Vào đầu tháng 11, Nghị định của Tổng thống số 846 ngày 8 tháng 11 năm 2023 đã được ban hành, quy định một số lĩnh vực hoạt động của Cơ quan Kiểm soát Kỹ thuật và Xuất khẩu Liên bang (FSTEC). Những người tham gia thị trường bảo mật thông tin tin tưởng rằng sự hợp tác tích cực với các công ty bảo mật thông tin và chủ sở hữu cơ sở hạ tầng thông tin quan trọng (CII) từ các ngành khác nhau sẽ cho phép bộ thực hiện chúng thành công.
Bản chất của sự đổi mới
Nghị định của Tổng thống, ban hành ngày 8 tháng 11 năm nay, sửa đổi một nghị định khác của nguyên thủ quốc gia – “Các vấn đề của Cơ quan Kiểm soát Kỹ thuật và Xuất khẩu Liên bang” – được ban hành ngày 16 tháng 8 năm 2004 và các quy định đã được nó phê duyệt. Do đó, Nghị định của Tổng thống, được ban hành khoảng hai mươi năm trước, đã tuân thủ Luật Liên bang “Về bảo mật cơ sở hạ tầng thông tin quan trọng của Liên bang Nga”.
Nghị định mới quy định việc tăng số lượng nhân viên toàn thời gian tối đa có thể của văn phòng trung tâm FSTEC của Nga từ 260 lên 289 và của các cơ quan lãnh thổ – từ 1.012 lên 1.101.
Theo tài liệu, Bộ sẽ tạo và duy trì hoạt động của một hệ thống thông tin tự động để quản lý việc bảo vệ dữ liệu kỹ thuật và đảm bảo an ninh cho các cơ sở quan trọng của CII.
Đồng thời, cơ quan này sẽ bắt đầu giám sát tình trạng bảo vệ dữ liệu kỹ thuật và đảm bảo an ninh cho các cơ sở CII quan trọng, tạo ra “quy trình quản lý” cho các hoạt động này, có tính đến đặc thù ngành của các cơ sở đó và tổ chức thực hiện chúng.
Đồng thời, sẽ đảm bảo sự tương tác của chính quyền, chính quyền địa phương và các tổ chức trong khuôn khổ công việc nhằm nâng cao mức độ thực hiện các hoạt động này. Song song đó, FSTEC sẽ tổ chức và tiến hành đánh giá tính hiệu quả của các cơ quan chính phủ thực hiện các hoạt động đó.
Ngoài ra, trong phạm vi thẩm quyền của mình, FSTEC sẽ tham gia hạch toán tập trung các hệ thống thông tin và các cơ sở CII khác trong các lĩnh vực của nền kinh tế.
Ngoài tất cả những điều trên, Bộ sẽ phải thông báo kịp thời cho chính quyền, chính quyền địa phương và các tổ chức về các mối đe dọa đối với bảo mật dữ liệu và các lỗ hổng của hệ thống thông tin và các đối tượng CII khác, cũng như về biện pháp bảo vệ kỹ thuật chống lại chúng.
Nghĩa
Theo Igor Gusev, kỹ sư hàng đầu của công ty Gazinformservice, mặc dù có nội dung phong phú nhưng nghị định mới không mang lại điều gì hoàn toàn mới.
“Số lượng nhân viên của FSTEC đã tăng nhẹ cùng với sự gia tăng nhiều vấn đề và đối tượng giám sát của đất nước. Việc tạo ra một sổ đăng ký các đối tượng được phân loại CII đã được thiết lập theo Điều 8 của luật liên bang” Về bảo mật thông tin quan trọng Igor Gusev giải thích: Các yêu cầu về bảo mật CII, đánh giá và kiểm soát nhà nước đối với CII được quy định tại các Điều 11, 12, 13 của luật này.
Sergey Kuts, người đứng đầu bộ phận an ninh mạng của ngành tại Positive Technologies, tin rằng nghị định mới được thiết kế để tạo điều kiện thuận lợi cho công việc của FSTEC với CII và tổ chức sự tương tác hiệu quả giữa bộ phận và các đối tượng CII từ các ngành khác nhau.
“Có rất nhiều đối tượng CII, hơn một trăm nghìn tổ chức, một số trong đó vẫn ở trạng thái tự quyết theo Luật Liên bang “Về sự an toàn của CII của Liên bang Nga”. Xử lý một lượng lớn thông tin phân loại, Sergei Kuts giải thích: tính đến các đặc điểm cụ thể của ngành trong chức năng của từng đối tượng bảo vệ, đánh giá tính đúng đắn của công việc được thực hiện. Thật khó cho một dịch vụ.
Ông cũng thu hút sự chú ý đến thực tế là đã có đủ thời gian để phân loại các hệ thống theo CII và ngày nay cần phải đo lường hiệu quả của biện pháp bảo vệ đã được thực hiện. Ông cho biết sắc lệnh mới đã tính đến khía cạnh này.
