В первом квартале текущего года основной фокус внимания законодательных органов сосредоточился на биометрии, а также на безопасности сферы финансов. Хакерам не удалось побить свой январский «рекорд», однако объемы утечек персональных данных по-прежнему исчисляются десятками миллионов строк.
Новое в законодательстве
Законодатели сосредоточились на уточнении документов, регулирующих порядок работы с биометрией. Банк России обновил требования к защите информации и выпустил рекомендации по управлению рисками в сфере ИБ, а ФСБ уточнила требования к сертификатам ЭП.
Для удобства пользователей ФСТЭК опубликовала в открытом доступе перечень национальных стандартов, которые были разработаны Технической комитетом по стандартизации и приняты Росстандартом.
Банк России обновляет требования к защите информации при осуществлении денежных переводов
На смену ранее действовавшему приходит обновленный документ – . Разработчики руководствовались ч.3 ст.27
Что изменилось в Положении №821-П:
в части оценки соответствия требованиям к оценочному уровню доверия – теперь допускается не только заказывать оценку у сторонних организации, имеющих лицензию ФСТЭК, но и выполнять ее самостоятельно;
в части криптографии – устанавливается требование об обязательном использовании усиленной электронной подписи;
расширен список организаций, относящихся к категории субъектов национальной платежной системы. Теперь требования Положения также распространяются на операторов электронных платформ защиты информации.
Новое Положение вступило в силу 01.04.2024 г. Исключение составляют несколько пунктов, которые начнут действовать только 01.01.2031 г.
ФСБ меняет требования к форме сертификата ЭП
ФСБ опубликовала , вносящий изменения в перечень требований, ранее установленных
Что меняется в соответствии с новым Приказом:
Обновляются формы общего вида квалифицированного сертификата. Изменения распространяются на сертификаты, оформленные на бумажном носителе. В этой части Приказ распространяется на физических и юридических лиц, а также ИП.
Добавлены формы бумажных сертификатов для гос.органов, органов местного самоуправления, Центробанка и представительств иностранных юр.лиц.
В части структуры сертификата – добавлено поле, определяющее срок действия ключа (privateKeyUsagePeriod).
Для заявителей, действующих от имени третьего лица, появилась возможность включить данные о правомочиях и сроке действия в квалифицированный сертификат. Для этого необходимо предоставить в аккредитованный центр подтверждающие документы.
Документ вступает в силу 01.09.2024 г. Срок его действия ограничен и закончится 01.09.2027г.
Биометрия и мобильное приложение ЕБС
Правительство представило , которое призвано упростить подтверждение биометрических ПДн и уточнить порядок их подтверждения посредством мобильного приложения.
В предлагается внести следующие изменения
Размещение или обновление сведений о физ.лице в ЕСИА, подтверждение достоверности биометрии, направление данных о подтверждении личности и биометрии в ЕБС осуществляются сотрудником банка после того, как он идентифицировал человека. При этом требуется личное присутствие физ.лица.
Физическое лицо может подтвердить свои биометрические ПДн, которые размещены в ЕБС. Для этого он вправе обратиться лично в банк с универсальной или базовой лицензией (должна соответствовать критериям ). Сделать это можно до того, как срок использования биометрии истечет.
Допускается использовать биометрические ПДн физ.лица, даже если они не подтверждены при его личном визите в банк. Перечень случаев, для которых действует такое допущение, определяет . При этом биометрия должна быть подтверждена оператором ЕБС (для этого оператор сверяет биометрические ПДн с данными физ.лица, размещенным в ЕБС ранее).
В настоящее время документ проходит стадию подведения итогов публичного обсуждения.
Банк России выпустил рекомендации по управлению рисками ИБ
Методические рекомендации призваны обеспечить единый подход к управлению рисками со стороны кредитных организаций. Исключение сделано для центрального депозитария (согласно ст.2 ) и центрального контрагента (согласно ).
В документе указано, какой уровень защиты должны обеспечить некредитные и кредитные финансовые организации. При этом учитывается статус этих организаций.
Минцифры предлагает внести изменения в закон о КИИ
В качестве цели указаны переход на отечественные решения и обеспечение надежной защиты ЗО КИИ. В случае принятия документ наделит Правительство определять типы информационных систем, которые относятся к ЗО КИИ, для каждой отрасли с учетом присущих ей особенностей.
Для указанных выше объектов будут установлены сроки перехода на отечественные продукты с учетом готовности российских решений. Процесс перехода и контроль сроков будет возложен на отраслевые ведомства.
