Торбенко Елена Борисовна, выступая на форуме "Инфоберег-2023", привела следующие нарушения, которые ФСТЭК выявила по результатам проверок более 900 субъектов КИИ:
1. Объекты подлежат категорированию, но категорирование не проведено.
2. Несоответствие архитектуры и состава объекта КИИ заявленной в сведениях о результатах категорирования. В частности Торбенко Е. Б. не первый год повторяет мысль, что места администраторов должны входить в состав объекта КИИ и подлежать защите.
3. Использование стороннего ПО, не относящееся к выполняемым задачам, на значимом объекте КИИ.
4. Работники не в курсе, что они работают на значимом объекте КИИ.
5. Безопасники не знают архитектуру и состав значимых объектов. В частности отсутствуют схемы сети. Не учтены точки подключения к Интернету.
6. Пароли "по умолчанию".
7. Не настроенные средства защиты.
8. Нет оценки уязвимостей.
9. Отсутствуют меры по устранению уязвимостей. Дополнительные меры, которые направляет ФСТЭК по закрытию актуальных уязвимостей, являются обязательными!
10. Отсутствует оценка соответствия средств защиты информации.
11. Отсутствуют требования по обеспечению информационной безопасности к поставщикам и подрядчикам.
12. Отсутствует зашита от DDoS.
Выступление можно посмотреть на канале "Рупор бумажной безопасности" по ссылке
