Методика применяется для оценки угроз безопасности информации в системах и сетях, решение о создании или модернизации (развитии) которых принято после даты ее утверждения, а также в эксплуатируемых системах и сетях.
__
Модели угроз безопасности информации систем и сетей, разработанные и утверждённые до утверждения Методики, продолжают действовать и подлежат изменению в соответствии с настоящей Методикой при развитии (модернизации) соответствующих систем и сетей.__
__
В связи с утверждением настоящего методического документа и для оценки угроз безопасности информации__ __не применяются Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ФСТЭК России, 2008 г.) и __Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры (ФСТЭК России, 2007 г.).
**
**Методический документ должен применяться совместно с банком данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru).
⚡️**Рекомендации по оценке показателей критериев экономической значимости объектов критической информационной инфраструктуры Российской Федерации
**ФСТЭК России на своём сайте представила для общественного обсуждения проект методического документа «Рекомендации по оценке показателей критериев экономической значимости объектов критической информационной инфраструктуры Российской Федерации».
Свои предложения и замечания можно отравить на адрес электронной почты otd84@fstec.ru до 1 марта 2021 года.
__Заместитель директора Департамента развития контрактной системы Минэкономразвития России Сергей Икрянников отметил, что прошлый год стал переломным в вопросе закупок отечественной продукции. В частности, в 2020 году на приобретение российских товаров и технологий в рамках госзакупок было потрачено на 230 млрд руб. больше, чем в 2019 году. Он также сообщил, что в ближайшие месяцы нормативными актами будет введен полный запрет на приобретение иностранной продукции в ходе госзакупок, если есть российские аналоги. Кроме того, Сергей Икрянников отметил, что для оценки реализации госпрограмм в текущем году будет введен целевой показатель – доля приобретенной российской радиоэлектронной продукции, что также будет способствовать поддержке отечественных компаний.
__
https://ru-bezh.ru/kompanii-i-ryinki/news/21/02/12/v-2020-godu-v-ramkax-goszakupok-byilo-priobreteno-na-230-mlrd-ru
Интервью зам.генерального директора ОАО «РЖД», в том числе по следам известной пубикации на Хабре:
__В январе этого года пользователь под псевдонимом @LMonoceros на одном из популярных сайтов опубликовал пост о взломе сети передачи данных компании и получении доступа к ресурсам двух дирекций, в том числе к камерам видеонаблюдения на вокзальных комплексах. __
__В ходе расследования факт неправомерного доступа был подтверждён. Автор нашумевшей статьи воспользовался уязвимостью в настройке маршрутизатора, обеспечивающего сопряжение сети Интернет и не введённого в эксплуатацию сегмента обособленной информационной системы. __
Описав подробный сценарий действий и предположительные угрозы, он привлёк к сети РЖД внимание широкой аудитории хакеров как в России, так и из других стран. Таким образом, он спровоцировал массовые атаки на информационную систему огромной компании, от деятельности которой зависит безопасность миллионов пассажиров. С сожалением должен отметить, что массовое распространение непроверенной информации через СМИ только ухудшило ситуацию. __
__
Факт наличия выхода этой сети в Интернет – тема внутреннего расследования, которое сейчас ведётся в компании. Не исключена намеренно оставленная уязвимость. С этим будет разбираться служба безопасности РЖД. А **органы правопорядка, в свою очередь, дадут правовую оценку действиям автора этой публикации.
**
Как уже говорилось в официальных заявлениях компании, произошедший инцидент не был связан с организацией перевозочного процесса, угрозы безопасности движения поездов не было, а личные данные клиентов холдинга не пострадали.
Рабочая группа Госдумы выработает предложения по информбезопасности в финансовой сфере
Р__абочая группа Госдумы в течение двух недель должна выработать предложения по системно значимым направлениям, которые являются критически важными для обеспечения информационной безопасности в финансовой сфере и в других областях. Об этом сообщил журналистам глава комитета Госдумы по финансовому рынку Анатолий Аксаков по итогам круглого стола “О законодательных мерах обеспечения информационной безопасности в экономической сфере при использовании программного обеспечения и оборудования на объектах критической информационной инфраструктуры”.__
__
“На площадке комитета прошла дискуссия о кибербезопасности и импортозамещении российского программного продукта и российского оборудования, используемого в информационной сфере. Причем это оборудование крайне актуально для финансовых рынков, ну и, соответственно, мы посчитали необходимым, чтобы одним из регуляторов обеспечения информационной безопасности был ЦБ, а не только Федеральная служба безопасности и Министерство цифрового развития. Также договорились о том, что рабочая группа которая создана сегодня решением этого круглого стола, в течение двух недель должна выработать предложения по системно значимым объектам, системно значимым направлениям, которые являются критически важными для обеспечения информационной безопасности финансовой сфере, да и в других сферах нашей жизни”, - сказал депутат.__
__
Эта рабочая группа также будет давать рекомендации по формированию реестра российского программного обеспечения, а также выработает предложения поэтапного обеспечения импортозамещения технологий в информационной сфере, добавил он.__
__
“То есть предстоит большая работа, в ходе которой Россия в ближайшие годы - срок обозначен пока до 2024 года - должна в значительной степени стать независимой и, соответственно, обеспечивающей свою безопасность в информационной сфере”, - заключил Аксаков.__
Технологическая зависимость, или Кому мешает отечественный софт
Политолог, публицист Александр Механик рассказывает о том, как лоббисты иностранных решений в сфере критической информационной инфраструктуры пытаются сдвинуть сроки внедрения отечественных решений, но отраслевые ассоциации российского бизнеса против.
