COVID-19
В связи с пандемией коронавируса в марте 2020 г. регуляторы провели активную разъяснительную деятельность по предотвращению угроз информационной безопасности. Далее представлена краткая сводка рекомендаций по деятельности в условиях пандемии от надзорных органов:
ФСТЭК РоссииФСТЭК России разработала для субъектов критической информационной инфраструктуры (далее – КИИ) рекомендации по обеспечению безопасности объектов КИИ при реализации дистанционного режима исполнения должностных обязанностей работниками. Отмечается, что предоставление удаленного доступа для управления режимами функционирования оборудования, входящего в состав автоматизированных систем управления, являющихся значимыми объектами КИИ, запрещено. Также в рекомендациях приводится ряд мер по минимизации рисков возникновения угроз безопасности информации, обрабатываемой объектами КИИ, при осуществлении удаленного доступа. Руководствоваться рекомендованными мерами можно и не только во время пандемии.
Национальный координационный центр по компьютерным инцидентам (НКЦКИ)
НКЦКИ опубликовал уведомление об угрозах безопасности информации, связанных с пандемией коронавируса. НКЦКИ предупреждает об активном использовании злоумышленниками ситуации вокруг пандемии коронавируса для осуществления широкого спектра вредоносной деятельности и публикует рекомендации по противодействию угрозам информационной безопасности. Специалисты НКЦКИ выделяют два типа вероятных угроз:
1. Мошенничество.
2. Угрозы, связанные с удаленным режимом работы.
Стоит отметить, что данные угрозы актуальны не только в обстоятельствах пандемии, а значит руководствоваться рекомендациями НКЦКИ можно и нужно не только в ее условиях.
Требования доверия
ФСТЭК Росси 5 марта 2020 г. разместила для общего доступа выписку из Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утвержденных приказом ФСТЭК России от 30 июля 2018 г. № 131 (далее – Требования к уровням доверия).
Выполнение Требований к уровням доверия является обязательным при проведении работ по оценке соответствия (включая работы по сертификации) средств защиты информации (далее – СрЗИ). Требования к уровням доверия носят гриф «Для служебного пользования», а СрЗИ, соответствующие 1, 2 и 3 уровням доверия, должны применяться в информационных (автоматизированных) системах, обрабатывающих информацию, содержащую сведения, составляющие государственную тайну. Поэтому опубликованная выписка содержит лишь информацию о требованиях, предъявляемых к 4, 5 и 6 уровню доверия.
Информация о том, в каких случаях необходимо применение СрЗИ, соответствующих 4, 5 и 6 уровню доверия приведена в таблице ниже.
СрЗИ, | Класс систем, требующий применения соответствующих СрЗИ | Уровни контроля по выявлению уязвимостей и НДВ |
6 уровень доверия |
- Значимые объекты КИИ 3 категории - ГИС 3 класса защищенности - АСУ производственными и технологическими процессами 3 класса защищенности - ИСПДн при 3 и 4 УЗ ПДн | 6 уровень контроля |
5 уровень доверия |
- Значимые объекты КИИ 2 категории - ГИС 2 класса защищенности - АСУ производственными и технологическими процессами 2 класса защищенности - ИСПДн при 2 УЗ ПДн | 5 уровень контроля |
4 уровень доверия |
- Значимые объекты КИИ 1 категории - ГИС 1 класса защищенности - АСУ производственными и технологическими процессами 1 класса защищенности - ИСПДн при 1 УЗ ПДн - Информационные системы общего пользования II класса | 4 уровень контроля |
Перечень сокращений и обозначений:
АСУ – автоматизированные системы управления;
ГИС – государственные информационные системы;
ИСПДн – информационные системы персональных данных;
КИИ – критическая информационная инфраструктура;
НДВ – недекларированные возможности;
ПДн – персональные данные;
УЗ – уровень защищенности.