В феврале в рамках международного форума «Технологии и Безопасность» прошла конференция ФСТЭК России «Актуальные вопросы защиты информации», на которой были рассмотрены вопросы технической защиты информации, создания средств защиты, безопасной разработки ПО, совершенствования сертификационных испытаний СЗИ, совершенствования требований по безопасности к информации, предъявляемой к СЗИ. С докладами выступили руководители подразделений ФСТЭК России. 

 

ОСНОВНЫЕ НАПРАВЛЕНИЯ

Основные направления совершенствования технической защиты информации представил Виталий Лютиков, заместитель директора ФСТЭК России. Он сосредоточился на технических и технологических вопросах, находящихся в компетенции ФСТЭК, а также на нормативно-правовом регулировании.

 

Первое направление

Первое направление, по которому идет активная работа, — защита информационной инфраструктуры органов государственной власти (ОГВ). Основная нормативно-правовая база для этого — Приказ ФСТЭК от 11.02.2013 г. №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» и несколько дополнительных требований, в т. ч. по защите информации конфиденциального характера, КИИ, персональных данных и т. д. При этом требований по защите информационной инфраструктуры в целом не установлено, а есть отдельные упоминания о необходимости учета и моделирования угроз. Фактически информационно-телекоммуникационные сети, локально-вычислительные сети и рабочие места, в первую очередь, в государственных организациях, требованиями не охвачены, отметил замглавы ФСТЭК.

Последнее два года ярко показали, что большинство инцидентов, в т. ч. в ОГВ были связаны с двумя векторами воздействия:

• на информационно-телекоммуникационную инфраструктуру через интерфейсы администратора или привилегированных пользователей. Именно на эту инфраструктурную часть требования формально не установлены. При этом у ФСТЭК нет информации, что первоначальный доступ был произведен через интерфейсы ГИС;
• подрядчики и подрядные организации, т. е. организации, которые взаимодействуют с информационными системами для разработки и технического сопровождения услуг по защите информации. Это излюбленный вектор атак злоумышленников, отметил докладчик. Существующие требования по безопасности на подрядные организации напрямую не распространяется, тут нет механизмов проверок и контроля.

Для исправления ситуации, по поручению оперативного совещание Совета Безопасности России, ФСТЭК России подготовил законопроект, в котором предложил рассматривать как объект защиты не информационную систему, а информацию как таковую, привязав её к обладателю. Законодательная инициатива пока не получила поддержки и развития.

ФСТЭК России подготовила первую редакцию новых требований по защите информации, содержащейся в ГИС, документ проходит внутриведомственное согласование. В требованиях затронуты вопросы защиты информации, являющейся государственным ресурсом, и в иных системах ОГВ, включая подрядные организации. Но если работа над законопроектом не будет продолжена, то нормы ответственности подрядчиков и контроля за подрядными организациями останутся на бумаге.

 

О новых полномочиях ФСТЭК

В соответствии с Указом Президента РФ № 846 ФСТЭК получила новые полномочия, направленные на совершенствование организации и управления защиты информации и безопасности объектов КИИ. Это мониторинг текущего состояния технической защиты информации и обеспечения безопасности значимых объектов (ЗО) КИИ, организация и проведение оценки эффективности деятельности ФОИВов по технической защите информации и обеспечению безопасности ЗО КИИ.

До 1 июля 2024 г. ФСТЭК поручено разработать требования о защите информации, содержащейся в государственных и иных информационных системах, обладателями которых являются ОГВ, субъекты РФ и муниципальные образования.

 

Два показателя

Служба планирует переход к единой шкале оценки состояния и измерения эффективности деятельности и в ближайшее время предлагает ввести два показателя для реализации полномочий ФСТЭК для всех ОГВ и организаций, находящихся в сфере регулирования:

• показатель (и методика его определения) состояния защиты информации и обеспечения безопасности объектов КИИ в ОГВ и организациях, которые базируются на достижении некоего минимального уровня защиты информации. О методике подробно рассказано ниже;
• показатель (и методика его определения) зрелости деятельности ОГВ и организаций по защите информации и обеспечению безопасности объектов КИИ.

 

Повышенное внимание и недостаточное внимание…

Выявление и оценка угроз, борьба с уязвимостями и т. д. — следующий аспект, на который обратил внимание докладчик. Тут он затронул два момента — повышенное внимание к оценке угроз на этапе создания системы и недостаточное внимание текущим угрозам и уязвимостям.

В бумажном варианте модели угроз на этапе разработки и аттестации системы доходят по толщине до 15 см. Однако спустя непродолжительное время этот документ никто не может найти. У такого подхода есть очевидные «плюсы» и «минусы». Модели угроз позволяют определиться с нарушителями и основными векторами атак, но в процессе эксплуатации управлять этим документом и бюрократической системой вокруг него очень проблематично.

