«Аладдин» выделил 5 приоритетов, которые помогут соответствовать 117-му Приказу ФСТЭК России

Сергей Груздев, генеральный директор "Аладдин", сфокусировался на практических рекомендациях, которые помогут организациям выстроить эффективную стратегию соответствия 117-му Приказу ФСТЭК России даже в условиях жёсткой экономии ресурсов. По его словам, наиболее частые причины взломов информационных систем сегодня — это уязвимости ПО (которые активно эксплуатируются хакерами), точки отказа в ИТ инфраструктуре, использование паролей, удалённый доступ и незащищённые носители информации. Если ранее в регуляторных документах фокус был лишь на первом из перечисленных направлений (борьбе с хакерами), то новый приказ делает акцент и на остальных обозначенных выше факторах риска. Концентрация усилий на них позволит даже небольшим организациям существенно повысить защищённость своих информационных систем и добиться соответствия новым регуляторным требованиям.

Устранение точек отказа в ИТ-инфраструктуре

Основная технология, обеспечивающая безопасное взаимодействие всех элементов инфраструктуры, — это корпоративный PKI. Ключевым элементом здесь выступает корпоративный Центр сертификации, который выполняет функцию доверенной третьей стороны — "корпоративного нотариуса". Именно он выпускает цифровые сертификаты для всех устройств, программного обеспечения и пользователей, позволяя выстроить цепочку доверия. При этом использование зарубежных решений, таких как Microsoft CA, создаёт критическую точку отказа, поэтому в первую очередь требуется переход на российский доверенный центр сертификации.

Отказ от использования паролей

Новые требования фактически вводят запрет на использование одних лишь паролей, поскольку некорректно реализованная подсистема идентификации и аутентификации является причиной до 80% инцидентов безопасности. В зависимости от типа пользователя, прав доступа и среды функционирования необходимо применять усиленную (2FA) или строгую (3FA) аутентификацию. Базовый принцип: чем выше риски, тем больше факторов подтверждения личности. Всё оборудование и ПО для ГИС и КИИ должно поддерживать строгую аутентификацию по цифровым сертификатам и механизмы однократного входа (SSO) во все приложения, а не только в операционную систему.

Требования к обеспечению удалённого доступа

Удалённый доступ в ГИС должен осуществляться либо с аттестованного защищённого средства вычислительной техники из доверенной среды, либо, при работе из недоверенной среды (включая личные устройства), — исключительно с использованием специализированных средств безопасной дистанционной работы, сертифицированных ФСТЭК России. При этом, удалённый пользователь, имеющий учётную запись в ГИС, приравнивается к внутреннему пользователю со всеми вытекающими требованиями по аутентификации и защите канала связи с помощью сертифицированных СКЗИ.

Требования по защите носителей информации

Информация на съёмных и переносных носителях подлежит обязательному шифрованию с использованием сертифицированных ФСБ России средств криптографической защиты информации в случаях, когда носитель хранится или используется вне контролируемой зоны организации. Кроме того, оператор ИС должен запретить использование любых неучтённых съёмных носителей, разрешив только те, которые выданы им самим, а сами устройства должны обеспечивать неизменяемость прошивки, уникальный идентификатор и возможность аппаратной аутентификации перед началом работы.

"Если правильно подойти к выполнению 117-го приказа и сфокусироваться на устранении перечисленных факторов — точек отказа в ИТ-инфраструктуре, отказе от паролей, защите удалённого доступа и носителей информации, — то, следуя правилу Парето, можно затратить всего 20% усилий и получить 80% результата. Это означает, что даже небольшие организации с ограниченными ресурсами способны обеспечить реальный прирост защищённости своих ИТ-систем без избыточных затрат", — комментирует Сергей Груздев, генеральный директор "Аладдин"