В обзоре изменений в сфере критической информационной инфраструктуры за ноябрь 2024 года рассмотрим изменения, внесенные в приказ ФСТЭК России № 239.
Требования по защите от атак, направленных на отказ в обслуживании
5 ноября 2024 года вступил в силу приказ Федеральной службы по техническому и экспортному контролю Российской Федерации (далее – ФСТЭК России, РФ) от 28.08.2024 № 159 «О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11.02.2013 № 17, и Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры РФ, утвержденные приказом ФСТЭК России от 25.12.2017 № 239».
В отношении значимых объектов критической информационной инфраструктуры (далее – КИИ) должны применяться следующие меры защиты от атак типа «отказ в обслуживании»:
- выявление интерфейсов и сервисов, к которым должен быть обеспечен постоянный доступ из сети «Интернет»;
- выявление публичных сетевых адресов и доменных имен, используемых для обеспечения функционирования, определение их назначения;
- выявление и исключение интерфейсов и сервисов, доступных из сети «Интернет», публичных сетевых адресов и доменных имен, не используемых для обеспечения функционирования или принадлежность которых не установлена;
- формирование матрицы коммуникаций, содержащей перечень ресурсов сети «Интернет», с которыми может взаимодействовать значимый объект КИИ, а также исходящие и входящие сетевые потоки, их характеристики, используемые протоколы;
- определение сетевых адресов, с которыми должно быть обеспечено взаимодействие;
- формирование списка разрешенных сетевых адресов в условиях реализации атак типа «отказ в обслуживании»;
- использование средств, обеспечивающих:
o анализ и фильтрацию сетевых запросов на максимально возможной скорости;
o возможность блокирования сетевых запросов, обладающих признаками атак типа «отказ в обслуживании» на сетевом и прикладном уровнях;
- наличие двукратного резерва пропускной способности каналов передачи данных относительно объемов трафика в условиях отсутствия реализации атак;
- использование данных, полученных при взаимодействии с Центром мониторинга и управления сетью связи общего пользования;
- обеспечение хранения в течение трех лет следующей информации о фактах реализации атак:
o дата и время начала и окончания реализации атаки;
o тип атаки;
o объем (Гбит/с, сетевых пакетов/с);
o перечень сетевых адресов, являющихся источником атак;
o перечень сетевых адресов, подверженных атакам;
o принимаемые меры защиты;
Меры, направленные на защиту от атак типа «отказ в обслуживании», должны предусматривать:
- взаимодействие с:
o государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ;
o Центром мониторинга и управления сетью связи общего пользования;
o провайдером хостинга или организацией, предоставляющей услуги связи;
- определение порядка взаимодействия с провайдером хостинга по совместному блокированию атак типа «отказ в обслуживании» и разграничению зон ответственности при таком блокировании;
- обеспечение доступности из сети «Интернет» интерфейсов и сервисов, подлежащих защите от атак типа «отказ в обслуживании» после принятия мер по контролю и фильтрации исходящего и входящего сетевого трафика;
- возможность размещения значимых объектов КИИ в информационно-телекоммуникационной инфраструктуре провайдера хостинга, обеспечивающего защиту от атак типа «отказ в обслуживании», или осуществление защиты путем перенаправления сетевого трафика на программно-аппаратные средства организации, оказывающей услуги по контролю, фильтрации и блокированию сетевых запросов (при отсутствии технической возможности у оператора самостоятельно организовать защиту);
- использование для осуществления контроля, фильтрации и блокирования сетевых запросов, обладающих признаками атак типа «отказ в обслуживании» программно-аппаратных средств, расположенных на территории РФ.