В процессе эксплуатации необходимо выявлять и оценивать текущие угрозы, считает В. Лютиков. В первую очередь, на постоянной основе реагировать на выявляемые и актуальные уязвимости. Есть продвинутые решения — киберразведка и привлечение сторонних организаций. Более простая задача — мониторинг источников, которые публикуют сведения о последних уязвимостях, эксплойтах, тактиках и техниках, применяемых нарушителями для проникновения в инфраструктуру, и управление мерами, которые реализуются в информационных системах, если иными методами обеспечить эффективную защиту невозможно. Для этого созданы методические рекомендации по выстраиванию процессов управления уязвимостями.

Инвентаризация ИТ-инфраструктуры и учёт систем информационных ресурсов, подлежащих защите, — еще одна важная задача при обеспечении ИБ ИС. Выстраивание процессов инвентаризации — направление, которое ФСТЭК будет прорабатывать наряду с выявлением уязвимостей и угроз и реагированием на них.

 

Второе направление

Защита DDoS-атак — следующее направление, над которым ведется работа. В 2023 г. количество успешных DDoS-атак стало меньше, но их мощность продолжает расти. Перед ФСТЭК стоит задача по разработке требований к организации работ по защите от DDoS-атак на трех уровнях, отметил В. Лютиков. Это национальный уровень, которым занимается Роскомнадзор; уровень провайдеров и уровень операторов информационных систем. Требования по обеспечению защищенности ГИС и ЗО КИИ РФ от несанкционированных воздействий типа «отказ в обслуживании» будут изданы отдельным документом или включены в действующие нормативные документы.

 

Третье направление

Повышение качества работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа в соответствии с Приказами №77 и №110, — еще одна задача ФСТЭК. В. Лютиков отметил, что наметилась положительная динамика качества материалов аттестационных испытаний за 2022-2023 гг. по отдельным объектам информатизации. Но в части работы с ГИС и персональными данными над аттестацией необходимо работать дальше. Это обусловлено большим количеством организаций, оказывающим такие услуги, сложностью управления процессами и несоблюдением методов испытаний (анализа уязвимостей и тестирования системы на проникновение), которые должны применяться при проведении работ по аттестации ИС. Перед Службой стоит первоочередная задача по разработке комплекса методических документов (методики анализа уязвимостей, методики тестирования функций безопасности, методики испытания системы защиты информации с использованием средств тестирования), работа над ними введется при участии экспертного сообщества.  

В. Лютиков отметил, что в рамках программы «Цифровая экономика» ведется повышение системы защищённости системного программного обеспечения с открытым исходным кодом. Создан Технологический центр исследования безопасности системного ПО, идут исследования безопасности ядра ОС Linux и критичных компонентов. Большая работа проведена Институтом системного программирования РАН (ИСП РАН) и консорциумом с участием заинтересованных в исследованиях безопасности организаций. «Мы обрастаем компетенциями как со стороны специалистов, так и развиваем инструменты исследования», — отметил В. Лютиков. По результатам работы за прошлый год более 260 патчей, влияющих на безопасность, приняты международным сообществом. Это хорошие показатели с учетом того, что работы по данному направлению только начались. Такую же модель исследований предлагается применить и к другим компонентам. ФСТЭК подготовила проект методики выявления уязвимостей и недекларированных возможностей в ПО.

 

Четвертое направление

Отдельное направление работы — обеспечение защиты информации при внедрении технологий ИИ. Тут ФСТЭК выделяет несколько задач:

• исследование угроз безопасности при применении технологий ИИ в СЗИ;
• разработка большой языковой модели для применения в СЗИ;
• разработка и поддержка в актуальном состоянии информационных ресурсов для информирования о новых угрозах и оценки вероятности атак на СЗИ, использующие технологии ИИ;
• разработка эталонных данных для обучения и верификации моделей машинного обучения, а также эталонных базовых моделей машинного обучения для решения задач обеспечения защиты информации.

Тут важно повышение доверия к технологиям. Работа в данных направлениях будет вестись в рамках нацпроекта «Экономика данных».

 

Пятое направление

Еще один аспект — развитие безопасной разработки. В первую очередь он касается разработчиков средств в рамках системы сертификации ФСТЭК. Выпущены два ГОСТа по безопасной разработке, в работе еще пять: руководство по оценке безопасности разработки ПО, руководство по проведению статического анализа, руководство по разработке безопасного ПО, доверенный компилятор C/C++ и управление безопасностью ПО при использовании заимствованных и привлеченных компонентов. Также готовится новая редакция методики исследования уязвимости недекларированных возможностей, в проект уже вошли все проблемные вопросы, которые были выявлены в период действия предыдущей редакции. 

И традиционный вопрос о подготовке кадров. Совместно с МГТУ им. Баумана ФСТЭК России планирует организовать курсы по внедрению технологий безопасной разработки для студентов вузов. Это масштабное мероприятие, информация о котором будет опубликована и доступна всем желающим. Предполагается, что в работе курсов примут участие эксперты ФСТЭК и специалисты компаний, которые проведут лекции и семинары по разным аспектам безопасной разработки.