За 2020 год в 2 раза увеличилось количество субъектов КИИ, подавших Перечни ОКИИ. В 4,5 раза выросло количество ЗОКИИ в Реестре ФСТЭК. В 2018 году озвучивали 660 субъектов КИИ и 60 ЗОКИИ. За 2019 озвучили - 1800 субъектов и прогноз на 12 000 субъектов в стране и 2025 ЗОКИИ. Получается, что у нас сейчас 3600 субъектов КИИ и около 9000 ЗОКИИ? Тогда получается, что только 30 % субъектов КИИ провели категорирование за три года. А, если взять количество потенциальных субъектов КИИ не из публичных докладов ФСТЭК, а из официальных опубликованных пояснительных записок к законопроектам на https://regulation.gov.ru, в которых указывается 500 000 организаций, то статистика для ФСТЭК еще хуже - менее 1%. И это на фоне принудительного ускорения для госструктур в 2019 году.
Усиливается тенденция на занижение субъектами КИИ показателей значимости. Нулевые показатели не пройдут.
ФСТЭК более не доверяет компенсирующим (дублирующим) мерам предотвращения компьютерных инцидентов, не подверженных компьютерным атакам. (противоаварийная автоматика, предохранительные клапана и т.д.).
Вообще, это очень опасные вещи озвучены в обоснования. Надо бить во все колокола, если это действительно так. Ведь ФСТЭК коснулся темы промбезопасности только исходя из противодействия компьютерным атакам, а неисправность ПАЗ -это угроза аварии в любом момент.
Завершена разработка методических рекомендаций по применению показателей категорий значимости. В первую очередь опубликуют экономические.
Методику моделирования угроз обещают в этом году утвердить.
Признано, что в законе не установлены конкретные сроки на категорирование для коммерческих субъектов КИИ. Принуждение к категорированию будет через прокуратуру, путем выписывания представлений на устранение нарушений законодательства.
Штрафы в проекте КоАП должны заставить должностных лиц задуматься об исполнении закона. Как это увязать с последующим утверждением, что никакие штрафы в России не работают - я не знаю. Вот прямо заявляют, что размеры штрафа можно и до миллиарда довести, но ничего не изменится. А зачем тогда КоАП так пробивают?
В втором полугодии 2021 начнется проведение госконтроля за ЗОКИИ. Это вполне закономерно, под него попали “счастливчики - первопроходчики”, кто успел прокатегорироваться в 2018 году.
Прокуратурой были указаны на пробелы в полномочиях ФСТЭК по оценке защищенности ГИС. Вот и появился проект Порядка аттестации. Причем проблему ФСТЭК создал себе сам, когда изменил порядок сертификации.
Будет разработано типовое сертифицированное рабочее место для удаленного подключения к ГИС.
__ФСТЭК России ищет разработчика ресурса с уязвимостями уровня автоматизированных систем управления технологическим процессами и промышленного интернета вещей критически важных, потенциально опасных и опасных производственных объектов. Ресурс планируется создавать для информирования об уязвимостях владельцев данных объектов. Тендер на его разработку стоимостью 300 млн рублей ведомство объявило 5 февраля 2021 года. __
В 2020 году российские больницы впервые подверглись хакерским атакам
__Ресурсы российских больниц в 2020 году впервые подверглись хакерским атакам. Об этом заявил замдиректора Национального координационного центра по компьютерным инцидентам (НКЦКИ) Николай Мурашов во время выступления на форуме по информационной безопасности. Трансляция мероприятия шла на сайте форума.
По его словам, хакеры пытались внедрить в инфраструктуру медучреждений вредоносное программное обеспечение, которое пыталось зашифровать пользовательские данные.
