Пост Лукацкого

Понимаю, что все уже режут ингредиенты для оливье, ставят охлаждать брют и просекко, смазывают лыжи (в хорошем смысле этого слова), колят дрова для камина или растапливают баньку, то есть всеми силами готовятся отметить Новый год (или Хануку, тут у кого как) 🔥 Но кибербез - штука круглогодичная и незнающая перерывов и выходных. Вот и ФСТЭК в последний рабочий день года вбросила проект нового приказа, который распространяется не только на ГИС, а на любые информационные системы госорганов, госучреждений и ГУП, и заменяет собой 17-й приказ ФСТЭК 2012-го года (вступает, в случае принятия, с 1 сентября 2025 года) 🤭

После беглого просмотра я хочу обратить внимание на ряд интересных моментов: 😱
1️⃣ Основная цель защиты информации в госоргане - недопущение наступления негативных последствий (событий), а не борьба с всеми угрозами. Недопустимые события Негативные последствия определяет вы. Пример списка негативных последствий есть на сайте ФСТЭК.
2️⃣ Подрядчики 🦌 госорганов обязаны выполнять требования по защите, описанные в политике ИБ. Это должно быть зафиксировано в договоре с подрядчиками. По идее госорган для подрядчиков может написать отдельную политику ИБ, но можно распространить на них и свою политику
3️⃣ Госорганы должны иметь (и контролировать) перечень разрешенного и (или) запрещенного ПО и проводить мероприятия по контролю конфигураций информационных систем, что подсказывает, что надо дружить с ИТ и вообще, что ИБ не может быть достигнута только классическими мерами ИБ.
4️⃣ Госорган должен раз в 6 месяцев проводить оценку текущего состояния защиты информации и его сравнение с нормированными показателями, установленными ФСТЭК ⚖️ Раз в 2 года должна проводиться оценка показателя уровня зрелости мероприятий по ИБ. Информация об оценках этих показателей должна направляться в ФСТЭК в течение 5 дней с окончания измерения 🛍
5️⃣ Госорган обязан обеспечивать ИБ при использовании искусственного интеллекта и даже немного написано про необходимости защиты датасетов, моделей и инфраструктуры для них 🧠
6️⃣ Устранение критических уязвимостей 🗡 должно быть обеспечено в течение 24 часов, высокого уровня опасности - в течение 7 дней. Для этого о них надо оперативно узнавать.
7️⃣ Защита ПК требует мониторинга и анализа процессов и событий, то есть речь, как по мне, идет о решениях класса EDR.
8️⃣ При мониторинге угроз можно использовать ИИ. Это необязательно, но уже неплохо, что это явно упомянуто.
9️⃣ Ежегодный отчет о результатах мониторинга надо направлять в ФСТЭК 🚗 То есть если госорган не попадал под КИИ или 250-й Указ, то он раньше результаты мониторинга никому не отправлял, даже в ГосСОПКУ. Теперь это надо делать, как минимум, в ФСТЭК. Пока раз в год, но лиха беда начало.
1️⃣0️⃣ Если есть своя разработка, то должны быть реализованы мероприятия по безопасной разработке в соответствие с ГОСТом 👨‍💻
1️⃣1️⃣ Установлены временные интервалы на восстановление в случае нарушения функционирования (сбоя, DDoS, инцидента ИБ и т.п.). Для систем 1-го класса защищенности - это 24 часа. Это прям заранее напрячься надо, чтобы соблюсти такой SLA.
1️⃣2️⃣ Контроль уровня защищенности обеспечивается либо автоматизированными решениями класса BAS, либо пентестами/Red Team, либо на киберполигонах. Отчет по результатам должен также направляться в ФСТЭК 🚚

В целом, ФСТЭК начинает более активно контролировать процесс ИБ в государственных организациях. Если раньше это происходило только во время аттестации и серьезных публичных инцидентов 🔥, то сейчас они требуют присылать им регулярно сведения об оценке и контроле защищенности, а также и уровне зрелости ИБ в организации (см.ниже). То есть спуску регулятор своим подопечным не даст 🙅‍♂️ И он вступает на ту же поляну, где раньше были только ФСБ (мониторинг) и Минцифры (непрерывность). Гонка за кибербез усиливается! 🚗

‼️ Важно! Регулятор явно не пишет 🧑‍💻, что надо применять такие-то и такие-то классы средств защиты информации, отдавая это на откуп операторам/владельцам защищаемых систем. Но описанные в новом приказе меры и процессы должны быть реализованы 🫡