 

ОЦЕНКА СОСТОЯНИЯ ЗАЩИТЫ

О методическом подходе к оценке показателя состояния защиты конфиденциальной информации и обеспечения безопасности объектов КИИ в органах государственной власти и организациях рассказал Сергей Бондаренко, начальник девятого Управления ФСТЭК России.

Он отметил, что Управление находится в стадии формирования, на него в т. ч. возложены полномочия по усилению мониторинга текущего состояния защиты конфиденциальной информации, обеспечению безопасности ЗО КИИ.

При подготовке методики оценки показателя состояния защиты конфиденциальной информации и обеспечения безопасности объектов КИИ в ОГВ учитывались все документы, от требований законодательства до ведомственных НПА.

Проект методики разработан и размещен на сайте для публичного обсуждения.

В качестве критерия оценки параметров назначен показатель состояния технической защиты информации и обеспечения безопасности ЗО КИИ — показатель защищённости.

Расчет интегрального показателя защищённости ведется по формуле простой свертки с перемножением весового коэффициента группы частных показателей безопасности на сумму значений частного показателя безопасности по каждой группе. Максимальное значение показателя защищённости — единица.

Обобщенные группы частных показателей объединяют параметры по критериям — организация и управление; защита пользователей; защита информационных систем; мониторинг информационной безопасности и реагирование — и имеют разные групповые весовые коэффициенты. Частные показатели в рамках групп — индивидуальные числовые значения безопасности.

Такая оценка должна проводиться в отношении каждой информационной системы, эксплуатируемой ОГВ или организацией, и организации в целом, отметил докладчик.

Минимально необходимый уровень безопасности от актуальных угроз равен единице. Если показатель находится в диапазоне от 0,75 до 0,99, уровень безопасности не обеспечивается, имеются предпосылки к реализации угроз. При значениях ниже 0,75 возможность реализации угроз можно считать повышенной или критической.

Предложения по совершенствованию проекта методического документа принимались ФСТЭК до 15 марта 2024 г. Как отметил В. Лютиков, тестирование методики на отдельных организациях показала ее работоспособность. Предполагается, что документ будет принят в этом году.

 

ВОПРОСЫ СЕРТИФИКАЦИИ

Основные направления совершенствования сертификации средств защиты информации представил Дмитрий Шевцов, начальник второго Управления ФСТЭК России. Эти направления включают сокращение сроков сертификации, совершенствование требований по безопасности информации к СЗИ, аттестацию экспертов органов по сертификации и испытательных лабораторий, повышение безопасности системного ПО и внедрение процессов безопасной разработки системного ПО СЗИ. 

Работа по совершенствованию требований к СЗИ относится к уже изданным требованиям по безопасности информации к средствам контейнеризации, средствам виртуализации, многофункциональным межсетевым экранам уровня сети (NGFW) и к системам управления базами данных (СУБД). Разрабатываются требования по безопасности информации и к средствам обнаружения и реагирования уровня узла (EDR).

В рамках совершенствования требований к NGFW планируется обязательное подключение оборудования к разработанной информационной системе страновой принадлежности IP-адресов. Разработан проект методики тестирования производительности NGFW и планируется создание Центра компетенций по тестированию производительности, устойчивости функционирования и функциональных возможностей межсетевых экранов и иных сетевых устройств, реализующих функции безопасности информации. Работы проводятся в рамках национальной программы «Национальная экономика данных». Производителям необходимо привести межсетевые экраны уровня сети в соответствие требованиям в срок до 1 января 2025 г., подчеркнул спикер. 

В системе сертификации ФСТЭК зарегистрировано 15 СУБД, из них четыре СУБД соответствуют требованиям к базам данных, предназначенным для хранения информации, подлежащей защите в информационной (автоматизированной) системе. 

Порядок сертификации процессов безопасной разработки системного ПО СЗИ утвержден и вступает в силу с 1 июня 2024 г. Все материалы по данному вопросу размещены на портале НПА России, отметил Д. Шевцов. Он подчеркнул, что сегодня сертификация проводится по требованиям ГОСТ 2016 г. и действует три года. Готовится новый проект стандарта и в будущем сертификация будет проходить по новым требованиям. 

В рамках аттестации органов по сертификации (ОС) и испытательных лабораторий (ИЛ) необходимо наличие в штате этих организаций аттестованных экспертов ОС и работников ИЛ. Требование вступает в силу с 1 марта 2025 г. Порядок аттестации таких сотрудников на соответствие требованиям при выполнении работы по оценке соответствия в отношении продукции, используемой в целях защиты сведений, составляющих гостайну или иную информацию ограниченного доступа, вступает в силу с 1 сентября 2024 г. Аттестация проводится в форме тестирования (100 вопросов по каждой области аккредитации) и решения практических задач (две задачи по каждой области аккредитации). На выполнение заданий по каждой области выделяется 90 минут, время решения задач по каждой области — 120 минут.