5 ноября 2024 года вступил в силу приказ . Положения приказа ориентированы на изменения требований к безопасности государственных информационных систем и объектов критической инфраструктуры. Изменения являются ответным шагом на активное развитие киберугроз в мире. Нововведения должны увеличить гибкость и эффективность защитных механизмов ИБ.
Приказ ФСТЭК России от 28 августа 2024 года №159 изменяет следующие положения:
«Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в ГИС»
«Об утверждении Требований по обеспечению безопасности ЗО критической информационной инфраструктуры РФ»
Основным изменением в новом приказе стал ориентир на атаки типа «отказ в обслуживании». В статье мы разберем основные положения приказа.
Меры защиты от атак типа «отказ в обслуживании» в отношении значимых объектов КИИК объектам КИИ и ГИС, информационные системы которых имеют интерфейсы, постоянно доступные через сеть «Интернет», согласно приказу , применяются следующие требования:
Выявлять сервисы/интерфейсы, к которым необходим постоянный доступ из сети Интернет.
Определить сетевые адреса, либо домены, участвующие в функционировании, дать определение их назначения.
Определить и исключить из состава ИС интерфейсы и сервисы, сетевые адреса и доменные имена, которые не участвуют в функционировании, либо их назначение не определено.
Сформировать матрицу с перечнем интернет-ресурсов, с которыми могут взаимодействовать ГИС или КИИ, с входящими и исходящими потоками, а также их характеристиками и протоколами.
Сформировать список сетевых адресов, с которыми необходимо обеспечить взаимодействие ИС.
Сформировать список разрешенных сетевых адресов, с которыми необходимо обеспечить взаимодействие ИС, в условиях реализации DDoS-атак.
Использовать средства по анализу и фильтрации сетевых запросов на максимальной скорости используемых каналов связи, а также средства, блокирующие сетевые запросы, в которых обнаруживаются признаки DDoS-атаки на сетевом и прикладном уровнях.
Иметь двухкратный резерв пропускной способности каналов передачи данных по отношению к усредненному объему трафика в условиях отсутствия DDOS-атак.
Использовать данные от взаимодействия с Центром мониторинга и управления сетью связи общего пользования.
В течении трех лет необходимо сохранять следующую информацию о DDoS-атаках: дату и время начала и окончания атаки; тип атаки; скорость передачи данных (Гбит/с, сетевых пакетов/с); список сетевых адресов источников атак; список адресов, подвергшихся атакам; принятые меры защиты.
Что должны предусматривать организационные меры защиты от атак типа «отказ в обслуживании»
1. Взаимодействие со следующими органами:
ГосСОПКА (государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак)
ЦМУ ССОП (Центр мониторинга и управления сетью связи общего пользования)
Провайдер хостинга/организация, оказывающая услуги связи. Необходимо разработать регламент совместной работы с разграничением обязанностей по предотвращению DDoS-атаки. .
2. Обеспечение доступности из сети «Интернет» сетевых интерфейсов и сервисов, после принятия мер по защите сетевого трафика (контроль и фильтрация на обоих направлениях), в соответствии с ранее разработанными матрицами коммуникаций ИС.
3. Иметь возможность размещения ИС и важных объектов в инфраструктуре провайдера хостинга, в которой уже реализованы необходимые меры по защите от DDoS-атак, либо перенаправлять трафик на программно-аппаратные средства организации, предоставляющей услуги в области контроля, фильтрации и блокировки сетевых запросов. Второй случай актуален тогда, когда оператор не имеет возможности обеспечить необходимую защиту самостоятельно, даже с привлечением провайдера хостинга.
4. Использовать программно-аппаратные средства контроля, фильтрации и блокировки сетевых запросов, расположенные на территории РФ, особенно в случае привлечения сторонних организаций для реализации защитных мер.
Сравнение внесенных изменений с предыдущими редакциями приказов ФСТЭК №17 и №239Сравним текущие изменения ФСТЭК с тем, какие требования были ранее:
1. Защита от DDoS-атак
Ранее не были прописаны конкретные меры по противодействию DDoS-атакам. Теперь введены меры, направленные на структурирование сетевых активов и взаимодействий организаций..
2. Хранение данных об инцидентах
Теперь необходимо сохранять информацию о зарегистрированных фактах реализации DDoS-атак в течение трех лет.
3. Взаимодействие с государственными структурами и провайдером
Данные требования ранее не уточнялись. Теперь предлагается ряд организационных мер, включающий список структур, с которыми необходимо наладить взаимодействие, а также ряд действий, необходимых для исполнения.
4. Обеспечение доступа в случае DDoS-атаки
Ранее сохранение работоспособности ресурсов в случае атаки DDoS не предполагалось. Теперь введение меры обязательного характера, предусматривающие обеспечение доступности данных ресурсов, пусть и для заранее определенного и ограниченного набора сетевых адресов.
5. Уточнение технических мер
Ранее регламентировались лишь общие положения без детального описания. Теперь список мер заметно расширился, стал более конкретным.
6. Резервирование каналов передачи данных.
Данный аспект не был четко регламентирован. В настоящий момент введено требование о наличии двухкратного резерва пропускной способности имеющихся каналов передачи данных.
Информационная безопасность в нашей стране активно развивается. Анализируются новые источники угроз и открывающиеся возможности для атак, в соответствии с которыми формируются методы противодействия, издаются требования ФСТЭК, включающие в себя актуальные данные по мерам защиты информации, позволяющим предотвратить возникновение новых инцидентов, в первую очередь, на объектах КИИ и в ГИС.
