Автор: Татьяна Пермякова, старший аналитик

В обзоре изменений за апрель 2023 года рассмотрим: дополнительные требования для значимых объектов КИИ с удаленным управлением, госконтроль и аккредитация операторов в ЕБС, удостоверение личности с помощью Госуслуг, изменения в список контрольных вопросов Роскомнадзора, цифровые отпечатки в приложениях финансовых организаций, замена административных регламентов ФСТЭК России, порядок обращения с ДСП-документами, а также результаты работы ТК 362.

Требования Минэнерго по обеспечению безопасности значимых объектов КИИ

 Для общественного обсуждения представлен проект приказа Министерства энергетики Российской Федерации (далее ‑ Минэнерго России) «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры при организации ‎и осуществлении дистанционного управления технологическими режимами работы и эксплуатационным состоянием объектов электроэнергетики ‎из диспетчерских центров субъекта оперативно-диспетчерского управления в электроэнергетике».

Проектом предлагается установить дополнительные требования к обеспечению безопасности значимых объектов критической информационной инфраструктуры (далее – КИИ) теплоэнергетического комплекса, при организации или осуществлении дистанционного управления технологическими процессами. Проект в явном виде устанавливает область действия требований, а также требования как для организации дистанционного управления, так и для тех субъектов КИИ, которые до вступления проекта в силу уже организовали и осуществляют дистанционное управление.

«Уральский центр систем безопасности» (УЦСБ) внедрил PT Application Firewall, чтобы обеспечить безопасную эксплуатацию веб-приложений. Главная цель проекта — защитить веб-приложения от несанкционированного доступа, а также, в рамках импортозамещения, заменить зарубежный межсетевой экран уровня веб-приложений.

В поисках подходящего решения, по итогам анализа функционала и качества исполнения решений, эксперты УЦСБ остановились на PT Application Firewall, поскольку это российское решение в реестре отечественного ПО, прошедшее сертификацию во ФСТЭК. Кроме того, виртуальные интерфейсы (WAN) данной системы защиты, по сравнению с виртуальными IP-адресами (VIP), значительно упрощают администрирование системы, поскольку системным администраторам не нужно выделять пул внешних IP-адресов для веб-приложений. Также продукт позволяет кастомизировать дашборды, таким образом повышая эффективность задач аналитики.

Автор: Татьяна Пермякова, старший аналитик

В обзоре изменений за март 2023 года рассмотрим: изменения в законодательстве о персональных данных, вступившие в силу с марта, новые постановления про единую биометрическую систему, ограничение требований планового госконтроля, законопроект в области защиты государственной тайны, создание государственных информационных систем на платформе «ГосТех», отмена административных регламентов ФСБ России, прекращение применения некоторых средств защиты на аттестованных объектах информатизации, замена 719-П, требования для АИС страхования, руководство по управлению уязвимостями, а также новости в области стандартизации.

Реформа 152-ФЗ

Напомним, что в июле 2022 года были внесены изменения в Федеральный закон от 27.07.2006 №  152-ФЗ «О персональных данных» (далее – 152-ФЗ), которые утверждены Федеральным законом от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части 14 статьи  30 Федерального закона «О банках и банковской деятельности» (далее – 266-ФЗ). Часть положений вступили в силу с 1 сентября 2022 года, остальные с 1 марта:

С распространением COVID-19 организации перевели сотрудников на удаленный режим работы, что напрямую повлияло на кибербезопасность организаций и привело к изменению вектора угроз.

В 2020 году увеличилось использование сторонних сервисов для обмена данными, работа сотрудников на домашних компьютерах в потенциально незащищенных сетях Wi-Fi. Увеличилось количество людей, использующих инструменты удаленного доступа. Это стало одной из главных проблем для сотрудников ИБ.

