Трансформация ИБ: от навесной к встроенной

Защита объектов критической инфраструктуры сегодня находится в числе приоритетных государственных задач. О том, как обеспечить полноценную защиту, имея зачастую ограниченные человеческие и финансовые ресурсы, говорили участники секции «Кибербезопасность: от концепции к реальности».

Острые вопросы превратили классическое мероприятие в полноценный диалог между руководителями региональных министерств и федеральными регуляторами, выявив главные болевые точки и узкие места в государственной ИБ. В прошлом номере IT Manager мы рассказали об ожиданиях госзаказчиков, применении Bug Bounty в отрасли, проблемах с «Гостехом». Сегодня познакомим наших читателей с другими темами дискуссии.

И снова про 250-й

С момента выхода Указа Президента России от 1 мая 2022 г. № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» прошло полгода. Можно ли уже подвести промежуточные итоги?

По мнению Владимира Бенгина (Минцифры), главное, что изменилось отношение к ИБ, — указ коснулся тех, кто раньше всеми возможными способами смог обойти те или иные требования регулятора. А это крупные системообразующие организации. Еженедельно министерство отправляет около ста запросов по исполнению указа и получает обстоятельные ответы, например на основании какого приказа назначен тот или иной руководитель ИБ на объекте КИИ.

«Основная польза указа в привлечении высшего руководства государственных органов и организаций к вопросам информационной безопасности», — говорит Владимир Бенгин.

А что думают чиновники, работающие «в поле»? Помогает ли региональным министрам 250-й указ решать вопросы с популяризацией ИБ?

С одной стороны, да. Внимание к теме значительно выросло. Но основная проблема регионов — в отсутствии средств и специалистов для дополнительной работы. ИТ-руководители жалуются, что люди в органах власти и так перегружены, новых сотрудников не нанять, а деньги на это федеральным бюджетом не выделяются.

По словам Ярослава Ракова (Правительство Тульской области), очевидно, что если есть подписанный президентом документ, то уровень интереса к теме повышается. В то же время в документе есть множество требований, но ни слова о субсидиях. Минцифры выделяет деньги только на глобальные федеральные проекты, такие как Интернет в школы или связь для сел. Хотя другие министерства России дотируют проекты в регионах.

Михаил Шляпников (Правительство Оренбургской области), отмечает, что указ спровоцировал интересный сдвиг в работе по выявлению органами власти субъектов КИИ. «Как госслужащему, мне это, конечно, добавило работы, но, с другой стороны, организации наконец-то начнут заниматься ИБ», — резюмирует Михаил.

В Удмуртии закупки ИБ-решений находятся в списке приоритетных, и Минфин Республики акцептует выделение на них средств. Но есть и вопросы по реализации указа. «Например, у нас есть министерство промышленности и организовать них дополнительную структуру, отвечающую за ИБ, достаточно сложно. Мы долгое время с коллегами из других регионов шли к централизованной модели, а сейчас нужно создавать отдельное подразделение. Если в федеральных министерствах работает много народу, то региональные органы исполнительной власти небольшие и выделять отдельную структуру, учить людей — это проблема. Для того чтобы отраслевым министерствам правильно организовать защиту информации, нужны рекомендации Минцифры, как это сделать на уровне региона», — поясняет Тимур Меджитов (Министерство информатизации и связи Удмуртской Республики).

С одной стороны, указ обратил внимание руководителей госорганов на инфобез, с другой — любая система ИБ строится при наличии сил и средств. «Про средства уже было сказано, что касается сил — отдельный вопрос. Так, выделить в ведомстве, состоящем из семи человек, специального сотрудника, отвечающего за ИБ, крайне сложно, — комментирует Наталья Никольская (Администрация Главы Республики Карелия), — кроме того, в дотационных регионах численность госслужащих строго ограничена Минфином России. Причем оптимизация в органах власти и так уже максимальная, люди перегружены профессиональными задачами. Поэтому нам важна поддержка со стороны федералов в решении вопросов с Минфином».