Всего за прошлый год НКЦКИ остановил работу более 132 тыс. вредоносных ресурсов. При этом, по словам Мурашова, основные источники кибератак на российские ресурсы находятся за пределами страны — 67 тыс. зарубежных вредоносных ресурсов и 65 тыс. таких ресурсов в России заблокировал центр за год. Атаки совершались из Турции, Нидерландов и Эстонии и были направлены на органы государственной власти и предприятия промышленности.
В целом, по словам Мурашова, дистанционная работа осложнила защиту персональных данных, так как атаки стали совершаться через недостаточно защищенные центры удаленного доступа и уязвимое программное обеспечение. Специалисты НКЦКИ также регистрировали более частую блокировку доступа к программам и высылку фишинговых сообщений, чаще всего посредством фишинга похищались данные карт.
Центр кибербезопасности не первый год фиксирует, что основные источники хакерских атак на российские организации находятся за границей.__
Обеспечение технологической независимости КИИ. Результат попытки № 2.2
Вы не поверите, но Минцифры в очередной раз выложила проект Постановления Правительства РФ “О мерах по обеспечению информационной безопасности в экономической сфере при использовании программного обеспечения и оборудования на объектах критической информационной инфраструктуры”. Не просто обновленную версию проекта по поступившим замечаниям, а полностью по новой процедуре на регулейшн. Правда, содержимое не сильно изменилось.
Даты проведения общественного обсуждения: 13.01.2021- 27.01.2021
Google Analytics в мобильных приложениях как угроза нацбезопасности или почему госорганы плюют на ФСТЭК и Роскомнадзор
…__ закон, с позиции которого я бы хотел посмотреть на работу государственных мобильных приложений, - это ФЗ “О безопасности критической информационной инфраструктуры”. __
__И если в самом законе ни слова не сказано о том, где можно или нельзя хранить данные субъектов КИИ и куда могут подключаться объекты КИИ, то в приказе ФСТЭК №239, в пункте 31-м прямо говорится, что __
__“входящие в состав значимого объекта 1 и 2 категорий значимости программные и программно-аппаратные средства, осуществляющие хранение и обработку информации, должны размещаться на территории Российской Федерации (за исключением случаев, когда размещение указанных средств осуществляется в зарубежных обособленных подразделениях субъекта критической информационной инфраструктуры (филиалах, представительствах), а также случаев, установленных законодательством Российской Федерации и (или) международными договорами Российской Федерации)”. __
То есть и эта ветка отечественного законодательства по ИБ запрещает использование (правда, не для всех объектов КИИ) зарубежных трекеров.
__
Интересно, что скажут на этот счет регуляторы, призванные следить за законностью в своих сферах компетенции - ФСТЭК и Роскомнадзор? Тут, как говорил бывший вице-премьер Рогозин, “или крест сними, или трусы надень”. Или для всех одни требования (закон-то для всех один), или их надо менять. А то как-то некрасиво получается…__
Минцифры разработало требования к отечественному программному обеспечению (ПО) и оборудованию, на которые с 2023 года должны переходить объекты критической информационной инфраструктуры (КИИ). Соответствующий проект постановления Правительства размещён на федеральном портале проектов нормативных правовых актов.
С 4 по 5 февраля 2021 года в Москве пройдет 23-й Национальный форум информационной безопасности «Инфофорум-2021».
Пленарное заседание форума будет посвящено теме «Устойчивое развитие России в цифровую эпоху: преодоление рисков информационной безопасности». В рамках пленарного заседания будут обсуждаться в том числе вопросы безопасности критической информационной инфраструктуры, текущее состояние и проблемы.
Минцифры вновь представило для общественного обсуждения проект постановления Правительства Российской Федерации «Об утверждении требований к программному обеспечению, телекоммуникационному оборудованию и радиоэлектронной продукции, используемым на объектах критической информационной инфраструктуры, и порядок перехода на преимущественное использование российского программного обеспечения, телекоммуникационного оборудования и радиоэлектронной продукции».
Изменения в Правила субсидирования на создание центров ГосСОПКА
Утверждены изменения в Правила предоставления субсидий из федерального бюджета на создание отраслевого центра государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и включение его в систему автоматизированного обмена информацией об актуальных киберугрозах.
Официально опубликовано постановление Правительства Российской Федерации от 26.01.2021 № 50 «О внесении изменений в Правила предоставления субсидий из федерального бюджета на создание отраслевого центра государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и включение его в систему автоматизированного обмена информацией об актуальных киберугрозах».
