Продолжаем про новый 117-й приказ ФСТЭК, пришедший на смену 17-му:

6️⃣2️⃣ 21 мероприятие для защиты от негативных последствий (очко!), среди которых оценка угроз, контроль конфигураций информационных систем, управление уязвимостями, обеспечение защиты информации при удаленном доступе, обеспечение мониторинга ИБ, обеспечение защиты информации при взаимодействии с подрядными организациями, защита от DDoS, защита ИИ, взаимодействие с ГосСОПКА и т.д.
6️⃣3️⃣ Для ГИСов модель угроз обязательна (по 676-ПП), для остальных - на свое усмотрение.
6️⃣4️⃣ Мероприятия по контролю конфигураций ИС должны среди прочего исключать несанкционированное изменение настроек и конфигураций ПО и железа. Контроль конфигураций информационных систем должен осуществляться на основе анализа результатов учета ИТ-активов и (или) сведений, содержащихся в CMDB (ИТ должны обеспечить ИБ такой доступ). Если CMDB нет, то выстраивать собственное управление активами, например, на основе сканеров уязвимостей или SIEM.
6️⃣5️⃣ Критические уязвимости должны устраняться за 24 часа, высокого уровня опасности - не более 7 дней ⏳ При выявлении любой уязвимоости, отсутствующей в БДУ ФСТЭК, данные о ней должны быть направлены регулятору.
6️⃣6️⃣ Бесконтрольная установка обновлений не допускается.
6️⃣7️⃣ На оконечных устройствах должны быть установлены EDR.
6️⃣8️⃣ Применять личные мобильные устройства можно, но при условии соблюдения на них требований по защите и возможности их контроля. Это прям хороший пункт. А то было бы как раньше - запрет и все из под полы юзают. Сейчас большие шишки хотя бы задумаются и может быть попросят ИБшников настроить свои личные айпады и айфоны 📱 для доступа к ГИС.
6️⃣9️⃣ Удаленный доступ с личных устройств работников тоже возможен, но опять же при соблюдении требований по защите и применении сертифицированных средств обеспечения безопасной дистанционной работы, антивируса, строгой (а это не MFA, а криптография) аутентификации и т.д. Это будет сложнее реализовать, но тоже не полный запрет. Доступ из зарубежа не допускается 👎
2️⃣1️⃣ Привилегированный доступ должен быть только со строгой аутентификацией, а в случае ее невозможности, - с использованием усиленной многофакторной аутентификации. Все попытки такого доступа должны регистрироваться. Вообще этой теме в приказе много внимания уделено 👨‍💻
2️⃣6️⃣ Мониторинг ИБ должен быть во всех ИС, исключая локальные и изолированные ИС, в которых должен обеспечиваться контроль журналов регистрации событий безопасности. Тут я, конечно, не очень согласен, так как нарушитель может попасть в локальную и даже изолированную систему не через Интернет. И как тогда его выявлять; периодичность же контроля логов не установлена? Мониторинг в соответствие с ГОСТ Р 59547-2021. Итоговый годовой отчет о мониторинге инцидентов ИБ должен направляться в ФСТЭК. Вообще регулятор не только устанавливает много новых требований, но и требует подтверждения их выполнения. Пока в виде отправляемых отчетов (форма не установлена), но допускаю, что в перспективе появится и какая-нибудь автоматизированная система типа АСОИ ФинЦЕРТа или ГосСОПКИ. Такая автоматизация бы сильно облегчила жизнь и подопечным и самой ФСТЭК в части анализа присланных данных.
2️⃣2️⃣ Пункт про использование только выданных на работе флешек мне кажется невыполнимым на практике ⚪️ В крупных коммерческих компаниях еще может быть, но не в госухе, которая считает каждую копейку.

Финальная часть воспоследует незамедлительно (часть 1 и часть 3).

