2024/09/03 12:01:50

Требования к защите информации в государственных информсистемах


Содержание

2024: Госсайты в России начали закрывать доступ к зарубежным поисковым ботам по рекомендации ФСТЭК

Федеральная служба по техническому и экспортному контролю (ФСТЭК) в конце августа 2024 года рекомендовала российским государственным органам закрыть доступ к своим сайтам для зарубежных поисковых ботов. Эта мера направлена на предотвращение использования иностранных роботов, таких как GPTBot от OpenAI, для сбора информации о возможных уязвимостях и персональных данных на государственных информационных ресурсах. Некоторые ведомства уже отключили свои ресурсы от ботов.

Как передает «Коммерсантъ», ФСТЭК разослала федеральным органам исполнительной власти соответствующие рекомендации. В документе указано, что зарубежные поисковые боты могут использовать собранные данные для обучения моделей машинного обучения за границей, что несет потенциальные риски для информационной безопасности России. Ведомство советует ограничить доступ этих ботов через файл robots.txt на сайтах госорганов и серверов, чтобы предотвратить их индексацию.

Госсайты в России ограничили доступ к зарубежным поисковым ботам

Несмотря на рекомендации ФСТЭК, к 2 сентября 2024 года не все государственные сайты последовали этим указаниям. Например, на сайте самой ФСТЭК не оказалось запрета для GPTBot в файле robots.txt, аналогичная ситуация наблюдается на сайтах МЧС, Минздрава и Минцифры. В то же время сайты Минюста и ФСБ полностью заблокировали доступ для всех интернет-роботов.

Ранее, в мае 2024 года, Роскомнадзор также рассылал похожие рекомендации хостинг-провайдерам, предлагая ограничить доступ к российским ресурсам для иностранных ботов, включая боты от компаний Google, OpenAI и Apple.

Эксперты в области кибербезопасности отмечают, что поисковые боты могут сканировать сайты в поисках устаревших плагинов, ошибок конфигурации и других уязвимостей, которые могут быть использованы злоумышленниками. Руководитель отдела разработки департамента TI экспертного центра безопасности Positive Technologies Андрей Схоменко пояснил, что основная задача таких роботов — сбор информации о сетевых ресурсах, доступных для подключения в интернете. При этом, по его словам, существуют боты, которые целенаправленно ищут уязвимые элементы, такие как незащищенные формы обратной связи, чтобы встроить в них вредоносный код.[1]

2022

ФСТЭК разработала методику оценки кибербезопасности для госорганов

Федеральная служба технического экспортного контроля (ФСТЭК) разработала новую методику оценки степени информационной безопасности в госорганах и организациях с госучастием, а также в компаниях,обладающих критически важной информационной инфраструктурой (КИИ; это банки, операторы связи, представители ТЭК и т. п.). Об этом стало известно 23 ноября 2022 года.

Как пишет «Коммерсантъ» со ссылкой на заявление заместителя директора ФСТЭК Виталия Лютикова, новая методика на начальном этапе будет носить рекомендательный характер, а после ее тестирования возможен переход на обязательный подходит.

ФСТЭК разработала новую методику оценки кибербезопасности для госорганов
«
Цель — формирование единых подходов оценки защищенности информации в организациях, — заявили во ФСТЭК.

»

Служба выделяет четыре уровня защищенности — высокий, базовый повышенный, базовый и низкий, следует из презентации ведомства, с которой ознакомился «Коммерсант». Результат будет складываться из трех основных показателей: организация и управление защитой информации, внедрение мер защиты, поддержка ее уровня (например, мониторинг и реагирование компании на инцидент, управление уязвимостями). Кроме того, будет учитываться обучение персонала и осведомленность сотрудников в вопросах кибербезопасности.

Новая методика ФСТЭК похожа на оценку «цифровой зрелости» организаций, которую аппарат вице-премьера Дмитрия Чернышенко применил к федеральным органам исполнительной власти в рамках цифровой трансформации, объяснил собеседник издания в правительстве. По его словам, методика необходима властям, поскольку «сейчас [к ноябрю 2022 года] собрать картину кибербезопасности в КИИ очень сложно».

