Новости

6
апреля
2023 год

Эксперты Ассоциации АБИСС обсудили актуальные темы обеспечения информационной безопасности сферы КИИ и защиты персональных данных

На прошлой неделе состоялся пресс-завтрак, посвященный наиболее обсуждаемым вопросам обеспечения информационной безопасности сферы КИИ и защиты персональных данных. Организатором встречи стала Ассоциация пользователей стандартов по информационной безопасности АБИСС.

Открывал встречу Александр Иванцов, старший инженер по защите информации Deiteriy Compliance, с докладом «Что дает государству и чем грозит бизнесу расширение границ КИИ?».
Эксперт рассказал об изменениях, внесенных в правила категорирования объектов КИИ в конце прошлого года, и их влиянии на расширение области применимости КИИ и установке более строгих критериев значимости. Следствием таких изменений стал тот факт, что теперь больше организаций стали субъектами КИИ, а нынешние субъекты КИИ могут получить более высокую категорию значимости, чем раньше. По мнению Александра Иванцова, государство таким образом корректирует область применимости КИИ, распространяя ее на организации, которые считает значимыми, но которые избежали отнесения к субъектам КИИ (или объекты КИИ, которые получили меньший уровень значимости, чем ожидалось). Как отметил эксперт, это может грозить компаниям увеличением регуляторной нагрузки и расходов на внедрение и поддержание процессов ИБ. С другой стороны, это формализует требования для организаций, которые не занимались ИБ до этого и позволит повысить их уровень устойчивости к кибератакам.

Вторым выступающим стал Александр Моисеев, ведущий консультант AKTIV.CОNSULTING, представивший тему «Импортозамещение в КИИ: поддержка и регулирование безопасной разработки». Эксперт отметил, что государство предпринимает довольно большой комплекс мер, связанных с регулированием и поддержкой безопасной разработки отечественного ПО. К мерам регулирования Александр отнес разработку нормативно-правовых актов и стандартов, содержащих перечень актуальных и востребованных на практике мер обеспечения безопасности. Александр выделил довольно большой блок поддержки разработки отечественного ПО (в т.ч. в рамках политики импортозамещения), включающий работу центров компетенций импортозамещения, выделение грантов и субсидий на разработку ПО. Также к поддержке он отнес различные активности отраслевых ассоциаций по обмену опытом, работу с сообществом разработчиков по проверке безопасности открытого кода. Дополнительно эксперт подчеркнул, что темой регуляторики и методологии в части безопасной разработки занимается несколько ведомств: прежде всего ФСТЭК России, ФСБ России, Минцифры, при поддержки ведущих научных организаций, таких как ИСН РАН.
Также к государственной политике по безопасности можно отнести на два трека: первый — обеспечение функционирования КИИ, к которому относится ведение реестров отечественного ПО, ПАК (РЭА) и СЗИ, создание национального репозитория открытого кода, составление перечней и каталогов импортозамещенного ПО, которым могут пользоваться специалисты на местах; и второй трек — обеспечение безопасности КИИ, включающий методическую работу регуляторов, к примеру это рекомендации по обновлению ПО (НКЦКИ) и их проверке на безопасность (ФСТЭК РФ), оповещение об актуальных угрозах (ГосСОПКА), реализация программ bug bounty (поиска уязвимостей), развиваемая Минцифры и фактически тестирование на проникновение в рамках 250 Указа (ФСБ России).
Основными проблемами импортозамещения Александр назвал отсутствие отечественных аналогов ПО, нехватку квалифицированных ИТ- и ИБ-кадров на рынке труда, уголовную и административную ответственность за нарушения в КИИ, которые потенциально «отпугивают» ИТ- и ИБ-специалистов от отрасли, дополнительные траты компаний и пр. При этом эксперт сделал прогноз о том, что тема безопасной разработки ПО будет активно развиваться и дальше. Например, на уровне государства она будет поддержана выходом группы стандартов ТК 362, также ожидается подготовка регламента по сертификации процессов безопасной разработки и запуск национального репозитория открытого кода.

