Статья в Блоге Группы Т1 на Habr.com: «Что принципиально поменялось в ИБ»источник

Ситуация меняется буквально на лету - а с ней так же стремительно меняется и нормативка.

За два последних года это активно коснулось всех основополагающих законов: о защите информации, персональных данных, критической инфраструктуры, электронной подписи. Вместе с ними меняются или уточняются и регуляторные нормы практически по всем направлениям: в вопросах импортозамещения, конкретизации требований ИБ в области Государственных информационных систем (ГИС), критической информационной инфраструктуры (КИИ), платежных систем и персональных данных (ПД).

Например, теперь будут применяться оборотные штрафы за утечки ПД. И это не набившие всем оскомину 60 тысяч рублей, а конкретный процент за утечку, так что, если вы производственный холдинг или большая компания, можно влететь на несколько миллионов, в том числе за "несообщение об инциденте". А еще речь идет и о персональной ответственности, т.е. предусмотрены штрафы не только для компаний, но и для их должностных лиц.

По идее, все должны были к этому готовиться давно, "основные" законы были приняты более пяти лет назад. Но реальность настала, а готовность разная. Это объяснимо: правки в законы и подзаконные акты вносятся постоянно. В последнее время за очень короткий срок были подписаны и приняты документы в области ИБ всеми возможными регуляторами: ФСТЭК, ФСБ, ЦБ. Темпы изменений таковы, что "угнаться" за ними трудно не только специалистам, но и государству. Все приходится внедрять в авральном режиме.

Наша команда часто выступает в этой теме консалтерами по внедрению, поэтому приходится постоянно держать руку на пульсе. Происходящее прямо влияет не только на проектирование, стоимость, сроки поставки и ввода в эксплуатацию систем защиты, но и в целом на состояние, в котором находится информационная безопасность. И иногда влияет критично. Собственно, поэтому я и хочу рассказать о текущей ситуации в ИБ.

Ну и ниже короткий каталог основных изменений.

Что произошло

Вот мой ТОП основных изменений за последнее время:

Ведомство

Дата

Номер

Наименование документа

1.

ФСТЭК

20.01.2020

240/24/250

О применении сертифицированных операционных Microsoft Windows 7 и Microsoft Windows Server 2008 R2 в связи с прекращением их технической поддержки

1.

ФСТЭК

20.02.2020

35

О внесении изменений в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239

2.

Минкомсвязь

17.03.2020

114

Об утверждении Порядка и Технических условий установки и эксплуатации средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации

3.

ФСТЭК

20.03.2020

240/84/389

Рекомендации по обеспечению безопасности объектов критической информационной инфраструктуры при реализации дистанционного режима исполнения должностных обязанностей работниками субъектов критической информационной инфраструктуры

4.

ФСТЭК

30.03.2020

240/22/1379

Рекомендации по применению технологии Live USB для обеспечения дистанционной работы государственных служащих

5.

ЦБ РФ

08.04.2020

716-П

О требованиях к системе управления операционным риском в кредитной организации и банковской группе.

6.

ФСТЭК

17.04.2020

240/84/611

По вопросам представления перечней объектов критической информационной инфраструктуры, подлежащих категорированию, и направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий

7.

ФСТЭК

14.05.2020

68

О внесении изменений в Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. N 21

8.

ЦБ РФ

04.06.2020

719-П

О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств

9.

ФСТЭК

02.07.2020

76

Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий

10.

ФСТЭК

15.10.2020

240/24/4268

Об утверждении Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий

11.

Минцифры

21.12.2020

734

Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых в сферах деятельности, нормативно-правовое регулирование которых осуществляется Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации

12.

ЦБ РФ

23.12.2020

747-П

О требованиях к защите информации в платежной системе Банка России" (вместе с «Правилами материально-технического обеспечения формирования электронных сообщений и контроля реквизитов электронных сообщений в информационной инфраструктуре участника ССНП, а также правила материально-технического обеспечения обработки электронных сообщений и контроля реквизитов электронных сообщений в информационной инфраструктуре ОПКЦ») (Зарегистрировано в Минюсте России 03.02.2021 N 62365)

13.