Điều kiện tiên quyết
Nhu cầu đối với các lĩnh vực hoạt động của FSTEC được nêu trong nghị định chủ yếu quyết định việc ban hành các đạo luật lập pháp mới nhằm đảm bảo an ninh thông tin của đất nước.
“Ví dụ, ở Nga, luật về Internet có chủ quyền đã được ban hành, trong đó bao gồm việc hạn chế quyền truy cập của người dùng Nga vào các tài nguyên nước ngoài và FSTEC chịu trách nhiệm giám sát và thực thi luật này. Hơn nữa, công việc của bộ, không giống như các công ty tư nhân, được dựa trên các tiêu chuẩn nghiêm ngặt và yêu cầu bảo mật, đồng thời nhà nước có thể muốn có quyền kiểm soát và tham gia vào quá trình này,” giám đốc Ideco, Dmitry Khomutov giải thích.
Có lẽ ý tưởng phác thảo một số lĩnh vực hoạt động nhất định của FSTEC trong nghị định của những người tạo ra nó đã được đưa ra bởi dự luật sửa đổi Luật Liên bang “Về an toàn của các cơ sở phức hợp nhiên liệu và năng lượng”, xuất hiện vào mùa hè này.
“Trong đó, Bộ Năng lượng Nga đã cố gắng đảm nhận các nhiệm vụ tương tự trong lĩnh vực nhiên liệu và năng lượng. Tuy nhiên, những vấn đề tương tự cần được giải quyết cho tất cả các lĩnh vực của CII, đồng thời đảm bảo tính thống nhất giữa các cách tiếp cận và phương pháp luận được sử dụng. Điều này có thể được được thực hiện bởi một trung tâm duy nhất điều phối hoạt động này do FSTEC đại diện,” – Daniyar Iskhakov, Phó Giám đốc Phòng Tư vấn Innostage, giải thích.
Theo chuyên gia bảo mật thông tin FACCT Sergei Zolotukhin, các hoạt động của FSTEC, được nêu trong nghị định, nhìn chung có nghĩa là nhà nước tự mình điều phối mọi hành động và nguồn lực nhằm đảm bảo bảo vệ các cơ sở CII, kể cả từ các công ty tư nhân.
“Có rất nhiều lĩnh vực và phân khúc công nghiệp và tất cả chúng đều có thể được kết nối với nhau bằng các quy trình liên ngành. Ví dụ: việc cung cấp nguyên liệu thô – từ khai thác, vận chuyển và chế biến đến giao thành phẩm cho người tiêu dùng cuối cùng. FSTEC có thể sẽ đóng vai trò là người điều phối và quản lý các quy trình này, tập hợp các chuyên gia trong ngành để giải quyết các vấn đề bảo mật cụ thể,” Sergey Kuts giải thích.
Đáng chú ý là ngay sau khi nghị định được ban hành, Chủ tịch Hiệp hội các nhà khai thác nhỏ Nga (AMOR) Dmitry Galushko đã tuyên bố trên các phương tiện truyền thông rằng việc tạo ra cơ sở dữ liệu tập trung mà nghị định quy định là cần thiết để đơn giản hóa việc kiểm soát. của các chủ thể và đối tượng CII. Theo ông, Điều 13.12.1 Bộ luật Vi phạm hành chính quy định mức phạt vi phạm yêu cầu trong lĩnh vực bảo đảm an toàn cho thiết bị thông tin máy tính đã có hiệu lực được 2 năm nhưng trên thực tế chưa được áp dụng. hệ thống mới sẽ giúp giám sát và trừng phạt những người vi phạm tốt hơn.
Tuy nhiên, Anatoly Sazonov, người đứng đầu bộ phận an ninh công nghiệp tại Infosecurity a Softline Company, không đồng ý với ông. Theo ông, trách nhiệm hành chính của các đối tượng CII đã được pháp luật hóa và việc thực thi pháp luật liên quan đến vi phạm hành chính còn khá phổ biến.
“Những khoản tiền phạt như vậy có thể được áp dụng bởi cả FSTEC và FSB. Ví dụ, theo chính FSTEC, khoảng 900 thực thể CII đã bị thanh tra và khoảng 600 thực thể bị phát hiện vi phạm nghiêm trọng các yêu cầu bảo mật của CII. Sau đó, các tổ chức này Anatoly Sazonov cho biết đã ban hành lệnh loại bỏ các vi phạm và khoảng 40 đơn vị KII phải chịu trách nhiệm hành chính.
Cần lưu ý rằng Bộ đã kiểm toán các đơn vị CII trong các ngành công nghiệp năng lượng, luyện kim, hóa chất và khai thác mỏ, vận tải, truyền thông và công nghiệp quốc phòng. Danh sách các vi phạm điển hình được FSTEC xác định bao gồm việc thiếu cập nhật cơ sở dữ liệu chống vi-rút và cài đặt chống vi-rút.