#регулирование

2️⃣3️⃣ Упоминаются ИС, их сегменты, выполняющие значимые функции на предприятии; Все это в контексте установления сроков восстановления после нарушения функционирования. Но дальше упоминания дело не пошло, что и понятно, - ФСТЭК не имеет классификации таких систем, в отличие от классов защищенности ИС, для которых как раз сроки восстановления четко установлены - 24 часа для систем 1 класса, до 7 дней - для 2-го и до 4 недель для 3-го класса (хотя этот срок выглядит странновато в нынешних условиях). ПО и железо, отвечающее за значимые функции, должно быть в отказоустойчивой конфигурации. Срок проверки возможности восстановления выполнения значимых функций должен проводиться не реже 1 раза в 2 (!) года. Ну такое себе, если честно ☺️ На фоне уничтожения инфраструктур многих госорганов и коммерческих компаний в последние месяцы такой срок выглядит также странновато. Но с другой стороны, все-таки это больше ИТшная тема, не ИБшная и ФСТЭК просто обращает внимание на необходимость резервирования ключевых систем и проверки возможности их восстановления.
2️⃣4️⃣ Для обучения пользователей впервые на моей памяти упоминается геймификация (обучающие игры), а также антифишинговые симуляции 🎣 Правда срок оценки уровня знаний пользователей установлен - не реже одного раза в 3 (!) года. Хорошо, хоть есть еще добавление “или после компьютерного инцидента”.
2️⃣5️⃣ Много написано про работу с подрядчиками, но я про это буду говорить на ближайшем вебинаре 26 июня.
2️⃣6️⃣ Для защиты от DDoS-атак 💣 надо, помимо прочего, взаимодействовать с ГосСОПКА и ЦМУ ССОП (тоже новация). При этом защита должна строиться с привлечением операторов связи или провайдеров хостинга, а также специализированных антиDDoS-провайдеров, центры очистки которых располагаются только в России 🇷🇺
2️⃣7️⃣ Есть раздел про безопасность ИИ, но тут скорее всего стоить ждать более подробных методичек 🪧
2️⃣8️⃣ Большое внимание уделено вопросам проверки достаточности принятых защитных мер. В ГИСах - это, как минимум, аттестация по 77 приказу ФСТЭК. Для остальных список возможных вариантов шире - выявление уязвимостей с последующей экспертной оценкой возможности их использования (пентест или багбаунти 🐞), выявление несанкционированно подключенных устройств, использование решений класса BAS, киберучения. Все эти меры должны проводиться не реже одного раза в три года (опять!!! 😭) или после инцидента (уже лучше). Отчет о контроле защищенности должен направляться в ФСТЭК (не очень понятно, как это выполнять при непрерывном контроле защищенности, но, видимо, отправлять хотя бы раз в квартал или раз в полгода).
2️⃣9️⃣ Итоговой таблицы с указанием защитных мер применительно к конкретным классам защищенности в 117-м приказе нет, что и хорошо. Она и раньше скорее рекомендовала набор защитных мер, а не устанавливала обязательный минимум. Сейчас этот минимум, названный, базовыми защитными мерами, прописан просто в тексте списком 🔚

Так, обошлось без 117 пунктов, но тоже немало. Заметил, что коньяк на меня действует как-то по особенному - я начинаю творить всякую дичь Обычно я на текст по какой-то теме больше одного поста не трачу, а тут целых три! 💪

Текущая версия требований по защите, прищедшая на смену 17-му приказу, стала, как по мне, более практичной, и описывает не только “ЧТО” должно быть сделано, но и “КАК”. Да, не по всем защитным мерам и мероприятиям это раскрыто, но ключевые вещи, отсутствие которых приводило к известным и не очень инцидентам 🔓, в приказе описаны. При правильной его реализации уровень ИБ в стране точно должен повыситься. Главное, чтобы ресурсы выделяли на реализацию требований приказа и люди были, которые смогут это все реализовать. Но это уже не к ФСТЭК 🗂

Предыдущие части 1 и 2.

#регулирование

Разбирая 117-й приказ и натолкнувшись на "строгую аутентификацию", которая совсем не "многофакторная", вдруг вспомнил, что я как-то рисовал картинку тоже про терминологию в области аутентификации, которую тоже можно запостить, чтобы не пропадала 🏫

Не путай токен, токен и токен; в ИБ встречается и тот, и тот, и тот! 🤔

#терминология #аутентификация

Гостеприимная Армения 🇦🇲 встретила хлебом-солью шашлыком, пахлавой, коньяком и другими явствами, а я ответил презентацией про кибератаки в стране и почему при общении с топ-менеджментом все эти цифры и статистика не особо интересны большим дядям и тетям (но нужны ИБшникам). Ну и возможный рецепт дал... 🧐

Удивительно, но CyberGen25, организованный Центральным Банком 🏦 Республики Армения, - единственное вендор-независимое мероприятие по ИБ в этой гостеприимной стране. Может поэтому за свою долгую командировочную жизнь я первый раз был на территории, когда-то называвшейся Урарту 🇦🇲 И не пожалел!

#статистика #тенденции #threatintelligence
#презентация

Если кому-то нужен распознанный текст 117-го приказа ФСТЭК 🗂, а не скриншот, выложенный на publication, то прилагаю.

Завтра буду в Екатеринбурге на IT IS Conf, где у меня модерация пленарки и визионерский доклад "Не тренди! О чем еще можно говорить, хотя стоило бы помолчать!" 🤠 И Екатеринбург в эти даты - это гораздо лучше слёта элитных проституток ПМЭФ, где пафосно-дорого-богато, а по делу (ИБшному) ничего нет, если вы не журналист или у вас нет доступа в кулуары.

ЗЫ. Кстати, онлайн на IT IS Conf тоже будет 📺

#регулирование #мероприятие

Давно у нас не было рубрики Internet of Stupid Things. Контролируемая ИИ кровать 😴 «не работает» без Интернета… Вдумайтесь в эту фразу! А ведь это можно было сделать и целенаправленно со злым умыслом! 😏 Вы предусмотрели это в своей модели угроз антивирус в своей кровати?

#iot #модельугроз

Сегодня я выступал на IT IS Conf 2025 в Екатеринбурге с визионерским, как мне кажется, докладом, в котором попробовал подсветить некие моменты, о которых стоит думать специалисту по ИБ, строящему свою карьеру в этой области 🤔 Не знаю, будет ли доступно видео?...

#тенденции #ciso #презентация

Подготовка к презентациям выходит на новый уровень 👨‍💻 А было вот так. Теперь вообще текстовку можно не готовить, а "оживлять" картинки и растягивать их на весь слайд. А то и вовсе делать мини-фильмы, которые будут жить своей жизнью... 🙃

ЗЫ. Пойду "оживлю" аватарку в шляпе... 🤠

#презентация