Сотрудник ITTS принял участие в научно-практическом семинаре «Итоги 2017 года по состоянию информационной безопасности органов государственного и хозяйственного управления, а также местной государственной власти».

Вот основные, на наш взгляд, тезисы докладов на семинаре:
1. Лидерами в области обеспечения ИБ среди госорганов по итогам анализа в системе «ict.nis.uz» стали НГМК, УзМетКомбинат, хокимият Хорезмской области, АК «Дори-дармон», СК «Кафолат», УзПСБ.
Средние и ниже среднего оценки получили НАК, ГосВодХозНадзор, УзМонтажСпецСтрой, совет фермеров, центр духовности и просветительства.

2. Основными причинами снижения уровня оценки обеспечения ИБ являются отсутствие регулярных экспертиз ИБ, отсутствие постоянного повышения квалификации сотрудников ИБ, отсутствие внутренних нормативных документов по ИБ. К возникновению этих проблем приводят частая смена лиц, ответственных за ИБ, недостаточное финансирование, недостаток времени для обучения у специалистов.

3. Пожалуй, основным нововведением, анонсированным на семинаре, стали два документа, которые призваны урегулировать процессы обеспечения ИБ в госорганах:
- «Требования обеспечения информационной безопасности органов государственного и хозяйственного управления, государственной власти на местах»;
- «Регламент взаимодействия между Министерством по развитию информационных технологий и коммуникаций Республики Узбекистан и органами государственного и хозяйственного управления по реагированию, расследованию и предотвращению инцидентов информационной безопасности».
Оба этих документа уже есть в распоряжении наших специалистов, проводится их изучение. С итогами анализа будут ознакомлены действующие заказчики ITTS, а затем и посетители нашего сайта.

Также была представлена статистика инцидентов за 2017 год на информационных ресурсах доменной зоны UZ (по данным ЦОИБ). Из выявленных в 2017 году ЦОИБ 669 фактов несанкционированного вмешательства в работу ресурсов доменной зоны UZ, в 592 случаях приняты соответствующие меры по устранению последствий и причин инцидентов.

Вечером 14 марта 2018 года стало известно о преобразовании Службы национальной безопасности Республики Узбекистан в Службу государственной безопасности Республики Узбекистан. Был опубликован указ Президента Республики Узбекистан «О мерах по совершенствованию системы государственной безопасности Республики Узбекистан» и комментарии к нему.

Разделом 3 этого указа определены основные задачи и направления деятельности Службы, в частности:
- обеспечение государственной безопасности в экономической, научно-технической, социальной и информационной сферах, защиту культурно-исторического и богатого духовного наследия народа Республики Узбекистан;
- обеспечение государственной безопасности в сфере телекоммуникаций и транспорта, предупреждение, выявление и пресечение предпосылок к чрезвычайным ситуациям;
- контроль за обеспечением сохранности государственных секретов, безопасности специальной связи и организацией криптографической защиты информации в государственных органах и иных организациях;

До этого СНБ являлась уполномоченным органом и регулятором в ряде вопросов, связанных с обеспечением информационной безопасности.

• СНБ являлось лицензирующим органом при проектировании, разработке, производстве, реализации, ремонте и использовании средств криптографической защиты информации.
  Для справки, по данным единого портала лицензиата, действующими лицензиями на разработку и проектирование СКЗИ обладает только Национальный университет Узбекистана.
• Разрешения на проведение работ по аттестации объектов информатизации также выдавались СНБ.
• Также, при разработке политики информационной безопасности в госорганах, разработанный проект политики в госорганах должен был согласовываться уполномоченными органами, которые не были явно не были определены, но фактически этим уполномоченным органом являлась СНБ. Эта процедура определена методическими пособиями по разработке политики информационной безопасности на территории Республики Узбекистан.

При этом, в комментариях к указу особо отмечено, что:
В целях исключения несвойственных задач и функций с 1 апреля 2018 года передаются другим ведомствам или упраздняются отдельные разрешительные полномочия, относившиеся к компетенции Службы национальной безопасности.
Разделом 4 указа явно определено, что функции по выдаче допусков к выполнению работ по проектированию, монтажу, наладке, ремонту и техническому обслуживанию технических средств охраны на особо важных и категорированных объектах и справок о допуске соискателей лицензии на проектирование, строительство, эксплуатацию и ремонт режимных оборонных объектов передаются МВД и МО соответственно.
Регулирование в области СКЗИ, очевидно, сохраняется за Службой государственной безопасности. Изменится ли роль Службы государственной безопасности в вопросах согласования проектов политики ИБ и выдаче разрешений на проведение работ по аттестации объектов информатизации - пока неясно.