Bộ cũng phát hiện ra rằng việc quản lý một số cơ sở CII được thực hiện từ các máy trạm đặt trong mạng công ty có truy cập Internet mà không thực hiện các biện pháp cần thiết để đảm bảo an ninh. Ngoài ra, FSTEC còn phải đối mặt với thực tế là một số doanh nghiệp không xác định, phân tích và loại bỏ các lỗ hổng tại các cơ sở quan trọng của CII. Đồng thời, một số tổ chức sử dụng phần mềm dễ bị tấn công mà không thực hiện các biện pháp bảo mật bù đắp.
“Ngày nay, FSTEC khá trung thành với các vi phạm, mong nhận được trách nhiệm của các nhà quản lý, có tính đến tình trạng thâm hụt ngân sách và nhân sự của họ. Tuy nhiên, cơ quan này luôn áp dụng hình thức xử phạt khi bộc lộ sự cẩu thả, thông đồng có chủ ý. Vì an ninh thông tin được đảm bảo trước hết. Igor Gusev cho biết, bằng các biện pháp hiệu quả, thì FSTEC thường cung cấp hỗ trợ về mặt phương pháp, nhận thấy sự quan tâm rõ ràng của những người tham gia đối với kết quả chứ không phải những người hủy đăng ký”.
Tương lai
Thoạt nhìn, một trong những vấn đề có thể gây khó khăn cho việc triển khai các lĩnh vực hoạt động được nêu trong nghị định của FSTEC dường như là trình độ năng lực chưa đầy đủ của nhiều công chức liên quan đến đảm bảo an ninh thông tin trong nước. Ý kiến cho rằng chính những nhân viên như vậy là người giải quyết vấn đề bảo mật thông tin trong các cơ quan chính phủ dựa trên thực tế là các chuyên gia trong lĩnh vực của họ sẽ không làm việc ở đó do mức lương thấp. Tuy nhiên, giám đốc Ideco Dmitry Khomutov không đồng tình với điều này.
Dmitry Khomutov lưu ý: “Mức thu nhập thấp không phải lúc nào cũng cho thấy trình độ và năng lực của nhân viên chính phủ thấp. Nhiều chuyên gia bảo mật thông tin làm việc trong các cơ quan chính phủ có trình độ học vấn cao hơn, họ đã trải qua đào tạo chuyên môn phù hợp và có kinh nghiệm làm việc cần thiết”.
Igor Gusev đồng ý với anh ta. Theo ông, mức thu nhập thấp không phải lúc nào cũng có nghĩa là trình độ năng lực thấp và không nên nhầm lẫn nguyên nhân với kết quả. Ngoài ra, các chuyên gia còn có các loại động lực khác để đảm bảo năng lực cao của họ. Nhưng những chuyên gia có mức thu nhập cao không phải lúc nào cũng có được.
“Đúng, năng lực cao cho phép bạn đủ điều kiện để nhận được mức thù lao cao hơn, nhưng vai trò chính được thể hiện bởi kết quả mà người sử dụng lao động mong đợi nhận được từ một chuyên gia, tức là nhu cầu về chuyên gia tại một thời điểm cụ thể trong công việc. Igor Gusev giải thích: “Thị trường lao động. Đồng thời, một số loại động lực có sẵn trong FSTEC mà các công ty tư nhân không cung cấp. Mỗi chuyên gia tự quyết định điều gì quan trọng hơn đối với mình”.
Đồng thời, ông tin rằng lợi ích của nhà nước trước hết phải được đảm bảo và kiểm soát bởi các nhân viên chính phủ.
Igor Gusev lưu ý: “Sẽ thật kỳ lạ khi giao việc này cho các công ty tư nhân theo đuổi lợi ích riêng của họ. Mục tiêu chính của họ là kiếm lợi nhuận”.
Theo Dmitry Khomutov, việc triển khai các hoạt động của FSTEC được nêu trong nghị định sẽ phức tạp do tỷ lệ luân chuyển nhân viên của FSTEC cao và tình trạng tham nhũng.
“Khối lượng công việc và trách nhiệm đối với kết quả của FSTEC đã tăng lên đáng kể, không phải ai cũng có thể chịu được khối lượng công việc này. Về vấn đề tham nhũng, theo tôi, khó có khả năng xảy ra vấn đề gì ở đây – không có mức độ tiếp cận phù hợp.” Igor Gusev cho biết: “FSTEC đã áp dụng khá nhiều thủ tục chống tham nhũng. Thông tin về chúng có sẵn trong các tài liệu liên quan trên trang web chính thức của bộ”.
