Итак, что же говорится в новом Указе Президента №250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации":
🔥 распространяется на органы госвласти, высшие исполнительные органы госвласти, госфонды, госкорпорации, иные предприятия, созданные на основании ФЗ, стратегические предприятия, стратегические акционерные общества, системообразующие организации экономики, субъекты КИИ
🔥 замруководителя попавшего под Указ предприятия назначается ответственным за ИБ, а сам руководитель несет персональную ответственность за ИБ (привет статья 274.1 УК РФ и 13.12 КоАП)
🔥 Правительство должно утвердить положение о таком замруководителя
🔥 должен быть создан отдел по ИБ или эта задача должна быть возложена на иное подразделение (никаких ответственных одиночек - только целые отделы)
🔥 Правительство должно утвердить положение о таком подразделении
🔥 привлекать для ИБ можно только лицензиатов ТЗКИ (теперь не удастся закрыть глаза на отсутствие лицензии ФСТЭК у подрядчиков)
🔥 вводится официально аккредитация центров ГосСОПКИ, которые могут привлекаться для мониторинга ИБ
🔥 ФСБ получает беспрепятственный доступ (в том числе удаленный) ко всей инфраструктуры попавших под Указ предприятий
🔥 незамедлительная реализация всех требований ФСТЭК и ФСБ, которые они рассылают активно в последнее время
🔥 Правительство должно определить список организаций, которые должны провести оценку защищенности своих информационных систем с привлечением лицензиатов ФСТЭК и ФСБ (никакой самодеятельности). До 1-го июля ЭТОГО года эти организации должны оценить свою защищенности и представить результаты в Правительство
🔥 ФСБ должна организовать аккредитацию центров ГосСОПКИ по новым правилам (старые соглашения юудут действовать в течение срока, который ФСБ же и утвердит)
🔥 ФСБ определит порядок мониторинга ИБ всеми организациями, попавшими под Указ (то есть рассекретит наконец-то свои методички)
🔥 с 1-го января 2025 все попавшие под Указ организации не смогут закупать и использовать средства защиты из недружественных государств, а также иных организаций, которые прямо или косвенно подконтрольны таким государствам.
🔥 распространяется на органы госвласти, высшие исполнительные органы госвласти, госфонды, госкорпорации, иные предприятия, созданные на основании ФЗ, стратегические предприятия, стратегические акционерные общества, системообразующие организации экономики, субъекты КИИ
🔥 замруководителя попавшего под Указ предприятия назначается ответственным за ИБ, а сам руководитель несет персональную ответственность за ИБ (привет статья 274.1 УК РФ и 13.12 КоАП)
🔥 Правительство должно утвердить положение о таком замруководителя
🔥 должен быть создан отдел по ИБ или эта задача должна быть возложена на иное подразделение (никаких ответственных одиночек - только целые отделы)
🔥 Правительство должно утвердить положение о таком подразделении
🔥 привлекать для ИБ можно только лицензиатов ТЗКИ (теперь не удастся закрыть глаза на отсутствие лицензии ФСТЭК у подрядчиков)
🔥 вводится официально аккредитация центров ГосСОПКИ, которые могут привлекаться для мониторинга ИБ
🔥 ФСБ получает беспрепятственный доступ (в том числе удаленный) ко всей инфраструктуры попавших под Указ предприятий
🔥 незамедлительная реализация всех требований ФСТЭК и ФСБ, которые они рассылают активно в последнее время
🔥 Правительство должно определить список организаций, которые должны провести оценку защищенности своих информационных систем с привлечением лицензиатов ФСТЭК и ФСБ (никакой самодеятельности). До 1-го июля ЭТОГО года эти организации должны оценить свою защищенности и представить результаты в Правительство
🔥 ФСБ должна организовать аккредитацию центров ГосСОПКИ по новым правилам (старые соглашения юудут действовать в течение срока, который ФСБ же и утвердит)
🔥 ФСБ определит порядок мониторинга ИБ всеми организациями, попавшими под Указ (то есть рассекретит наконец-то свои методички)
🔥 с 1-го января 2025 все попавшие под Указ организации не смогут закупать и использовать средства защиты из недружественных государств, а также иных организаций, которые прямо или косвенно подконтрольны таким государствам.
