Тем временем Президент подписал интересный указ о дополнительных мерах обеспечения информационной безопасности нашей страны. Если совсем вкратце и сухо:
1. В госучреждениях и системообразующих предприятиях должен появиться отдел по информационной безопасности.
2. Будет сделан аудит важных информационных систем с участием ФСБ + судя по формулировке закона появится некий продукт для раннего обнаружения атак.
3. С 1 января 2025 года на предприятиях нельзя будет использовать средства защиты информации произведённые в недружественных странах.
Про последние 2 пункта, наверное, стоит чуть подробнее.
Во-первых, аудит это не единоразовое мероприятие, как правило он происходит постоянно (и это объясняет некоторые требования насчёт удалённого доступа для органов). Потому что даже то же ядро Linux которому в прошлом году 30 лет стукнуло, всё ещё изобилует уязвимостями, которые регулярно находят. Ну, вот так всё ПО устроено, это нормально. Но регулярно нужно хотя бы проверять насколько оперативно администраторы ставят "заплатки".
Во-вторых насчёт раннего обнаружения кибератак. Вообще это зачастую целые комплексы, начиная от приманок-honeypot'ов (сервисов с намеренно оставленными "дырками"), которые обвешаны мониторингами и уведомлениями о том, что кто-то начал ломиться, и заканчивая системами глубокого анализа трафика, когда грубо говоря на маршрутизаторе внешний порт зеркалируется на отдельный сервер, где установлена какая-нибудь бесплатная-открытая Suricata или коммерческое решение, и там весь сетевой трафик с небольшим отставанием прогоняется через вагон правил и иных эвристик, на предмет того нормальный он, или это кто-то что-то подозрительное делает. Называются такие комплексы IPS/IDS, для интересующихся есть неплохая статья у Селектела. Такое ПО имеет смысл использовать либо отечественное, либо открытое, с обязательным аудитом перед внедрением.
Ну и в-третьих, защитное ПО производства недружественных стран. Это, например, антивирусы для рабочих станций. Тут самое простое - любой антивирус для своей корректной работы требует максимально низкого уровня доступа, т.е. по-сути у него есть полный набор прав на оборудование, где он установлен. Он может делать практически что угодно, скрывая свои действия и от пользователей, и от администраторов. Когда вам поставляют проприетарные решения, без доступа к исходным кодам и без возможности провести их изучение/аудит, и при этом производитель находится в юрисдикции противника - ну, сами понимаете, разворачивать такое в мало-мальски критичном окружении ни в коем случае нельзя. Так что этот шаг в целом логичен.
Мне вот интересна реакция на этот закон от либеральствующих коллег. Кажется, что каждый пункт обоснован, но при этом задницы пригорели (слегка)) Возможно это уже условный рефлекс такой просто выработан? :)
1. В госучреждениях и системообразующих предприятиях должен появиться отдел по информационной безопасности.
2. Будет сделан аудит важных информационных систем с участием ФСБ + судя по формулировке закона появится некий продукт для раннего обнаружения атак.
3. С 1 января 2025 года на предприятиях нельзя будет использовать средства защиты информации произведённые в недружественных странах.
Про последние 2 пункта, наверное, стоит чуть подробнее.
Во-первых, аудит это не единоразовое мероприятие, как правило он происходит постоянно (и это объясняет некоторые требования насчёт удалённого доступа для органов). Потому что даже то же ядро Linux которому в прошлом году 30 лет стукнуло, всё ещё изобилует уязвимостями, которые регулярно находят. Ну, вот так всё ПО устроено, это нормально. Но регулярно нужно хотя бы проверять насколько оперативно администраторы ставят "заплатки".
Во-вторых насчёт раннего обнаружения кибератак. Вообще это зачастую целые комплексы, начиная от приманок-honeypot'ов (сервисов с намеренно оставленными "дырками"), которые обвешаны мониторингами и уведомлениями о том, что кто-то начал ломиться, и заканчивая системами глубокого анализа трафика, когда грубо говоря на маршрутизаторе внешний порт зеркалируется на отдельный сервер, где установлена какая-нибудь бесплатная-открытая Suricata или коммерческое решение, и там весь сетевой трафик с небольшим отставанием прогоняется через вагон правил и иных эвристик, на предмет того нормальный он, или это кто-то что-то подозрительное делает. Называются такие комплексы IPS/IDS, для интересующихся есть неплохая статья у Селектела. Такое ПО имеет смысл использовать либо отечественное, либо открытое, с обязательным аудитом перед внедрением.
Ну и в-третьих, защитное ПО производства недружественных стран. Это, например, антивирусы для рабочих станций. Тут самое простое - любой антивирус для своей корректной работы требует максимально низкого уровня доступа, т.е. по-сути у него есть полный набор прав на оборудование, где он установлен. Он может делать практически что угодно, скрывая свои действия и от пользователей, и от администраторов. Когда вам поставляют проприетарные решения, без доступа к исходным кодам и без возможности провести их изучение/аудит, и при этом производитель находится в юрисдикции противника - ну, сами понимаете, разворачивать такое в мало-мальски критичном окружении ни в коем случае нельзя. Так что этот шаг в целом логичен.
Мне вот интересна реакция на этот закон от либеральствующих коллег. Кажется, что каждый пункт обоснован, но при этом задницы пригорели (слегка)) Возможно это уже условный рефлекс такой просто выработан? :)