Технологии компьютерных атак и нарушители | хакеры постоянно развиваются, появляются новые виды угроз, наступило время регулятору освежить Требования о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений (далее - Требования). Они опубликованы на сайте ФСТЭК России. К чему готовится операторам (владельцам) государственных информационных систем.
С 2008 года защищаю информацию. К разнообразию критики не привыкать - не забываем подписываться и оставляем комментарии.
Прямое указание для руководителей
Хочешь или нет любая информационная система государственных органов, в том числе государственных организаций должна быть защищена. Первая статья Требований на это указывает.
«Требования о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений (далее — Требования), применяются для обеспечения защиты (некриптографическими методами) информации, …»
Муниципалитетам готовиться
Статья 3 Требований «В муниципальных информационных системах защита информации обеспечивается в соответствии с Требованиями, если иное не установлено законодательством Российской Федерации».
Целевая защита информации
Защите информации теперь не просто так, а имеет цель. Статья 11 Требований «Оператор (обладатель информации) должен определить цели защиты информации в зависимости от ожидаемых результатов от проведения мероприятий и принятия мер по защите информации.
Организационные меры
Глава II вводит новые требования к организации деятельности. Разработку политики защиты информации, которая охватывает все информационные системы оператора. Защиту информации должен организовывать руководитель оператора (обладателя информации) или по его решению ответственное лицо. Появились требования к компетенции работников, ответственных за защиту информации.
Статья 20 Требований «Не менее 30 процентов работников структурного подразделения по защите информации должны иметь профессиональное образование по специальности или направлению подготовки в области информационной безопасности или пройти обучение по программе профессиональной переподготовки в области информационной безопасности».
Защита информации оценивается
Статья 31 Требований вводит понятие -
«Оценка состояния защиты информации» должна проводиться на основе определения оператором (обладателем информации).
Пока это два показателя, после утверждения руководителем, результаты оценки направляются в ФСТЭК России «в целях мониторинга текущего состояния технической защиты информации и оценки эффективности деятельности по технической защите информации».
Мероприятия по защите информации
Глава III посвящена мероприятиям и мерам по защите информации. Основная часть мероприятий основана на приказ 17 из нового:
- обеспечение защиты информации при удаленном доступе пользователей к информационным системам;
- обеспечение защиты информации при беспроводном доступе пользователей к информационным системам;
- обеспечение защиты информации при предоставлении пользователям привилегированного доступа;
- обеспечение разработки безопасного программного обеспечения;
- обеспечение защиты информации при взаимодействии с подрядными организациями;
- обеспечение защиты от компьютерных атак, направленных на отказ в обслуживании;
- обеспечение защиты информации при использовании искусственного интеллекта ;
- реализация в информационных системах мер по их защите и защите содержащейся в них информации;
- проведение контроля уровня защищенности информации, содержащейся в информационных системах;
- обеспечение непрерывного взаимодействия с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.
Добавлены интервалы времени восстановления функционирования информационных систем с момента обнаружения минимум 2 часа для ГИС 1 класса защищенности и не более 4 недель для ИС 3 класса защищённости.
Искусственный интеллект
Для взаимодействия с ИС искусственным интеллектом налагается ряд ограничений и формирование строго заданных шаблонов запросов к искусственному интеллекту и ответов, а так же тематики запросов.
«также использования информационных систем не по их назначению за счет воздействия на наборы данных , применяемые модели искусственного интеллекта и их параметры , процессы и сервисы по обработке данных и поиску решений»
«Не допускается передача лицу, разработавшему модель искусственного интеллекта, информации ограниченного доступа, содержащейся в информационных системах, в том числе для улучшения функционирования модели искусственного интеллекта».
Непосредственно в состав информационных систем должны включаться доверенные технологии искусственного интеллекта или их компоненты.
Аттестация
С целью подтверждения достаточности принятых мер защиты информационных систем и содержащейся в них информации до начала обработки и (или) хранения информации в государственных информационных системах должна быть проведена их аттестация на соответствие Требованиям в соответствии с Порядком организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну, утвержденным приказом ФСТЭК России от 29 апреля 2021 г. № 77.
Важное в приложении к Требованиям
Для информации, которая отнесена к информации ограниченного распространения и для носителей которой установлена ограничительная пометка «для служебного пользования», должен быть установлен УЗ 1.
Соответственно на основании таблицы 2 приложения при условии если УЗ 1, то класс защищенности будет информационной системы становится первый.
Продолжение следует...
Что еще почитать
Моделируем способы реализации угроз
Cогласование модели угроз | Опыт#2