Разрабатываемый ФСТЭК подход должен стать опорным и для заказчиков, и для разработчиков, полагает руководитель исследований ГК «Астра» Роман Мылицын. По его мнению, методика будет уточняться и отрабатывается на реальных проблемах.[2]

Минцифры предписало госкорпорациям провести аудит кибербезопасности

В июне 2022 года Министерство цифрового развития, связи и массовых коммуникаций РФ разослало 58 ключевым госкорпорациям письмо, в котором указало о необходимости провести аудит информационной безопасности. Согласно обращению, с которым ознакомился «Коммерсантъ», для оценки уровня защищенности ИТ-систем можно привлекать любые профильные организации, сертифицированные ФСТЭК и ФСБ.

Как сообщила пресс-служба Минцифры, мероприятия по ИБ-аудиту компаниям необходимо провести до 1 июля 2022 года. В ведомстве подчеркнули, что письмо не является требованием Минцифры, а рассылается во исполнение указа президента РФ «О дополнительных мерах по обеспечению информационной безопасности РФ».

Министерство цифрового развития, связи и массовых коммуникаций РФ разослало 58 ключевым госкорпорациям письмо, в котором указало о необходимости провести аудит информационной безопасности
«
По итогам проведения компаниями мероприятий в правительство будет направлена информация, которая будет учитываться при разработке и реализации мер, направленных на обеспечение безопасности функционирования информационных ресурсов России, - подчеркнули в министерстве.
»

По сообщению издания, госкорпорациям нужно выявить уязвимости в своих системах, недостатки инструментов защиты от кибератак, а также обозначить стратегические риски — недопустимые события для каждого предприятия. К таковым относятся, в частности, утечки персональных данных и другой важной информации, а также мошенническая активность в банковских системах.

По словам директора центра мониторинга и противодействия кибератакам IZ:SOC «Информзащиты» Ивана Мелехина, для решения задачи одной небольшой компании может потребоваться 40–50 дней в зависимости от количества задействованных сотрудников, при этом специалисты должны обладать высокой квалификацией. Также придется использовать специализированное ПО, например сканеры уязвимостей, однако не все отечественные продукты удовлетворяют заявленным требованиям, добавил он.

В список компаний, которым предписано провести ИБ-аудит, вошли, «Почта России», «Газпром-медиа холдинг», «Росатом», «Сибур», «Сбербанк» и др.[3]

Почти все регионы России создали штабы по кибербезопасности

1 июня 2022 года в Министерстве цифрового развития, связи и массовых коммуникаций РФ сообщили, что 99% российских регионов и 85% органов власти создали штабы по информационной безопасности. Созданы и функционируют в полном объеме 76 из 85 штабов, восемь находятся на этапе согласования, передает ТАСС со ссылкой на пресс-службу ведомства.

Согласно заявлению Минцифры, большая часть регионов проявили активность и представили свои предложения по повышению эффективности работы в рамках кибербезопасности. В министерстве 1 июня 2022 года также добавили, что в ближайшей перспективе задачи оперативных штабов будут дополнены мерами по реализации указа президента от 1 мая «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации».

Почти все регионы России создали штабы по кибербезопасности

Как уточнили в Минцифры, программа реализуется с максимально возможной скоростью. К 1 июня 2022 года об исполнении поручений отчиталось подавляющее большинство органов власти и почти все регионы.

Как пишет «Коммерсантъ» со ссылкой на протокол совещания вице-премьера Дмитрия Чернышенко с федеральными и региональными руководителями цифровой трансформации, которое состоялось 20 мая 2022 года, заместитель председателя Правительства РФ поручил 18 федеральным министерствам и ведомствам «немедленно» завершить проект по созданию в регионах штабов для противодействия киберугрозам. По данным издания, даже там, где эти структуры созданы, они работают лишь на бумаге. Сроки исполнения поручений затягивают дефицит профильных кадров и долгая цепочка согласований, считают опрошенные газетой эксперты. Кроме того, отмечают они, само по себе создание штаба защититься от атак не сильно поможет, для этого потребуются дополнительные меры и существенные ресурсы. [4] [5]

«Яндекс», «Сбертех» и другие ИТ-компании под эгидой ФСТЭК разработали требования к защите средств контейнеризации

Экспертная группа под руководством ФСТЭК разработала требования по безопасности информации к средствам контейнеризации. Об этом на отраслевой конференции в феврале 2022 года рассказал начальник управления ФСТЭК Дмитрий Шевцов. После их обсуждения и доработки до конца февраля планируется приступить к оценке регулирующего воздействия, а затем зарегистрировать документ в Минюсте.

