Последний месяц лета законодатели отметили активной работой над совершенствованием существующих и разработкой новых законопроектов. Хакеры традиционно уделили внимание ритейлерам, операторам связи, государственному сектору и сфере ИТ.
Новое в законодательстве
Август 2024 года стал насыщенным в части законотворчества, касающегося кибербезопасности и защиты информации. Правительство сосредоточилось на безопасности в глобальной сети и ослабило требования к ИТ-компаниям, ФСТЭК опубликовала ряд уточняющих и разъясняющих документов, а Минцифры в очередной раз уделяет внимание защите ПДн.
Минпромторг уточняет критерии отнесения ПАК к числу доверенных
Минпромторг подготовил проект постановления Правительства РФ, вносящий изменения в Правила перехода субъектов КИИ на доверенные программно-аппаратные комплексы (ПАК).
Министерство планирует актуализировать критерии, согласно которым ПАК могут быть признаны доверенными. В частности, если в составе ПАК используется оборудование телекоммуникаций и радиоэлектроника из соответствующего Реестра.
Критерии, относящиеся к оборудованию, используемого при обеспечении защиты информации, будут доработаны аналогично.
Правительство займется безопасностью в Интернете
Соответствующий Перечень поручений был утвержден Президентом РФ 04.08.2024 г. Правительство вплотную займется вопросами развития ИТ и телекоммуникационной инфраструктуры, которая позволит обеспечить устойчивость, целостность и безопасность работы Интернета в России. Также Президент поручил проработать проблему противодействия информационным угрозам и кибермошенничеству. Первый доклад по обозначенным вопросам должен быть представлен уже 1 сентября 2024 года. Далее планируется регулярная подготовка информации о ходе выполнения поручений с предоставлением соответствующих докладов раз в полугодие.
Защита информации и функциональная безопасность в новом стандарте
ГОСТ Р 71452-2024. Документ регламентирует порядок, в соответствии с которым будет обеспечиваться и подтверждаться безопасность и защита информации. ГОСТ предназначен для координации ряда процессов – от оценки рисков до управления и эксплуатации.
Также разработчики предусмотрели ряд мер, направленных на предотвращение конфликтов между защитой информации и функциональной безопасностью.
ФСТЭК уточняет и поясняет
В августе 2024 года служба представила ряд дополнений и изменений, касающихся защиты информации, в том числе:
-
- обновленное Постановление №333 от 15.04.1995 г. – регламентирует порядок оформления лицензий для компаний и организаций, которые работают с гос.тайной или участвуют в обеспечении ее защиты;
- проект Приказа, содержащего перечень требований по защите информации – будет распространяться на ситуации, когда данные не относятся к гос.тайне, но содержатся в ГИС или информационных системах гос.органов и предприятий;
- обновленный Приказ ФСТЭК №127 от 27.06.2024 г. – утверждает формы документов, которые служба и ее подразделения используют при осуществлении контроля защиты гос.тайны;
- приказ №130 от 28.06.2024 г. – определяет порядок подготовки и проведения проверок по контролю за защитой гос.тайны, а также оформления их результатов;
- информационное сообщение №240/83/2028 от 12.08.2024 г. – определяет порядок информирования о присвоении категорий объектам КИИ в химической промышленности.
Банк России предупреждает о дипфейках
Соответствующее сообщение появилось на официальном портале Банка. Ведомство предупреждает о набирающем популярность способе мошенничества с использованием цифровой копии определенного человека, созданной на основании фотографий, видео и аудиозаписей. ЦБ рекомендует проверять информацию и любые финансовые просьбы, которые приходят в формате видеосообщения, и, по возможности, связываться с человеком, от имени которого оно пришло, прежде чем совершать какие-либо действия.
Изменения в законодательство о ПДн вступили в силу
№ 233-ФЗ был официально опубликован 8 августа, большинство положений этого закона вступили в силу с момента публикации.
