Как частные компании должны обеспечивать государственную кибербезопасность

Тема в разделе "Информационная безопасность.", создана пользователем root, 10 ноя 2019.

  1. root

    root Тех. Поддержка. Команда форума Действительный члены НП "МОД"

    Сообщения:
    236
    Симпатии:
    144
    Баллы:
    43
    Сохрани и поделись: как частные компании должны обеспечивать государственную кибербезопасность
    Спецпроект

    В 2018 году вступил в силу Федеральный закон 187 о безопасности критической информационной инфраструктуры. Его задача выявлять потенциально уязвимые места, предотвращать кибератаки, расследовать их и устранять последствия на стратегически важных (значимых) объектах. Тогда же в структуре ФСБ России был создан оператор программы государственной кибербезопасности.

    При этом касается закон не только государственных учреждений, объектов или госкомпаний, но и частного бизнеса. Государство не берет на себя обязанность защитить от кибератак, а лишь будет контролировать и управлять. Сама работа по борьбе с киберпреступностью лежит на компаниях и предприятиях — неважно, частные они или государственные. У частных компаний и компаний госсобственности есть еще год для того, чтобы привести свою систему кибербезопасности в соответствие с требованиями закона и начать отчитываться. Однако еще далеко не все предприниматели в принципе знают, что попадают под действие 187-ФЗ.

    Вместе с нашим партнером — «Лабораторией Касперского» — мы рассказываем, почему стратегическая кибербезопасность страны коснется почти всех компаний и даже ИП, а также дадим инструкцию, как безопасно и без лишних затрат встроиться в эту систему.

    [​IMG]
    Что такое ГосСОПКА?
    Это Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак. Официально проблемой кибербезопасности в России озадачились только в 2013 году, а в 2014-м начали тестировать ГосСОПКА. Это вынужденные шаги, потому что киберпреступность в России растет давно кратными темпами, а международные киберскандалы сгущают краски. Один из последних — эпидемия трояна WannaCry (программы — вымогателя денег), которая началась в мае 2017 года. За короткое время заражены оказались более 500 тыс. пользователей по всему миру, львиная доля которых в России.

    Киберпреступность в России
    346 000
    новых вирусов фиксируется ежедневно (данные Лаборатории Касперского)

    в 2 раза
    увеличилась доля киберпреступлений в России в общем объеме зарегистрированных преступлений в 2018 году с 2017 по 2018 год

    20%
    киберпреступлений расследуется

    в 10 раз
    увеличилось число киберпреступлений с 2013 по 2016 год

    В России в основном атакам подвергаются банки
    1–2 банка
    успешно атакуют каждый месяц в России

    ₽ 140 млн
    средний ущерб от одной атаки

    ₽ 2,9 млрд
    составляет ежегодный ущерб

    Источники: ФИНЦерт, Генпрокуратура

    Какие компании подпадают под действие закона
    Закон охраняет IT-инфраструктуру (информационные системы, сети, автоматизированные системы управления) в 14 сферах, важных для жизни государства, например, обороны, здравоохранения, транспорта и т.п. Цель — защитить от хакеров не только госорганы, но и юридические лица, принадлежащие государству или частному бизнесу, а также ИП, если они владеют или работают с этими важными IT-ресурсами. Эти ресурсы называются — объекты КИИ (критической информационной инфраструктуры). Сбоев не должны давать ни система воздушной обороны страны, ни электростанция, ни банк, ни компания-подрядчик, которая кого-то из них обслуживает. Поэтому под действие закона о кибербезопасности подпадает широкий перечень субъектов разного характера.