Новые ГОСТы в сфере защиты информации
Росстандарт представил два новых ГОСТа, целью который становится установление порядка разработки безопасного ПО:
устанавливает требования к безопасным компиляторам. Требования стандарта распространяются на программы, разработанные с использованием языков С/С++.
определяет, какими требованиями необходимо руководствоваться при внедрении / выполнении стат.анализа ПО. Также документ устанавливает перечень необходимых исходных данных, требования к методам, инструментам и специалистам, его проводящим.
Сфера транспорта – в зоне внимания ФСТЭК
ФСТЭК опубликовала , в котором разъяснила, куда субъекты КИИ должны предоставлять перечни подлежащих категорированию объектов КИИ, а также данные о присвоении какой-либо категории значимости (либо неприсвоении ни одной из них). Документ ориентирован только на те субъекты, которые работают в сфере транспорта.
Государство поддержит разработку отечественных ГИС
о порядке предоставления субсидий на реализацию проектов по созданию и развитию ГИС было опубликовано в марте 2024 года. Основные условия субсидирования:
проект должен быть предусмотрен федеральным законодательством;
организация должна быть оператором системы;
запуск ГИС должен осуществляться в сроки, которые определены в соответствующем решении.
Что касается сумм – они ограничиваются правовым актом, который принимает Правительство.
В то же время не останется без внимания и уровень защищенности уже действующих систем. Чтобы более тщательно проработать этот вопрос, был продлен срок действия эксперимента, инициированного еще в 2022 году. Соответствующий документ, продлевающий эксперимент до 31 декабря 2024 года, был опубликован в марте 2024 г.
Недоступные «облака»
С конца марта российские компании Amazon и Microsoft. Соответствующее сообщение направила компания Softline. В число продуктов, блокировка которых ожидается, в числе прочего войдут Dynamics CRM и Power BI.
Ограничения станут прямым следствием 12 пакета санкций ЕС, принятого в декабре 2023 года. Они ограничивают поставку ПО для бизнес-аналитики и ряда других продуктов.
Речь идет обо всех облачных продуктах, которые будут определены правообладателями как запрещенные согласно положений Регламента Европейского союза 833/2014
Самые громкие события и инциденты февраля - марта 2024 года в России
С начала февраля 2024 года произошло почти 30 массированных утечек данных, содержащих около 11 миллионов строк, а доля высококритичных кибератак . При этом доля веб-атак возросла до 15%, а доля киберинцидентов с использованием вредоносного софта увеличилась на 7%.
Помимо «традиционных» атак против интернет-магазинов и сетей салонов связи? в число целей киберпреступников попали системы электронного голосования, домашние провайдеры и энергосбытовые компании.
Киберпреступники против голосования
В период выборов президента РФ 15-17 марта было совершено почти пятьсот DDoS-атак. Кибератаки в основном велись с территории Литвы, Финляндии, Германии, Великобритании и Соединенных Штатов Америки. Основными «мишенями» злоумышленников стали ресурсы систем электронного голосования и ЦИК. Длительность самой масштабной атаки составила около 40 часов, а мощность – 87 Гб/с.
Хакеры атакуют интернет-магазины
Очередная атака злоумышленников, причастных к взломам СДЭК и GeekBrains, была направлена . В результате кибератаки в начале марта киберпреступники похитили персональные данные почти 4 миллионов пользователей интернет-магазина, в том числе имена, адреса электронной почты, номера телефонов, частично – даты рождения и регистрации, применявшиеся IP-адреса.
Утечка данных «Ортеки»
В первой декаде марта 2024 года хакеры успешно атаковали ИТ-инфраструктуры - сети ортопедических салонов. Утечка затронула несколько сотен тысяч клиентов «Ортеки». В полной базе данных содержится подробная информация о клиентах, в том числе паспортные данные, адреса доставок, информация о заказах, уникальные номера телефонов и более 400 тысяч адресов электронной почты. Злоумышленники выложили в открытый доступ только те данные, которые содержатся в формах обратной связи.
Домашние интернет-провайдеры и энергосбыт под ударом
Первый квартал 2024 года ознаменовался массированными , работающих в сфере «домашнего интернета». В частности, о перебоях в работе, вызванных DDoS-атаками, сообщали «Пермэнергосбыт», «Красноярскэнергосбыт», провайдер «Авантел» (последний работает в Новосибирской области).
Под ударом хакеров оказываются все новые и новые сферы деятельности, и в современном мире ни одна компания, использующая ИТ-технологии, не может рассчитывать на кибербезопасность, если не предпримет комплексные меры защиты. Сфера информационной безопасности требует постоянного развития и совершенствования, чтобы компании получили возможность успешно противостоять угрозам.