Please open Telegram to view this post

VIEW IN TELEGRAM

www.group-telegram.com/it/alukatsky.com/12005

11.9K viewsDec 30 at 06:40

Понимаю, что все уже режут ингредиенты для оливье, ставят охлаждать брют и просекко, смазывают лыжи (в хорошем смысле этого слова), колят дрова для камина или растапливают баньку, то есть всеми силами готовятся отметить Новый год (или Хануку, тут у кого как) 🔥 Но кибербез - штука круглогодичная и незнающая перерывов и выходных. Вот и ФСТЭК в последний рабочий день года вбросила проект нового приказа, который распространяется не только на ГИС, а на любые информационные системы госорганов, госучреждений и ГУП, и заменяет собой 17-й приказ ФСТЭК 2012-го года (вступает, в случае принятия, с 1 сентября 2025 года) 🤭

После беглого просмотра я хочу обратить внимание на ряд интересных моментов: 😱
1️⃣ Основная цель защиты информации в госоргане - недопущение наступления негативных последствий (событий), а не борьба с всеми угрозами. Недопустимые события Негативные последствия определяет вы. Пример списка негативных последствий есть на сайте ФСТЭК.
2️⃣ Подрядчики 🦌 госорганов обязаны выполнять требования по защите, описанные в политике ИБ. Это должно быть зафиксировано в договоре с подрядчиками. По идее госорган для подрядчиков может написать отдельную политику ИБ, но можно распространить на них и свою политику
3️⃣ Госорганы должны иметь (и контролировать) перечень разрешенного и (или) запрещенного ПО и проводить мероприятия по контролю конфигураций информационных систем, что подсказывает, что надо дружить с ИТ и вообще, что ИБ не может быть достигнута только классическими мерами ИБ.
4️⃣ Госорган должен раз в 6 месяцев проводить оценку текущего состояния защиты информации и его сравнение с нормированными показателями, установленными ФСТЭК ⚖️ Раз в 2 года должна проводиться оценка показателя уровня зрелости мероприятий по ИБ. Информация об оценках этих показателей должна направляться в ФСТЭК в течение 5 дней с окончания измерения 🛍
5️⃣ Госорган обязан обеспечивать ИБ при использовании искусственного интеллекта и даже немного написано про необходимости защиты датасетов, моделей и инфраструктуры для них 🧠
6️⃣ Устранение критических уязвимостей 🗡 должно быть обеспечено в течение 24 часов, высокого уровня опасности - в течение 7 дней. Для этого о них надо оперативно узнавать.
7️⃣ Защита ПК требует мониторинга и анализа процессов и событий, то есть речь, как по мне, идет о решениях класса EDR.
8️⃣ При мониторинге угроз можно использовать ИИ. Это необязательно, но уже неплохо, что это явно упомянуто.
9️⃣ Ежегодный отчет о результатах мониторинга надо направлять в ФСТЭК 🚗 То есть если госорган не попадал под КИИ или 250-й Указ, то он раньше результаты мониторинга никому не отправлял, даже в ГосСОПКУ. Теперь это надо делать, как минимум, в ФСТЭК. Пока раз в год, но лиха беда начало.
1️⃣0️⃣ Если есть своя разработка, то должны быть реализованы мероприятия по безопасной разработке в соответствие с ГОСТом 👨‍💻
1️⃣1️⃣ Установлены временные интервалы на восстановление в случае нарушения функционирования (сбоя, DDoS, инцидента ИБ и т.п.). Для систем 1-го класса защищенности - это 24 часа. Это прям заранее напрячься надо, чтобы соблюсти такой SLA.
1️⃣2️⃣ Контроль уровня защищенности обеспечивается либо автоматизированными решениями класса BAS, либо пентестами/Red Team, либо на киберполигонах. Отчет по результатам должен также направляться в ФСТЭК 🚚

В целом, ФСТЭК начинает более активно контролировать процесс ИБ в государственных организациях. Если раньше это происходило только во время аттестации и серьезных публичных инцидентов 🔥, то сейчас они требуют присылать им регулярно сведения об оценке и контроле защищенности, а также и уровне зрелости ИБ в организации (см.ниже). То есть спуску регулятор своим подопечным не даст 🙅‍♂️ И он вступает на ту же поляну, где раньше были только ФСБ (мониторинг) и Минцифры (непрерывность). Гонка за кибербез усиливается! 🚗

‼️ Важно! Регулятор явно не пишет 🧑‍💻, что надо применять такие-то и такие-то классы средств защиты информации, отдавая это на откуп операторам/владельцам защищаемых систем. Но описанные в новом приказе меры и процессы должны быть реализованы 🫡