Материалы по теме:
1. Указ Президента Республики Узбекистан «О мерах по совершенствованию системы государственной безопасности Республики Узбекистан» и комментарии к нему.
2. Статья на Газета.uz «СНБ преобразована в Службу госбезопасности»
3. Методические пособия по разработке политики информационной безопасности на территории Республики Узбекистан  (Приложение № 10 к протоколу Республиканской комиссии по координации реализации Комплексной программы развития Национальной информационно-коммуникационной системы Республики Узбекистан на 2013-2020 годы от 23 февраля 2016 года № 7)
4. Постановление Кабинета Министров Республики Узбекистан о мерах по реализации постановления Президента Республики Узбекистан от 8 июля 2011 года № ПП-1572 «О дополнительных мерах по защите национальных информационных ресурсов»
5. Постановление Президента Республики Узбекистан «О мерах по организации криптографической защиты информации в Республике Узбекистан»

Основным рабочим документом администратора информационной безопасности является политика информационной безопасности. Почти все госорганы уже озаботились её разработкой и все находятся в разной стадии готовности. От постановки задачи до согласования готового документа. Сегодня мы в немногих словах расскажем о типичных проблемах на этом сложном пути.
1. Если нет возможности пригласить опытных специалистов, то разработать политику можно и самим. Проще всего начать анализировать ежедневную работу и возникающие проблемы, описывать принимаемые решения. На выходе получится набор инструкций по самым насущным проблемам. Рекомендуем быть осторожными с готовыми шаблонами из интернета, их нужно воспринимать именно как шаблон. Мы же не дарим близким людям первую попавшуюся открытку или стишок из интернета, если и берём что-то оттуда, то дорабатываем, «настраиваем» под себя.
2. Обычно, в течение года с начала работы набирается уже приличная база знаний в письменном виде, можно обобщать её в виде документа. Лучше, если удастся подключить к работе специалиста, постоянно связанного с разработкой документов - методиста, юриста, специалиста нормоконтроля или СМК. Вместе можно будет «причесать» документ, упорядочить разделы.
3. Попытаться согласовать и ввести в действие разработанный проект политики. Для госорганов Узбекистана эта процедура описана такими словами «Разработанный проект политики в установленном порядке направляется на согласование в Министерство по развитию информационных технологий и коммуникаций Республики Узбекистан и уполномоченным органам». Не указано (но многим понятно), с какими именно ещё, кроме Мининфокома, уполномоченными органами согласовывается проект политики. По нашей практике именно согласование с уполномоченными органами занимает очень много времени - от полугода и больше. За это время могут произойти серьезные изменения в структуре организации, которые отразятся в тексте политики, а значит, её нужно будет согласовывать заново.
4. Чтобы во всё время согласования политики в организации был какой-то руководящий документ по ИБ, мы предлагаем утвердить политику хотя бы на уровне руководства самой организации как «временную инструкцию», «временный порядок». Даже такой промежуточный статус позволит предприятию (особенно отделу ИБ) работать в рамках правового поля, зафиксированного документально.
5. Постоянно дорабатывать политику. Не реже раза в год нужно пересматривать политику, даже если никаких значительных изменений не произошло. Например, почти у всех организаций появились группы и каналы в Telegram. Обеспечение ИБ при работе в этом сервисе нужно тоже включить в политику.

Что почитать ещё:
1. Совместную статью нашего специалиста с экспертом Росатома «С чего начинается информационная безопасность на предприятии? Кадры решают всё.»
2. Государственный стандарт O'z DSt ISO/IEC 27002:2016 «Информационная технология. Методы обеспечения безопасности. Практические правила управления информационной безопасностью» целиком и его 5-й раздел особенно.
3. Методические пособия по разработке политики информационной безопасности на территории Республики Узбекистан. Для госорганов этот документ обязателен к руководству, для всех остальных - к сведению.

