О чём:

Министерство экономического развития Российской Федерации в соответствии с возложенными на него полномочиями Приказом от 13 ноября 2023 года № 785 утверждает перечень актуальных угроз безопасности персональных данных. Данный документ разработан во исполнение требований части 5 статьи 19 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» и пункта 1 Положения о Министерстве, утверждённого постановлением Правительства Российской Федерации от 5 июня 2008 года № 437.

Приказ определяет состав и содержание угроз безопасности, которые являются релевантными при обработке персональных данных в информационных системах персональных данных, находящихся в эксплуатации у Министерства экономического развития Российской Федерации. Установленный перечень угроз является обязательным для использования в целях обеспечения безопасности персональных данных при их обработке в указанных информационных системах, используемых Минэкономразвития России для реализации функций, предусмотренных законодательством Российской Федерации.

Направление нормативного акта:

Персональные данные

Вид нормативного акта:

Приказ Федерального органа исполнительной власти.

Наименование нормативного акта:

О чём:

Приказом Федеральной службы по техническому и экспортному контролю от 30 июля 2018 года № 132 утверждаются требования к средствам защиты информации, предназначенным для противодействия воздействиям, направленным на отказ в обслуживании информационных и автоматизированных систем, подключенных к сетям связи.

Указанный нормативный правовой акт устанавливает комплекс обязательных для выполнения положений, определяющих функциональные и технические характеристики средств защиты.

В частности, документом регламентируется:

1. Обеспечение обнаружения атак отказа в обслуживании посредством анализа сетевого трафика. Для этого на средства защиты возлагается обязанность применения как сигнатурных методов, основанных на известных признаках атак, так и статистических методов, базирующихся на анализе профилей нормального функционирования защищаемой системы.
2. Формирование профилей функционирования системы. Средства защиты должны функционировать в режиме обучения, в ходе которого осуществляется регистрация основных атрибутов сетевых пакетов. На основе собранных данных обеспечивается возможность создания и актуализации профилей, характеризующих штатное поведение системы.
3. Управление средствами защиты и администрирование. Требованиями предусматривается обязательная реализация графического интерфейса управления для администраторов. Средство защиты должно обеспечивать процедуры идентификации, аутентификации и авторизации администраторов на основе ролевой модели доступа, а также предоставлять возможности для настройки параметров работы и установления сроков хранения журналов регистрации событий безопасности.
4. Защита компонентов самого средства защиты. В числе ключевых требований — обеспечение защиты программных и аппаратных компонентов средства защиты от несанкционированного доступа в среде его функционирования.

Действие Приказа распространяется на средства защиты информации, используемые для защиты сведений, составляющих государственную тайну, а также иной информации ограниченного доступа.

Направление нормативного акта:

Критическая информационная инфраструктура, государственная тайна

Анализ проблемы: статус-кво, регуляторные вызовы и риски для бизнеса и госсектора

Проблема поверхностного понимания целей и механизмов обеспечения информационной безопасности (ИБ) в малом и среднем бизнесе (малом и среднем предпринимательстве — МСП), а также среди государственных органов в Российской Федерации является многогранной и системной. Она коренится не столько в технической сложности определения угроз, сколько в разрыве между требованиями регуляторов и реальными потребностями организаций.

Позиция того, что бизнес воспринимает ИБ как формальность — административное бремя, которое мешает работе, — находит подтверждение в настоящей исследовательской работе, которую ООО «ЦифраБез» решила выдать на ваш суд.

Многие руководители недооценивают риски ИБ, считая себя слишком маленькими и незначительными для того, чтобы стать объектом атак злоумышленников. Это приводит к тому, что ИБ рассматривается исключительно как формальная процедура, направленная на удовлетворение требований законодательства, но не как стратегический элемент управления рисками, поддерживающий работоспособность бизнеса.

Регуляторная среда в Российской Федерации характеризуется наличием нескольких ключевых контролирующих органов, каждый из которых имеет свою специфику и набор нормативных актов. Федеральная служба по техническому и экспортному контролю (ФСТЭК России) отвечает за защиту информации в государственных информационных системах (ГИС) и у операторов персональных данных (ПДн), а также субъектов критической информационной инфраструктуры (КИИ). Федеральная служба безопасности (ФСБ) — за использование криптографических (шифровальных) средств, Национальный координационный центр по компьютерным инцидентам (НКЦКИ) — за КИИ, Роскомнадзор — за соблюдение законодательства об обращении и обработке ПДн, Банк России — за финансовую стабильность через стандарты безопасности финансовых организаций (ГОСТ Р 57580), а также в настоящее время все чаще стали появляться предпосылки к созданию нового регулятора — Минцифры.

Такое распределение ответственности порождает неоднозначный эффект и всё больше напоминает русскую пословицу: «У семи нянек дитя без глазу». Хотя это создает многоуровневую систему защиты для разных направлений деятельности и сфер экономики, с другой стороны, формирует фрагментированную картину требований, которые сложно интегрировать в единую систему управления. Для бизнеса это часто выглядит как набор противоречивых или неясных указаний, что усиливает его первоначальное сопротивление внедрению мер ИБ. Эта проблема особенно остро стоит для МСП, которые не имеют ресурсов для найма экспертов по каждому из направлений и путают требования, поскольку эта сфера является для них непонятной. Более того, органы государственной власти (ОГВ) для МСП практически не проводят никаких мероприятий по разъяснению требований и не могут пояснить, для чего их нужно исполнять.

Последствия такой пассивной политики со стороны регуляторов для МСП не заставили себя долго ждать. С начала военных действий на территории Украины, когда в кибератаки включились силы НАТО и профессиональные хакеры из международных организаций, малый и средний бизнес, а также ОГВ «посыпались», а эффект от проведённых атак на эти сферы стал огромным. Исследования показывают, что киберугрозы стали массовым явлением. В 2023 году количество DDoS-атак в мире выросло на 63%, а в первом квартале 2024 года — почти на 30%.