Минцифры в курсе этих проблем. «Мы активно собираем обратную связь от регионов. Но в действительности они все очень разные. Где-то много ресурсов, где-то совсем их нет. Разная степень иерархии и централизации. Мы планируем выработать определенные методические сценарии, как реализовать на практике положения указа, — говорит Владимир Бенгин. — С субсидиями для регионов по ИБ действительно ситуация сложная. Мы этот вопрос каждый год поднимаем на федеральном уровне, но пока средства не выделены. По результатам, полученным из обратной связи, будем снова обращаться в Минфин за выделением дополнительных ресурсов. Я считаю, что чем чаще мы вместе поднимаем этот вопрос, тем больше документов, которые мы отправляем в Минфин, и тем больше обоснований для выделения средств».

Трансформация ИБ: от навесной к встроенной. Рис. 1

Заместитель директора ФСТЭК России Виталий Лютиков, считает, что с точки зрения нормативных требований федерального и регионального уровня почти ничего не поменялось. Потому что в регулируемой сфере нормативных актов остались те же требования, что и раньше. Конечно, 250-й указ, подписанный президентом, придал новый импульс, он попал в русло происходящих сегодня событий. И внимание к нему руководителей всех уровней повышено. С другой стороны, немаловажный вопрос: кто назначается замом по ИБ? «Можно сделать зама по ИБ и ИТ в одном лице, и в 90% это ударит по ИБ. Потому что всегда при принятии решения — ИТ или ИБ — выбирают первое: ИТ считаются прогрессом, а ИБ тормозом. К сожалению, и специалисты по кибербезопасности не всегда могут объяснить, почему то или иное ИТ-решение внедрять нельзя, что усугубляет проблему», — говорит замглавы ФСТЭК.

Горячая замена

С началом СВО иностранные поставщики оборудования и программного обеспечения прекратили поддержку и остановили обновления для России. В некоторых случаях аппаратные комплексы просто «окирпичились». Как в этой ситуации работали государственные органы?

По словам Павла Ципорина (Правительство Ханты-Мансийского автономного округа — Югры), их ведомство сыграло на опережение, уже 24–25 февраля остановив все обновления для ИОГВ в регионе. Это, возможно, сохранило работоспособность систем. Сегодня все критичные обновления идут только через тестовый стенд, чтобы избежать закладок.

Не секрет, что замещение иностранных производителей происходит в том числе и за счет решений open source. Но согласно требованиям ФСТЭК и ФСБ, у средства защиты или средства обнаружения, предотвращения и ликвидации последствий компьютерных атак должна быть действующая техническая поддержка. Как выполнить это требования для решений open source?

Руководители министерств считают, что open source несет риски для ИБ, и его надо очень аккуратно использовать тем, кто попадает под действие 250-го указа. Хотя и у коммерческого продукта может быть много open source-библиотек, поддерживаемых третьей стороной.

Проблемы законодательства

В Еврейской автономной области руководителя отдела защиты информации УФНС обвинили в нарушении тайны переписки за чтение ведомственного мессенджера. Что об этом думают руководители министерств и ведомств? Примеряют ли ситуацию на себя?

Оксана Новослугина (СПб ИАЦ) считает, что любые риски надо рассматривать. Но в данном случае — это проблема внедрения DLP-системы. До сих пор применение DLP-систем на рабочих местах до конца не урегулировано. «С точки зрения УК — это нарушение тайны переписки. И по общему правилу это касается тайны именно личной переписки. Насколько мы можем использовать рабочее место для личной переписки — вопрос открытый. В первую очередь это необходимо урегулировать внутри организации», — говорит Оксана. Так, нужно определиться, какое ПО можно устанавливать на рабочее место и в каких целях использовать. Вопрос в грамотной политике как организации, так и соответствующих норм законодательства.

Сергей Кирюшин (МИД России) уверен, что мониторинг действий пользователя необходим: «Мы контролируем, чтобы в открытом доступе не было документов, имеющих признаки конфиденциальности».

Утечки данных

Поправки в ФЗ-152 об обязательном уведомлении об утечках ПДн для любого оператора персональных данных подразумевает, что шесть миллионов организаций и индивидуальных предпринимателей должны будут уведомлять об инцидентах ГосСОПКУ. Как лучше всего реализовать данную задачу в условиях нехватки ресурсов у небольших организаций? Отправленные в НКЦКИ уведомления часто остаются без ответа. И нужно ли уведомлять обо всем?

Владимир Бенгин (Минцифры) говорит, что сегодня в России, помимо НКЦКИ, работает много коммерческих центров ГосСОПКИ, есть структуры, через которые можно отправить эти уведомления. «Но сначала нужно ответить на вопрос, какого объема утечки и для каких граждан можно считать несущественными, чтобы не уведомлять. Уверен, что никакие, поскольку любая утечка — это инцидент, связанный с правами граждан РФ. Действительно, с утечками сейчас в стране большая проблема. И наверное, самая сложная по сравнению с другими угрозами», -— комментирует Владимир.

Не секрет, что раньше ИБ во многих организациях строилась по дискретному принципу — от аттестации до аттестации. Сейчас и ФСТЭК, и ФСБ требуют непрерывного мониторинга инцидентов и уязвимостей. Как меняется структура служб ИБ в таких условиях? На взгляд модератора секции Рустэма Хайретдинова, единственный правильный путь — объединять и требования, и безопасность. Кто-то отключает привычные сервисы, работающие на иностранных платформах, кто-то блокирует удаленный доступ. Вообще все вопросы легко решаются, когда предлагаешь взять на себя ответственность за утечки. Потому что сегодня для госсектора вопросы ИБ являются критичными.

Быть ли конкуренции на рынке ИБ?

Уход вендоров из недружественных стран — это благо для отечественных вендоров или зло? С одной стороны, благодаря уходу рынок увеличился на 80 млрд рублей в год. Это была доля иностранных производителей средств защиты информации. Но не приведет ли отсутствие конкуренции к застою в развитии?

Российские вендоры считают это благом, ведь заказчики стали больше рассматривать отечественные продукты, чаще ими пользоваться, лучше в них разбираться и понимать, что наши решения не хуже западных, а зачастую и лучше. При этом ушедшие компании приучили потребителей предъявлять к сервису высокие требования.

И эти требования сейчас заказчики диктуют рынку, заставляя российских производителей соответствовать им. Помимо традиционных конкурентов среди ИТ-компаний, многие занимают освободившиеся ниши, тем самым увеличивая конкуренцию. С одной стороны, это хорошо, но с другой — все стали заниматься всем. Так, на рынке несколько компаний сейчас начали делать PAM (Privileged Account Management) — системы контроля привилегированных пользователей. Часто в новые ниши приходят те, кто не имеет навыков для реализации полноценных продуктов. Но нужно ли расцветать всем цветам, чтобы потом остались три флагмана?

Владимир Бенгин считает, что сейчас на нашем рынке в одном классе решений по ИБ не нужны 15–20 игроков. Но, с другой стороны, когда все начинается, как, например, с НГФВ, спрогнозировать успех сложно. И никто не знает, какой из вариантов окажется предпочтительным в будущем, поэтому на старте не стоит ограничивать эти инициативы. «Мы пытаемся максимально сжать временные рамки: сделать решение не в течение 10 лет, а за два-три года. Вначале дать зеленый свет всем, получить от них планы, что они будут делать, в какой срок и каких результатов хотят добиться, а потом рыночными инструментами исключать тех, кто заявил о своих планах, но выполняет их. С другой стороны, мы создаем конкуренцию. Так, с 1 января 2025 года надо заместить все иностранные решения вне зависимости, есть или нет у них российские аналоги. При этом мы призываем производителей не пытаться полностью копировать функционал иностранных продуктов, чтобы заменить без потери качества, нужно идти от поставленных задач, конкретных проблем сегодняшнего дня в области ИБ. Конкурировать нужно со здравым смыслом. Иначе мы получим «недопродукты», — говорит Владимир.

В то же время в стране давно используются и неплохо развиты НГФВ-решения. У кого-то есть прокси, у кого-то сетевой анализатор. Но существует проблема массовости и масштабируемости, когда у нас имеется семь ключевых ГИС и восемь ключевых госкомпаний, а тысячи и сотни тысяч инфраструктур нужно закрыть с помощью НГФВ. Поэтому необходимо делать «коробочные» продукты, которые полностью решают ту или иную проблему.

Кадры и кадры

Вопросам нехватки ИТ- и ИБ-специалистов столько же лет, сколько самому рынку ИТ и ИБ. И вот сейчас согласно Указу № 250 на всех объектах КИИ должны быть заместители генеральных директоров по ИБ. Что делать?

«Мы постоянно говорим, что кадров не хватает, но ситуация не меняется. Этим указом мы надеемся спровоцировать конкуренцию и предложение на рынке образования в ИБ, в том числе коммерческого, увеличивая спрос на специалистов. Кстати, многие руководители хотят учиться не для галочки, так как сегодня именно они несут ответственность за безопасность. Сейчас все профильные ИБ-компании активно обсуждают обучение. И конечно, должно быть больше его вариантов», — считает Владимир Бенгин.

Крупные производители софта и «железа» давно сотрудничают с вузами, организовывают кафедры, готовят технарей-специалистов. «Но когда бизнесу ИБ неинтересна, то даже если появится еще пять инженеров, компания не станет защищеннее. Когда релизы публикуются в паблике без согласования ИБ, когда разработчики не думают об уязвимостях, когда айтишники строят инфраструктуру как удобно, а не как безопасно, а подрядчиков подключают напрямую в ядро сети, сколько бы безопасников в компании ни было, лучше не станет. Поэтому в компании нужен отдельный руководитель, отвечающий за ИБ», — уверен Владимир Дрюков («Ростелеком-Солар»).

Журнал IT Manager

Опубликовано 09.01.2023

Информационная безопасность Импортозамещение Кадры Законы для ит-рынка Санкции Утечки данных

Предыдущая
Какими бывают инциденты по 152-ФЗ и GDPR и как действовать

Следующая
Культура информационной безопасности

Новостная лента

Главное за неделю

Нажимая на кнопку, я принимаю условия соглашения.

Соглашение об использовании сайта

Внимательно прочитайте настоящее Соглашение, прежде чем начать пользоваться Сайтом. Вы обязаны соблюдать условия настоящего Соглашения, заходя на Сайт и используя сервисы, предлагаемые на Сайте. В случае, если Вы не согласны с условиями Соглашения, Вы не можете пользоваться Сайтом или использовать любые сервисы, предлагаемые на Сайте, а также посещать страницы, размещенные в доменной зоне Сайта. Начало использования Сайта означает надлежащее заключение настоящего Соглашения и Ваше полное согласие со всеми его условиями.

1. Термины и определения

1.1. Компания - Общество с ограниченной ответственностью «ИТ Медиа» (ООО «ИТ Медиа»).

1.2. Пользователь - лицо, получающее доступ к сервисам и информации, размещенным на Сайте.

1.3. Сайт – веб-сайт Компании, размещенный в сети Интернет по адресу https://www.it-world.ru.

1.4. Соглашение - настоящее Соглашение между Пользователем и Компанией, устанавливающее правила использования Сайта, включая графические изображения, элементы дизайна и средства индивидуализации, текстовую информацию и документацию, программы для ЭВМ и файлы для скачивания, любые иные произведения, объекты и материалы Сайта, а также условия и правила размещения Пользователем информации и материалов в соответствующих открытых разделах Сайта.

2. Общие положения и условия

2.1. Любые материалы, файлы и сервисы, содержащиеся на Сайте, не могут быть воспроизведены в какой-либо форме, каким-либо способом, полностью или частично без предварительного письменного разрешения Компании, за исключением случаев, указанных в настоящем Соглашении. При воспроизведении Пользователем материалов Сайта ссылка на Сайт обязательна, при этом текст указанной ссылки не должен содержать ложную, вводящую в заблуждение, уничижительную или оскорбительную информацию. Перевод, переработка (модификация), любое изменение материалов Сайта, а также любые иные действия, в том числе удаление, изменение малозаметной информации и сведений об авторских правах и правообладателях, не допускается.