publication.pravo.gov.ru
Указ Президента Российской Федерации от 01.05.2022 № 250 ∙ Официальное опубликование правовых актов
Указ Президента Российской Федерации от 01.05.2022 № 250
"О дополнительных мерах по обеспечению информационной безопасности Российской Федерации"
"О дополнительных мерах по обеспечению информационной безопасности Российской Федерации"
Если чуть более простым языком переложить 250-й Указ Президента, то звучит он так:
- что-то с ИБ у нас совсем все плохо
- ФСТЭК не справилась, подключим к ним еще и ФСБ
- строить стены неэффективно, давайте еще и мониторить
- руководство организации должно отвечать за ИБ, а не только одинокие ИБшники
- все в ГосСОПКУ
- ФСБ дадим максимально возможные полномочия по ИБ
- задолбали с отмазками по поводу невозможности импортозамещения - за 3 года чтобы все всё заместили
- посторонних и всяких смузяшных стартаперов в ИБ быть не должно - только крупняк, способный получить лицензию и договориться с ФСБ
- что-то с ИБ у нас совсем все плохо
- ФСТЭК не справилась, подключим к ним еще и ФСБ
- строить стены неэффективно, давайте еще и мониторить
- руководство организации должно отвечать за ИБ, а не только одинокие ИБшники
- все в ГосСОПКУ
- ФСБ дадим максимально возможные полномочия по ИБ
- задолбали с отмазками по поводу невозможности импортозамещения - за 3 года чтобы все всё заместили
- посторонних и всяких смузяшных стартаперов в ИБ быть не должно - только крупняк, способный получить лицензию и договориться с ФСБ
Сейчас журналисты по своей въедливой привычке начнут пытаться оцифровать этот Указ (который, как обычно, не требует средств федерального бюджета :-) и попробовать оценить во сколько обойдется его реализация. Я бы обратил внимание на следующих бенефициаров этой вакханалии:
1. Подключение к ГосСОПКЕ / удаленный доступ ФСБ к инфраструктуре требует сертифицированных СКЗИ/VPN, а крупных СКЗИ-игроков у нас всего раз-два и обчелся
2. Анализом защищенности крупных госкорпораций и госзаказчиков у нас занимается также не очень большое число аудиторов (я бы назвал 3-4 компании)
3. Ответственный замруководителя должен быть обученным - число ИБшных учебных центров у нас также невелико. ИБшники (а отдел должен содержать хотя бы одного) также должны быть обучены.
Остальные цифры пока сложно оценивать, но замена за 2,5 года всех иностранных средств защиты - это задачка нетривиальная.
1. Подключение к ГосСОПКЕ / удаленный доступ ФСБ к инфраструктуре требует сертифицированных СКЗИ/VPN, а крупных СКЗИ-игроков у нас всего раз-два и обчелся
2. Анализом защищенности крупных госкорпораций и госзаказчиков у нас занимается также не очень большое число аудиторов (я бы назвал 3-4 компании)
3. Ответственный замруководителя должен быть обученным - число ИБшных учебных центров у нас также невелико. ИБшники (а отдел должен содержать хотя бы одного) также должны быть обучены.
Остальные цифры пока сложно оценивать, но замена за 2,5 года всех иностранных средств защиты - это задачка нетривиальная.
Вот иногда думаешь, а не выйти ли с плакатом в поддержку замдиректора ФСТЭК и руководителя 8-го Центра, которые борются с всемирным киберзлом. Но потом смотришь на происходящее и думаешь: "А ну его. Даже за поддержку директора ФСБ у нас не щадят!".
Лучше в одиночестве жахнуть водки. Коньяк, виски, текилу, джин, ром, абсент, бренди, граппу, самбуку, чачу, кашасу, клековач, мескаль, ракию и другие крепкие напитки не предлагать. А то как-то некомильфо получается - быть сторонником импортозамещения в ИБ, но пить при этом иностранный алкоголь; а вдруг там что-то недокументированное?..
Лучше в одиночестве жахнуть водки. Коньяк, виски, текилу, джин, ром, абсент, бренди, граппу, самбуку, чачу, кашасу, клековач, мескаль, ракию и другие крепкие напитки не предлагать. А то как-то некомильфо получается - быть сторонником импортозамещения в ИБ, но пить при этом иностранный алкоголь; а вдруг там что-то недокументированное?..
Если вспомнить определение средства защиты из терминологического ГОСТ Р 50922, то это "Техническое, программное, программно-техническое средство, вещество и (или) материал, предназначенные или используемые для защиты информации".
Иными словами, шторка на веб-камеру, которая борется с видовыми утечками, - это тоже средство защиты информации. И она должна быть с 1-го января 2025 года только отечественной! Теперь при встрече надо спросить у коллег из НКЦКИ - у них веб-шторки отечественные или произведенные в Китае? А то она меня защищала от врагов, но я не могу идти против Указа Президента.
ЗЫ. Хорошо, что у нас вещества для защиты информации не используются.
