РЕКОМЕНДАЦИИ ПО ПОВЫШЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В ЦИФРОВОМ ГОСУДАРСТВЕ В РОССИИ РАЗРАБОТАНЫ РЕКОМЕНДАЦИИ ДЛЯ ПОВЫШЕНИЯ УРОВНЯ ИНФОРМАЦИОННОЙ ЗАЩИЩЕННОСТИ КАК ЭЛЕМЕНТА УПРАВЛЕНИЯ ГОСУДАРСТВОМ

Время на прочтение

На связи Катя из центра «Solar Интеграция» с подборкой новостей из мира комплаенса ИБ за минувший декабрь. Как изменились формы уведомлений в области обработки персональных данных, которые необходимо направлять в Роскомнадзор? Какие новшества появились в области защиты критической информационной инфраструктуры? Что должны уметь ИБ-специалисты в кредитно-финансовой сфере, согласно новому профстандарту? Какие нормативные правовые акты планирует разработать ФСТЭК России в 2023 году? Об этом и не только расскажу в новом выпуске дайджеста.


РЕКОМЕНДАЦИИ ПО ПОВЫШЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В ЦИФРОВОМ ГОСУДАРСТВЕ В РОССИИ РАЗРАБОТАНЫ РЕКОМЕНДАЦИИ ДЛЯ ПОВЫШЕНИЯ УРОВНЯ ИНФОРМАЦИОННОЙ ЗАЩИЩЕННОСТИ КАК ЭЛЕМЕНТА УПРАВЛЕНИЯ ГОСУДАРСТВОМ

В статье автор рассматривает информационную безопасность, как элемент государственного управления в цифровом государстве и предлагает рекомендации по ее повышению.

Ключевые слова:

информационная безопасность, киберпреступления, цифровое государство.

Государственные организации также подвержены подобным угрозам. Чаще всего атаки происходят на небольшие государственные организации, потому что их информационная безопасность слаба из-за недостаточного финансирования. А данные, которые хранятся в таких организациях могут быть очень ценными, например государственные реестры, базы данных и т. д. Именно за такой информацией «охотятся» преступники. Данная проблема касается не только России, а большинство стран с цифровым государством. Например, в США около 70 % всех атак приходятся именно на государственный сектор. Кроме этого, когда у преступников получается блокировать сеть, тогда государству приходится им платить, чтобы возобновить свою работу.

Одним из показателей федерального проекта «Информационная безопасность» является то, что доля граждан, повысивших грамотность в сфере информационной безопасности, медиапотребления и использования интернет- сервисов к 2024 году должна составить 50 %. Был проведен опрос, где респондентам предлагали определить официальное банковское приложение и фейковое. По результатам 24 % респондентов определили официальный интерфейс приложения для мобильного банкинга как мошеннический, а 29 % ошибочно приняли поддельный интерфейс за настоящий.

Разработчики попросили господдержку для внедрения российского ПО вместо зарубежного, и рабочая группы проекта выделила несколько классов ПО, которым нужна дополнительная поддержка:

– Операционные системы;

– Офисные приложения, поисковые системы, браузеры и коммуникационное ПО;

– Системы управления базами данных (СУБД);

– Системы управления предприятиями и прочие.

Можно предложить универсальную систему возможного пути решения проблем в вопросе об информационной безопасности со стороны государственного управления. (см. рис. 1)


РЕКОМЕНДАЦИИ ПО ПОВЫШЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В ЦИФРОВОМ ГОСУДАРСТВЕ В РОССИИ РАЗРАБОТАНЫ РЕКОМЕНДАЦИИ ДЛЯ ПОВЫШЕНИЯ УРОВНЯ ИНФОРМАЦИОННОЙ ЗАЩИЩЕННОСТИ КАК ЭЛЕМЕНТА УПРАВЛЕНИЯ ГОСУДАРСТВОМ

1. Создать агентство/ведомство на национальном уровне и вести повестку дня кибербезопасности — на начальном этапе на государственном уровне необходимо создать группу экспертом (рабочую группу), которые будут взаимодействовать со всеми отраслями и разрабатывать политику информационной безопасности;

2. Установить диалог на уровне субъектов — наладить связь в решаемом вопросе в регионах для формирования полной информации об информационной безопасности;

3. Разработать национальную стратегию и связанную с ней дорожную карту реализации — создание стратегии информационной безопасности, которая включает в себя конкретные цели, задачи и мероприятия, учитывающая все особенности отраслей экономики;

