Найти в Дзене
Аргументы и факты – aif.ru
1,63 млн подписчиков

Что за реестр нарушений кибербезопасности планируют создать?

4
3 мин
Рассказываем, как Минцифры предлагает защищать информацию в органах власти. Минцифры объявило о создании списка угроз информационной безопасности органов госвласти и других структур. Это связано с тем, что проверка информационных систем компаний показала наличие уязвимостей и высокие риски взлома. Что за реестр планирует создать ведомство, какая информация в него попадет и кто ее будет собирать, — в материале aif.ru. Что за инициатива? В планах ведомства — создать список угроз, которые могут навредить информационной безопасности организации. Информация реестра должна помочь руководству компаний усовершенствовать работу в IT-сфере и снизить риски взлома информационных систем, утечек информации и незаконного использования корпоративных данных. В чем суть инициативы? Ведущий инженер ПАО «ВымпелКом» Виктор Козлов пояснил aif.ru, что ни раньше, ни сейчас нигде не было полного списка возможных киберугроз и их возможных последствий. Возможно, Минцифры хочет сделать некий каталог уже существую
Оглавление
Что за реестр нарушений кибербезопасности планируют создать?
Что за реестр нарушений кибербезопасности планируют создать?

Рассказываем, как Минцифры предлагает защищать информацию в органах власти.

Минцифры объявило о создании списка угроз информационной безопасности органов госвласти и других структур. Это связано с тем, что проверка информационных систем компаний показала наличие уязвимостей и высокие риски взлома. Что за реестр планирует создать ведомство, какая информация в него попадет и кто ее будет собирать, — в материале aif.ru.

Что за инициатива?

В планах ведомства — создать список угроз, которые могут навредить информационной безопасности организации. Информация реестра должна помочь руководству компаний усовершенствовать работу в IT-сфере и снизить риски взлома информационных систем, утечек информации и незаконного использования корпоративных данных.

В чем суть инициативы?

Ведущий инженер ПАО «ВымпелКом» Виктор Козлов пояснил aif.ru, что ни раньше, ни сейчас нигде не было полного списка возможных киберугроз и их возможных последствий. Возможно, Минцифры хочет сделать некий каталог уже существующих угроз и описать, к чему может привести та или иная ошибка в информационной безопасности организации.

«Думаю, записи в реестре могут иметь такой вид: "Злоумышленник получил доступ к учетным данным официальной страницы компании Вконтакте — получил возможность публиковать и рассылать от лица компании любую, в т. ч. порочащую честь компании информацию — репутационные риски”. В итоге должен получиться каталог, состоящий из пунктов "причина — следствие”, который в дальнейшем планируют своевременно пополнять и следить за его актуальностью, также убирая вовремя старые статьи. Далее с этим каталогом будут знакомить руководителей организаций, которые по роду своей деятельности напрямую с IT не сталкивались, но тем не менее на них возложена обязанность недопущения возникновения каких-то проблемных ситуаций в этой сфере», — предположил эксперт.

Как пояснил «Коммерсанту» руководитель отдела продвижения продуктов «Кода Безопасности» Павел Коростелев, общий список киберугроз в формате реестра поможет обобщить все установленные варианты, однако «для каждой сферы экономики недопустимые события свои: государственная организация не может позволить себе взлом официальной страницы или рассылку несанкционированных данных от своего имени, онлайн-магазин — остановку сервиса продаж».

Зачем нужно создавать реестр киберугроз?

Создание реестра связано с указом президента от 01.05.2022 года № 250 «О дополнительных мерах по обеспечению информационной безопасности». В соответствии с указом с 1 января 2025 года органы власти и коммерческие организации не смогут использовать иностранное программное обеспечение для защиты своей информации; в каждом ведомстве и учреждении будут созданы подразделения информационной безопасности. Документ был принят, в том числе, вследствие участившихся хакерских атак на российские государственные и коммерческие компании. Когда началась специальная военная операция на Украине, число попыток взлома выросло в 4,5 раза. В тот период были взломаны базы данных российских ведомств: у Министерства культуры взломали электронную почту, а у Росавиации похитили сведения из системы электронного документооборота.

Какие данные будут использовать для создания реестра?

Козлов рассказал, что при тестировании IT-систем выявляются «негативные кейсы», когда на основе анализа требований или реальной эксплуатации составляется список того, как можно взломать ту или иную систему. При этом не только взломы с целью доступа куда-то, но и умышленные нарушения работы системы (например, распространение вирусов, убивающих систему). Обычно такие кейсы объединяют в таблицы — в них вносят:

  • список уязвимых мест;
  • действия, которые могут стать угрозой;
  • какие сбои могут произойти;
  • какие последствия можно ожидать, если ситуация произойдет в реальности.

Как сообщает источник «Коммерсанта», угрозы для формирования реестра должны выявлять сторонние аудиторы совместно с руководителями организаций, которые нужно оценивать.

Кто будет использовать данные реестра?

В указе президента от 01.05.2022 года закреплен список организаций, которые должны к 2025 году перестроить свою систему информационной безопасности:

  • федеральные органы исполнительной власти;
  • государственные фонды;
  • государственные корпорации (компании) и иные организации, созданные на основании законов;
  • стратегические предприятия и системообразующие организации российской экономики;
  • юридические лица — субъекты критической информационной структуры.

Источники:

https://www.kommersant.ru/doc/5524837

https://www.kommersant.ru/doc/5339194

http://publication.pravo.gov.ru/Document/View/0001202205010023

https://www.kommersant.ru/doc/5328505