ЗЗЫ. А шторка классная - напоминает погоны старших офицеров, но почему-то не ФСБ (у них просветы васильковые), а полиции (или СК, ФСИН, Росгвардии, МЧС)
Иными словами, шторка на веб-камеру, которая борется с видовыми утечками, - это тоже средство защиты информации. И она должна быть с 1-го января 2025 года только отечественной! Теперь при встрече надо спросить у коллег из НКЦКИ - у них веб-шторки отечественные или произведенные в Китае? А то она меня защищала от врагов, но я не могу идти против Указа Президента.
ЗЫ. Хорошо, что у нас вещества для защиты информации не используются.
ЗЗЫ. А шторка классная - напоминает погоны старших офицеров, но почему-то не ФСБ (у них просветы васильковые), а полиции (или СК, ФСИН, Росгвардии, МЧС)
Есть в японском такой термин - амакудари. Суть термина в том, что бывшие чиновники, уходя с госслужбы, пристраиваются в различные частные конторы для того, чтобы помогать своим новым работодателям при общении с госорганами, защите при проверках, облегчении общения с бюрократической машиной и т.д. Амакудари также трактуется как вознаграждение госслужащего, который обспечивает различные преференции частным компаниям во время службы на «пользу» государства.
Знакомая картина, не так ли? Многие "бывшие" сотрудники ФСТЭК и ФСБ уходят в бизнес ровно для этого. А в крупный бизнес прикомандировываются и действующие сотрудники (правда, это только у ФСБ).
Знакомая картина, не так ли? Многие "бывшие" сотрудники ФСТЭК и ФСБ уходят в бизнес ровно для этого. А в крупный бизнес прикомандировываются и действующие сотрудники (правда, это только у ФСБ).
Президент подписал еще один Указ - на этот раз про ответные санкции, который запрещает любые сделки между российскими юрлицами и физлицами и иностранными лицами, список которых в течение 10 дней должен быть утвержден Постановлением Правительства. Согласно ст.153 ГК РФ "Сделками признаются действия граждан и юридических лиц, направленные на установление, изменение или прекращение гражданских прав и обязанностей". Иными словами, будет запрещено любое взаимодействие с санкционными лицами (абсолютно зеркальная американцам мера).
И теперь все зависит от того, что Правительство включит в список. Включить конкретные названия компаний и госорганов из недружественных стран? Будет чуть проще. Напишет про "любое лицо, поддержавшее санкции недружественных государств" и будет совсем нехорошо, так как под такое определение попадет, например, наличие учетки на Github или в Facebook, использование Threat Intelligence (даже в обход американских санкций), закидывание денег на Apple, участие в иностранной конференции онлайн (я вот RSAC хотел оплатить) и т.п. А еще под это определение попадает любой российский ИТ-специалист, который решил переждать неспокойные времена за пределами РФ и поработать на иностранные компании. То есть Минцифры вроде и говорит, что они не поддерживают запрет на отъезд айтишников из России, а Президент своим указом делает такой отъезд противозаконным, заставляя просить айтишников политического убежища (шутка... или нет?).
Так что ждем Постановления Правительства. К концу майских праздников, думаю, все решится. В интересные времена живем, граждане и товарищи 😊
И теперь все зависит от того, что Правительство включит в список. Включить конкретные названия компаний и госорганов из недружественных стран? Будет чуть проще. Напишет про "любое лицо, поддержавшее санкции недружественных государств" и будет совсем нехорошо, так как под такое определение попадет, например, наличие учетки на Github или в Facebook, использование Threat Intelligence (даже в обход американских санкций), закидывание денег на Apple, участие в иностранной конференции онлайн (я вот RSAC хотел оплатить) и т.п. А еще под это определение попадает любой российский ИТ-специалист, который решил переждать неспокойные времена за пределами РФ и поработать на иностранные компании. То есть Минцифры вроде и говорит, что они не поддерживают запрет на отъезд айтишников из России, а Президент своим указом делает такой отъезд противозаконным, заставляя просить айтишников политического убежища (шутка... или нет?).
Так что ждем Постановления Правительства. К концу майских праздников, думаю, все решится. В интересные времена живем, граждане и товарищи 😊
publication.pravo.gov.ru
Указ Президента Российской Федерации от 03.05.2022 № 252 ∙ Официальное опубликование правовых актов ∙ Официальный интернет-портал…
Указ Президента Российской Федерации от 03.05.2022 № 252
"О применении ответных специальных экономических мер в связи с недружественными действиями некоторых иностранных государств и международных организаций"
"О применении ответных специальных экономических мер в связи с недружественными действиями некоторых иностранных государств и международных организаций"
RCE в сетевом оборудовании Aruba и Avaya (TLStorm 2.0) позволяет получить полный доступ над сетевым устройством с последующей компрометацией инфраструктуры. В «дикой природе» пока не использовалась, но лиха беда начало. За ближайшие три рабочих дня стоит озаботиться обновлением (если есть доступ к вендорским сайтам) или использовать компенсирующие меры
Help Net Security
TLStorm 2.0: Critical bugs in widely-used Aruba, Avaya network switches - Help Net Security
TLStorm 2.0 are 5 critical vulnerabilities in the implementation of TLS communications in multiple models of Aruba and Avaya network switches.