    14 отраслей, на компании в которых распространяется действие ФЗ-187
    • Здравоохранение
    • Наука
    • Транспорт
    • Связь
    • Энергетика
    • Банковская сфера
    • Сферы финансового рынка
    • Топливно-энергетический комплекс
    • Атомная энергетика
    • Оборонная промышленность
    • Ракетно-космическая промышленность
    • Горнодобывающая промышленность
    • Металлургическая промышленность
    • Химическая промышленность
    [​IMG]
    Что делать, если вы подпадаете под действие закона
    Компания сама должна проанализировать, насколько ее работа важна для отрасли, и определить, сбои каких именно IT-ресурсов будут критичны. Определив масштабы потенциальных угроз, следующий шаг – распределить более и менее значимые из них по категориям объектов КИИ от первой до третьей в порядке убывания. Решает это комиссия внутри компании, и утверждает потом ФСТЭК России (Федеральная служба по техническому и экспортному контролю – структура, созданная давно для противодействия иностранным техническим разведкам). В комиссию можно привлекать экспертов со стороны или обойтись своими силами. Позаботиться об информационной безопасности — обязанность компании. Формально подойти не получится. Закон предусматривает определенные требования к этому вопросу, и просто возложить дополнительные обязанности на обычного сисадмина нельзя. Нужно также подключиться к ГосСОПКА. Расходы на аудит, консалтинг и прочее компания определяет самостоятельно.

    Дорожная карта действий компаний
    [​IMG]
    Кто контролирует и за что наказывают
    Компания подключается к системе ГосСОПКА, которую контролирует ФСБ России. Она следит за устранением кибератак и их последствиями.

    В компании создается корпоративный филиал ГосСОПКА, который первым фиксирует угрозу и предлагает варианты противодействий. Информация должна уходить в головную структуру, но не автоматически, а по решению сотрудников на местах. Если сотрудники компании ошибочно решат, что ничего страшного не произошло и передавать информацию нет смысла, то может последовать дисциплинарная или уголовная ответственность — до десяти лет лишения свободы.

    Даже если IT-ресурсы самой компании не пострадали, через ее системы вредоносная программа может заразить контрагентов. Например, через сервис червь проберется в банк. В штатном режиме работу системы кибербезопасности компании через три года проверяет ФСТЭК. После киберинцидента могут нагрянуть с проверкой внепланово.

    Взаимодействие органов и субъектов
    [​IMG]
    В случаях, касающихся сетей электросвязи и банковской сферы, разрабатываемые ФСТЭК и ФСБ требования должны согласовываться с Минкомсвязью и ЦБ.

    [​IMG]
    Кто может помочь
    Для компаний, которым необходимо подключаться к ГосСОПКА, есть несколько вариантов соответствовать требованиям закона о кибербезопасности: разрабатывать свои программные решения, покупать готовые или отдать этот вопрос полностью на аутсорсинг. Первый и третий варианты не подходят для небольших и небогатых компаний и тех, кто не является экспертом в этой области. Лучше воспользоваться готовыми программными продуктами, но с сертификацией ФСТЭК. Это ПО автоматически собирает информацию об угрозе, а специалист по IT-безопасности уже решает: реальна ли она и что делать? В принципе таких специалистов тоже можно привлекать удаленно, а не держать внутри компании. В любом случае придется потратиться, особенно если раньше эти вопросы не были в приоритете.

    Как выбрать программные решения по IT-безопасности
    * Покупай сертифицированное

    Отдавай предпочтение сертифицированным ФСТЭК продуктам. Это значительно упростит жизнь при проверках

    * Покупай у лидера рынка


    Чем дольше компания работает на рынке, тем больше у нее предложений для защиты от максимального количества угроз

    *Покупай продвинутое

    Чем лучше программа, тем больше процессов по сбору и анализу информации она автоматизирует, тем меньше «ручного труда» в случае атаки, а также легче устанавливать.

    Иван Александров, Роман Иванов

    Источник
     

Поделиться этой страницей

Яндекс.Метрика
  1. Этот сайт использует файлы cookie, чтобы персонализировать контент и сохранить вход в систему, если Вы зарегистрируетесь.
    Продолжая использовать этот сайт, Вы соглашаетесь на использование файлов cookie.
    Скрыть объявление