Theo Dmitry Khomutov, khó khăn đối với FSTEC cũng có thể là do thiếu chuyên gia có trình độ cao trong các lĩnh vực mới. Các chương trình đào tạo và hợp tác với các cơ sở giáo dục sẽ giúp Bộ loại bỏ được điều đó.
“Để xây dựng các biện pháp bảo vệ có tính đến đặc thù của ngành, FSTEC sẽ cần có sự tham gia của các chuyên gia trong ngành và các chuyên gia hiểu rõ quy trình sản xuất và kinh doanh, có thể dự đoán các điểm thất bại tiềm ẩn trong chuỗi cung ứng ngành và liên ngành và quan trọng nhất là phát triển các biện pháp để đảm bảo hoạt động không bị gián đoạn của các hệ thống quan trọng,” Sergey Kuts cho biết thêm.
Theo Dmitry Khomutov, các vấn đề kỹ thuật liên quan đến việc phát triển thiết bị và phần mềm mới cũng sẽ đóng một vai trò nào đó. Giải pháp của họ sẽ yêu cầu bộ đầu tư vào nghiên cứu phát triển và hợp tác với các công ty đổi mới. Một số vấn đề khác sẽ phát sinh từ việc luật pháp thay đổi liên tục.
Dmitry Khomutov giải thích: “FSTEC phải nhận thức được những thay đổi mới nhất và sẵn sàng ứng phó với chúng, bao gồm cả việc cập nhật các thủ tục và chính sách.
Cơ sở dữ liệu
Việc tạo ra một hệ thống quản lý bảo vệ dữ liệu kỹ thuật và đảm bảo an ninh cho các cơ sở CII quan trọng rõ ràng sẽ cho phép FSTEC tổ chức công việc này. Với sự trợ giúp của nó, đặc biệt là cơ quan quản lý và các bộ ngành sẽ có thể thông báo cho các đối tượng CII về việc loại bỏ, chẳng hạn như các lỗ hổng nguy hiểm nhất đối với một ngành cụ thể và ngay lập tức chỉ ra các biện pháp để loại bỏ chúng và vô hiệu hóa các mối đe dọa.
Nếu cơ quan tính đến các chi tiết cụ thể của ngành thì tổ chức nhận được thông tin đó rất có thể sẽ thực hiện các biện pháp cần thiết, hiểu rằng bằng cách này, tổ chức sẽ tăng đáng kể mức độ bảo mật và sẵn sàng đẩy lùi các cuộc tấn công, bao gồm giảm rủi ro kiểm toán theo quy định .
Ngoài ra, theo Sergei Kuts, sử dụng hệ thống sẽ có thể đánh giá mức độ trưởng thành và an ninh của các tổ chức, hiệu quả của các biện pháp bảo vệ được áp dụng, theo dõi thời hạn hoàn thành nhiệm vụ được giao và nhận phản hồi về trạng thái.
Để hệ thống hoạt động hiệu quả, cơ quan quản lý sẽ cần tạo ra một khuôn khổ phương pháp luận cho phép xây dựng các quy trình bảo mật thông tin và đo lường hiệu quả của chúng. Ngoài ra, anh ấy sẽ cần giới thiệu các phương tiện liên lạc thuận tiện với các bộ phận trong ngành, phân khúc khu vực và những người tham gia tương tác khác.
Dmitry Khomutov lưu ý: “Hệ thống phải được bảo vệ tốt khỏi sự truy cập và hack trái phép. Điều này đòi hỏi phải sử dụng mã hóa, ủy quyền và xác thực mạnh mẽ của người dùng cũng như cập nhật thường xuyên hệ thống bảo mật”.
Sergey Zolotukhin, khi nói về mục đích của hệ thống, lưu ý rằng việc tuân thủ các yêu cầu bắt buộc không nên thay thế công việc thực tế trên thực địa.
“Điều quan trọng không kém là việc phát hiện và đẩy lùi các cuộc tấn công một cách hiệu quả, việc đưa vào các doanh nghiệp những công cụ trong nước hiện đại nhất giúp xác định rằng các hoạt động chuẩn bị đang được tiến hành cho các cuộc tấn công, cũng như phản ứng nhanh như chớp khi có ý định tấn công các doanh nghiệp KII. đã được phát hiện,” Sergei Zolotukhin nhấn mạnh.
Igor Gusev lưu ý rằng cơ sở dữ liệu được đề cập trong nghị định đã tồn tại từ lâu và thông tin về nó được coi là bí mật nhà nước.
“Trước hết, những kẻ vi phạm cần được xử lý bằng cách nâng cao nhận thức trong lĩnh vực bảo mật thông tin, bởi vì, như thực tế cho thấy, hầu hết các sự cố với CII xảy ra do đánh giá thấp rủi ro của các mối đe dọa, năng lực của các chuyên gia và quản lý liên quan không đủ năng lực,” kết luận Igor Gusev.