ФСТЭК

05.02.2021

б/н

Методический документ «Методика оценки угроз безопасности информации»

14.

Постановление Правительства РФ

15.10.2021

1753

Об утверждении требований к организационным и техническим условиям осуществления многофункциональными центрами предоставления государственных и муниципальных услуг размещения или обновления в единой системе идентификации и аутентификации сведений, необходимых для регистрации физических лиц в данной системе, размещения биометрических персональных данных в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица, с использованием программно-технических комплексов

15.

Минцифры

28.10.2021

930

Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных, порядка размещения и обновления биометрических персональных данных в единой биометрической системе и в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации

16.

ЦБ РФ

15.11.2021

779-П

Об обязательных для некредитных финансовых организаций требованиях к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76.1 Федерального закона от 10 июля 2022 года №86-ФЗ «О Центральном банке Российской Федерации (Банке России)», в целях обеспечения непрерывности оказания финансовых услуг

17.

ЦБ РФ

12.01.2022

778-П

Об обязательных для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг

18.

ЦБ РФ

18.02.2022

6071-У

О внесении изменений в Положение Банка России от 17 апреля 2019 года No 683‐П “Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента

19.

Минцифры

25.02.2022

142

Об утверждении формы проверочного листа (списка контрольных вопросов), используемого Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации при осуществлении федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации

20.

Постановление Правительства РФ

24.03.2022

448

Об особенностях осуществления государственного контроля (надзора), муниципального контроля в отношении аккредитованных организаций, осуществляющих деятельность в области информационных технологий, и о внесении изменений в некоторые акты Правительства Российской Федерации

21.

ЦБ РФ

25.03.2022

6103-У

О внесении изменений в Положение Банка России от 8 апреля 2020 года №716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе

22.

ФСБ

13.04.2022

179

О внесении изменений в Требования к средствам удостоверяющего центра, утвержденные приказом ФСБ России от 27 декабря 2011г. №796

23.

Указ Президента

01.05.2022

250

О дополнительных мерах по обеспечению информационной безопасности

24.

Постановление Правительства РФ

09.05.2022

834

Об установлении особенностей ввоза в Российскую Федерацию шифровальных (криптографических) средств и товаров, их содержащих», которое облегчает ввоз шифровальных средств в Россию

25.

Постановление Правительства РФ

13.05.2022

860

О проведении эксперимента по повышению уровня защищенности государственных информационных систем федеральных органов исполнительной власти и подведомственных им учреждений

26.

ФСТЭК

28.06.2022

240/83/1698

О порядке представления субъектами критической информационной инфраструктуры сведений о результатах присвоения объектам критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий

27.

ФСБ

07.07.2022

348

О внесении изменений в Порядок информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденный приказом ФСБ России от 19 июня 2019 г. № 282»

28.

Постановление Правительства РФ

12.07.2022

1237

О внесении изменения в состав сведений, размещаемых в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица, включая вид биометрических персональных данных

29.

ФЗ

14.07.2022

266

О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности»

30.

ФЗ

14.07.2022

260

О внесении изменений в Уголовный кодекс Российской Федерации и Уголовно-процессуальный кодекс Российской Федерации», который вводит в Уголовный кодекс новую статью 274.2 «Нарушение правил централизованного управления техническими средствами противодействия угрозам устойчивости, безопасности и целостности функционирования на территории Российской Федерации информационно-телекоммуникационной сети «Интернет» и сети связи общего пользования

31.

ФЗ

14.07.2022

325

О внесении изменений в статьи 14 и 14.1 Федерального закона «Об информации, информационных технологиях и о защите информации» и статью 5 Федерального закона «О внесении изменений в отдельные законодательные акты Российской Федерации

32.

