Законодательные требования и рекомендации регуляторов к защите от DDoS-атак
Что такое DDoS-атаки?
За 2022-2024 годы многие российские компании пострадали от распределенных атак типа отказ в обслуживании (DDoS-атаки). Количество, длительность и мощность атак бьют рекорды, сложность атак растет.
Успешная DDoS-атака может привести к переполнению аплинков, исчерпанию ресурсов пограничных маршрутизаторов, NGFW, WAF, балансировщика нагрузки или защищаемого сервера. Публичные и служебные сервисы компании-жертвы при этом становятся недоступны.
Исчерпание ресурсов сетевого оборудования или NGFW может привести к потере сетевой связности внутри компании, что также нарушит внутренние бизнес-процессы.
Успешная DDoS-атака может привести к переполнению аплинков, исчерпанию ресурсов пограничных маршрутизаторов, NGFW, WAF, балансировщика нагрузки или защищаемого сервера. Публичные и служебные сервисы компании-жертвы при этом становятся недоступны.
Исчерпание ресурсов сетевого оборудования или NGFW может привести к потере сетевой связности внутри компании, что также нарушит внутренние бизнес-процессы.
На кого распространяются законодательные требования по защите от DDoS-атак?
Регуляторы в области информационной безопасности предъявляют требования или дают рекомендации по защите от DDoS-атак
DDoS-атаки направлены на создание ситуации, когда атакуемые ресурс перестает быть доступным.
Вполне логично, что регуляторы в области информационной безопасности предъявляют требования или дают рекомендации по защите от DDoS-атак.
Требования и рекомендации зависят от типа защищаемых информационных систем или отрасли экономики, в которой эти информационные системы используются.
Банк России предъявляет требования к организациям финансового сектора, ФСТЭК России предъявляет требования к операторам государственных информационных систем, субъектам критической информационной инфраструктуры, операторам автоматизированных систем управления производственными и технологическими процессами.
Вполне логично, что регуляторы в области информационной безопасности предъявляют требования или дают рекомендации по защите от DDoS-атак.
Требования и рекомендации зависят от типа защищаемых информационных систем или отрасли экономики, в которой эти информационные системы используются.
Банк России предъявляет требования к организациям финансового сектора, ФСТЭК России предъявляет требования к операторам государственных информационных систем, субъектам критической информационной инфраструктуры, операторам автоматизированных систем управления производственными и технологическими процессами.
Требования к информационным системам финансового сектора
ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» содержит меры защиты информации:
Также защита от DDoS-атак для организаций финансового сектора требуется в рамках управления операционным риском.
Успешная DDoS-атака может привести к простою или деградации бизнес-процесса, что согласно Положению Банка России от 12.02.2022 № 787-П приведет к нарушению операционной надежности.
- ВСА.8 - Контроль отсутствия (выявление) аномальной сетевой активности, связанной с возможным осуществлением атак типа "отказ в обслуживании", предпринимаемых в отношении ресурсов доступа, размещенных в вычислительных сетях финансовой организации, подключенных к сети Интернет
- ВСА.9 - Блокирование атак типа "отказ в обслуживании" в масштабе времени, близком к реальному
Также защита от DDoS-атак для организаций финансового сектора требуется в рамках управления операционным риском.
Успешная DDoS-атака может привести к простою или деградации бизнес-процесса, что согласно Положению Банка России от 12.02.2022 № 787-П приведет к нарушению операционной надежности.
Слайд из презентации по системе управления операционным риском представителя ДИБ ЦБ Антона Чернодеда на конференции АБИСС 2023 года.
Требования к государственным информационным системам (ГИС)
Приказом ФСТЭК от 11.02.2013 № 17 установлены следующие меры защиты государственных информационных систем от DDoS-атак:
28 августа 2024 г. опубликован приказ ФСТЭК России N 159 «О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК от 11 февраля 2013 г. № 17, и Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры РФ утвержденные приказом ФСТЭК от 25 декабря 2017 г. № 239».
Обзор доступен по ссылке, суть изменений - на слайде.
- СОВ.1 - Обнаружение вторжений
- СОВ.2 - Обновление базы решающих правил
- ЗИС.22 - Защита информационной системы от угроз безопасности информации, направленных на отказ в обслуживании информационной системы.
28 августа 2024 г. опубликован приказ ФСТЭК России N 159 «О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК от 11 февраля 2013 г. № 17, и Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры РФ утвержденные приказом ФСТЭК от 25 декабря 2017 г. № 239».
Обзор доступен по ссылке, суть изменений - на слайде.
Слайд с презентации начальника 8 управления ФСТЭК России Е.Б. Торбенко на SOC-форуме 2024.
Требования и рекомендации к защите критической информационной инфраструктуры (КИИ)
Приказом ФСТЭК от 25.12.2017 г. № 239 установлены меры защиты критической информационной инфраструктуры от DDoS-атак:
Дополнительно ФСТЭК России разработал рекомендации по защите от DDoS-атак, которые изложил в письме № 240/84/2582 от 30 сентября 2022.
Требования приказа ФСТЭК России от 28 августа 2024 г. N 159 распространяются и на значимые объекты КИИ.
Обзор приказа - по ссылке.
- СОВ.1 - Обнаружение и предотвращение компьютерных атак
- СОВ.2 - Обновление базы решающих правил
- ЗИС.34 - Защита от угроз отказа в обслуживании (DOS, DDOS атак)
Дополнительно ФСТЭК России разработал рекомендации по защите от DDoS-атак, которые изложил в письме № 240/84/2582 от 30 сентября 2022.
Требования приказа ФСТЭК России от 28 августа 2024 г. N 159 распространяются и на значимые объекты КИИ.
Обзор приказа - по ссылке.
Требования к защите автоматизированных систем управления производственными и технологическими процессами (АСУ ТП)
Приказом ФСТЭК от 14.03.2014 № 31 установлены меры защиты АСУ ТП от DDoS-атак:
- СОВ.1 - Обнаружение и предотвращение компьютерных атак
- СОВ.2 - Обновление базы решающих правил
- ЗИС.34 - Защита от угроз отказа в обслуживании (DOS, DDOS атак)
Как выполнить требования к защите от DDoS-атак?
Самый простой способ защиты от DDoS-атак - использовать облачный сервис, например, Mitigator Cloud.
Компании с большим количеством и разнообразием опубликованных сервисов со временем приходят к идее установки специализированного устройства по защите DDoS-атак в собственной инфраструктуре, например, Mitigator.
Компании с большим количеством и разнообразием опубликованных сервисов со временем приходят к идее установки специализированного устройства по защите DDoS-атак в собственной инфраструктуре, например, Mitigator.
8 АПРЕЛЯ / 2024, обновлена 12 НОЯБРЯ / 2024
По всем вопросам свяжитесь с нами любым удобным способом:
E-mail: legal@bifit.com
Телефон: +7 (495) 532-15-02
E-mail: legal@bifit.com
Телефон: +7 (495) 532-15-02