Приказ Министерства труда и социальной защиты Российской Федерации от 15.01.2024 № 6н «Об утверждении профессионального стандарта „Специалист в области информационных технологий на атомных станциях (разработка и сопровождение программного обеспечения)“

• Приказ Министерства труда и социальной защиты РФ № 6н от 15.01.2024 устанавливает требования к квалификации работников в области информационных технологий на атомных станциях.

• Стандарт определяет трудовые функции, знания, умения, образование, опыт работы и условия деятельности с учётом специфики атомной отрасли.

• Он предназначен для использования работодателями, образовательными и квалификационными организациями в кадровой политике, разработке должностных инструкций и программ обучения.

• Стандарт направлен на обеспечение безопасной и надёжной эксплуатации атомных станций.

Ознакомиться

Уровень ОИБВОП: Нулевой (0)

Домен: Организация (2)

Блок: Управление ИБ (92)

Минимальный уровень зрелости по реализации требований: Неофициально (1)

Требование: Определение перечня негативных последствий и дополнительных угроз для организации.

Описание требования: Организация должна провести первичный анализ негативных последствий и дополнительно проверить применимость угроз информационной безопасности в целом.

Мера защиты по ISO/IEC 27001: А.5.7 Управление данными об угрозах.

Мера защиты по БДУ ФСТЭК:

Описание

Верховный Суд Российской Федерации подтвердил законность привлечения комитета информационных технологий Волгоградской области к административной ответственности за эксплуатацию государственной информационной системы без проведения обязательной аттестации по требованиям безопасности информации.

Дело устанавливает важный прецедент: отсутствие аттестата соответствия является самостоятельным нарушением, независимо от наличия утечек данных или технических сбоев.

Реквизиты судебного акта

Номер дела: № 16-АД25-1-К4

Дата постановления: 17 февраля 2025 г.

Судья: Кузьмичев С. И., судья Верховного Суда РФ

Приказ Управления делами Президента РФ от 19.12.2023 N 557 «Об упорядочении обращения со служебной информацией ограниченного распространения в Управлении делами Президента Российской Федерации и подведомственных ему организациях»

• Приказ Управления делами Президента РФ № 557 от 19.12.2023 регулирует обращение со служебной информацией ограниченного распространения.

• Документ определяет правила обработки, хранения, передачи и защиты конфиденциальной информации.

• Цель приказа — предотвратить утечку важной информации и обеспечить соблюдение законодательства РФ по защите служебных сведений.

• Приказ касается служебной тайны и является нормативным актом федерального органа исполнительной власти.

• Документ зарегистрирован в Минюсте 07.02.2024 и действует без изменений.

• ГОСТ Р 71207-2024 — стандарт, описывающий порядок внедрения и выполнения статического анализа программного обеспечения.

• Стандарт устанавливает требования к выполнению анализа, классификацию ошибок и требования к методам анализа.

• Также определены требования к инструментам анализа, специалистам и методике проверки анализаторов на соответствие стандарту.

• ГОСТ Р 71207-2024 является государственным национальным стандартом Российской Федерации и действует без изменений.

Документ внесён в Базу нормативного соответствия по ИБ ООО «ЦифраБез».

• ГОСТ Р 71206-2024 — стандарт для безопасного компилятора языков С и С++.

• Цель компилятора — предотвращать ошибки в бинарном коде программы.

• Стандарт определяет требования к динамической компоновке и загрузке программ.

• Уточняет требования к разработке безопасного ПО с использованием безопасного компилятора.

• Определяет требования к функциям и методике проверки безопасного компилятора.

• Направление нормативного акта: разработка безопасного ПО.

• Вид нормативного акта: государственный национальный стандарт РФ.

Название: Предварительный национальный стандарт РФ. Критическая информационная инфраструктура. Доверенные программно-аппаратные комплексы. Термины и определения.

Цель документа: Установление единой терминологии и определений, необходимых для разработки, внедрения и эксплуатации доверенных программно-аппаратных комплексов (ТПАК), используемых в критической информационной инфраструктуре (КИИ).

Задача: Обеспечение защиты КИИ от угроз информационной безопасности путем четкого определения ключевых терминов и понятий, связанных с ТПАК.

Тип документа: Предварительный национальный стандарт Российской Федерации.

Утверждение: Приказ Росстандарта от 28 декабря 2023 г., номер 115-пнст.

Актуальность: Документ действует без изменений и доступен для ознакомления по указанной ссылке.

В соответствии с пунктом 6.1 вносятся следующие изменения:

• пункт 3.2 изложен в новой редакции:

3.2. Тарифы указываются на Платформах. Для Платформ Спонсор по ссылке (sponsr.ru/volga27001/subscribe) и Paywall по ссылке (paywall.pw/w3oeqopk5bov). Стоимость счёта определяется по стоимости доступа в Канал Телеграм (по тарифам Paywall). Размер стоимости определяется исходя из 0,7 (семи десятых) размера официальной минимальной оплаты труда в Нижегородской области.

• пункт 5.1 изменён на:

5.1. Для получения поддержки Подписчик:

5.1.1. Направляет запрос через форму обратной связи по ссылке (cibez.ru/help_vk_ib);

5.1.2. Заполняет все обязательные поля;

5.1.3. В поле обращения «Введите ваше имя пользователя (для телеграм — @user, для Спонсор — имя, как вы зарегистрированы в Спонсор) „указывает свои идентификаторы в Канале (для Спонсор — имя пользователя, которое было указано при регистрации на платформе, для Телеграма — имя пользователя Телеграм „@имя“);