ФСТЭК дополняет приказы 17 и 239 требованиями защиты от DDoS
ФСТЭК готовится внести изменения в приказы 17 и 239. Дополнения направлены на защиту от DDoS. Мы изучили изменения и передаем самую суть.
ФСТЭК планирует внести изменения в приказ 17 «О защите информации в ГИС, не составляющей государственную тайну» и приказ 239 «По обеспечению безопасности значимых объектов критической информационной инфраструктуры».
Меня зовут Андрей Давид, я руководитель отдела продуктов информационной безопасности в Selectel. В этой статье расскажу о сути предпринимаемых регулятором мер: о том, кого они коснутся, как соответствовать новым требованиям, и чем мы можем помочь.
Кого затрагивают изменения
Новые требования, как и все остальные положения приказов 17 и 239, обязательны для:
- федеральных и муниципальных учреждений, деятельность которых связана с данными;
- разработчиков и операторов государственных информационных систем;
- разработчиков коммерческих сервисов и приложений, которые подключаются к государственным информационным системам и имеют обязательства по выполнению требований 17 приказа ФСТЭК от своих заказчиков;
- всех объектов критической информационной инфраструктуры, которые определяются перечнем соответствующего федерального закона 187.
Причины нововведений
Интенсивность атак, направленных на перегрузку информационных систем, непрерывно растет. Первый квартал 2024 года показывает прирост по количеству инцидентов примерно на 60% по сравнению с аналогичным периодом прошлого года. Растет и степень натиска. Еще несколько лет назад злоумышленникам требовалась минута, чтобы воздействие достигло критического уровня — сегодня же перегрузка подскакивает до него за считанные секунды.
Растет и ущерб, наносимый атаками подобного вида. Разумеется, убытки, которые мы можем выразить в условном денежном эквиваленте, не всегда соответствуют тому вреду, что получают люди в результате подобных атак.
Уровень подготовки и технической оснащенности атакующих тоже растет. Диверсионные мероприятия по выводу из строя информационных систем давно перешли с уровня хулиганства хакеров-энтузиастов на уровень организованной деятельности преступных группировок.
Отталкиваясь от статистики, можно сделать вывод, что нет тенденции на ослабление угрозы или хотя бы стабилизацию ситуации. Разработка дополнений к приказам ФСТЭК — закономерный ответ на новые вызовы.
Обзор предлагаемых мер от ФСТЭК
Обычно меры по противодействию DDoS‑атакам разделяют на две группы: упреждающие и ответные. Регулятор рассматривает не только техническую сторону защиты, но и регламентирует необходимые меры по организации эффективного противодействия угрозам.
Дополнения приказа 17 (20.14) и приказа 239 (22.1) неотличимы по перечню предлагаемых мер — разница лишь в защищаемых сущностях. Приказ 17 регламентирует защиту информационных систем, а приказ 239 — защиту значимых объектов критической информационной инфраструктуры.
Технические мероприятия
Если кратко обобщить все девять пунктов приказа, то меры, предпринимаемые ответственными за информационные системы и значимые объекты, должны предусматривать:
- инвентаризацию интерфейсов: в сеть должны быть направлены только необходимые из них;
- подключение специальных сервисов противодействия атакам DDoS;
- обеспечение двукратного запаса пропускной способности канала относительно обычных объемов трафика;
- определение «аварийных» сетевых адресов, которые должны сохранить работоспособность в условиях уже начавшейся DDoS-атаки;
- активное участие в выявлении злоумышленников: использование данных GeoIP, трехлетнее хранение данных по возникшим угрозам.
Организация взаимодействия
Рассмотренные выше меры являются техническими. ФСТЭК также разработал меры организационные. Как и в предыдущем случае, дополнения приказа 17 (25.1) и приказа 239 (26.2) по содержанию идентичны и разнятся только объектами защиты.
Организационные меры обязывают участников процесса обеспечить пять возможностей.
- Взаимодействие с «Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак» (ГосСОПКА) и разрабатываемой технической системой противодействия DDoS-атакам.
- Взаимодействие с провайдером, программно-аппаратные средства которого участвуют в защите от DDoS (такой провайдер должен располагаться на территории РФ).
- Разработка регламента взаимодействия с провайдером по предотвращению DDoS-атак (включая разграничение зон ответственности).
- Предоставление ответственным лицам доступа к интерфейсам и сервисам для фильтрации трафика в соответствии с матрицей коммуникаций.
- Возможность размещения информационной системы или значимых объектов в инфраструктуре провайдера, который может обеспечить защиту.
Последнее требование напрашивалось само собой: не каждая организация или бизнес способны справиться с растущей сложностью противодействия DDoS-атакам. Перекладывать непомерную нагрузку на плечи тех, кто не может, да и не должен, искать способы устоять изощренным нападениям, — было бы не самым эффективным решением. Здесь ФСТЭК действует очень мудро.
Готовые решения от Selectel
У нас уже разработана услуга защиты от DDoS-атак, клиенты успешно пользуются ей с 2015 года.
Мы предоставляем защищенные IP-адреса, выделяем специальную полосу для защищенного трафика. Входящий трафик из интернета попадает на сеть наших партнеров, где проходит процедуру очистки (исходящий трафик идет напрямую).
Весь нелегитимный трафик отбрасывается, а клиенты платят только за очищенный трафик. При этом защита от DDoS-атак на уровне L3, L4 уже включена в стоимость всех наших продуктов. Вся инфраструктура может работать с дополнительными клиентскими мерами защиты.
Для защиты от DDoS-атак на приложение клиенты используют сертифицированный WAF на базе технологий компании Solid Wall, лидера российского рынка в области защиты веб-приложений от кибератак и вредоносной активности.
Можем перенести всю клиентскую инфраструктуру так, что ответственным лицам не придется отвлекаться на решения дополнительных задач. Наша команда продумает все нюансы, предусмотрит риски и выполнит миграцию совершенно бесплатно, включая настройку средств защиты. Мы даже сняли об этом целое видео для наглядности.
Сориентироваться во множестве решений для проектов с повышенными требованиями безопасности поможет наша страница по продуктам и услугам информационной безопасности. Там же можно получить консультацию по всем вопросам.