4. Принять оценку рисков на уровне секторов, отраслей, субъектов — стратегия должна также включать в себя критерии для оценки рисков, чтобы в случае их возникновения была возможность оптимально среагировать;

5. Определение критической информационной инфраструктуры — обеспечение функционирование системы, например, качественный доступ к сети «Интернет»; покрытие федеральных дорог сотовыми сетями связи; платформы работы с данными и т. д.;

6. Обновить законодательство о кибербезопасности — усовершенствование нормативно-правовой базы, создание новых пунктов из-за ежедневного появления новых видов угроз, которые не отражены уже в существующем законодательстве об информационной безопасности. Данный этап должен быть непрерывном процессом и постоянно отслеживать актуальные провалы в законодательной базе страны;

7. Обновить закон о киберпреступности — после усовершенствования правовой базы об информационной безопасности, следует проделать тоже самое и с киберпреступностью;

8. Установить или развить механизмы сообщения об инцидентах — для качественного анализа и создания путей решения проблемы, необходимо обеспечить достоверный сбор информации о случаях нарушения информационной безопасности;

9. Установить возможность реагирования на инциденты — развитие навыков для ответных действий на кабератаки;

10. Повысить осведомленность общества — всевозможное информирование граждан о возможных попытках кражи их личной информации;

11. Определить глобальные стандарты и адаптировать региональное внедрение — в рамках разработанной стратегии и с учетом всех особенностей нужно принять региональные стандарты для обеспечения кибербезопасности;

12. Выявить и устранить пробелы в навыках кибербезопасности с помощью национальной стратегии развития кадров — развитие образовательной системы в сфере информационной безопасности, поскольку для защиты от постоянно появляющихся угроз необходимы специальные кадры.

Таким образом, в цифровом государстве есть определенные риски и угрозы, которые влияют на все сферы жизни и с каждым днем только увеличиваются. В эпоху цифрового общества на первом месте стоит вопрос об информационной безопасности, поскольку каждый день непрерывно все человечество пользуется сетью «Интернет». Без кибербезопасности не будет и эффективного становления цифрового государства, так как нужно обеспечивать сохранность баз данных, различных государственных реестров, банковских счетах и т. д. Из-за совершенствования различных вирусов, атаки на информацию становятся почти неуязвимыми и частыми, поэтому возникают сложности их устранения. Именно поэтому необходимо постоянно модернизировать систему информационной безопасности не только страны, государственных учреждений и коммерческих компаний, но и всего мира.

Основные термины (генерируются автоматически): информационная безопасность, цифровое государство, Российская Федерация, Россия, баз данных, вид преступлений, государственное управление, рабочая группа, Система управления, федеральный проект.

Лицензирование деятельности

13. Ф СТЭК России представила для общественного обсуждения проекты ведомственных приказов об утверждении порядка лицензирования следующих видов деятельности:

14. Ф СТЭК России представила для общественного обсуждения проекты приказов об утверждении форм документов, используемых ведомством в процессе лицензирования следующих видов деятельности:

15. Ф СТЭК России утвердила требования по безопасности информации к средствам контейнеризации. Информационное сообщение регулятора об этом и выписка из требований опубликованы на сайте ведомства.

Регулятор определил минимально необходимые требования по безопасности информации, предъявляемые к:

Для дифференциации требований по безопасности информации к средствам контейнеризации устанавливается шесть классов защиты. Самый низкий класс – шестой, самый высокий – первый.

Персональные данные

1. Роскомнадзор подготовил изменения в форму проверочного листа, используемого ведомством при осуществлении государственного контроля за обработкой персональных данных. Соответствующий проект ведомственного приказа опубликован на федеральном портале нормативных правовых актов.

Поправки направлены на приведение списка контрольных вопросов в соответствие изменённым нормам 152-ФЗ, которые заработали с 1 сентября 2022 года. Список контрольных вопросов планируется изменить и дополнить в части выполнения требований по трансграничной передаче ПДн, уведомлению Роскомнадзора об инцидентах с ПДн, прекращению обработки ПДн, осуществлению блокирования и уничтожения ПДн. В случае принятия приказ вступит в силу с 1 марта 2023 года.

2. Роскомнадзору могут разрешить внепланово проверять соблюдение требований по обработке персональных данных аккредитованными ИТ-компаниями в случае выявления в интернете баз данных или их фрагментов с признаками принадлежности к таким организациям. Проект постановления Правительства РФ об этом опубликован на федеральном портале нормативных правовых актов.

