Пленарная сессия
На пленарной сессии эксперты, в числе которых были заместитель директора ФСТЭК России Виталий Лютиков и начальник отдела ДИБ Банка России Антон Чернодед, обсудили некоторые регуляторные нововведения:
— Оценка соответствия по ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022
Начальник отдела ДИБ Банка России Антон Чернодед отметил, что по окончании переходного периода, в течение которого финансовые организации осуществляют внедрение ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022, требование о прохождении оценки соответствия по указанным стандартам интегрируется в НПА Банка России.
— Показатель допустимой доли деградации технологического процесса
По словам Антона Чернодеда, финансовые организации несколько злоупотребляют данным инструментом управления рисками, вследствие чего необходимо установить определенные рамки. Ужесточение требований произойдет уже в следующем году путем внесения точечных правок в соответствующие НПА.
— Законодательное регулирование аутсорсинга ИТ- и ИБ-услуг
Запланированы несколько нововведений, касающихся регулирования использования аутсорсинга финансовыми организациями:
— Упрощенный порядок проведения оценки влияния при встраивании СКЗИ
Представитель ФСБ России Алексей Петров рассказал, что банки, участвующие в пилоте цифрового рубля, при выпуске обновлений своих мобильных приложений смогут не дожидаться заключений испытательных лабораторий, а сразу публиковать новые версии в магазинах приложений. Указанные изменения в процедуре будут детально определены в порядке ее проведения, разрабатываемом ФСБ России.
— Аккредитация центров ГосСОПКА
Представитель НЦКЦИ Андрей Раевский сообщил, что проект приказа, устанавливающего порядок аккредитации центров ГосСОПКА, будет вынесен на общественное обсуждение в начале 2025 года. В нем, среди прочего, будут установлены требования к специалистам таких центров, осуществляющим проведение мероприятий по оценке уровня защищенности.
— Федеральный закон о ГосСОПКА
Андрей Раевский отметил, что в данный момент совместно с заинтересованными ФОИВами готовится Федеральный закон о ГосСОПКА. Конкретные сроки пока неизвестны.
Помимо нормативных изменений, спикеры озвучили текущие тенденции в сфере ИБ:
— Сертифицирование средств защиты информации
Одной из проблем сертифицирования эксперты назвали затянутость процесса для разработчиков. Пока разработчик получает сертификат, средство устаревает. В отношении упрощенного порядка сертифицирования ПО было отмечено, что нагрузка переносится с плеч специализированных лабораторий и ФСБ России на самих разработчиков (вместе с ответственностью за некорректную сертификацию).
— Вопросы и проблемы импортозамещения с точки зрения регуляторов и поднадзорных организаций
Начальник отдела ДИБ Банка России Антон Чернодед подчеркнул, что хоть в Указе Президента РФ от 01.05.2022 г. срок полного перехода на импортозамещенные СЗИ сжатый, организациям все равно необходимо ориентироваться на январь 2025 года. По мнению экспертов, в России существуют все классы СЗИ, но для заказчиков эти решения часто бывают с низким уровнем производительности, а интерфейс не всегда является комфортным. Кроме того, невозможно заменить 100% зарубежных СЗИ единовременно, ведь специалистам нужно время для переобучения работе на российских СЗИ.
— Проблема атак на цепочки поставок
Специалисты обсудили, что все требования по ИБ, которые соблюдает заказчик, должны в полной мере исполняться и поставщиком. Для минимизации рисков атак на цепочку поставок необходимо активно внедрять процессы БРПО, при этом важно со студенческой скамьи обучать будущих разработчиков практике безопасной разработки с сопутствующими контрольными мероприятиями.
— Векторы развития в регулировании ИБ
Все спикеры пришли к единому мнению, что согласованная работа регуляторов безусловно важна, но необходимости в создании единого контролирующего органа они не видят. Объединение регуляторов — сложная задача, т.к. в разных ведомствах существует разная градация организаций, и это может усложнить процесс согласования регуляторных требований. Основной вектор развития регуляторики на данный момент – модернизация существующих НПА, а также взаимодействие поднадзорных организаций с регуляторами в рамках этого процесса.
Председатель Ассоциации АБИСС и руководитель AKTIV.CONSULTING Анастасия Харыбина призвала экспертное сообщество быть более инициативным, давать регуляторам обратную связь и активно подключаться к трудовым комитетам.
