Что за реестр нарушений кибербезопасности планируют создать?
Минцифры объявило о создании списка угроз информационной безопасности органов госвласти и других структур. Это связано с тем, что проверка информационных систем компаний показала наличие уязвимостей и высокие риски взлома. Что за реестр планирует создать ведомство, какая информация в него попадет и кто ее будет собирать, — в материале aif.ru.
Что за инициатива?
В планах ведомства — создать список угроз, которые могут навредить информационной безопасности организации. Информация реестра должна помочь руководству компаний усовершенствовать работу в IT-сфере и снизить риски взлома информационных систем, утечек информации и незаконного использования корпоративных данных.
В чем суть инициативы?
Ведущий инженер ПАО «ВымпелКом» Виктор Козлов пояснил aif.ru, что ни раньше, ни сейчас нигде не было полного списка возможных киберугроз и их возможных последствий. Возможно, Минцифры хочет сделать некий каталог уже существующих угроз и описать, к чему может привести та или иная ошибка в информационной безопасности организации.
«Думаю, записи в реестре могут иметь такой вид: “Злоумышленник получил доступ к учетным данным официальной страницы компании Вконтакте — получил возможность публиковать и рассылать от лица компании любую, в т. ч. порочащую честь компании информацию — репутационные риски”. В итоге должен получиться каталог, состоящий из пунктов “причина — следствие”, который в дальнейшем планируют своевременно пополнять и следить за его актуальностью, также убирая вовремя старые статьи. Далее с этим каталогом будут знакомить руководителей организаций, которые по роду своей деятельности напрямую с IT не сталкивались, но тем не менее на них возложена обязанность недопущения возникновения каких-то проблемных ситуаций в этой сфере», — предположил эксперт.
Как пояснил «Коммерсанту» руководитель отдела продвижения продуктов «Кода Безопасности» Павел Коростелев, общий список киберугроз в формате реестра поможет обобщить все установленные варианты, однако «для каждой сферы экономики недопустимые события свои: государственная организация не может позволить себе взлом официальной страницы или рассылку несанкционированных данных от своего имени, онлайн-магазин — остановку сервиса продаж».
Зачем нужно создавать реестр киберугроз?
Создание реестра связано с указом президента от 01.05.2022 года № 250 «О дополнительных мерах по обеспечению информационной безопасности». В соответствии с указом с 1 января 2025 года органы власти и коммерческие организации не смогут использовать иностранное программное обеспечение для защиты своей информации; в каждом ведомстве и учреждении будут созданы подразделения информационной безопасности. Документ был принят, в том числе, вследствие участившихся хакерских атак на российские государственные и коммерческие компании. Когда началась специальная военная операция на Украине, число попыток взлома выросло в 4,5 раза. В тот период были взломаны базы данных российских ведомств: у Министерства культуры взломали электронную почту, а у Росавиации похитили сведения из системы электронного документооборота.
Какие данные будут использовать для создания реестра?
Козлов рассказал, что при тестировании IT-систем выявляются «негативные кейсы», когда на основе анализа требований или реальной эксплуатации составляется список того, как можно взломать ту или иную систему. При этом не только взломы с целью доступа куда-то, но и умышленные нарушения работы системы (например, распространение вирусов, убивающих систему). Обычно такие кейсы объединяют в таблицы — в них вносят:
- список уязвимых мест;
- действия, которые могут стать угрозой;
- какие сбои могут произойти;
- какие последствия можно ожидать, если ситуация произойдет в реальности.
Как сообщает источник «Коммерсанта», угрозы для формирования реестра должны выявлять сторонние аудиторы совместно с руководителями организаций, которые нужно оценивать.
Кто будет использовать данные реестра?
В указе президента от 01.05.2022 года закреплен список организаций, которые должны к 2025 году перестроить свою систему информационной безопасности:
- федеральные органы исполнительной власти;
- государственные фонды;
- государственные корпорации (компании) и иные организации, созданные на основании законов;
- стратегические предприятия и системообразующие организации российской экономики;
- юридические лица — субъекты критической информационной структуры.
Источники:
https://www.kommersant.ru/doc/5524837
https://www.kommersant.ru/doc/5339194
http://publication.pravo.gov.ru/Document/View/0001202205010023