониторинг уязвимостей, инцидентов и атак.