Дума одобрила введение штрафов за нарушения при защите критической IT-инфраструктуры
Согласно пояснительной записке к законопроекту, “размеры предлагаемых штрафов учитывают размер средней заработной платы руководителей структурных подразделений по обеспечению информационной безопасности”.
Дума одобрила введение штрафов за нарушения при защите критической IT-инфраструктуры
Согласно пояснительной записке к законопроекту, “размеры предлагаемых штрафов учитывают размер средней заработной платы руководителей структурных подразделений по обеспечению информационной безопасности”.
Forwarded from Валерий Комаров @blog_ruporsecurite
Алексей Лукацкий собирает вопросы для ФСТЭК (Лютиков В.С.) по 187-ФЗ. “17 февраля на Магнитке замдиректора ФСТЭК Виталий Лютиков будет отвечать на самые острые вопросы профессионального сообщества. Если вам есть, что спросить регулятора, то задайте свой вопрос по ссылке https://ib-bank.ru/uralcyber/#formats, а уже на форуме вопрос будет озвучен регулятору”
ВЫПИСКА из Программы национальной стандартизации на 2021 год в части разработки национальных стандартов в рамках деятельности технического комитета по стандартизации “Защита информации” (ТК 362)
Импортозамещение информационных технологий в госкомпаниях как бег с препятствиями. Обзор TAdviser
Государственным структурам и компаниям с госучастием установлен дедлайн по переходу на отечественный софт. В соответствии с целями национальной программы «Цифровая Экономика РФ», к 2024 году доля российского ПО в госорганизациях должна превысить 70%, а в государственных компаниях - составить не менее 50%. Речь идет о разработках, включенных в Единый реестр российских программ для электронных вычислительных машин и баз данных (запущен Минкомсвязи в 2016 году). По состоянию на конец 2020 года он содержит более 7500 отечественных продуктов.
Процесс миграции до 2020 года шел несколько медленнее, чем планировалось. Его ускорению будет способствовать, в том числе, 187-ФЗ «О безопасности критической информационной инфраструктуры» - в 2024-2025 годах на отечественные решения должны перейти организации, подпадающие под его действие (в том числе, многие крупные промышленные и финансовые компании).
Комитет по государственному строительству и законодательству Государственной Думы РФ рекомендовал принять законопроект “О внесении изменений в КоАП в части установления административной ответственности за нарушение законодательства в области обеспечения безопасности КИИ” в первом чтении, есть несущественные замечания. Комитет Госдумы по ИТ и связи оказал полную поддержку** **законопроекту.
Ассоциация разработчиков и производителей электроники подготовила для Минцифры отчет о положении дел в российской электронной отрасли с точки зрения возможности импортозамещения «железа» используемого в критической информационной инфраструктуры. Ситуация в отрасли, наглядно отображенная в таблице с цветными маркерами, неоднородная; для полного изгнания зарубежных решений необходимо потратить годы и получить инвестиции в сотни миллиардов рублей.
Кто хотел решение суда об отнесении организации к субъектам КИИ на основании экспертного заключения? Вот пример подобного. В качестве эксперта - доцент с кафедры информационной безопасности Волгоградского государственного университета. Подача документов в ФСТЭК или решений комиссий организации суду не интересны.
В мае я уже писал про проекты двух примечательных по своей значимости и некомпетентности проектов нормативных актов, которые обязывают всех субъектов КИИ перевести все свои объекты КИИ на отечественное ПО и железо. И вот на днях на портале regulations.gov.ru был выложен обновленный текст проекта Постановления Правительства “Об утверждении требований к программному обеспечению, телекоммуникационному оборудованию и радиоэлектронной продукции, используемым на объектах критической информационной инфраструктуры, и порядка перехода на преимущественное использование российского программного обеспечения, телекоммуникационного оборудования и радиоэлектронной продукции”. Ранее, в ноябре был выложен обновленный проект Указа Президента. Давайте посмотрим, что там изменилось?
28 января Госдума рассмотрит в первом чтении поправки Правительства к КоАП об административной ответственности за нарушения законодательства в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации (законопроект № 1048574-7)
https://sozd.duma.gov.ru/download/3A173BBA-D628-474C-954B-7B7B95F047BB
⚡️НКЦКИ предупреждает об угрозе проведения целенаправленных компьютерных атак⚡️
В условиях постоянных обвинений в причастности к организации компьютерных атак, высказываемых в адрес Российской Федерации представителями США и их союзниками, а также звучащих с их стороны угроз проведения «ответных» атак на объекты критической информационной инфраструктуры Российской Федерации, Национальный координационный центр по компьютерным инцидентам (НКЦКИ) рекомендует принять следующие меры по повышению защищённости информационных ресурсов.