Документ вносит ряд изменений в законы о ПДн. В частности, разрешено использовать СЗИ с функцией уничтожения данных, чтобы повысить уровень защищенности информации. Также законодатели уточнили порядок обработки обезличенных ПДн и предоставления доступа к ним, урегулировали их передачу в ГИС Минцифры.
Минцифры усилит контроль за ПДн
Министерство опубликовало приказ, определяющий еще один индикатор риска, который будет сигнализировать о том, что требования государственного контроля за обработкой ПДн были нарушены.
Таким индикатором станет ситуация, когда при проведении оценки соответствия контролирующим органом или при предоставлении информации, связанной с рекомендательными технологиями, владельцем интернет-ресурса, выявлены 2 и более факта несоответствия.
Закон – против распространения деструктивного контента
Соответствующий ФЗ был официально опубликован 08.08.2024 года. Документ содержит следующие ключевые положения:
-
- доступ к информации теперь могут ограничивать как федеральные законы, так и акты, подписанные Президентом РФ;
- выявлять оскорбительный и противоправный контент теперь обязан владелец соц.сети;
- выполнять ограничения, предусмотренные Роскомнадзором, а также предоставлять этому ведомству данные для идентификации пользовательского ПО и средств связи, используемых в Интернете, обязан оператор связи;
- Роскомнадзор получил право управлять сетью связи общего пользования, при этом ведомство уполномочено определять угрозы и предпринимать шаги по их устранению в соответствии с действующими регламентами.
Также законом предусмотрены изменения в порядке лицензирования для компаний, которые работают в сфере оказания услуг связи.
Правительство упрощает ИТ-аккредитацию
Постановление №1149 от 26.08.2024 г. вносит ряд изменений в Постановление №1729 от 30.09.2022 г.
Теперь получить государственную аккредитацию в качестве российской ИТ-компании также смогут входящие в реестр малых технологических компаний в качестве стартапа с минимальными показателями выручки.
Требования по доле выручки от работы в ИТ-сфере не предъявляются.
Предусмотрено освобождение от планового подтверждения соответствия критериям для некоторых организаций.
Порядок подачи заявлений на государственную аккредитацию уточнен.
Самые громкие события и инциденты августа 2024 года в России
В отличие от законодателей хакеры в августе проявляли не слишком высокую активность. Последний месяц лета ознаменовался массированной атакой на онлайн-ритейлеров, а также масштабным интернет-сбоем, который затронул практически всю страну.
Ритейлеры – снова под ударом
В преддверии нового учебного года значительно выросла интенсивность DDoS-атак на ритейлеров. Особенно «востребованными» с точки зрения хакеров оказались магазины канцелярских товаров, обуви, одежды, бытовой техники. Максимальная мощность атаки составляла 700 Гбит/с, а продолжительность доходила почти до 1 часа.
В основном убытки понесли небольшие интернет-магазины. Профессиональная защита крупных онлайн-ритейлеров в большинстве случаев успешно справилась с атаками.
Всероссийский интернет-сбой
21 августа миллионы пользователей по всей стране столкнулись с проблемой – стали недоступны многие популярные мессенджеры, сервисы и сайты. Крупная атака повлияла на работу таких платформ, как:
-
- Wildberries
- Telegram
- Яндекс
- Roblox
- Viber
- Вконтакте и ряда других.
По сведениям Роскомнадзора причиной стала массированная DDoS-атака, направленная против операторов связи. По заявлениям ведомства, атака была быстро нейтрализована, а сервисы смогли оперативно восстановить нормальную работу.
Китайские хакерские группировки атакуют российские госструктуры
Сообщения об атаках появились в начале августа 2024 года. Для проникновения в инфраструктуру государственных и ИТ-компаний, киберпреступники используют рассылку писем с архивами. Внутри архивов находятся зараженные ярлыки, которые замаскированы под обычные документы.
Целью злоумышленников становится похищение служебной информации. Помимо кражи файлов, преступники также могут отслеживать действия жертвы на экране зараженного устройства и определять, какие клавиши она нажимает.