Внедрение стандартов NIST. Как защитить обьекты критической инфраструктуры Украины

Внедрение стандартов NIST. Как защитить от хакеров обьекты критической инфраструктуры Украины

Зачем Госспецсвязи внедряет новые стандарты киберзащиты критической информационной инфраструктуры Украины.


4610

объекты критической инфраструктуры, кибератаки, киберпреступность


Госспецсвязи внедряет новые стандарты киберзащиты критической информационной инфраструктуры Украины.

В последние пять лет кибератаки стали причиной многих масштабных аварий в мире. 2016 год – отключение электроэнергии в Украине, 2021 год – атака на систему здравоохранения в Ирландии, 2021 год – взлом системы очистки воды в США, 2021 год – атака на систему поставки нефти в США – и многие другие примеры атак на критические для общества системы.

Украина – часть глобального пространства, и наши объекты критической инфраструктуры тоже мишень для киберпреступников. Специалисты по киберзащите Госспецсвязи постоянно фиксируют рост количества кибератак на государственный и коммерческий сектор – на 10-12% ежемесячно.

В Украине киберзлоумышленники направляют атаки, прежде всего, на органы государственной власти (в частности, часто атакуют официальные интернет-представительства президента Украины, сайты СБУ, ДБР и НАБУ, а также ДСПП и МВД), объекты критической информационной инфраструктуры, банковский сектор и электронные почтовые ящики госслужащих.

Это могут быть DDoS-атаки на веб-ресурсы, рассылка вредоносного программного обеспечения или ссылок на вредоносные сайты. Во время атак хакеры часто используют методы фишинга и шпионажа. После проникновения в сеть они могут собирать чувствительные данные.

Злоумышленники делают это как для наживы (ведь за собственные данные и возможность работать дальше компании готовы платить колоссальные суммы), так и для нанесения экономического ущерба государству.

Как регулятор, разрабатывающий и внедряющий в Украине стандарты защиты информации, мы осознаем необходимость постоянно совершенствовать требования к киберзащите, чтобы граждане имели возможность получать любые услуги от государства и бизнеса вовремя, удобно и безопасно. Чтобы пенсионеры получали пенсии, работали государственные услуги в Дии, в домах был свет, вода и отопление, чтобы ходил транспорт.

Ведь все эти сервисы – часть критической инфраструктуры, которая содержит информационные системы, которые должны быть защищены.

Защита информационных систем – это постоянная непрерывная работа

В этом году наша команда планирует представить новые стандарты защиты информации, основанные на стандартах NIST (Национальный институт стандартов и технологий США – ведущий орган в области стандартов защиты информации). Со стороны украинского бизнеса большой запрос на такие изменения.

Также в октябре этого года мы представили новые рекомендации по защите объектов критической информационной инфраструктуры (ОКИИ). Ведь защита критической информационной инфраструктуры – один из главных вызовов стран всего мира сегодня. В основу этого документа также была положена наработка NIST. В частности, гайдлайн по противостоянию рискам кибербезопасности Cybersecurity Framework.

Это лучшие стандарты, существующие в мире. Теперь украинский бизнес и государственный сектор, имеющие объекты критической информационной инфраструктуры, так же получат возможность использовать их для киберзащиты. В США соблюдение требований NIST Cybersecurity Framework обязательно при построении информационных систем для многих организаций, в частности, ОКИИ.

Цикл управления кибербезопасностью


Система мер кибербезопасности


Рекомендации предусматривают имеющийся в Украине инструментарий, а также стандарты, разработанные NIST (Национальный институт стандартов и технологии США), ISACA (Ассоциация аудита и контроля информационных систем), IEC (Международная электротехническая комиссия).

Мы планируем постоянно обновлять этот документ, как это делает и NIST, ведь как мы постоянно напоминаем, киберзащита – это не состояние, а процесс.

Невозможно построить систему защиты и успокоиться. Защита нуждается в постоянных усовершенствованиях, улучшениях, изменениях, потому что технологии злоумышленников не стоят на месте.

Рекомендации предусматривают общий подход к обеспечению кибербезопасности, что позволяет:

  • осуществить анализ и дать характеристику текущего состояния обеспечения кибербезопасности ОКИИ;
  • описать целевое состояние кибербезопасности ОКИИ;
  • идентифицировать и определить приоритеты, уровень внедрения мер киберзащиты в контексте непрерывного и повторяющегося процесса управления рисками в сфере кибербезопасности ОКИИ;
  • оценить прогресс в достижении целевого состояния кибербезопасности ОКИИ;
  • оценить наличие и эффективность коммуникации как между субъектами, непосредственно расположенными на ОКИ, так и с субъектами, являющимися партнерами организации по управлению рисками в сфере кибербезопасности.

Рекомендации – пока – не будут обязательны для внедрения на объектах критической информационной инфраструктуры. Впоследствии они должны стать неотъемлемой частью построения систем безопасности, по крайней мере, для объектов критической информационной инфраструктуры высшей степени критичности.

Однако я рекомендую руководителям всех предприятий, которые могут быть отнесены к критической инфраструктуре, отнестись серьезно к новым стандартам защиты критической информационной инфраструктуры и возможностям, которые предоставляют эти стандарты.

Независимо от того, станут ли Рекомендации обязательными для вашего бизнеса, я считаю, что начинать работать над внедрением нового подхода стоит всем и уже сейчас. Вы ведь – так же, как и государство, как и обычные граждане – заинтересованы в том, чтобы защитить свои информационные системы от вмешательства извне. И теперь у вас для этого есть самый лучший мировой стандарт.

Вы можете пропустить чтение записи и оставить комментарий. Размещение ссылок запрещено.

Оставить комментарий

Вы должны быть авторизованы, чтобы разместить комментарий.