2.2. Действующая редакция настоящего Соглашения размещена в сети Интернет на Сайте по адресу: https://www.it-world.ru/about/agreement.php. Компания вправе в любое время в одностороннем порядке изменять условия настоящего Соглашения. Такие изменения вступают в силу по истечении 2 (двух) дней с момента размещения новой версии Соглашения в сети Интернет на Сайте. При несогласии Пользователя с внесенными изменениями он обязан удалить все имеющиеся у него материалы Сайта, после чего прекратить использование материалов и сервисов Сайта. Ваше регулярное посещение данного Сайта считается вашим убедительным принятием измененного соглашения, поэтому Вы обязаны регулярно просматривать настоящее Соглашение и дополнительные условия или уведомления, размещенные на Сайте.

3. Обязательства Пользователя

3.1. Пользователь обязуется не предпринимать действий, которые могут рассматриваться как нарушающие российское законодательство или нормы международного права, в том числе в сфере интеллектуальной собственности, авторских и/или смежных правах, а также любых действий, которые приводят или могут привести к нарушению нормальной работы Сайта и сервисов Сайта.

3.2. Любые средства индивидуализации, в том числе товарные знаки и знаки обслуживания, а равно логотипы и эмблемы, содержащиеся на страницах Сайта, являются интеллектуальной собственностью их правообладателей. Пользователю Сайта запрещено воспроизводить или иным способом использовать указанные средства индивидуализации и/или их элементы без предварительного письменного разрешения соответствующих правообладателей.

3.3. Компания стремится обеспечить, однако не контролирует и не гарантирует конфиденциальность и охрану любой информации, размещенной на Сайте или полученной с Сайта. Компания принимает разумные меры в целях недопущения несанкционированного разглашения размещенной Пользователем на Сайте информации третьим лицам, однако не несет ответственность в случае, если такое разглашение было допущено. В этой связи, передача информации на Сайт означает согласие Пользователя на любое воспроизведение, распространение, раскрытие и иное использование такой информации. Размещая информацию и материалы, включая, фотографии и изображения, Пользователь также гарантирует, что обладает всеми правами и полномочиями, необходимыми для этого, с учетом условий настоящего Соглашения и что такое размещение не нарушает охраняемые законом права и интересы третьих лиц, международные договоры и действующее законодательство Российской Федерации.

3.4. Пользователь самостоятельно несет ответственность за любую информацию и материалы, размещенные им на Сайте. Компания не инициирует размещение указанной информации, не выбирает получателей информации, не влияет на содержание и целостность размещаемой информации, а также в момент размещения Пользователем информации на Сайте не знает и не может знать, нарушает ли такое размещение действующее законодательство Российской Федерации, однако Компания вправе отслеживать, просматривать и/или удалять любую информацию и материалы, размещенные Пользователем на Сайте. При размещении любой информации и материалов Пользователь не становится соавтором Сайта и отказывается от каких-либо претензий на такое авторство в будущем. Компания не выплачивает Пользователю авторского или любого иного вознаграждения, как в период, так и по истечении срока действия настоящего Соглашения.

3.5. В случае предъявления третьими лицами претензий Компании, связанных с нарушением Пользователем условий настоящего Соглашения, а равно с размещенной Пользователем информацией на Сайте, указанный Пользователь обязуется самостоятельно урегулировать такие претензии, а также возместить Компании все понесенные убытки и потери, включая возмещение штрафов, судебных расходов, издержек и компенсаций.

3.6. Компания не несет ответственности за посещение Пользователем, а также любое использование им внешних ресурсов (сайтов третьих лиц), ссылки на которые могут содержаться на Сайте. Компания не несет ответственности за точность, надежность, достоверность и безопасность любой информации, материалов, рекомендаций и сервисов, размещенных на внешних ресурсах. Использование внешних ресурсов осуществляется Пользователем добровольно, исключительно по собственному усмотрению и на свой риск.