Одним из наиболее популярных протоколов прикладного уровня, позволяющим получать удаленный доступ к рабочей станции или серверу под управлением ОС Windows, является проприетарный протокол Microsoft — RDP (англ. Remote Desktop Protocol - Протокол удаленного рабочего стола). Во время карантина в сети Интернет появилось большое количество компьютеров и серверов, к которым можно подключиться удаленно. Наблюдался рост активности злоумышленников, которые хотели воспользоваться текущим положением вещей и атаковать корпоративные ресурсы, доступные для сотрудников, отправленных на удаленную работу. На рисунке 1 представлена статистика атак на RDP. По графику видно, что количество атак на RDP значительно увеличилось с начала пандемии.

В обзоре изменений за февраль 2023 года рассмотрим: положение о единой биометрической системе (далее – ЕБС), взаимодействие оператора регионального сегмента ЕБС с Министерством внутренних дел Российской Федерации (далее – МВД России) и Федеральной службой безопасности Российской Федерации (далее – ФСБ России), порядок обработки биометрических персональных данных (далее – ПДн) и изменение случаев и сроков их использования, национальные стандарты по безопасности финансовых операций и управлению компьютерными инцидентами, изменения в приказе Федеральной службы по техническому и экспортному контролю (далее – ФСТЭК России) № 235, отраслевой план перехода на использование отечественного программного обеспечения (далее – ПО) на значимых объектах критической информационной инфраструктуры (далее – КИИ) и порядок оценки актуальности сведений о субъектах КИИ, новые формы заявлений ФСТЭК России по лицензированию, контроль защиты государственной тайны, управление федеральной государственной информационной системой (далее – ГИС) «Управление государственной единой облачной платформой» (далее – ГосОблако), внеплановые проверки Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор), перечень иностранных сервисов и другие новости.

Введение

Согласно статистике, большинство всех атак совершается с использованием вредоносного программного обеспечения, а половина от всех атак проводится с использованием методов социальной инженерии.

Таким образом, для проведения проверок с использованием методов социальной инженерии полезно научиться отслеживать реакцию пользователей, что они будут делать с полученным документом. Причём делать это необходимо штатными средствами, никого не взламывая. JavaScript идеально подходит для этих целей.

Мы, Маргарита Белоусова, аналитик аналитического центра и Анастасия Прядко, специалист по анализу защищенности компании УЦСБ написали пошаговую инструкцию, как сделать фишинговый документ: детали и примеры кода. Кроме того, мы кратко рассмотрели структуру PDF-файла, как и куда в него внедрять JavaScript, а также способы маскировки факта внедрения скрипта. Наш опыт пригодится безопасникам, системным администраторам и всем, кто связан с ИБ.

Структура PDF

Организация данных в памяти

PDF способен на большее, чем просто отображать текст. Он может также включать в себя изображения и другие мультимедийные элементы, может быть защищён паролем, выполнять JavaScript и многое другое. Вне зависимости от версии структура PDF документа неизменна:

В обзоре изменений законодательства в области информационной безопасности (далее –ИБ) за ноябрь 2022 года рассмотрим: проект порядка осуществления мониторинга защищенности во исполнение Указа №250, перечень сведений потенциально используемых против безопасности РФ, новый регламент лицензирования ФСБ России, требования по защите информации с использованием криптографических средств в государственных информационных системах (далее – ГИС), требования к отечественному программному обеспечению (далее – ПО), требования к линиям связи, пересекающим границу РФ, требования к оценке вреда субъектам ПДн в случае нарушения 152‑ФЗ, требования к подтверждению уничтожения ПДн и иные изменения в области ПДн, а также новые стандарты по управлению компьютерными инцидентами, результаты работы ТК 362 и другие новости в нормативном поле ИБ.

