Октябрь 2023 года в сфере информационной безопасности прошел насыщенно и неспокойно. Законодатели уделили пристальное внимание доработке существующих НПА, однако не представили критичных изменений, а киберпреступники провели ряд успешных атак на веб-ресурсы и приложения.
Новшества и изменения в законах и НПА
В части информационной безопасности законодатели посвятили октябрь 2023 года доработке существующих нормативных актов, их объединению и гармонизации, а также тщательно поработали над классификаторами.
В разработке у ФСТЭК
Федеральная служба по техническому и экспортному контролю анонсировала разработку целого комплекса регламентирующих документов. В частности, регулятор ведет работу над:
Методическими рекомендациями касательно компенсирующих мероприятий. Их реализация будет предусматриваться в случае неприменимости тех или иных технических мер, предусмотренных перечнем требований по защите.
Единым классификатором мер защиты. ФСТЭК планирует проанализировать свои действующие приказы (, , , ). В качестве основной цели разработки указаны объединение и гармонизация мер обеспечения безопасности, предусмотренных перечисленными Приказами.
Также ведется доработка . Предполагается, что регулятор дополнит реестр и каждому из СрЗИ добавит данные о том, какая из защитных мер будет реализована в случае его применения. Кроме того, ФСТЭК , регламентирующего сертификацию процесса безопасной разработки ПО СрЗИ.
Порядок ведения реестра ЗО КИИ – изменения вступили в силу
3 октября 2023 года был официально опубликован , вносящий ряд изменений в ранее утвержденный регулятором порядок ведения .
Документ устанавливает обновленный подход к присвоению уникального номера значимому объекту в соответствующем реестре. Также регламентирован порядок объединения ЗО КИИ и их разделения.
Отдельного внимания заслуживает пункт о порядке, в соответствии с которым необходимо фиксировать изменения в ЗО КИИ. Теперь срок информирования ФСТЭК составляет 20 рабочих дней с даты внесения изменений. К примеру, если в системе появились рабочие станции, которыми управляет сервер на базе другой операционной системы (например, перешли с Windows на Astra Linux), направить сведения регулятору необходимо в течение месяца.
ТК 362 и новый национальный стандарт по информационной безопасности
ТК 362 (тех.комиссия по стандартизации, специализирующаяся на защите информации) приступила к работе над проектом . Основой для документа стал собственный перевод международного . В сравнении с предыдущей редакцией:
пересмотрен подход к понятию «риск»;
количество этапов процесса управления риском сокращено с 6 до 5;
в части документирования управления риском добавлены два новых пункта;
6 приложений заменены 1 комплексным;
каждому действию по управлению риском сопоставлен триггер, при реализации которого это действие должно быть реализовано.
Также изменения произошли в структуре пунктов стандарта, терминология приведена в соответствие со .
Изменения в части прекращения действия квалифицированного сертификата
9 октября 2023 года Минюст зарегистрировал , вносящий изменения в ранее утвержденный . Документ дополнен абзацами о порядке прекращения действия квалифицированного сертификата электронной подписи с использованием единого портала государственных и муниципальных услуг, в том числе для иностранных организаций. Приказ будет действовать с 01.09.2024 г. по 01.01.2027 г.
Новое слово в фишинге
Киберпреступники «порадовали» новым подходом к фишингу. На этот раз они нашли возможность использовать уязвимость в веб-браузере Chromium.
Функционал, встроенный в браузер, дает возможность сформировать фишинговое окно, внешне практически идентичное оригинальному – «благодаря» эксплойту режима, переводящему в минималистичный формат web-страницу. Несмотря на то, что успех атаки отчасти зависит от внимательности пользователя, это направление фишинга рассматривается как перспективное. Оптимальным направлением считаются HTML-файлы и ярлычки Microsoft Edge, однако схема не менее эффективно работает также с Mac OS и Linux.
Единственное, что Google пока порекомендовал пользователям – относиться внимательнее к тем файлам, которые они хотят скачать.
Взлом сайтов «Мир» и НСПК
30 октября 2023 года злоумышленники . Ответственность за атаку взяла на себя группа Dump Forums.
При этом, по экспертным данным взлом коснулся только интернет-страниц, и злоумышленники не смогли получить доступ к информации, связанной с процессингом банковских карточек. На сайте нет конфиденциальных данных и получить через него доступ к самой платежной системе невозможно.
Сбоев в осуществлении платежных операций не выявлено.