3. Роскомнадзор своим приказом № 180 от 28.10.2022 утвердил формы уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений в ранее направленных уведомлениях и о прекращении обработки персональных данных.

На сайте ведомства размещены:

4. Роскомнадзор своим приказом № 187 от 14.11.2022 утвердил порядок и условия взаимодействия ведомства с операторами в рамках ведения реестра учета инцидентов в области персональных данных.

5. Опубликован Федеральный закон от 29.12.2022 № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации».

6. Опубликован Федеральный закон от 29.12.2022 № 584-ФЗ «О внесении изменений в Федеральный закон “Об информации, информационных технологиях и о защите информации”, который запрещает организациям с государственными участием и финансовым организациям передавать персональные данные граждан РФ через иностранные мессенджеры.

7. Минфин России представил для общественного обсуждения проект приказа, содержащий условия и порядок обработки министерством персональных данных в рамках осуществления функций оператора государственной интегрированной информационной системы в сфере контроля за оборотом драгоценных металлов.

Финансовый сектор

19. Утверждены национальные стандарты РФ, разработанные Техническим комитетом № 122:

ГОСТ Р 57580.4-2022 устанавливает требования к составу и содержанию мер обеспечения операционной надежности для тех уровней защиты, которые применяют финансовые организации при определении базового состава таких мер. Положения стандарта предназначены для использования кредитными организациями и некредитными финансовыми организациями, указанными в части первой статьи 76.1 Федерального закона № 86 от 10.07.2002 «О Центральном банке РФ».

ГОСТ Р 57580.3-2022 определяет требования к составу и содержанию мер по управлению риском реализации информационных угроз для уровней защиты, которые применяются финансовыми организациями в рамках планирования, реализации, контроля и совершенствования системы управления таким риском, а также систем управления, определенных в рамках семейств стандартов ОН и ЗИ комплекса стандартов.

Оба стандарта вступят в силу с 1 февраля 2023 года.

20. Подкомитет № 1 «Безопасность финансовых (банковских) операций» Технического комитета № 122 «Стандарты финансовых операций» сообщил о новостях за 4 квартал 2022 года.

Согласно информационному сообщению, редакция проекта стандарта Банка России «Безопасность финансовых (банковских) операций. Обеспечение безопасности финансовых сервисов с использованием технологии цифровых отпечатков устройств» одобрена и готовится к утверждению и введению в действие в установленном Банком России порядке.

Кроме того, эксперты Рабочей группы 1 «Технологии формирования среды доверия в безопасности» подготовили проект стандарта Банка России СТО БР БФБО-1.8-2023 «Безопасность финансовых (банковских) операций. Обеспечение безопасности финансовых сервисов при проведении дистанционной идентификации и аутентификации. Состав мер защиты информации». Пока проект проходит обсуждение в Рабочей группе 1.

Продолжается разработка следующих национальных стандартов методической базы для работ по оценке соответствия и стандарта обеспечения безопасности при привлечении финансовыми организациями услуг аутсорсинга:

В 2023 году подкомитет планирует разработать следующие национальные стандарты:

Критическая информационная инфраструктура

9. Правительство РФ своим постановлением № 2360 от 20.12.2022 приняло поправки в правила категорирования объектов КИИ и перечень показателей критериев значимости. Ряд изменений вступил в силу с 20 декабря 2022 года. В частности, с этого момента ведомствам разрешили привлекать к мониторингу актуальности и достоверности сведений об объектах КИИ подведомственные им организации. Мониторингу подлежат все сведения, указанные в пункте 17 постановления Правительства РФ № 127 от 08.02.2018. Госорганы и российские юрлица могут подтверждать актуальность и достоверность сведений путем ознакомления с объектами КИИ по месту их нахождения. О выявленных в результате мониторинга нарушениях необходимо сообщать ФСТЭК России не позднее 30 дней со дня их обнаружения.

Ниже приведена таблица с перечнем измененных и новых показателей критериев значимости объектов КИИ и их значений.

Кроме того, с 21 марта 2023 года заработает еще одна новация, согласно которой в качестве исходных данных для категорирования будут использоваться перечни типовых отраслевых объектов КИИ. Формировать их смогут госорганы и российские юрлица, выполняющие функции по разработке, проведению или реализации госполитики и (или) нормативно-правовому регулированию в установленной сфере деятельности.