Продолжил встречу Александр Хонин, руководитель отдела консалтинга и аудита Angara Security, представивший тему «Глобальный апгрейд 2023 года в сфере обработки и защиты ПДн». В условиях всеобщей цифровизации вопросы обработки и защиты персональных данных обретают новую актуальность. Эксперт отметил, что сегодня наблюдается массовый перевод различных сервисов и услуг в цифровое пространство. Следствием чего становится формирование новых информационных систем, содержащих различные массивы данных, в том числе большие объемы персональных данных. Такая ситуация неминуемо приводит к новым рискам и угрозам, среди которых выделяются угрозы в отношении персональных данных. Можно отметить, что в последнее время с постоянной и пугающей периодичностью происходит множество громких инцидентов, связанных с утечкой персональных данных. Если раньше такие события были не так заметны, то сегодня с учетом объема и состава обрабатываемых персональных данных отношение к таким инцидентам изменилось. В свою очередь, государство не могло оставить эту проблему без внимания и закономерно стало ужесточать требования. В итоге в законодательстве появился ряд глобальных изменений, основной целью которых является снижение утечек персональных данных, а также более бережное и безопасное обращение с такими данными. С учетом этих изменений бизнес получил ряд новых обязанностей, государство — новые инструменты контроля, общество — больше уверенности в сохранности их обрабатываемых персональных данных.

Четвертый доклад «Утечки данных: динамика, причины, прогнозы» представил Евгений Царев, эксперт в сфере ИБ, управляющий RTM Group. В последние 2-3 года наблюдается постоянный рост количества и масштаба утечек. Прежде всего, это можно объяснить большим количеством фиксаций инцидентов. Также 2022 год стал рекордным по масштабам утечек данных о гражданах. Эксперт рассказал о влиянии законодательного регулирования на утечки. В первую очередь, из-за ухода иностранных поставщиков регуляторы пошли навстречу бизнесу и ослабили контроль и санкции в случае нарушения требований по защите данных. Второй момент — к настоящему моменту еще не принят законопроект об оборотных штрафах для компаний, допустивших утечку ПДн. Также к фактору влияния можно отнести отсутствие требований и практики периодических проверок объектов критической информационной инфраструктуры по требованиям ИБ. Эксперт также отметил, что компании в ходе «вынужденного» импортозамещения, сталкиваются с одинаковыми проблемами. Первая — низкий уровень готовности некоторого отечественного ПО и средств защиты приводит к повышенным рискам, сбоям, инцидентам ИБ. Вторая — уступающий зарубежным аналогам уровень защищённости выражается в наличии уязвимостей, которые необходимо активно искать и устранять. Еще одной проблемой эксперт назвал неконкурентную стоимость российских предложений на фоне снижения прибыли компаний.
Евгений уверен, что причин ожидать снижения количества утечек нет. В ближайшие годы самым вероятным сценарием станет рост числа утечек на 50-150% каждый год. И этому есть ряд причин. Во-первых, существуют компании, которые ожидают дальнейших послаблений регулирования, не спешат замещать иностранное оборудование и ПО, применяют «костыли». Затягивание импортозамещения в отдельных компаниях приведет к быстрой деградации ИТ, увеличению количества инцидентов, вплоть до длительных прерываний в работе компаний. Во-вторых, есть компании, которые в ускоренном порядке избавляются от всего иностранного ПО без проведения достаточного тестирования и проверок. Применение Open Source и российского ПО в совокупности с имеющейся хакерской активностью приведёт к множеству новых уязвимостей, которые не всегда удастся оперативно устранять.

Завершила встречу Анастасия Харыбина, председатель Ассоциации АБИСС, которая рассказала о основных направлениях работы и инициативах АБИСС. Ассоциация АБИСС взяла курс на межотраслевую направленность деятельности и начала уделять особое внимание вопросам ИБ-регуляторики в КИИ. Исторически АБИСС занималась финансовой сферой, в том числе совместной проработкой с Банком России вопросов по созданию доверенной инфраструктуры аудита ИБ и оценки соответствия требованиям регуляторов. Анастасия подчеркнула, что этот опыт может быть эффективно масштабирован на другие отрасли КИИ, что позволит изначально учесть интересы всех сторон. В настоящее время АБИСС прорабатывает инициативы по созданию регуляторной базы для аутсорсинга функции ИБ-комплаенса, оказания консалтинговых и аудиторских услуг, проведения тестов на проникновение и анализа уязвимостей ПО, а также аудита процессов безопасной разработки. По словам Анастасии, с этого года Ассоциация АБИСС планирует активизировать деятельность по межведомственной гармонизации требований, а также по повышению осведомленности и общего уровня понимания требований по информационной безопасности для специалистов, работающих с ИБ-регуляторикой. Для этого будут организованы на постоянной основе бесплатные онлайн-вебинары, тематические заседания с представителями регуляторов, а также масштабная ежегодная конференция по вопросам практической реализации регуляторных требований по информационной безопасности.

По вопросам участия в работе Ассоциации пользователей стандартов по информационной безопасности АБИСС оставьте заявку на сайте.


Вернуться к списку новостей

Подписаться

Подпишитесь на нашу рассылку, чтобы быть в курсе новостей АБИСС