В состав экспертной группы, разработавшей требования, вошли представители «Яндекса», «Сбертеха», «РусБИТеха», Positive Technologies, «РедСофт», ИСП РАН, BellSoft и ряда других. При формировании состава участников ФСТЭК ориентировалась на те организации, которые создают решения с технологиями контейнеризации и готовятся к их сертификации, пояснил Шевцов.

Из презентации Дмитрия Шевцова

Технологии контейнеризации, которые приобрели большую популярность во всём мире, применяются и в государственных информационных системах в России. В контексте разработки требований к защите средств контейнеризации представитель ФСТЭК упомянул платформу «Гостех», на которую планируется перевести многие ИТ-системы госорганов. По задумке она должна стать основным инструментом цифровой трансформации в госсекторе.

В стеке технологий «Гостеха» присутствует контейнеризация (Docker) и оркестровка (Kubernetes), и одним из её элементов является OpenShift — открытая и расширяемая платформа приложений-контейнеров, которая позволяет использовать Docker и Kubernetes.

Ознакомиться с проектом новых требований лицам, не участвующим в их разработке, пока нельзя: документ пока будет иметь ограничительную пометку «Для служебного пользования», уточнил Дмитрий Шевцов. Документ станет доступен более широкому кругу, когда он будет полностью готов, и когда ФСТЭК оповестит о его доступности.

Надо сказать, что ещё несколько лет назад на одной из конференций представители ФСТЭК рассказывали, что работали над созданием требований к защите средств виртуализации. Был проект этого документа. По словам Дмитрия Шевцова, теперь в свете работы над требованиями к средствам контейнеризации ФСТЭК постарается его актуализировать.

«
И я надеюсь, что в ближайшем обозримом будущем мы проведём работу с экспертной группой по его изданию, - отметил представитель ФСТЭК.
»

2020

Российские средства шифрования начинают использоваться в госсистемах

3 июля 2020 года стало известно о предстоящем начале использования российского шифрования в государственных ИТ-системах. 15 июля начнётся эксперимент, целью которого является подготовка к полноценному внедрению отечественных криптографических систем, а также к переходу госорганов, организаций и граждан на электронное взаимодействие с использованием российских решений в сфере криптозащиты.

Пилотный проект продлится до 1 марта 2021 года, сообщает ТАСС Информационное агентство России со ссылкой на постановление правительства, текст которого размещен на портале правовой информации.

Пилотный проект по использованию российского шифрования в госсистемах начнется 15 июля

Согласно документу, обеспечивать реализацию проекта будут Минкомсвязи, ФСБ и ФСТЭК России. Предложения по реализации пилотного проекта должны быть предоставлены операторами в Минкомсвязь до 10 июля 2020 года, а само министерство по согласованию с ФСБ должно до 15 июля разработать и утвердить план пилотного проекта.

До декабря Минкомсвязи должно будет представить в правительство доклад о ходе реализации пилотного проекта, уточняется в постановлении, подписанном премьер-министром Михаилом Мишустиным.

В рамках эксперимента кабмин планирует проработать механизм использования инфраструктуры так называемого головного удостоверяющего центра в целях его дальнейшего введения в промышленную эксплуатацию в соответствии с планами федерального проекта «Информационная безопасность» в рамках национального проекта «Цифровая экономика».

В числе участников пилотного проекта вошли Государственная информационная система жилищно-коммунального хозяйства, Единый реестр российских программ для электронных вычислительных машин и баз данных, портал госуслуг и Единая государственная информационная система социального обеспечения.

Минкомсвязи поручено до 1 марта 2021 года внести в правительство проекты актов для создания законодательной базы для последующего внедрения отечественных криптографических средств шифрования.[6]

2019

Производителей ПО, которые не раскроют исходники, оставят без госзаказов в России

20 сентября 2019 года стало известно, что в России усложнили ИТ-компаниям правила сертификации, в результате чего производители программного обеспечения, которые откажусь раскрыть исходники ПО, могут остаться без госзаказов.

1 июня 2019 года Федеральная служба по техническому и экспортному контролю (ФСТЭК) ввела правила, согласно которым разработчики средств защиты информации должны с помощью специальных лабораторий оценить, соответствуют ли их средства новым требованиям, и представить данные во ФСТЭК для переоформления сертификата.