10. В России ввели административную ответственность за предоставление недостоверных сведений ФСТЭК России о результатах категорирования объектов КИИ. Соответствующий федеральный закон об этом (№ 518-ФЗ от 19.12.2022) опубликован на официальном интернет-портале правовой информации.

Размер штрафов аналогичен наказанию за непредставление или несвоевременную подачу данных регулятору: для должностных лиц он составляет от 10 до 50 тысяч рублей, для юрлиц — от 50 до 100 тысяч рублей. Также введены административные штрафы за повторные нарушения. Должностным лицам в этом случае придется заплатить от 50 до 100 тысяч рублей, юридическим лицам — от 100 до 200 тысяч рублей.

11. Ф СБ России своим приказом № 543 от 01.11.2022 утвердила трехлетний переходный период, в течение которого допускается осуществлять мероприятия по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты в интересах субъектов КИИ на основании заключенных с НКЦКИ соглашений о сотрудничестве. По истечении этого периода, согласно Указу Президента РФ от 1 мая 2022 г. № 250, для проведения таких работ организации смогут подключать только аккредитованные центры ГосСОПКА. Предполагается, что за время переходного периода регулятор разработает необходимую нормативную правовую базу и проведет аккредитацию центров ГосСОПКА.

12. Президент России своим указом № 954 от 26.12.2022 включил в состав Межведомственной комиссии Совета Безопасности РФ по вопросам обеспечения технологического суверенитета государства в сфере развития критической информационной инфраструктуры РФ Президента Российской академии наук.

Планы ФСТЭК на 2023 год

21. Ф СТЭК России представила План разработки нормативных правовых актов на 2023 год. Некоторые документы, планируемые к разработке:

Новости в области стандартизации

16. Минтруд России своим приказом № 739н от 28.11.2022 утвердил профессиональный стандарт «Специалист по информационной безопасности в кредитно-финансовой сфере».

В стандарте описаны трудовые функции специалиста:

17. Представлены официальные тексты национальных стандартов РФ по управлению компьютерными инцидентами, ориентированные на субъектов КИИ:

Стандарты вступают в силу с 1 февраля 2023 года.

18. Технический комитет по стандартизации «Криптографическая защита информации» подготовил проекты рекомендаций по стандартизации в области криптографии:

Государственные информационные системы

8. Правительство РФ утвердило положение о единой цифровой платформе «ГосТех».  Соответствующее постановление об этом (№ 2338 от 16.12.2022) опубликовано на официальном интернет-портале правовой информации и вступило в силу с 1 января 2023 года.

Платформа предназначена для инфраструктурного, организационно-технологического и документационного обеспечения процессов жизненного цикла государственных информационных систем (ГИС). Функции оператора платформы будет выполнять Минцифры России. Также министерство может передать их государственному казенному учреждению.

Согласно постановлению, органы местного самоуправления, государственные (муниципальные) предприятия и учреждения, госкорпорации, госкомпании, публично-правовые компании, а также хозяйственные общества, более 50% в уставном капитале которых находится в государственной (муниципальной) собственности, вправе принять решение об использовании платформы «ГосТех» для реализации процессов жизненного цикла своих информационных систем.

Также документом внесены изменения в постановление Правительства РФ от 06.07.2015 № 676 в части применения итерационного подхода к разработке ГИС.

Отраслевые изменения

22. Правительство РФ своим распоряжением № 4088-р от 22.12.2022 утвердило Концепцию формирования и развития культуры информационной безопасности граждан России. Её реализацию поручено обеспечить Минцифры России совместно с другими заинтересованными федеральными органами исполнительной власти. Исполнительным органам субъектов РФ рекомендуется учитывать положения Концепции при формировании и осуществлении региональных программ в сфере ИБ.

23. Официально опубликовано постановление Правительства РФ от 08.12.2022 № 2250 «О внесении изменения в Положение о защите информации в платежной системе».

24. Опубликован приказ Главного управления специальных программ Президента РФ от 22.10.2022 № 163, устанавливающий перечень информации об отнесенных к ведению Главного управления специальных программ Президента РФ пунктах управления государством и Вооруженными Силами РФ, иных специальных объектах мобилизационного назначения и объектах их инфраструктуры, составляющей профессиональную тайну, а также требования к защите данной информации.

Автор дайджеста: Екатерина Борисенкова, консультант по информационной безопасности отдела комплаенс и аттестации центра «Solar Интеграция» компании «РТК-Солар»

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *