Понимаю, что все уже режут ингредиенты для оливье, ставят охлаждать брют и просекко, смазывают лыжи (в хорошем смысле этого слова), колят дрова для камина или растапливают баньку, то есть всеми силами готовятся отметить Новый год (или Хануку, тут у кого как)
🔥 Но кибербез - штука круглогодичная и незнающая перерывов и выходных. Вот и ФСТЭК в последний рабочий день года вбросила
проект нового приказа, который распространяется не только на ГИС, а на любые информационные системы госорганов, госучреждений и ГУП, и заменяет собой 17-й приказ ФСТЭК 2012-го года (вступает, в случае принятия, с 1 сентября 2025 года)
🤭После беглого просмотра я хочу обратить внимание на ряд интересных моментов:
😱1️⃣ Основная цель защиты информации в госоргане - недопущение наступления негативных последствий (событий), а не борьба с всеми угрозами.
Недопустимые события Негативные последствия определяет вы. Пример списка негативных последствий есть на
сайте ФСТЭК.
2️⃣ Подрядчики
🦌 госорганов обязаны выполнять требования по защите, описанные в политике ИБ. Это должно быть зафиксировано в договоре с подрядчиками. По идее госорган для подрядчиков может написать отдельную политику ИБ, но можно распространить на них и свою политику
3️⃣ Госорганы должны иметь (и контролировать) перечень разрешенного и (или) запрещенного ПО и проводить мероприятия по контролю конфигураций информационных систем, что подсказывает, что надо дружить с ИТ и вообще, что ИБ не может быть достигнута только классическими мерами ИБ.
4️⃣ Госорган должен раз в 6 месяцев проводить оценку текущего состояния защиты информации и его сравнение с нормированными показателями, установленными ФСТЭК
⚖️ Раз в 2 года должна проводиться оценка показателя уровня зрелости мероприятий по ИБ. Информация об оценках этих показателей должна направляться в ФСТЭК в течение 5 дней с окончания измерения
🛍5️⃣ Госорган обязан обеспечивать ИБ при использовании искусственного интеллекта и даже немного написано про необходимости защиты датасетов, моделей и инфраструктуры для них
🧠6️⃣ Устранение критических уязвимостей
🗡 должно быть обеспечено в течение 24 часов, высокого уровня опасности - в течение 7 дней. Для этого о них надо оперативно узнавать.
7️⃣ Защита ПК требует мониторинга и анализа процессов и событий, то есть речь, как по мне, идет о решениях класса EDR.
8️⃣ При мониторинге угроз можно использовать ИИ. Это необязательно, но уже неплохо, что это явно упомянуто.
9️⃣ Ежегодный отчет о результатах мониторинга надо направлять в ФСТЭК
🚗 То есть если госорган не попадал под КИИ или 250-й Указ, то он раньше результаты мониторинга никому не отправлял, даже в ГосСОПКУ. Теперь это надо делать, как минимум, в ФСТЭК. Пока раз в год, но лиха беда начало.
1️⃣0️⃣ Если есть своя разработка, то должны быть реализованы мероприятия по безопасной разработке в соответствие с ГОСТом
👨💻1️⃣1️⃣ Установлены временные интервалы на восстановление в случае нарушения функционирования (сбоя, DDoS, инцидента ИБ и т.п.). Для систем 1-го класса защищенности - это 24 часа. Это прям заранее напрячься надо, чтобы соблюсти такой SLA.
1️⃣2️⃣ Контроль уровня защищенности обеспечивается либо автоматизированными решениями класса BAS, либо пентестами/Red Team, либо на киберполигонах. Отчет по результатам должен также направляться в ФСТЭК
🚚В целом, ФСТЭК начинает более активно контролировать процесс ИБ в государственных организациях. Если раньше это происходило только во время аттестации и серьезных публичных инцидентов
🔥, то сейчас они требуют присылать им регулярно сведения об оценке и контроле защищенности, а также и уровне зрелости ИБ в организации (см.ниже). То есть спуску регулятор своим подопечным не даст
🙅♂️ И он вступает на ту же поляну, где раньше были только ФСБ (мониторинг) и Минцифры (непрерывность). Гонка за кибербез усиливается!
🚗‼️ Важно! Регулятор явно не пишет
🧑💻, что надо применять такие-то и такие-то классы средств защиты информации, отдавая это на откуп операторам/владельцам защищаемых систем. Но описанные в новом приказе меры и процессы должны быть реализованы
🫡
