Журнал "Information Security/ Информационная безопасность" #5, 2022

К "классическим" атакам, целью кото- рых является получение материальной выгоды, добавились атаки, реализуемые из идеологических соображений хакти- вистами, стремящимися вызвать обще- ственный резонанс, привлечь внимание к социальным и политическим вопросам. В этой связи мишенью становятся не только популярные ранее объекты, такие как финансовые организации, государст- венные учреждения, ИТ, телекоммуни- кационные компании и т.д., но и сферы, которые прежде злоумышленников прак- тически не интересовали, – СМИ, про- мышленность, агропромышленный ком- плекс и транспорт. Наиболее распространенными являют- ся DDoS-атаки, атаки на веб-ресурсы, утечки конфиденциальной информации и персональных данных. Растет и коли- чество атак, направленных на нарушение работы и перехват управления система- ми и сетями. Такие атаки могут приво- дить к нарушению деятельности или эко- номическому ущербу организаций раз- личных масштабов, а также выходящим за пределы самих организаций негатив- ным последствиям, в частности соци- альным, политическим и экологическим. Нормативное регулирование вопросов киберустойчивости С учетом актуальности задач обес- печения киберустойчивости в отдельных отраслях вводится соответствующее нор- мативное регулирование. С 1 октября 2022 г. кредитные и некредитные финансовые организации (далее – ФО) при осуществлении дея- тельности в сфере финансовых рынков должны обеспечивать операционную надежность в отношении автоматизи- рованных систем, программного обес- печения, средств вычислительной тех- ники и телекоммуникационного обору- дования. Указанные требования уста- навливаются положениями Банка Рос- сии № 787-П и № 779-П, которые не являются чем-то совершенно новым: детальный анализ показывает, что они лишь расширяют и дополняют требова- ния ранее действовавшей нормативной базы. Рассмотрим отдельные вопросы, регулируемые указанными положения- ми, подробнее. Формирование структурированного перечня критичной архитектуры В соответствии с положениями № 787-П и № 779-П ФО должны прове- сти работы по идентификации и учету критичной архитектуры. При этом состав элементов критичной архитектуры схож с элементами критической информа- ционной инфраструктуры (далее – КИИ), определяемыми в соответствии с нор- мативными документами в области без- опасности КИИ (программно-аппарат- ные средства, общесистемное и при- кладное ПО, каналы связи и др.). Допол- нительно необходимо идентифициро- вать: l технологические процессы и их уча- стки, реализуемые в ФО; l подразделения (работников) ФО, ответственные за разработку, поддер- жание выполнения и реализацию техно- логических процессов, а также осу- ществляющие доступ к объектам инфор- мационной инфраструктуры ФО, задей- ствованным в технологических процес- сах; l поставщиков услуг в ИТ-сфере, реа- лизующих технологические процессы и/или их участки; l взаимосвязи между участниками в рамках выполнения технологических процессов. В положениях № 787-П и № 779-П определен типовой перечень техноло- гических процессов, обязательных для учета и контроля. В рамках инвентари- зации целесообразно расширить данный перечень и рассматривать отдельные критические процессы, идентифициро- ванные в рамках работ по категориро- ванию объектов КИИ организации. Определение показателей операционной надежности для технологических процессов Банк России развивает подход, соглас- но которому деятельность не может быть управляема, если она не может быть измерена, определив в положениях № 787-П и № 779-П необходимость оценки и обеспечения контроля показа- телей операционной надежности, в том числе: l доли деградации технологических процессов; l времени простоя и/или деградации технологического процесса; l суммарного времени простоя и/или деградации технологического процесса; l соблюдения режима работы (функ- ционирования) технологического про- цесса. ФО должны определить допустимые уровни показателей и обеспечить оценку 42 • УПРАВЛЕНИЕ КиберНЕустойчивость и как с ней бороться татистика компьютерных инцидентов за 2022 год показывает неуклонный рост количества как массовых, так и целенаправленных компьютерных атак. По оценкам участников рынка, в отдельных отраслях наблюдается рост в несколько раз в сравнении с аналогичным периодом прошлого года. Заметное влияние на это в том числе оказывает геополитическая ситуация. С Александр Пуха, начальник отдела аудита и консалтинга АМТ-ГРУП Екатерина Степанова, ведущий консультант отдела аудита и консалтинга АМТ-ГРУП, к.т.н.