Зачем проводить аудит информационной безопасности? – или Указ Президента №250 уже близко

В Москве прошла XVII конференция по информационной безопасности BIS Summit 2024. Во время пленарного обсуждения «Диалог с регулятором» президент ГК InfoWatch и председатель правления АРПП «Отечественный софт» Наталья Касперская представила результаты опроса членов Ассоциации по вопросам информационной безопасности BISA.

Опрос показал, что только 7% компаний уже выполнили требования указа № 166, а ещё 8% уверены, что успеют сделать это до 1 января 2025 года. Требования указа № 250 полностью выполнили 25% опрошенных, 9% уже используют исключительно российские средства защиты информации, а 20% сообщили, что не успеют выполнить требования указа в указанный срок.

Заместитель директора ФСТЭК Виталий Лютиков заявил, что ведомство не планирует перенос сроков импортозамещения.

Напомним, что с 1 января 2025 года использование зарубежного программного обеспечения будет ограничено для некоторых организаций в России. Это связано с Указом Президента РФ № 250 от 1 мая 2022 года, который направлен на обеспечение информационной безопасности ключевых компаний страны. Подробнее об этом можно прочитать в нашей статье.

Организации, подпадающие под действие Указа, должны провести инвентаризацию договоров с подрядчиками, предоставляющими услуги по информационной безопасности, и привлекать только те организации, которые имеют лицензии на техническую защиту конфиденциальной информации.

Также организации должны взаимодействовать только с аккредитованными центрами Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).

Эти требования затрагивают следующие организации, и их число может достигать примерно 500 тысяч. В основном это:

• федеральные органы исполнительной власти;
• высшие исполнительные органы государственной власти субъектов РФ;
• государственные фонды;
• государственные корпорации;
• стратегические предприятия, стратегические акционерные общества;
• системообразующие организации российской экономики;
• субъекты критической информационной инфраструктуры (КИИ): здравоохранение, наука, транспорт, связь, энергетика, банки и финансы, топливная энергетика, атомная энергетика, оборонная промышленность, горная добыча, металлургия, химическая промышленность;
• иные организации, созданные на основании ФЗ.

Что необходимо сделать при переходе на отечественное ПО?

1. Определить лицо, ответственное за информационную безопасность (ИБ)
   Ранее эта обязанность лежала на руководителе организации и подразделении по ИБ. С 1 мая 2022 года, согласно Указу Президента № 250, в организации должно быть назначено отдельное должностное лицо, которое будет подчиняться непосредственно руководителю организации и входить в совет директоров.
2. Организовать работу отдела информационной безопасности
   Согласно Указу № 250 и Постановлению № 1272, наличие такого подразделения обязательно должно быть. Он может включать нескольких специалистов, ответственных за определение требований к ИБ, разработку стратегии и контроль её выполнения, и подчиняться заместителю руководителя по информационной безопасности. Стратегию информационной безопасности можно передать на аутсорсинг сторонним организациям, имеющим необходимые лицензии:
   
   - организации, специализирующиеся на защите информации, должны быть лицензированы ФСТЭК России; 
   - организации, занимающиеся мониторингом информационной безопасности, должны быть аккредитованы ФСБ России как центр ГосСОПКА; 
   - организации, оценивающие уровень защищённости, должны иметь лицензии ФСТЭК России и ФСБ России.
3. Перейти от бумажной безопасности к реальной
   В Указах Президента № 250 и Постановлениях Правительства № 1272 особое внимание уделяется переходу от формальной к реальной информационной безопасности. Использование стандартных чек-листов и выполнение типовых мер без учёта возможных угроз уже не являются достаточным. Руководители и специалисты по информационной безопасности должны выявлять уязвимости, обнаруживать атаки, регистрировать инциденты и оперативно реагировать на них. Кроме того, необходимо предпринимать дополнительные меры для обеспечения безопасности. Эффективное достижение этих целей возможно благодаря правильной организации системы информационной безопасности в компании. Также полезно проводить различные обучения, привлекая специализированные организации или создавая собственную команду.
4. Применение отечественных средств защиты информации
   Все организации, указанные в Указе, с 1 января 2025 года не смогут закупать и использовать средства защиты, произведённые в недружественных странах или подконтрольных им организациях. Список недружественных стран определяется Правительством и регулярно обновляется, включая новые государства. Поэтому сейчас важно постепенно переходить с иностранных решений на российские средства защиты.

Для того, чтобы понять, попадает ли ваша компания под Указ Президента РФ №250, и все ли его требования выполнены, наша компания предлагает услуги аудита системы информационной безопасности.

В процессе аудита мы проведем:

1. Идентификацию устройств;
2. Идентификацию ПО;
3. Определение установленных средств защиты информации (программных и программно-аппаратных);
4. Категоризацию установленных средств защиты информации;
5. Проверку наличия сертификатов соответствия на найденные средства защиты информации и сроков их окончания;
6. Проверку совместимости аппаратного и системного программного обеспечения с сертифицированными средствами доверенной загрузки;
7. Проверку совместимости установленных средств защиты информации с предполагаемыми в рамках проекта системы защиты;
8. Выдачу рекомендаций по оснащению и настройке программного и аппаратного обеспечения средства вычислительной техники в соответствии с формулярами, правил пользования и иной эксплуатационной документации установленных средств защиты информации;
9. Сканирование на уязвимости: переполнения буфера, межсайтовой подделки запроса, включения локальных файлов, включения удаленных файлов, небезопасной загрузки файлов, неправильно настроенного контроля доступа, небезопасного перенаправления, небезопасной конфигурации расширений главной страницы, неправильной конфигурации DAV, межсайтового скриптинга.

Аудит системы информационной безопасности актуален для каждой компании, чтобы быть уверенным в своей системе, и избежать неприятных сюрпризов после 1 января 2025 года.

Почему мы советуем обращаться за проведением аудита именно в нашу компанию:

1. Понятные сроки;
2. Прозрачная и привлекательная стоимость;
3. Все необходимые сертификаты и компетенции (важно для отчетности);
4. Работаем по всей России;
5. Оказываем сразу весь комплекс услуг (вам не придется заказывать все по частям в разных фирмах);
6. У своего отдела ИБ часто «замылен глаз», и для объективной оценки нужен «свежий взгляд»;
7. Нам доверяют тысячи компаний вот уже 20 лет.

Данная услуга комплексная и комплектуется именно под ваш случай, поэтому стоимость рассчитывается индивидуально. Все можно узнать по запросу КП на почтовый ящик info@masksafe.ru, либо по номеру +7 (3822) 900-110, либо заполнив заявку на нашем сайте.