Постановление Правительства РФ

15.07.2022

1272

Об утверждении типового положения о заместителе руководителя органа (организации), ответственном за обеспечение информационной безопасности в органе (организации), и типового положения о структурном подразделении в органе (организации), обеспечивающем информационную безопасность органа (организации)»

33.

РКН

05.08.2022

128

Об утверждении перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных

34.

Постановление Правительства РФ

19.08.2022

1463

О внесении изменения в Правила категорирования объектов критической информационной инфраструктуры Российской Федерации

35.

Постановление Правительства РФ

22.08.2022

1478

Об утверждении требований к программному обеспечению, в том числе в составе программно-аппаратных комплексов, используемому органами государственной власти, заказчиками, осуществляющими закупки в соответствии с Федеральным законом „О закупках товаров, работ, услуг отдельными видами юридических лиц

36.

Постановление Правительства РФ

26.08.2022

1498

Об утверждении требований к государственным органам для прохождения ими аккредитации на право владения государственными информационными системами, с применением которых осуществляется идентификация и (или) аутентификация, и (или) осуществления функций операторов указанных государственных информационных систем и Правил прохождения государственными органами аккредитации на право владения государственными информационными системами, с применением которых осуществляется идентификация и (или) аутентификация, и (или) осуществления функций операторов указанных государственных информационных систем

Плюс завершилось обсуждение проектов приказа Роскомнадзора "Об утверждении Требований к оценке вреда, который может быть причинен субъектам ‎персональных данных в случае нарушения Федерального закона ‎"О персональных данных", проекта приказа ФСБ "Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, ‎с использованием шифровальных (криптографических) средств".

Кроме того, было проведено обсуждение по Проекту постановления Правительства РФ "О порядке перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации".

Хороший безопасник должен смотреть не только нормативку, но и учитывать то, что произойдет в ближайшее время.

Говоря об этих изменениях, очень хочется остановиться на таком документе как Методика оценки угроз безопасности информации от 2021 года. Прошло, грубо говоря, чуть более полтора года с даты принятия документа, и что видно?!

Данная методика внесла кардинальные изменения в Российском ИБ к подходу оценки угроз, и должна была, вроде, отодвинуть немного вектор с бумажной безопасности и заставить более практично подойти к проблеме моделирования. Но нередко на рынке ИБ встречаются предложения, в которых на выполнение работ по анализу и моделированию угроз отводится всего лишь каких-то десять рабочих дней, при этом границей моделирования является не пара АРМов, а распределенная ИС с применением множества информационных технологий и с несколькими площадками.

Конечно, методика не без своих недочетов и нюансов, но все же в целом подходы правильные. И у меня есть надежда, что ФСТЭК доработает нюансы и внесет изменения в документ.

Коротко - работы по моделям угроз стало сильно больше:

  • Формирование экспертной группы.
  • Анализ исходных данных.
  • Определение негативных последствий.
  • Инвентаризация систем и сетей.
  • Определение источников угроз и их потенциала.
  • Оценка способов реализации угроз.
  • Оценка возможностей реализации угроз.
  • Оценка сценариев реализации угроз.

Уже довольно давно на сайте ФСТЭК в разделе БДУ появился новый экспериментальный раздел угроз, представляющий собой автоматизацию поиска и формирования перечня возможных угроз безопасности. В данном разделе была полностью пересмотрена классификация и названия угроз, к тому же сразу же предлагаются средства митигации возможных угроз. Но вопрос: а куда делся сценарный подход к моделированию? Будет ли он дальше использоваться в методике и планирует ли его ФСТЭК автоматизировать? Почему сценарный подход я считаю актуальным. Не секрет, что часть методики писалась по концепциям и подходам MITRE ATT&CK.

MITRE ATT&CK - это общедоступная база знаний о тактиках и методах киберпреступников, основанная на реальных наблюдениях. База знаний ATT&CK используется в качестве основы для разработки конкретных моделей угроз безопасности, а также применяется в других различных сферах ИБ.