Приведите в актуальное состояние имеющиеся в организации планы, инструкции и руководства по реагированию на компьютерные инциденты.
Проинформируйте сотрудников о возможных фишинговых атаках с использованием методов социальной инженерии.
Проведите аудит сетевых средств защиты информации и антивирусных средств, убедитесь в их корректной настройке и функционировании на всех значимых узлах сети.
Избегайте использования сторонних DNS-серверов.
Используйте многофакторную аутентификацию для удаленного доступа в сеть организации.
Определите перечень доверенного программного обеспечения для доступа в сеть организации и ограничьте использование не входящих в него средств.
Удостоверьтесь в корректном журналировании сетевых и системных событий на важных элементах информационной инфраструктуры, организуйте их сбор и централизованное хранение.
Удостоверьтесь в наличии и корректной периодичности создания резервных копий данных для важных элементов информационной инфраструктуры.
Удостоверьтесь в корректности имеющихся политик разграничения прав доступа для устройств в сети.
Ограничьте доступ к сервисам во внутренней сети средствами межсетевого экранирования, при необходимости предоставления общего доступа к ним организуйте его через демилитаризованную зону.
Для работы с внешними ресурсами, в том числе в сети Интернет, используйте терминальный доступ через внутренний сервис организации.
Обновите пароли всех пользователей в соответствии с парольной политикой.
Обеспечьте анализ входящей и исходящей электронной почты средствами антивирусной защиты.
Осуществляйте мониторинг безопасности систем с повышенной бдительностью.
Следите за наличием необходимых обновлений безопасности для Вашего программного обеспечения.
⚡️НКЦКИ предупреждает об угрозе проведения целенаправленных компьютерных атак⚡️
В условиях постоянных обвинений в причастности к организации компьютерных атак, высказываемых в адрес Российской Федерации представителями США и их союзниками, а также звучащих с их стороны угроз проведения «ответных» атак на объекты критической информационной инфраструктуры Российской Федерации, Национальный координационный центр по компьютерным инцидентам (НКЦКИ) рекомендует принять следующие меры по повышению защищённости информационных ресурсов.
Приведите в актуальное состояние имеющиеся в организации планы, инструкции и руководства по реагированию на компьютерные инциденты.
Проинформируйте сотрудников о возможных фишинговых атаках с использованием методов социальной инженерии.
Проведите аудит сетевых средств защиты информации и антивирусных средств, убедитесь в их корректной настройке и функционировании на всех значимых узлах сети.
Избегайте использования сторонних DNS-серверов.
Используйте многофакторную аутентификацию для удаленного доступа в сеть организации.
Определите перечень доверенного программного обеспечения для доступа в сеть организации и ограничьте использование не входящих в него средств.
Удостоверьтесь в корректном журналировании сетевых и системных событий на важных элементах информационной инфраструктуры, организуйте их сбор и централизованное хранение.
Удостоверьтесь в наличии и корректной периодичности создания резервных копий данных для важных элементов информационной инфраструктуры.
Удостоверьтесь в корректности имеющихся политик разграничения прав доступа для устройств в сети.
Ограничьте доступ к сервисам во внутренней сети средствами межсетевого экранирования, при необходимости предоставления общего доступа к ним организуйте его через демилитаризованную зону.
Для работы с внешними ресурсами, в том числе в сети Интернет, используйте терминальный доступ через внутренний сервис организации.
Обновите пароли всех пользователей в соответствии с парольной политикой.
Обеспечьте анализ входящей и исходящей электронной почты средствами антивирусной защиты.
Осуществляйте мониторинг безопасности систем с повышенной бдительностью.
Следите за наличием необходимых обновлений безопасности для Вашего программного обеспечения.
Вакансия в ЛУКОЙЛ-Ухтанефтепереработка:
Специалист по обеспечению безопасности объектов КИИ
Зарплата**:** от 50 000 руб. до 75 000 руб.https://joblib.ru/view/3730726.html
Из 16 (без учёта повторных после апелляций) уголовных дел, возбуждённых по статье 274.1 (неправомерное воздействие на КИИ), по состоянию на сегодня только 4 были прекращены, по 10 вынесены обвинительные приговоры и ещё по двум решение публично пока недоступно. https://zlonov.com/kii/criminal_cases
Из 16 (без учёта повторных после апелляций) уголовных дел, возбуждённых по статье 274.1 (неправомерное воздействие на КИИ), по состоянию на сегодня только 4 были прекращены, по 10 вынесены обвинительные приговоры и ещё по двум решение публично пока недоступно. https://zlonov.com/kii/criminal_cases