В обзоре изменений за октябрь 2022 года рассмотрим: поручения о размещении согласий субъектов персональных данных на Госуслугах, назначение оператора единой биометрической системы и законопроект о системе, порядок ведения реестра инцидентов Роскомнадзора и обмена сведениями об инцидентах с ФСБ России, а также внутренние документы об обработке персональных данных в Роскомнадзоре, изменения в правила категорирования объектов критической информационной инфраструктуры, методические рекомендации об импортозамещении, положение о платформе для создания государственных информационных систем, дополнение к правилам допуска к государственной тайне, публикация профессиональных стандартов специалистов в области ИБ и ИТ, изменения в порядок сертификации средств защиты в системе ФСТЭК России, результаты работы ТК 362 и т.д.

Рост количества кибератак и ежедневные сообщения об утечках персональных данных пользователей – это новые реалии информационного мира. Уберечь компании от этих проблем помогают эксперты по информационной безопасности (ИБ). Круг обязанностей коллег по устранению киберугроз широк, однако есть определенные компетенции, которые ценятся в этой сфере. В нашей статье подробно расскажем о навыках, которые пригодятся, если вы хотите начать карьеру или уже работает в сфере ИБ.

За последние несколько лет картина российского ИТ-мира сильно изменилась. Число атак на информационные системы предприятий и компаний возросло лавинообразно. Сегодня любой организации стоит быть готовой к тому, что объектом вторжения может стать ее ИТ-инфраструктура, и сделать все, чтобы оно не увенчалось успехом.

Так сложилось, что в русском языке слово «хакер» имеет скорее негативное значение – умелец, который проникает в информационные системы организаций, чтобы нарушить работу или украсть данные. На самом деле это искажение. Хакер – это специалист, который умеет мыслить нестандартно, находить обходные, неочевидные пути к своим целям и использовать их.

Как и у любой силы, у этой есть темная и светлая стороны. Киберситхи взламывают системы с преступными намерениями. Киберджедаи ищут слабые места в информационной безопасности организации, чтобы их усилить. Они действуют только во благо компании и всегда задумываются о последствиях своих действий. В вакансиях киберджедаев называют специалистами по анализу защищенности, инженерами аудита информационной безопасности и инженерами кибербезопасности. В ИТ-мире они известны как пентестеры, от penetration test – тест на проникновение.

В обзоре изменений за сентябрь 2022 года рассмотрим: изменения в продолжение «реформы 152-ФЗ»: новые электронные формы уведомления от Роскомнадзора, разъяснения ведомства о порядке отнесения фотографии к категории биометрических персональных данных, проекты постановлений Правительства РФ об исключениях применения требований и порядке принятия решений о запрещении/ограничении трансграничной передачи данных; требования к использованию средств криптографической защиты информации в государственных информационных системах, расширение области действия требований о защите платежной системы, результаты работы ТК 362 и другие изменения.

Начать стоит с небольшой предыстории. В 1991 году объединенная Германия окончательно избавилась от давления как западных стран, так и Советского Союза. За этим последовали многочисленные пересмотры и реорганизации немецких структур. Одной из них стало Федеральное агентство по информационной безопасности (сокращенно нем. BSI), в задачи которого вошли:

• обнаружение и защита от атак на государственную ИТ-инфраструктуру;

• тестирование, сертификация и аккредитация ИТ-продуктов и услуг;

• информирование и повышение осведомленности общественности об информационных технологиях и информационной безопасности (ИБ);

• разработка единых и обязательных стандартов по ИБ;

• и другие.

В ходе реализации задачи по разработке единых стандартов по ИБ появилась на свет методология IT-Grundshutz, включающая в себя различные стандарты, регламенты, инструкции и руководства в области ИБ.

В рамках продолжения нашего цикла по обзорам зарубежных методик оценки рисков ИБ мы рассмотрим BSI-Standard 200-3 Risk Analysis based on IT-Grundschutz (BSI 200-3).

В этой статье нападающие узнают, что coerce можно осуществлять не только с 445/tcp порта, а защитники обнаружат, как можно надежно запретить принуждение к аутентификации.

