2022-8-23 16:15 |
Рассказываем, как Минцифры предлагает защищать информацию в органах власти.
Минцифры объявило о создании списка угроз информационной безопасности органов госвласти и других структур. Это связано с тем, что проверка информационных систем компаний показала наличие уязвимостей и высокие риски взлома. Что за реестр планирует создать ведомство, какая информация в него попадет и кто ее будет собирать, — в материале aif.ru.Что за инициатива? В планах ведомства — создать список угроз, которые могут навредить информационной безопасности организации. Информация реестра должна помочь руководству компаний усовершенствовать работу в IT-сфере и снизить риски взлома информационных систем, утечек информации и незаконного использования корпоративных данных. В чем суть инициативы? Ведущий инженер ПАО «ВымпелКом» Виктор Козлов пояснил aif.ru, что ни раньше, ни сейчас нигде не было полного списка возможных киберугроз и их возможных последствий. Возможно, Минцифры хочет сделать некий каталог уже существующих угроз и описать, к чему может привести та или иная ошибка в информационной безопасности организации.«Думаю, записи в реестре могут иметь такой вид: "Злоумышленник получил доступ к учетным данным официальной страницы компании Вконтакте — получил возможность публиковать и рассылать от лица компании любую, в т. ч. порочащую честь компании информацию — репутационные риски”. В итоге должен получиться каталог, состоящий из пунктов "причина — следствие”, который в дальнейшем планируют своевременно пополнять и следить за его актуальностью, также убирая вовремя старые статьи. Далее с этим каталогом будут знакомить руководителей организаций, которые по роду своей деятельности напрямую с IT не сталкивались, но тем не менее на них возложена обязанность недопущения возникновения каких-то проблемных ситуаций в этой сфере», — предположил эксперт.Как пояснил «Коммерсанту» руководитель отдела продвижения продуктов «Кода Безопасности» Павел Коростелев, общий список киберугроз в формате реестра поможет обобщить все установленные варианты, однако «для каждой сферы экономики недопустимые события свои: государственная организация не может позволить себе взлом официальной страницы или рассылку несанкционированных данных от своего имени, онлайн-магазин — остановку сервиса продаж».Зачем нужно создавать реестр киберугроз?Создание реестра связано с указом президента от 01.05.2022 года № 250 «О дополнительных мерах по обеспечению информационной безопасности». В соответствии с указом с 1 января 2025 года органы власти и коммерческие организации не смогут использовать иностранное программное обеспечение для защиты своей информации; в каждом ведомстве и учреждении будут созданы подразделения информационной безопасности. Документ был принят, в том числе, вследствие участившихся хакерских атак на российские государственные и коммерческие компании. Когда началась специальная военная операция на Украине, число попыток взлома выросло в 4,5 раза. В тот период были взломаны базы данных российских ведомств: у Министерства культуры взломали электронную почту, а у Росавиации похитили сведения из системы электронного документооборота. Какие данные будут использовать для создания реестра?Козлов рассказал, что при тестировании IT-систем выявляются «негативные кейсы», когда на основе анализа требований или реальной эксплуатации составляется список того, как можно взломать ту или иную систему. При этом не только взломы с целью доступа куда-то, но и умышленные нарушения работы системы (например, распространение вирусов, убивающих систему). Обычно такие кейсы объединяют в таблицы — в них вносят:список уязвимых мест;действия, которые могут стать угрозой;какие сбои могут произойти;какие последствия можно ожидать, если ситуация произойдет в реальности.Как сообщает источник «Коммерсанта», угрозы для формирования реестра должны выявлять сторонние аудиторы совместно с руководителями организаций, которые нужно оценивать.Кто будет использовать данные реестра?В указе президента от 01.05.2022 года закреплен список организаций, которые должны к 2025 году перестроить свою систему информационной безопасности:федеральные органы исполнительной власти;государственные фонды;государственные корпорации (компании) и иные организации, созданные на основании законов;стратегические предприятия и системообразующие организации российской экономики;юридические лица — субъекты критической информационной структуры.Источники:https://www.kommersant.ru/doc/5524837https://www.kommersant.ru/doc/5339194http://publication.pravo.gov.ru/Document/View/0001202205010023https://www.kommersant.ru/doc/5328505
Подробнее читайте на aif.ru ...