Немного систематизировал все о 250-м Указе Президента
Бизнес без опасности - Блог, выступления, статьи, лекции, книги и немного юмора про кибербезопасность от Алексея Лукацкого
Новый Указ Президента может сделать безопасников заместителями генеральных директоров
В день труда, когда вся Россия отдыхает, наш Президент подписал новый, не побоюсь этого слова, революционный Указ №250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации", который коренным образом должен поменять процессы…
ФСТЭК сообщает, что разработан новая тестовая версия Банка данных угроз безопасности информации, включая и средство автоматизации моделирования угроз.
Новый раздел Банка данных угроз содержит сведения об угрозах безопасности информации, объектах и компонентах воздействия, способах реализации угроз безопасности информации, уровне возможностей нарушителей и мерах защиты информации. Также новый раздел Банка данных угроз содержит функции по формированию перечня возможных угроз безопасности информации применительно к конкретным информационным (автоматизированным) системам.
В настоящее время проводится опытная эксплуатация модернизированного раздела угроз. Предложения и замечания по новому разделу Банка данных угроз принимаются до 5 июня 2022 г.
Кроме того ФСТЭК России в настоящее время завершает разработу новой редакции Методики оценки угроз безопасности информации, утвержденной ФСТЭК России 5 февраля 2021 г. В новой редакции Методики в качестве исходных данных для реализации процедур формирования перечня возможных угроз безопасности информации для информационных (автоматизированных) систем и сетей и определения их актуальности предусмотрено применение нового раздела Банка данных угроз. Применение нового раздела Банка данных угроз в этих целях будет возможно после его доработки по результатам общественного обсуждения и утверждения новой редакции Методики.
Новый раздел Банка данных угроз содержит сведения об угрозах безопасности информации, объектах и компонентах воздействия, способах реализации угроз безопасности информации, уровне возможностей нарушителей и мерах защиты информации. Также новый раздел Банка данных угроз содержит функции по формированию перечня возможных угроз безопасности информации применительно к конкретным информационным (автоматизированным) системам.
В настоящее время проводится опытная эксплуатация модернизированного раздела угроз. Предложения и замечания по новому разделу Банка данных угроз принимаются до 5 июня 2022 г.
Кроме того ФСТЭК России в настоящее время завершает разработу новой редакции Методики оценки угроз безопасности информации, утвержденной ФСТЭК России 5 февраля 2021 г. В новой редакции Методики в качестве исходных данных для реализации процедур формирования перечня возможных угроз безопасности информации для информационных (автоматизированных) систем и сетей и определения их актуальности предусмотрено применение нового раздела Банка данных угроз. Применение нового раздела Банка данных угроз в этих целях будет возможно после его доработки по результатам общественного обсуждения и утверждения новой редакции Методики.
Если бы не американская ФСТЭК (CISA), так бы и не знал, что 4 мая - это День Звездных войн (парафраз от классического «May the Force be with you» - «May the fourth be with you»).
Классно вообще, когда регулятор - не сборище скучных чиновников, а люди, понимающие, чем живет их «паства». То в Хеллоуин выпустят прикольно оформленные советы, то на Рождество. Теперь вот в День Звездных войн.
Интересно, наши когда-нибудь дойдут до такого? Или они слишком серьезны, чтобы с юмором рассказывать об ИБ?
Классно вообще, когда регулятор - не сборище скучных чиновников, а люди, понимающие, чем живет их «паства». То в Хеллоуин выпустят прикольно оформленные советы, то на Рождество. Теперь вот в День Звездных войн.
Интересно, наши когда-нибудь дойдут до такого? Или они слишком серьезны, чтобы с юмором рассказывать об ИБ?
А вы задавались вопросом, что такое «средство защиты информации»? Я вот, в контексте их запрета по 250-му Указу, задался.
Бизнес без опасности - Блог, выступления, статьи, лекции, книги и немного юмора про кибербезопасность от Алексея Лукацкого
Что такое средство защиты информации?
Хотелось бы еще пройтись касательно последнего требования Указа, который гласит, что с 1-го января 2025 все попавшие под Указ организации не смогут использовать средства защиты из недружественных государств, а также от иных организаций, которые прямо или…