Концепция MITRE ATT&CK основана на поиске тактик и техник, которыми пользуются известные APT-группировки (Advanced Persistent Threat - таргетированные или целевые атаки). Почему тактики и техники так важны? Ответ дает пирамида боли Дэвида Бьянко.
Пирамида ранжирует в порядке возрастания список индикаторов, используемых для обнаружения действий злоумышленника, а также сколько "боли" это причинит злоумышленнику.

В пирамиде боли перечислены шесть индикаторов атаки, которые можно использовать для обнаружения действий злоумышленников. Каждый уровень пирамиды дает специалистам по ИБ возможность обнаруживать и предотвращать различные вектора атак.

Для примера рассмотрим несколько:

IP-адреса (IP Addresses): любой достаточно продвинутый противник без затруднения может менять IP-адреса, когда ему это удобно и с минимальными усилиями. Соответственно принимая меры ИБ, направленные на блокировку IP-адресов, особых трудностей и боли атакующим мы не приносим.

Tools (инструменты): на этом уровне, зная какими утилитами пользуется атакующий, мы лишаем его возможности использовать основной арсенал для планирования и проведения атак. Это приносит большие трудности для злоумышленников, потому что найти аналогичный инструмент с таким же функционалом стоит большего времени. Думаю, не лишним будет упомянуть знаменитый Cobalt Strike, который использовался и используется многими APT-группировками для проведения всевозможных кибератак, хотя изначально разрабатывался и распространяется для целей обеспечения ИБ, например, для симуляции атак противника.

Ну и наконец - на вершине пирамиды располагаются TTPs (тактики, техники и процедуры): когда мы реагируем на этом уровне, мы непосредственно воздействуем на поведение противника, а не на его инструменты. Если уметь достаточно быстро реагировать на ТТР атакующего, мы заставляем его учиться новому поведению и методам атак, что доставляет массу неприятностей и боли для киберпреступников.

Многие скажут мне, что с TTP давай иди в TI (Threat Intelligence), мол поиском индикаторов компрометации и поисками тактик и техник занимаются там и TI в основном "реализован" в SOC (центр мониторинга ИБ), слово "реализован" не зря заключено в кавычки, но об этом не сейчас. Могу на это сказать, что:

Во-первых, методика прямо говорит о том, что актуальность угроз определяется наличием сценариев (процедур) их реализации, а для этого необходимо "установить последовательности возможных тактик и техник".

Во-вторых, информация об угрозах, а также идентификаторах компрометации используется для обогащения понимания возможных угроз и информирования ответных мер, что является очень полезным не только при идентификации и реагировании на угрозы, но непосредственно и при моделировании.

В-третьих, подход к вопросам информационной безопасности должен быть всеохватывающим, что подтверждает не только предлагаемый подход "по ФСТЭК", но и международный "best practices".

Все это к тому, что при анализе угроз нужно руководствоваться не только одной методикой, но и использовать другие подходы, это только повысит уровень безопасности. Процесс моделирования угроз, как и сама модель, не должны быть "бумажным кирпичом", а должны являться гибким инструментов в руках каждого специалиста по ИБ. Качественный и трудоемкий анализ угроз безопасности - это каменный фундамент для проектирования и внедрения систем ИБ.

Итого

Чего бы хотелось больше всего - так это чтоб модель угроз "ушла" от понятия "бумажного кирпича" и превратилась в "живой", "настольный", актуальный, постоянно меняющийся инструмент каждого безопасника.

Также хотелось бы какого-то единого подхода (может быть, совместного документа), который объединил бы требования информационной безопасности для разных отраслей. Сейчас получается, что для финансового сектора есть Центробанк со своими требованиями, для других отраслей ФСТЭК, ФСБ, Минцифры и т.д. Требования одного регулятора не всегда учитывают последние и актуальные требования другого. А те же модели угроз от ФСТЭК и ФСБ, например, так и не мапятся до сих пор.

Ну и ждем от ФСТЭК фрэймворк, позволяющий автоматизировать поиск сценариев реализации угроз.