3.7. Компания стремится к обеспечению достоверности информации, размещенной на Сайте, однако не несет ответственности за любые неточности и/или недостоверность информации, а равно сбои в работе предоставляемых через Сайт сервисов. Пользователь согласен с тем, что Компания не несет ответственность и не имеет прямых или косвенных обязательств перед Пользователем в связи с любыми возможными или возникшими потерями, или убытками, связанными с любым содержанием Сайта, интеллектуальной собственностью, товарами или услугами, доступными на нем или полученными через внешние сайты или ресурсы либо иные ожидания Пользователя, которые возникли в связи с использованием размещенной на Сайте информации или ссылки на внешние ресурсы. Ни при каких условиях, включая, но не ограничиваясь невнимательностью или небрежностью Пользователя, Компания не несет ответственности за любой ущерб (прямой или косвенный, случайный или закономерный), включая, но не ограничиваясь потерей данных или прибылей, связанной с использованием или невозможностью использования Сайта, информации, файлов или материалов на нем, даже если Компания или ее представители были предупреждены о возможности такой потери. В случае, если использование Сайта приведёт к необходимости дополнительного обслуживания, исправления или ремонта любого оборудования, а равно восстановления данных, все связанные с этим затраты оплачиваются Пользователем самостоятельно.

3.8. Вся представленная на Сайте информация предоставляется «как есть», без каких-либо гарантий, явных или подразумеваемых. Компания полностью, в той мере, в какой это разрешено законом, отказывается от какой-либо ответственности, явной или подразумеваемой, включая, но не ограничиваясь неявными гарантиями пригодности к использованию, а также гарантиями законности любой информации, продукта или услуги, полученной или приобретенной с помощью этого Сайта.

3.9. Пользователь согласен, что все материалы и сервисы Сайта или любая их часть могут сопровождаться рекламой. Пользователь согласен с тем, что Компания не несет какой-либо ответственности и не имеет каких-либо обязательств в связи с такой рекламой.

4. Условия обработки и использования персональных данных. Принимая условия настоящего Соглашения Пользователь выражает свое согласие на:

4.1. Предоставление своих персональных данных, включающих имя, номера контактных телефонов; адреса электронной почты; место работы и занимаемая должность; пользовательские данные (сведения о местоположении; тип и версия ОС; тип и версия Браузера; тип устройства и разрешение его экрана; источник откуда пришел на сайт пользователь; с какого сайта или по какой рекламе; язык ОС и Браузера; какие страницы открывает и на какие кнопки нажимает пользователь; ip-адрес) своей волей и в своем интересе.

4.2. Цель обработки персональных данных:

предоставление Пользователю услуг Сайта;
направление уведомлений, касающихся услуг Сайта;
подготовка и направление ответов на запросы Пользователя;
выполнение регулярной информационной рассылки;
направление информации о продуктах и услугах Компании, а также рекламно-информационных сообщений, касающихся продукции и услуг Компании и ее партнеров.

4.3. Перечень действий с персональными данными, на которые Пользователь выражает свое согласие:

сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, передача третьим лицам для указанных выше целей, а также осуществление любых иных действий, предусмотренных действующим законодательством РФ как неавтоматизированными, так и автоматизированными способами.

4.4. Компания обязуется принимать все необходимые меры для защиты персональных данных Пользователя от неправомерного доступа или раскрытия.

4.5. Настоящее согласие действует до момента его отзыва Пользователем путем направления соответствующего уведомления заказным письмо с уведомлением на адрес Компании.

5. Прочие положения

5.1. Использование материалов и сервисов Сайта, а равно размещение на нем материалов Пользователя, регулируется нормами действующего законодательства Российской Федерации. Все возможные споры, вытекающие из настоящего Соглашения или связанные с ним, подлежат разрешению в соответствии с действующим законодательством Российской Федерации по месту нахождения Компании.

5.2. Признание судом какого-либо положения Соглашения недействительным или не подлежащим принудительному исполнению не влечет недействительности иных положений Соглашения.

5.4. Бездействие со стороны Компании в случае нарушения кем-либо из Пользователей положений Соглашения не лишает Компанию права предпринять соответствующие действия в защиту своих интересов и защиту авторских прав на охраняемые в соответствии с законодательством материалы Сайта позднее.

Пользователь подтверждает, что ознакомлен со всеми пунктами настоящего Соглашения и безоговорочно принимает их.

По всем вопросам, связанным с нарушением авторских прав Компании, незаконного использования материалов Сайта или размещением ложной, вводящей в заблуждение информации о Компании, просим обращаться по  следующим контактным данным:

ООО «ИТ Медиа» ИНН 7802426999, КПП 781301001,
Санкт-Петербург, ул Большая монетная, 16 / К. 30 литера А, пом. 14-Н №30