Штрафы за сдачу отчетов без лицензии письмо ФСБ от 23 06 2022 номер С 2133

Что требует приказ?

Согласно данному приказу:

1. Мониторингом защищенности занимается 8-м Центром ФСБ.
2. Мониторинг осуществляется только в отношении периметра организаций, попадающих под действие Указа 250.
3. Все попавшие под действие приказа организации должны отправить в ФСБ информацию о свою доменах, внешних IP, а также об их изменении (по мере изменения и добавления).
4. Мониторинг осуществляется непрерывно и заключается в выявлении публично доступных сервисов, уязвимостей и оценки защищенности организаций.
5. Блокировать сканирование запрещено.
6. Оценка защищенности осуществляется без предупреждения со стороны ФСБ.
7. Оценка защищенности осуществляется на основании плана, утверждаемого начальником 8-го Центра ФСБ. Выписки из них направляются тем, кого будут оценивать. Уведомление за 2 недели до начала оценки защищенности. В нем указывается дата начала и дата окончания сканирования (а IP-адреса, с которых оно будет)?
8. Если в результате оценки защищенности ресурсы организации выходят из строя, об этом надо сообщить в порядке, определенном приказом.
9. Если по результатам оценки защищенности выявляется неспособность ресурсов организации противостоять угрозам ИБ, ФСБ выдает указание по обеспечению защищенности информационных ресурсов.
10. С одной стороны выявление уязвимостей осуществляется удаленно (п.10 приказа), а с другой (п.13) — возможно применение программно-аппаратных комплексов ФСБ, подключаемых к анализируемым информационным ресурсам. Причем подключение может быть удаленным или на объекте анализируемой организации.

А почему мониторинг защищенности?

Тут, конечно, вновь всплывает история взаимоотношений между нашими регуляторами в области ИБ. Исторически, вопросами контроля (анализа) защищенности у нас занималась и занимается ФСТЭК. Это требование прописано, начиная с 17-го приказа по защите ГИС, и дальше оно попало во все нормативные акты регулятора. ФСТЭК вообще в последнее очень активно занимается именно оценкой защищенности. На днях, вон, они утвердили «Руководство по организации процесса управления уязвимостями в органе (организации)». То есть я бы рассматривал именно ФСТЭК как основного регулятора в сфере установления требований по оценке защищенности. Но…

Одно дело устанавливать требования и совсем другое — контролировать, чтобы эти требования реализовывались и чтобы у заказчиков реально снижалось число уязвимостей в системах, что приводило бы к росту уровня защищенности. И вот эту тему недавно подхватило Минцифры, которое в 250-м Указе сначала потребовало оценить реальную защищенность 72 крупных компаний, потом внесла аналогичное требование в 860-е Постановление Правительство. И даже разработало и выложило на сайт типовое техническое задание на выполнение работ по оценке уровня защищенности информационной инфраструктуры. Потом Минцифры показало всем пример, разместив портал госуслуг и ЕСИА на платформах багбаунти. Правда, пока на этом и остановилось, — включать требование о багбаунти в ПП-676 Минцифры пока не планирует.

Но то, что пока делает Минцифры в публичной плоскости, — это история разовая или дискретная, но с большим периодом между оценками уровня защищенности. Нужно все-таки регулярно/непрерывно мониторить уровень защищенности организаций, выявлять у них хотя бы на периметре непатченные уязвимости и незакрытые и плохо настроенные сервисы. Делать это самостоятельно организации не особо и хотят; или не умеют, или говорят, что проблемы нет. Поэтому, чтобы не полагаться на сами компании, эту тему хотело оседлать Минцифры — на недавнем CISO Forum директор Департамента кибербезопасности Минцифры Владимир Бенгин как раз упоминал о «русском Шодане», который будет сканировать российское адресное пространство в поисках уязвимых ресурсов. И такой «русский Шодан» появился — о нем говорили на PHDays. Компания CyberOK разработала сканер Rooster, который и должен был выполнять эту задачу — искать уязвимости на периметре, выявлять некорректно настроенные сервисы и т.п.

