Стандарты ИБ ужесточают критерии

Экспертное обсуждение вопросов обеспечения информационной безопасности сферы КИИ и защиты персональных данных

14.04.2023
10:30

Ассоциация АБИСС провела встречу с экспертами ИБ, посвященную наиболее обсуждаемым вопросам обеспечения информационной безопасности объектов критической инфраструктуры (КИИ) и защиты персональных данных.

 

В своем выступлении Александр Иванцов, старший инженер по защите информации Deiteriy Compliance рассмотрел вопрос: «Что дает государству и чем грозит бизнесу расширение границ КИИ?». Эксперт рассказал об изменениях, внесенных в правила категорирования объектов КИИ в конце прошлого года, и их влиянии на расширение области применимости КИИ и установке более строгих критериев значимости. Следствием таких изменений стал увеличение количества субъектов КИИ. Как отметил эксперт, это может грозить компаниям увеличением регуляторной нагрузки и расходов на внедрение и поддержание процессов ИБ. С другой стороны, это формализует требования для организаций, которые не занимались ИБ до этого и позволит повысить их уровень устойчивости к кибератакам.

 

Александр Моисеев, ведущий консультант AKTIV.CОNSULTING, осветил тему: «Импортозамещение в КИИ: поддержка и регулирование безопасной разработки». Эксперт отметил, что государство предпринимает довольно большой комплекс мер, связанных с регулированием и поддержкой безопасной разработки отечественного ПО. Это и разработка нормативно-правовых актов и стандартов, содержащих перечень актуальных и востребованных на практике мер обеспечения безопасности, и поддержка разработки отечественного ПО (в т.ч. в рамках политики импортозамещения), включающий работу центров компетенций импортозамещения, и выделение грантов и субсидий на разработку ПО. Также к поддержке он отнес различные активности отраслевых ассоциаций по обмену опытом, работу с сообществом разработчиков по проверке безопасности открытого кода. Дополнительно эксперт подчеркнул, что темой регуляторики и методологии в части безопасной разработки занимается несколько ведомств: прежде всего ФСТЭК России, ФСБ России, Минцифры, при поддержки ведущих научных организаций, таких как ИСН РАН.

Также к государственной политике по безопасности можно отнести обеспечение функционирования КИИ, создание национального репозитория открытого кода, обеспечение безопасности КИИ, включающий методическую работу регуляторов, оповещение об актуальных угрозах (ГосСОПКА), реализация программ bug bounty (поиска уязвимостей),

Основными проблемами импортозамещения Александр назвал отсутствие отечественных аналогов ПО, нехватку квалифицированных ИТ- и ИБ-кадров на рынке труда, уголовную и административную ответственность за нарушения в КИИ, которые потенциально «отпугивают» ИТ- и ИБ-специалистов от отрасли, дополнительные траты компаний и пр. При этом эксперт сделал прогноз о том, что тема безопасной разработки ПО будет активно развиваться и дальше. Например, на уровне государства она будет поддержана выходом группы стандартов ТК 362, также ожидается подготовка регламента по сертификации процессов безопасной разработки и запуск национального репозитория открытого кода.

 

Продолжил встречу Александр Хонин, руководитель отдела консалтинга и аудита Angara Security, представивший доклад на тему «Глобальный апгрейд 2023 года в сфере обработки и защиты ПДн». В условиях всеобщей цифровизации формируются новые информационные системы, содержащие в том числе большие объемы персональных данных. Можно отметить, что в последнее время происходит множество громких инцидентов, связанных с утечкой персональных данных.

В законодательстве появился ряд глобальных изменений, основной целью которых является снижение утечек персональных данных, а также более бережное и безопасное обращение с такими данными. С учетом этих изменений бизнес получил ряд новых обязанностей, государство — новые инструменты контроля, общество — больше уверенности в сохранности их обрабатываемых персональных данных.

 

Доклад «Утечки данных: динамика, причины, прогнозы» представил Евгений Царев, эксперт в сфере ИБ, управляющий RTM Group. 2022 год стал рекордным по масштабам утечек данных о гражданах. Эксперт рассказал о влиянии законодательного регулирования на утечки. Евгений уверен, что причин ожидать снижения количества утечек нет. В ближайшие годы самым вероятным сценарием станет рост числа утечек на 50-150% каждый год. Применение Open Source и российского ПО в совокупности с имеющейся хакерской активностью приведёт к множеству новых уязвимостей, которые не всегда удастся оперативно устранять.

 

Подвела итоги встречи Анастасия Харыбина, председатель Ассоциации АБИСС, которая рассказала о основных направлениях работы и инициативах АБИСС. Ассоциация АБИСС взяла курс на межотраслевую направленность деятельности и начала уделять особое внимание вопросам ИБ-регуляторики в КИИ. В настоящее время АБИСС прорабатывает инициативы по созданию регуляторной базы для аутсорсинга функции ИБ-комплаенса, оказания консалтинговых и аудиторских услуг, проведения тестов на проникновение и анализа уязвимостей ПО, а также аудита процессов безопасной разработки.

С этого года Ассоциация АБИСС планирует активизировать деятельность по межведомственной гармонизации требований, а также по повышению осведомленности и общего уровня понимания требований по информационной безопасности для специалистов, работающих с ИБ-регуляторикой. Для этого будут организованы на постоянной основе бесплатные онлайн-вебинары, тематические заседания с представителями регуляторов, а также масштабная ежегодная конференция по вопросам практической реализации регуляторных требований по информационной безопасности.