Аудит - анализ соответствия принятой политике безопасности и операционным процедурам, обнаружение нарушений безопасности и выдача рекомендаций (O‘z DSt 2927:2015).
Экспертиза имеет более узкий смысловой диапазон и применяется чаще для получения ответа на конкретно поставленные вопросы. Например, судебно-медицинская экспертиза, баллистическая экспертиза, экспертиза уровня ущерба. Иногда, термин «экспертиза ИБ» мы применяем во избежание коннотации (смешивания) с финансовым аудитом, который давно определён в законодательстве Узбекистана.
Проще говоря, аудит - более широкое понятие. В ходе аудита ИБ может быть проведено несколько экспертиз, которые будут частью аудита.
Именно термин «аудит» используется во всех национальных и международных стандартах (ISO 270xx, PCI DSS, SWIFT CSCF). Но в том же так называемом опроснике nis.uz всё-таки используется термин «3.1.3 Проведение экспертизы состояния информационной безопасности».
Итак, оба термина «аудит ИБ» и «экспертиза ИБ» имеют много общего, но именно «Аудит ИБ» более корректное и содержательное (субстантивное) понятие.
Аудит информационной безопасности является нелицензируемым видом деятельности, для её проведения не требуется каких либо лицензий или разрешений.
Ранее мы отмечали, что в инициативном порядке обеспечиваем соответствие наших аудиторов требованиям профильных стандартов. Рекомендуем учитывать это (а не только цену) при выборе исполнителя аудита ИБ.

Аудит ИБ не является сертификацией (подтверждением соответствия объектов требованиям технических регламентов) и не является аттестацией объектов информатизации ‑ для проведения этого вида работ уполномоченным органом выдается отдельный документ ‑ разрешение.

Узнать, что входит в состав аудита информационной безопасности и заказать его вы можете связавшись с нами.

20 ноября 2017 г. мы стали свидетелями атаки злоумышленников на сайты госорганов Узбекистана.
Что можно сделать, чтобы не пострадать в следующий раз?
1. Провести экспертизу информационной безопасности. Мы профессионально занимаемся этим уже 7 лет. Подтверждение этого - ни один из наших заказчиков, у которых мы проводили экспертизу за последний год, не пострадал от этой атаки.
2. Провести инвентаризацию - кто и как следит за доступностью сайта организации, размещением материалов, существуют ли альтернативные каналы связи с потребителями услуг на случай недоступности сайта.
3. Нужно понимать, что взлом сайта это очень неприятный инцидент, но реальный ущерб от него относительно невысок. Серьезные, а то и катастрофические последствия могут иметь атаки на основные ресурсы организации. Есть ли у вас план действий на этот случай?

Материалы по теме:
1. Мининфоком «Приняты оперативные меры по устранению последствий кибератаки».
2. Газета.uz «Ряд госсайтов недоступен из-за атаки».
3. Статья ITTS «Семь правил информационной безопасности».

В марте 2017 года SWIFT выпустил свой стандарт по ИБ Customer Security Controls Framework 1.0 (CSCF). Все клиенты SWIFT (имеющие собственный BIC, которые выглядят так ASBKUZ22, NBFAUZ2X) должны до 31 декабря 2017 г. отчитаться перед SWIFT о соответствии новому стандарту CSCF.
Для этого нужно собрать данные о соответствии стандарту и предоставить их в SWIFT через специальный интерфейс - KYC Registry Security Attestation Application
Что нужно сделать для оценки:
1. Определить область действия стандарта - какое оборудование и системы входят в так называемый scope. Определить тип архитектуры (A1, A2, A3, B) - от этого зависит какие пункты стандарта будут обязательными, а какие рекомендуемыми.
2. Собрать сведения о соответствии по всем обязательным пунктам стандарта CSCF.
3. Ввести все полученные данные в специальное приложение KYC-SA.

Сам стандарт имеет технический уклон, содержит подробное описание каждого требования и его обоснование. Также в стандарте приводится таблица соответствия его пунктов другим отраслевым стандартам (PCI DSS, ISO 27002, NIST)

До конца 2017 года нужно отправить в SWIFT данные о соответствии стандарту CSCF, в течение 2018 года собранные данные будут анализироваться SWIFT, а с 2019 года все сведения о несоответствиях будут передаваться местным регуляторам (для нас это, очевидно, будет Центральный банк РУ) - см. график справа.

ITTS готово провести оценку соответствия требованиям SWIFT CSCF и помочь банкам со сбором данных и отправкой их в SWIFT.

Также рекомендуем статью нашего коллеги Андрея Гайко из Digital Security и вебинар Безопасность SWIFT.

SWIFT - Общество всемирных межбанковских финансовых каналов связи (от англ. Society for Worldwide Interbank Financial Telecommunications) — международная межбанковская система передачи информации и совершения платежей. В настоящий момент членами SWIFT являются более 10 000 организаций.