Последний месяц лета законодатели отметили активной работой над совершенствованием существующих и разработкой новых законопроектов. Хакеры традиционно уделили внимание ритейлерам, операторам связи, государственному сектору и сфере ИТ.
Новое в законодательстве
Август 2024 года стал насыщенным в части законотворчества, касающегося кибербезопасности и защиты информации. Правительство сосредоточилось на безопасности в глобальной сети и ослабило требования к ИТ-компаниям, ФСТЭК опубликовала ряд уточняющих и разъясняющих документов, а Минцифры в очередной раз уделяет внимание защите ПДн.
Минпромторг уточняет критерии отнесения ПАК к числу доверенных
Минпромторг подготовил , вносящий изменения в Правила перехода субъектов КИИ на доверенные программно-аппаратные комплексы (ПАК).
Министерство планирует актуализировать критерии, согласно которым ПАК могут быть признаны доверенными. В частности, если в составе ПАК используется и из соответствующего Реестра.
Критерии, относящиеся к оборудованию, используемого при обеспечении защиты информации, будут доработаны аналогично.
Правительство займется безопасностью в Интернете
Соответствующий был утвержден Президентом РФ 04.08.2024 г. Правительство вплотную займется вопросами развития ИТ и телекоммуникационной инфраструктуры, которая позволит обеспечить устойчивость, целостность и безопасность работы Интернета в России. Также Президент поручил проработать проблему противодействия информационным угрозам и кибермошенничеству. Первый доклад по обозначенным вопросам должен быть представлен уже 1 сентября 2024 года. Далее планируется регулярная подготовка информации о ходе выполнения поручений с предоставлением соответствующих докладов раз в полугодие.
Защита информации и функциональная безопасность в новом стандарте
Документ регламентирует порядок, в соответствии с которым будет обеспечиваться и подтверждаться безопасность и защита информации. ГОСТ предназначен для координации ряда процессов – от оценки рисков до управления и эксплуатации.
Также разработчики предусмотрели ряд мер, направленных на предотвращение конфликтов между защитой информации и функциональной безопасностью.
ФСТЭК уточняет и поясняет
В августе 2024 года служба представила ряд дополнений и изменений, касающихся защиты информации, в том числе:
– регламентирует порядок оформления лицензий для компаний и организаций, которые работают с гос.тайной или участвуют в обеспечении ее защиты;
содержащего перечень требований по защите информации – будет распространяться на ситуации, когда данные не относятся к гос.тайне, но содержатся в ГИС или информационных системах гос.органов и предприятий;
– утверждает формы документов, которые служба и ее подразделения используют при осуществлении контроля защиты гос.тайны;
– определяет порядок подготовки и проведения проверок по контролю за защитой гос.тайны, а также оформления их результатов;
– определяет порядок информирования о присвоении категорий объектам КИИ в химической промышленности.
Банк России предупреждает о дипфейках
Соответствующее появилось на официальном портале Банка. Ведомство предупреждает о набирающем популярность способе мошенничества с использованием цифровой копии определенного человека, созданной на основании фотографий, видео и аудиозаписей. ЦБ рекомендует проверять информацию и любые финансовые просьбы, которые приходят в формате видеосообщения, и, по возможности, связываться с человеком, от имени которого оно пришло, прежде чем совершать какие-либо действия.
Изменения в законодательство о ПДн вступили в силу
был официально опубликован 8 августа, большинство положений этого закона вступили в силу с момента публикации.
Документ вносит ряд изменений в законы о ПДн. В частности, разрешено использовать СЗИ с функцией уничтожения данных, чтобы повысить уровень защищенности информации. Также законодатели уточнили порядок обработки обезличенных ПДн и предоставления доступа к ним, урегулировали их передачу в ГИС Минцифры.
Минцифры усилит контроль за ПДн
Министерство опубликовало определяющий еще один индикатор риска, который будет сигнализировать о том, что требования государственного контроля за обработкой ПДн были нарушены.
Таким индикатором станет ситуация, когда при проведении оценки соответствия контролирующим органом или при предоставлении информации, связанной с рекомендательными технологиями, владельцем интернет-ресурса, выявлены 2 и более факта несоответствия.
Закон – против распространения деструктивного контента
Соответствующий был официально опубликован 08.08.2024 года. Документ содержит следующие ключевые положения:
доступ к информации теперь могут ограничивать как федеральные законы, так и акты, подписанные Президентом РФ;
выявлять оскорбительный и противоправный контент теперь обязан владелец соц.сети
выполнять ограничения, предусмотренные Роскомнадзором, а также предоставлять этому ведомству данные для идентификации пользовательского ПО и средств связи, используемых в Интернете, обязан оператор связи;
Роскомнадзор получил право управлять сетью связи общего пользования, при этом ведомство уполномочено определять угрозы и предпринимать шаги по их устранению в соответствии с действующими регламентами.
Также законом предусмотрены изменения в порядке лицензирования для компаний, которые работают в сфере оказания услуг связи.
Правительство упрощает ИТ-аккредитацию
вносит ряд изменений в Постановление №1729 от 30.09.2022 г.
Теперь получить государственную аккредитацию в качестве российской ИТ-компании также смогут входящие в реестр малых технологических компаний в качестве стартапа с минимальными показателями выручки.
Требования по доле выручки от работы в ИТ-сфере не предъявляются.
Предусмотрено освобождение от планового подтверждения соответствия критериям для некоторых организаций.
Порядок подачи заявлений на государственную аккредитацию уточнен.
Самые громкие события и инциденты августа 2024 года в России
В отличие от законодателей хакеры в августе проявляли не слишком высокую активность. Последний месяц лета ознаменовался массированной атакой на онлайн-ритейлеров, а также масштабным интернет-сбоем, который затронул практически всю страну.
Ритейлеры – снова под ударом
В преддверии нового учебного года значительно выросла интенсивность DDoS-атак на ритейлеров. Особенно «востребованными» с точки зрения хакеров оказались магазины канцелярских товаров, обуви, одежды, бытовой техники.
В основном убытки понесли небольшие интернет-магазины. Профессиональная защита крупных онлайн-ритейлеров в большинстве случаев успешно справилась с атаками.
Всероссийский интернет-сбой
21 августа миллионы пользователей по всей стране столкнулись с проблемой – стали недоступны многие популярные мессенджеры, сервисы и сайты. Крупная атака повлияла на работу таких платформ, как:
WhatsApp
Wildberries
Telegram
Яндекс
Roblox
Viber
Вконтакте и ряда других.
причиной стала массированная DDoS-атака, направленная против операторов связи. По заявлениям ведомства, атака была быстро нейтрализована, а сервисы смогли оперативно восстановить нормальную работу.
Китайские хакерские группировки атакуют российские госструктуры
Сообщения об атаках появились в начале августа 2024 года. Для проникновения в инфраструктуру государственных и ИТ-компаний, киберпреступники используют рассылку писем с архивами. Внутри архивов находятся зараженные ярлыки, которые замаскированы под обычные документы.
Целью злоумышленников становится похищение служебной информации. Помимо кражи файлов, преступники также могут отслеживать действия жертвы на экране зараженного устройства и определять, какие клавиши она нажимает.
