Методичная безопасность: путь к «минимальному уровню» защищенности

За последние несколько месяцев ФСТЭК России проанализировал выборочно 100 организаций на соответствие новой методике оценки защищенности, утвержденной в мае 2024 года. Только в 11% случаев в организациях обеспечивается минимальный уровень защиты. Новые правила оценки должны будут применяться государственными органами, субъектами КИИ (критической информационной инфраструктуры) и владельцами ИСПДн (систем персональных данных). На данный момент документ носит рекомендательный характер, однако это временная мера. Уже сейчас ФСТЭК России может запрашивать результаты проведения такой оценки по своему усмотрению. В дальнейшем также планируется ввести рейтинг объектов КИИ по уровню ИБ, куда будут попадать компании, допустившие взломы и утечки. Разбираем в деталях, что подразумевает минимальный уровень защиты и какие показатели защищенности присутствуют в новой методике.

Данные по проверке компаний привёл начальник управления ФСТЭК России Сергей Бондаренко на SOC Forum 2024. По словам представителя регулятора, большинство компаний, которые посетили специалисты ФСТЭК, не готовы к кибератакам: «у них нет ни защитных механизмов, ни плана действий в таких ситуациях, ни ответственного лица по устранению неполадок». Что касается самой методики, она позволяет оценить текущее состояние защиты информации в организации и степень соответствия минимально необходимому уровню защиты. При этом оценка, согласно методике, должна будет проводиться не реже 1 раза в полгода. 

Две задачи

Методика предназначена для выполнения двух задач. Во-первых, для определения показателя, характеризующего текущее состояние защиты информации, и оценки эффективности деятельности внутреннего ИБ-подразделения в организации. В этом случае результаты оценки являются критерием принятия управленческих решений по защите информации и определения их приоритетности. Во-вторых, это контроль за обеспечением безопасности значимых объектов КИИ и ГИС (государственных информационных системах), устойчивое функционирование которых является критически важным не только для их владельцев, но и для страны в целом. Организации будут собирать данные о состоянии своих объектов и направлять их регулятору на периодической основе или по запросу ФСТЭК России. По нашим данным регулятор чаще всего «приходит» с проверкой в случае киберинцидента или значимых изменений в ИТ-инфраструктуре компании.

Сбор и анализ - отдельно, проверка результатов - отдельно

Оценка показателя защищенности осуществляется в отношении всех систем, которые подлежат защите, и организуется департаментом, ответственным за обеспечение ИБ в компании. Сотрудники, проводящие сбор и анализ данных для оценки, не должны проверять результаты собственной работы, но при этом могут использовать результаты внешней оценки соответствия, например, при аудите безопасности.

Из чего состоит отчет

Источники данных поделены на частные показатели – на меры и требования, которым присвоен определенный «вес» коэффициента. Оцениваются 4 основные группы показателей: организация и управление ИБ, защита пользователей, защита систем, мониторинг ИБ и реагирование.

Базовый (минимальный уровень) – это выполнение мер в нужном допустимом объеме, низкий – если не выполнена какая-то часть мер, критический – полное несоответствие по методике. Чтобы организация соответствовала базовому уровню, нужно выполнять все меры и требования, указанные в документе, если не выполняется даже что-то одно, то организации присваивается низкий уровень защищенности. В таком случае, нужно разработать план мероприятий по повышению уровня защищенности и выполнить его до следующей оценки.

Насколько организации готовы

По недавней оценке ФСТЭК, 89% проверенных объектов КИИ не соответствуют установленным требованиям к защищенности от кибернападений. Учитывая, что на данный момент документ носит рекомендательный характер до введения в действие нормативных правовых актов, устанавливающих обязательные требования, у организаций есть возможность подготовиться и внедрить необходимые классы решений, которые предписывает регулятор в нормативном документе.

«Большой процент проверенных объектов КИИ сейчас не соответствует установленным требованиям, так как некоторые критерии, по которым проводится оценка, не являются обязательными для большинства организаций. Это меры по многофакторной аутентификации (2FA) и централизованному сбору событий безопасности (SIEM). По методике расчета, если хотя бы одна мера не выполняется, то организация уже получает статус низкого уровня защищенности. Ситуация может улучшиться, когда проведение оценки защищенности будет обязательным», - объяснила Алена Лукашева, заместитель руководителя департамента аудита и консалтинга iTPROTECT.

В частности, 24 октября на конференции «‎Сохранить все: безопасность информации»‎ начальник управления ФСТЭК Дмитрий Шевцов подтвердил планы по выпуску новых требований о защите информации, содержащейся в ГИС, в начале 2025 года, предназначенных для замены Приказа №17. В числе требований есть условие, при котором результаты оценки должны будут предоставляться во ФСТЭК России каждые полгода. В случае недостаточного уровня защиты по итогам оценки, у руководителей по ИБ будет полгода для внедрения недостающих технических решений или организационных мер.

По оценке экспертов iTPROTECT, применение методики станет обязательным в первую очередь для государственных организаций, однако от выборочных проверок регулятором не застрахован никто (при наличии ГИС, ОКИИ или ИСПДн). Тем временем, часть заказчиков iTPROTECT уже обратилась к нам за проектированием новых элементов комплексной системы безопасности для соответствия нужному уровню защищенности по требованиям регулятора. Из конкретных классов решений, чаще всего, организациям не хватает 2FA и SIEM-систем. Если у вас есть вопросы по методике ФСТЭК России или нужна консультация по необходимости изменений в вашей ИБ-стратегии, оставляйте заявку на сайте.