Порядка 47 % из 170 российских организаций критической информационной инфраструктуры (КИИ), в том числе банки, операторы связи, промышленные объекты и т.д., имеют защиту от киберугроз в критическом состоянии, пишет «Коммерсантъ» со ссылкой на данные ФСТЭК России. Лишь у 13 % из них установлен минимальный базовый уровень защиты, а у около 40 % он относится к низким.

У 100 работающих государственных информационных систем (ГИС) было обнаружено 1,2 тыс. уязвимостей, большая часть из которых высокого и критического уровня опасности. Причём о некоторых существующих уязвимостях регулятору известно уже несколько лет. В числе типовых недостатков в защите КИИ представитель ФСТЭК назвал отсутствие двухфакторной аутентификации и критические уязвимости на периметре IT-инфраструктур.

В Positive Technologies подтвердили, что в системах компаний есть уязвимости, которые не устраняются годами, позволяя хакерам «найти брешь в защите компании, закрепиться и не выдавать себя на протяжении нескольких лет, планируя кибератаку». В компании отметили, что на практике устранить все уязвимости невозможно, и главное их правильно приоритизировать, занимаясь в первую очередь уязвимостями, которые наиболее активно используются злоумышленниками или с высокой долей вероятности будут использоваться.

Источник изображения: Scott Graham/unsplash.com

По словам эксперта из «Гарда», для устранения бреши в системе требуется технологическое окно, то есть полная остановка её работы, что в круглосуточном сервисе трудно организовать. Вместе с тем устанавливать одновременно все обновления неэффективно. Кроме того, как отметили в Innostage, у владельцев государственных информационных систем зачастую отсутствует чётко выстроенный процесс работы с уязвимостями: методика их обнаружения и устранения, понимание о периодичности проверки.

Несмотря на имеющиеся уязвимости, организации финансового сектора России отмечают в отчётах, что в значительной степени «закрыли» уязвимости внешнего контура. Главной проблемой у сектора глава комитета по ИБ Ассоциации российских банков называет DDoS-атаки, в ходе которых системы банков остаются доступными, но практически пользоваться ими затруднительно. Он также назвал обоснованным решение не ставить в высокий приоритет дорогостоящее закрытие внутренних уязвимостей, которые в целом недоступны извне.

VK Tech анонсировал Secure Cloud, защищённое решение на базе VK Cloud, представляющее собой изолированную облачную платформу, предназначенную для создания, развития, поддержки и масштабирования государственных информационных систем (ГИС) и информационных систем персональных данных (ПДн).

Платформа Secure Cloud предлагает готовую вычислительную инфраструктуру для органов государственной власти, государственных внебюджетных фондов, федеральных органов исполнительной власти и крупных компаний с высокими требованиями к обеспечению информационной безопасности.

Secure Cloud получила аттестат соответствия №3740.00021.2024 от 16 декабря 2024 года по требованиям безопасности информации, предъявляемых к ГИС первого класса защищенности (К1) и ИСПДн второго уровня защищенности персональных данных (УЗ2), что подтверждает её соответствие требованиям нормативных документов ФСТЭК и ФСБ России в области защиты информации и готовность к размещению государственных информационных систем.

Источник изображения: VK Tech

Secure Cloud разработана на кодовой базе облачной платформы VK Cloud, сертифицированной ФСТЭК России. Вся инфраструктура построена на российском оборудовании, что служит гарантией её импортонезависимости. В компании также сообщили о планах расширить функциональность платформы, добавив возможность размещения в облаке объектов критической информационной инфраструктуры (КИИ) и платформенных сервисов (PaaS) для работы с КИИ.

Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (Минцифры) обнародовало проект федерального закона, который в числе прочего предусматривает введение в правое поле понятий «электронный сервис», «облачные услуги по предоставлению вычислительных ресурсов» (IaaS), «облачные услуги по предоставлению программного обеспечения» (SaaS), а также «цифровая платформа» и «государственная цифровая платформа».

Изменения вносятся в Федеральный закон «Об информации, информационных технологиях и о защите информации», а также в статью 15 Федерального закона «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд».

Законопроект разработан в рамках реализации распоряжения правительства РФ от 9 декабря 2020 года №3277-р с целью инвентаризации IT-ресурсов, созданных или приобретённых для реализации своих полномочий федеральными органами исполнительной власти, органами исполнительной власти субъектов РФ, органами управления государственными внебюджетными фондами.

Источник изображения: pixabay.com

В числе предусмотренных документом мер значатся:

• Уточнение понятия «информационная система» с учётом современных аспектов создания и функционирования таких платформ;
• Расширение понятийного аппарата;
• Конкретизация критериев отнесения информационных систем к государственным (ГИС);
• Наделение правительства РФ полномочием по определению общих требований к разработке нормативных правовых актов, являющихся основанием создания (развития) ГИС, государственных цифровых платформ, а также нормативных правовых актов, регламентирующих их функционирование;
• Распространение требований по расположению на территории РФ технических средств, используемых для обеспечения функционирования ГИС, на государственные внебюджетные фонды, публично-правовые компании и государственные корпорации;
• Установление правового регулирования использования электронных сервисов, IaaS- и SaaS-услуг.

Законопроектом, как отмечается, предусмотрены дополнительные меры нормативно-правового характера, направленные «на обеспечение эффективности создания и последующего учёта государственных информационных систем, принимая во внимание современные аспекты их создания и развития, в том числе в составе цифровых платформ и экосистем».

Предполагается, что изменения будут стимулировать достижение национальной цели ускоренного внедрения цифровых технологий. При этом подчёркивается, что принятие законопроекта не повлечёт социально-экономических, финансовых и иных последствий. В целом, нововведения должны повысить эффективность реализации и качество получаемых результатов государственных программ, которыми предусмотрены мероприятия в сферах ИКТ и цифровизации государственного управления.

Минцифры РФ, по сообщению газеты «Ведомости», подготовило проект постановления, в соответствии с которым региональные ведомства и подконтрольные им учреждения получат возможность запускать на платформе «ГосТех» обычные информационные системы, не имеющие государственного статуса.

Напомним, «ГосТех» — облачная инфраструктура для федеральных и региональных органов власти, на базе которой можно быстро и эффективно создавать государственные информационные системы (ГИС) и цифровые сервисы. Платформа аттестована на соответствие требованиям по защите информации ФСТЭК России.

Источник изображения: «ГосТех»

Изначально проект «ГосТех» был ориентирован на создание информсистем, имеющих именно государственное значение. Платформа выполнена на микросервисной архитектуре, предусматривающей возможность повторного использования уже готовых модулей для создания новых систем. Принцип конструктора позволяет снизить затраты и ускорить внедрение служб.

Поправки, подготовленные Минцифры, подразумевают, что модули «ГосТеха» будут применяться для создания любых информсистем, даже не имеющих госстатуса. Это могут быть, например, системы бухучёта, справочной информации, локального документооборота и пр. Иными словами, компоненты ГИС можно будет переиспользовать в сравнительно небольших системах, которые применяют в том числе подведомственные учреждения на региональном уровне. Инициатива Минцифры, как отмечается, позволит сократить затраты государства на общую инфраструктуру, а также поможет стандартизировать технологии.

Говорится также, что до конца текущего года на «ГосТех» должны быть переведены системы или части систем 24 федеральных и 11 региональных органов исполнительной власти в сфере здравоохранения, образования, транспорта, спорта и строительства. В дальнейшем на эту платформу мигрируют или будут реализованы с ноля более 100 сервисов.