Автор: Татьяна Пермякова, старший аналитик УЦСБ

В обзоре изменений за август 2022 года рассмотрим: результаты работы технического комитета по стандартизации «Защита информации» (ТК 362), импортозамещение в критической информационной инфраструктуре, новый порядок информирования об инцидентах и измененные правила категорирования, новые формы уведомления Роскомнадзора и требования к оценке вреда субъектам персональных данных, возвращение платы за единую биометрическую систему и аккредитация на право владения государственными информационными системами для идентификации и аутентификации.

В обзоре за июль 2022 года рассмотрим: ряд изменений в области защиты персональных данных, в том числе реформа 152-ФЗ, размещение биометрических персональных данных в единой биометрической системе и обновленный перечень стран, адекватно защищающих права субъектов персональных данных, изменения в области защиты критической информационной инфраструктуры, среди которых: публикация типовых положений во исполнение Указа Президента РФ №250, изменение порядка направления сведений о результатах категорирования для сфер энергетики и топливно-энергетического комплекса; результаты работы ТК 362, изменения в Уголовный кодекс РФ и Кодекс об административных правонарушениях, связанные с защитой государственной тайны и персональных данных, использованием технических средств защиты информации РФ; дополнения к требованиям для кредитных финансовых организаций и другое.

В целях усиления защиты прав граждан на неприкосновенность частной жизни в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – 152-ФЗ) внесены изменения, принятые Федеральным законом от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности» (далее – 266-ФЗ).

В обзоре изменений за июнь 2022 года рассмотрим: новые документы во исполнение Указа Президента №250; Концепцию информационной безопасности в сфере здравоохранения; постановления Правительства РФ о размещении биометрических персональных данных в единой биометрической системе, проекты федеральных законов, предлагающих ввести ответственность за нарушение обработки биометрических персональных данных; изменения в программы профессиональной переподготовки от ФСТЭК России; новые условия по защите информации от Банка России и другие новости в нормативном поле информационной безопасности.

Автор: Александр Ендальцев, аналитик УЦСБ

Импортозамещение стало важным событием на российском рынке, в том числе на рынке информационной безопасности. Хоть тема импортозамещения не нова, однако, современные реалии создали новые стимулы к использованию отечественных решений в области информационной безопасности.

Автор: Татьяна Пермякова, старший аналитик УЦСБ

В обзоре изменений за май 2022 года рассмотрим следующие документы: Указ Президента РФ №250 и сопутствующие ему нормативные акты; эксперимент по повышению защищенности государственных информационных систем федеральных органов исполнительной власти; новый раздел Банка данных угроз и анонс новой версии Методики оценки угроз; отчеты деятельности ТК362 и новые стандарты; иные изменения и новости законодательства за май 2022.

Автор: Евгений Баклушин, руководитель направления

Нестабильная геополитическая обстановка и непрерывное развитие ИТ-технологий и инструментов способствуют постоянному росту киберпреступлений (вплоть до кибертерроризма) в отношении критических информационных инфраструктур государств (далее – КИИ). Дополнительное влияние оказывает постоянное появление новых тактик и техник реализации угроз нарушителями. В этой связи все более актуальным становится сотрудничество между государствами и международное сотрудничество бизнеса по противодействию киберпреступлениям в отношении КИИ и совершенствованию систем и средств защиты КИИ. Перспективным направлением в данной области может стать обмен опытом по предотвращению, ликвидации и предупреждению последствий компьютерных атак.

С учетом влияния внешних обстоятельств и изменений в геополитической обстановке первостепенным вектором сотрудничества становится Азия. При этом Китай и обе Кореи довольно самостоятельны и закрыты внутри себя, а Япония активно взаимодействует с западным альянсом. Таким образом наиболее перспективным является взаимодействие (союз) с глобальным ИТ-хабом или «новым информационным чудом» – Индией.

В данной статье мы рассмотрим, как обстоит ситуация с защитой КИИ в Индии, а также чем она отличается от обстановки в России.