Новости информационной безопасности за октябрь 2023 года
Октябрь 2023 года в сфере информационной безопасности прошел насыщенно и неспокойно. Законодатели уделили пристальное внимание доработке существующих НПА, однако не представили критичных изменений, а киберпреступники провели ряд успешных атак на веб-ресурсы и приложения.
Новшества и изменения в законах и НПА
В части информационной безопасности законодатели посвятили октябрь 2023 года доработке существующих нормативных актов, их объединению и гармонизации, а также тщательно поработали над классификаторами.
В разработке у ФСТЭК
Федеральная служба по техническому и экспортному контролю анонсировала разработку целого комплекса регламентирующих документов. В частности, регулятор ведет работу над:
Методическими рекомендациями касательно компенсирующих мероприятий. Их реализация будет предусматриваться в случае неприменимости тех или иных технических мер, предусмотренных перечнем требований по защите.
Единым классификатором мер защиты. ФСТЭК планирует проанализировать свои действующие приказы (№239 от 25.12.2017г., №31 от 14.03.2014г., №21 от 18.02.2013г., №17 от 11.02.2013г.). В качестве основной цели разработки указаны объединение и гармонизация мер обеспечения безопасности, предусмотренных перечисленными Приказами.
Порядок ведения реестра ЗО КИИ – изменения вступили в силу
3 октября 2023 года был официально опубликован Приказ ФСТЭК № 177, вносящий ряд изменений в ранее утвержденный регулятором порядок ведения реестра ЗО КИИ.
Документ устанавливает обновленный подход к присвоению уникального номера значимому объекту в соответствующем реестре. Также регламентирован порядок объединения ЗО КИИ и их разделения.
Отдельного внимания заслуживает пункт о порядке, в соответствии с которым необходимо фиксировать изменения в ЗО КИИ. Теперь срок информирования ФСТЭК составляет 20 рабочих дней с даты внесения изменений. К примеру, если в системе появились рабочие станции, которыми управляет сервер на базе другой операционной системы (например, перешли с Windows на Astra Linux), направить сведения регулятору необходимо в течение месяца.
ТК 362 и новый национальный стандарт по информационной безопасности
ТК 362 (тех.комиссия по стандартизации, специализирующаяся на защите информации) приступила к работе над проектом ГОСТ Р ИСО/МЭК 27005. Основой для документа стал собственный перевод международного стандарта ISO/IEC 27005:2022. В сравнении с предыдущей редакцией:
пересмотрен подход к понятию «риск»;
количество этапов процесса управления риском сокращено с 6 до 5;
в части документирования управления риском добавлены два новых пункта;
6 приложений заменены 1 комплексным;
каждому действию по управлению риском сопоставлен триггер, при реализации которого это действие должно быть реализовано.
Также изменения произошли в структуре пунктов стандарта, терминология приведена в соответствие со стандартом ISO 31000:2018.
Изменения в части прекращения действия квалифицированного сертификата
9 октября 2023 года Минюст зарегистрировал Приказ Минцифры № 634, вносящий изменения в ранее утвержденный Приказ № 584. Документ дополнен абзацами о порядке прекращения действия квалифицированного сертификата электронной подписи с использованием единого портала государственных и муниципальных услуг, в том числе для иностранных организаций. Приказ будет действовать с 01.09.2024 г. по 01.01.2027 г.
Инциденты октября
Новое слово в фишинге
Киберпреступники «порадовали» новым подходом к фишингу. На этот раз они нашли возможность использовать уязвимость в веб-браузере Chromium.
Функционал, встроенный в браузер, дает возможность сформировать фишинговое окно, внешне практически идентичное оригинальному – «благодаря» эксплойту режима, переводящему в минималистичный формат web-страницу. Несмотря на то, что успех атаки отчасти зависит от внимательности пользователя, это направление фишинга рассматривается как перспективное. Оптимальным направлением считаются HTML-файлы и ярлычки Microsoft Edge, однако схема не менее эффективно работает также с Mac OS и Linux.
Единственное, что Google пока порекомендовал пользователям – относиться внимательнее к тем файлам, которые они хотят скачать.
При этом, по экспертным данным взлом коснулся только интернет-страниц, и злоумышленники не смогли получить доступ к информации, связанной с процессингом банковских карточек. На сайте нет конфиденциальных данных и получить через него доступ к самой платежной системе невозможно.
Сбоев в осуществлении платежных операций не выявлено.
Компания «Рубикон» — IT-предприятие, основное направление деятельности которого – информационная безопасность. Мы занимаемся решением задач по аудиту, созданию и оптимизации IT-инфраструктур.