С 1 января 2019 года ряд ИТ-компаний может лишиться права работать с госорганами из-за усложнения правил сертификации

Как пояснили РБК несколько участников ИТ-рынка, новые требования предусматривают полный доступ к исходному коду продукта для проверки на предмет наличия недекларированных возможностей (так называемые закладки или скрытые функции, которые, например, приводят к нарушению конфиденциальности).

«
Чтобы начать процесс сертификации, любой вендор должен будет предоставить для анализа исходный код своих продуктов, но не все вендоры могут себе это позволить в связи с собственными политиками безопасности, — подтвердила изданию руководитель группы сертификации «Лаборатории Касперского» Карина Нападовская.
»

По словам руководителя службы информационной безопасности «Новых облачных технологий» Александра Буравцова, к 20 сентября 2019 года в реестре средств защиты информации нет средств, сертифицированных по новым правилам. С момента подачи заявки до внесения в реестр может пройти от полугода до нескольких лет, и даже сертификаты, выданные в конце августа 2019 года, оформлялись по старым требованиям, отметил он. 

Ранее ФСТЭК предупреждала, что с 1 января 2020 года она может приостановить действие сертификатов соответствия средств защиты информации, если разработчики и производители этих средств не проведут переоценку их соответствия уровням доверия. Это значит, что такие решения нельзя будет использовать в государственных ИТ-системах.[7]

Публикация изменений в требования к защите информации в государственных информсистемах

17 сентября 2019 года стало известно, что Федеральная служба по техническому и экспортному контролю опубликовала изменения в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах[8]. Эти требования были утверждены еще в начале 2013 года, и вот теперь в них внесен ряд изменений.

ФСТЭК

Документ был утвержден еще 28 мая 2019 года, однако приказ опубликован только в сентябре 2019 года.

Всего вносятся изменения в 18 пунктов требований, причем большинство нововведений представляют собой дополнения или конкретизацию ранее изложенных положений.

Вступающие в силу изменения представляют, в первую очередь, интерес для центров обработки данных, которые предполагают размещать у себя государственные информационные системы, а также для операторов таких систем, которые могут пожелать разметить их в ЦОД.

Так, например, подчеркивается, что если информационная система создается на базе информационной-телекоммуникационной инфраструктуры ЦОД, то такая инфраструктура должна быть аттестована на соответствие требованиям ФСТЭК.

При этом аттестат соответствия теперь выдается на весь срок эксплуатации информационной системы, но оператор должен "обеспечивать поддержку соответствия системы защиты информации аттестату соответствия в рамках реализации мероприятий, предусмотренных пунктом 18 настоящих требований".

В обновленном варианте Требований перечисляются следующие мероприятия: анализ угроз безопасности информации, управление системой защиты информации, управление конфигурацией информационной системы и ее системой защиты информации, реагирование на инциденты, информирование и обучение персонала и контроль за обеспечением уровня защищенности информации, содержащейся в ИС. Также подразумевается, что для всех этих мероприятий заранее готовится план.

Раздел 18 дополнен также тремя пунктами - 18.5-18.7. В них регламентируются процедуры реагирования на инциденты с информационной безопасностью, в том числе анализ, принятие мер по устранению инцидентов, восстановление систем и профилактика рецидивов; обучение персонала, контроль за его осведомленностью и практические занятия; а также меры по контролю и обеспечению уровня защищенности информации в ИС.

Тренинги для персонала предполагается проводить не реже 1 раза в два года, мероприятия по контролю за обеспечением уровня защищенности информации в ИС - не реже одного раза в год.

«
По большому счету подобные мероприятия надо проводить намного чаще. Ландшафт киберугроз меняется постоянно, для того, чтобы персонал был готов справляться с угрозами, обучать его необходимо куда регулярнее,
считает Олег Галушкин, директор по информационной безопасности компании SEQ (ранее SEC Consult Services)
»

Мероприятия по контролю за обеспечением уровня защищенности Требования ФСТЭК предлагают оператору проводить самостоятельно или с привлечением организации, имеющей лицензию на деятельность по технической защите конфиденциальной информации.

Также Требования освобождают операторов от принятия каких-либо дополнительных мер безопасности, если защитные системы ЦОД уже обеспечивают адекватное блокирование угроз для информационной системы, действующей на его базе. При этом оговаривается, что при проектировании вновь создаваемых или модернизируемых информационных систем, имеющих доступ к Интернету, должны использоваться только маршрутизаторы, сертифицированные в РФ на соответствие требованиям по безопасности информации.

Примечания