Сессия «КИИ: практика обеспечения безопасности»
Помимо построения эффективных систем обеспечения безопасности объектов КИИ, а также импортозамещения состава таких систем и самих объектов КИИ, эксперты призвали не забывать о корректном категорировании и поддержании актуальности сведений, подаваемых во ФСТЭК.
При решении задач по управлению ИБ субъектам КИИ важно учитывать взаимосвязь юридических лиц, имеющих отношение к защищаемым объектам, и использовать инструменты и практики, помогающие облегчить организационные процессы, такие как PDCA, FMEA, SADT, EPC, Process Landscape, Матрица RACI, UML Use Case Diagram.
В отношении импортозамещения вопросов все еще больше, чем ответов. Тем не менее отмечается тенденция объединения и автоматизации процессов для комплексной миграции СЗИ и прикладного ПО, а также поддержка российских ОС, СУБД, платформенных решений и PaaS-провайдеров.
Нормативные акты по ИБ в части требований пересекаются намного больше, чем может показаться на первый взгляд. Например, в Приказах № 21, № 17, № 31 и № 239 75-80% требований повторяются хотя бы раз, а 46%-62% одинаковы. На основании этой аналитики можно сделать вывод, что не надо защищать КИИ как отдельную сущность (когда это возможно). Более эффективным будет построение комплексной СУИБ, учитывающей все потребности и риски организации-субъекта.
Одним из спикеров сессии «КИИ: практика обеспечения безопасности» стала ведущий консультант по ИБ AKTIV.CONSULTING Ольга Копейкина. Она рассказала о практике комплексной защиты технологических объектов КИИ с использованием метода укрупнения (обобщения) и кластеризации уровня взаимодействия и обеспечения безопасности.
В своем выступлении Ольга сделала акцент на возможности минимизации затрат на построение СОИБ ОКИИ, а также сохранении защищаемых систем в насколько возможно неизменном виде.
Делимся с вами презентацией доклада нашего эксперта.
Скачать презентациюСессия «Финансовая отрасль: практика обеспечения безопасности»
В рамках секции спикеры рассказывали:
— об особенностях организация работы Удостоверяющего центра (УЦ) участников платформы цифрового рубля (ПлЦР), а именно о развертывании инфраструктуры УЦ, кадровом обеспечении и регламентации процессов;
— о специфики защиты объектов КИИ в финансовой отрасли, а именно о позиции регуляторов, объеме НПА, с которого следует начать освоение данного вопроса, информационных ресурсах, где можно почитать мнение комьюнити;
— практике реализации процессов операционной надежности №1 и №4 ГОСТ Р 57580.4 («идентификации критичной архитектуры» и «взаимодействия с поставщиками услуг» соответственно);
— об опыте разработки методологии по проведению оценки соответствия (ОС), заложенных в нее идеях, причинах почему не подошли имеющиеся аналогичные стандарты и фреймворки, какие требования предъявляются к процессу ОС и сторонам, участвующим в ОС;
— о результатах статистического анализа результатов ОС финансовых организаций по ГОСТ Р 57580.1 и ГОСТ Р 57580.2 на выборке из более чем 100 проектов за последние 2 года. По каждому процессу ГОСТ была приведена наглядная графика с указанием долей распределения оценок уровня соответствия и медианными значениями оценок по направлениям.
Одним из спикеров сессии стал Александр Моисеев. В своем докладе он подробно рассмотрел тему грамотного взаимодействия с поставщиками и выполнения требований по операционной надежности к финансовым организациям.
Скачать презентациюСессия «Технические аудиты ИБ»
В рамках сессии эксперты рассмотрели вопросы регулирования тестирования на проникновение, а также поделились рекомендациями и требованиями по их проведению. Кроме того, обсуждались требования к поставщикам услуг по анализу защищенности и организации RedTeam.
Основные моменты и проблемы, которые были озвучены на сессии:
— отсутствие в законодательстве конкретных требований как к проведению пентестов и их периодичности (исключение составляет лишь банковский сектор), так и к самим специалистам, инструментам и результатам;
— необходимость юридической составляющей при проведении пентестов на значимых объектах КИИ, а также определение четких границ данных работ;
— существенное (более чем в 2 раза) увеличение атак на российские компании за последний год, в связи с чем эксперты призвали помнить про забытые и схожие домены, которые чаще всего используют злоумышленники, а также проверять утечки на внешних репозиториях.
