Что за реестр нарушений кибербезопасности планируют создать?

Категория:  Технологии
Ответ редакции

Минцифры объявило о создании списка угроз информационной безопасности органов госвласти и других структур. Это связано с тем, что проверка информационных систем компаний показала наличие уязвимостей и высокие риски взлома. Что за реестр планирует создать ведомство, какая информация в него попадет и кто ее будет собирать, — в материале aif.ru.

   
   

Что за инициатива? 

В планах ведомства — создать список угроз, которые могут навредить информационной безопасности организации. Информация реестра должна помочь руководству компаний усовершенствовать работу в IT-сфере и снизить риски взлома информационных систем, утечек информации и незаконного использования корпоративных данных. 

В чем суть инициативы? 

Ведущий инженер ПАО «ВымпелКом» Виктор Козлов пояснил aif.ru, что ни раньше, ни сейчас нигде не было полного списка возможных киберугроз и их возможных последствий. Возможно, Минцифры хочет сделать некий каталог уже существующих угроз и описать, к чему может привести та или иная ошибка в информационной безопасности организации.

«Думаю, записи в реестре могут иметь такой вид: “Злоумышленник получил доступ к учетным данным официальной страницы компании Вконтакте — получил возможность публиковать и рассылать от лица компании любую, в т. ч. порочащую честь компании информацию — репутационные риски”. В итоге должен получиться каталог, состоящий из пунктов “причина — следствие”, который в дальнейшем планируют своевременно пополнять и следить за его актуальностью, также убирая вовремя старые статьи. Далее с этим каталогом будут знакомить руководителей организаций, которые по роду своей деятельности напрямую с IT не сталкивались, но тем не менее на них возложена обязанность недопущения возникновения каких-то проблемных ситуаций в этой сфере», — предположил эксперт.

Как пояснил «Коммерсанту» руководитель отдела продвижения продуктов «Кода Безопасности» Павел Коростелев, общий список киберугроз в формате реестра поможет обобщить все установленные варианты, однако «для каждой сферы экономики недопустимые события свои: государственная организация не может позволить себе взлом официальной страницы или рассылку несанкционированных данных от своего имени, онлайн-магазин — остановку сервиса продаж».

Зачем нужно создавать реестр киберугроз?

Создание реестра связано с указом президента от 01.05.2022 года № 250 «О дополнительных мерах по обеспечению информационной безопасности». В соответствии с указом с 1 января 2025 года органы власти и коммерческие организации не смогут использовать иностранное программное обеспечение для защиты своей информации; в каждом ведомстве и учреждении будут созданы подразделения информационной безопасности. Документ был принят, в том числе, вследствие участившихся хакерских атак на российские государственные и коммерческие компании. Когда началась специальная военная операция на Украине, число попыток взлома выросло в 4,5 раза. В тот период были взломаны базы данных российских ведомств: у Министерства культуры взломали электронную почту, а у Росавиации похитили сведения из системы электронного документооборота.

Какие данные будут использовать для создания реестра?

Козлов рассказал, что при тестировании IT-систем выявляются «негативные кейсы», когда на основе анализа требований или реальной эксплуатации составляется список того, как можно взломать ту или иную систему. При этом не только взломы с целью доступа куда-то, но и умышленные нарушения работы системы (например, распространение вирусов, убивающих систему). Обычно такие кейсы объединяют в таблицы — в них вносят:

   
   
  • список уязвимых мест;
  • действия, которые могут стать угрозой;
  • какие сбои могут произойти;
  • какие последствия можно ожидать, если ситуация произойдет в реальности.

Как сообщает источник «Коммерсанта», угрозы для формирования реестра должны выявлять сторонние аудиторы совместно с руководителями организаций, которые нужно оценивать.

Кто будет использовать данные реестра?

В указе президента от 01.05.2022 года закреплен список организаций, которые должны к 2025 году перестроить свою систему информационной безопасности:

  • федеральные органы исполнительной власти;
  • государственные фонды;
  • государственные корпорации (компании) и иные организации, созданные на основании законов;
  • стратегические предприятия и системообразующие организации российской экономики;
  • юридические лица — субъекты критической информационной структуры.

Источники:

https://www.kommersant.ru/doc/5524837

https://www.kommersant.ru/doc/5339194

http://publication.pravo.gov.ru/Document/View/0001202205010023

https://www.kommersant.ru/doc/5328505