Но так как на ГосСОПКУ у нас возложена по законодательству задача мониторинга защищенности, то логично, что и ФСБ подключалась к данной задаче и вот мы видим результат — новый приказ, которые говорит как раз не об установлении требований по анализу защищенности, не по разовой проверке, а по непрерывному мониторингу. При этом ФСБ не будет ждать данных от самих организаций, а будет по своей инициативе и без предупреждения их «зондировать».

Трехглавый дракон оценки защищенности

Содействие в мобилизации

По закону все организации должны оказывать военкоматам содействие в их мобилизационной работе в мирное время и при объявлении мобилизации. Такое содействие включает (пп. 11 п. 1 ст. 8 Федерального закона от 26.02.1997 № 31-ФЗ):

• организацию своевременного оповещения и явки граждан, подлежащих призыву на военную службу по мобилизации, на сборные пункты и в воинские части;

• предоставление зданий, сооружений, коммуникаций, земельных участков для нужд мобилизации;

• предоставление транспортных и других материальных средств для нужд мобилизации.

Данные обязанности в законе не конкретизируются. Эти обязанности организации должны исполнять в порядке и объемах, которые определяются планами мобилизации. Невыполнение перечисленных обязанностей в период мобилизации повлечет привлечение организации к административной ответственности по ст. 19.38 КоАП РФ, которая была введена в действие с 1 октября 2023 года в соответствии с Федеральным законом от 31.07.2023 № 404-ФЗ.

1С:Зарплата и управление персоналом 8 ред. 3

• Как настроить воинский учет в программе 
• Возобновление трудового договора после мобилизации
• Карточка гражданина, подлежащего воинскому учету

Согласно ч. 1 ст. 19.38 КоАП РФ, неоказание содействия по организации оповещения и явки граждан, подлежащих призыву на военную службу по мобилизации, на сборные пункты или в воинские части повлечет наложение штрафов в размере:

• от 60 000 до 80 000 рублей – на должностных лиц организаций;

• от 400 000 до 500 000 рублей – на организации.

Такими же штрафами грозит и неисполнение обязанности по организации или обеспечению поставки техники на сборные пункты или в воинские части в соответствии с планами мобилизации (ч. 2 ст. 19.38 КоАП РФ).

Резюмируя

Год назад я написал заметку про уроки кибервойны и то, что несмотря на начало спецоперации в том числе и в киберпространстве, регуляторы у нас живут как в прошлом веке. Пора признать, что ситуация сдвинулась с мертвой точки и безопасность у нас все больше становится практической, а не бумажной. Да, не все регуляторы могут этим похвастаться. Да, от бумажных обязательных требований пока не отказываются. Но движение в сторону практического кибербеза налицо. Речь все чаще идет не о мерах защиты, а о процессах их реализации. Осталось представителям регуляторов на местах это осознать и самим заказчикам начать проактивно думать о своей безопасности. Пока за них не подумали ФСБ, ФСТЭК и Минцифры.

Что делать?

Закономерный вопрос. Коль скоро регуляторы серьезно взялись за анализ защищенности, то стоит сделать две вещи:

1. Оценить ваш текущий процесс управления уязвимостями. Для сравнения можете посмотреть на результаты исследования этого вопроса в российских компаниях в 2020-м и 2022-м годах (см.ниже).
2. Провести анализ защищенности до того, как вас проверят ФСБ, ФСТЭК и Минцифры. Можно использовать, как минимум, сканеры безопасности или решения класса BAS, а можно заказать пентест.
3. Сделать так, чтобы анализ защищенности не показывал плачевное состояние вашего периметра (как минимум). То есть обновление и безопасная настройка web-сайта и периметрового сетевого оборудования, установка WAF и NGFW на периметре и вот это вот все.
4. Выстроить процесс управления уязвимостями в организации.