Хотим отметить, что даже среди квалифицированных специалистов с практическим опытом в этой сфере нет четко определенных понятий о названии и составе работ по проведению пентестов, что ещё раз подчёркивает актуальность и необходимость создания отечественного стандарта для проведения тестирований на проникновения.
Сессия «Аутсорсинг технологических процессов»
На сессии «Аутсорсинг технологических процессов» специалисты отрасли делились своим опытом взаимодействия с поставщиками различных услуг и продуктов через призму информационной безопасности, а также привели несколько рекомендаций по оптимальному выстраиванию процессов.
Тренды, которые эксперты отметили в своих докладах:
— Увеличение спроса на облачные решения
Организации всё чаще переходят на облачные платформы для выстраивания своей инфраструктуры. Это связано с гибкостью, масштабируемостью и экономичностью облачных сервисов.
— Сотрудничество с удаленными командами экспертов
Дефицит квалифицированных кадров в сфере разработки ПО и ИБ вынуждает компании ориентироваться не на собственный коллектив, а на сторонние команды, с которыми заключаются соответствующие договоры (либо на конкретные работы, либо на поддержку).
— Технические коммуникации так же важны, как и система ИБ
Значимость операторов связи, поддержания климатконтроля и стабильности подачи электричества при функционировании информационных систем была отдельно подчеркнута докладчиками. Если не обращать внимания на подобные технические системы, злоумышленник может увидеть в этом слабое место в периметре защиты.
Ключевые рекомендации, которыми поделились спикеры:
- Проводите тщательную оценку аутсорсинговых компаний, включая их репутацию, опыт в области безопасности и наличие соответствующих сертификатов.
- Убедитесь, что все обязательства, связанные с безопасностью данных, прописаны в договоре с контрагентом (SLA), включая условия обработки и хранения информации.
- Определите, какие данные могут быть отданы на аутсорс, и убедитесь, что критически важная информация остается под контролем организации.
- Проводите регулярные аудиты безопасности у аутсорсинговых провайдеров для оценки их соответствия установленным стандартам и требованиям.
- Настройте строгую политику управления доступом. Пусть он будет только у тех сотрудников и провайдеров, которые действительно нуждаются в этом.
Обеспечение безопасности аутсорсинга технологических процессов требует комплексного подхода и активного управления как со стороны организации-контрагента, так и со стороны провайдеров услуг.
Сессия «Управление рисками информационной безопасности»
На сессии «Управление рисками информационной безопасности» с докладами выступили как представители авторитетных консалтинговых организаций, так и эксперты различных компаний. Модератором сессии стал Олег Симаков, директор по развитию AKTIV.CONSULTING.
По результатам встречи участникам удалось:
- обменяться практическим опытом в реализации процессов управления рисками ИБ и способами преодоления типовых сложностей;
- выявить выгоды для служб ИБ и бизнеса компаний от внедрения процессов управления рисками ИБ.
Основные выводы сессии:
— Формирование результативной стратегии развития ИБ возможно только с применением риск-ориентированного подхода. Дальнейшее построение и реализация дорожных карт по развитию ИБ также не может обходится без процедур управления рисками.
— Важно соблюдать последовательность процедур при анализе и оценке рисков, а также не забывать о необходимости вовлечения в процессы управления рисками высшего руководства и бизнес-подразделений организации.
— Для анализа рисков и пополнения дефицитной статистики по инцидентам подходят доступные отечественные и зарубежные аналитические отчеты по ИБ от различных авторитетных компаний.
— Полезно изучать как успешные, так и ошибочные практики для обеспечения непрерывности критических процессов в ходе отражения компьютерных атаках и при внештатных ситуациях.
— Ресурсы, выделяемые на осознанное, методичное и системное управление риском ИБ кратно компенсируются пользой, которую в итоге получает не только подразделение ИБ, но и основные бизнес-юниты, а также заинтересованные подразделения организации.
Узнать подробнее о том, как прошла Конференция АБИСС вы можете в этой статье.
Услуги
ваша подписка
оформлена. Назад
к нам. В ближайшее время
мы с вами свяжемся. Назад
Мы будем оповещать вас
о встречах дискуссионного клуба. Назад
на дегустационную
консультацию