Законодательные требования и рекомендации регуляторов к защите от DDoS-атак
Что такое DDoS-атаки?
За 2022-2024 годы многие российские компании пострадали от распределенных атак типа отказ в обслуживании (DDoS-атаки). Количество, длительность и мощность атак бьют рекорды, сложность атак растет.
Успешная DDoS-атака может привести к переполнению аплинков, исчерпанию ресурсов пограничных маршрутизаторов, NGFW, WAF, балансировщика нагрузки или защищаемого сервера. Публичные и служебные сервисы компании-жертвы при этом становятся недоступны.
Исчерпание ресурсов сетевого оборудования или NGFW может привести к потере сетевой связности внутри компании, что также нарушит внутренние бизнес-процессы.
Успешная DDoS-атака может привести к переполнению аплинков, исчерпанию ресурсов пограничных маршрутизаторов, NGFW, WAF, балансировщика нагрузки или защищаемого сервера. Публичные и служебные сервисы компании-жертвы при этом становятся недоступны.
Исчерпание ресурсов сетевого оборудования или NGFW может привести к потере сетевой связности внутри компании, что также нарушит внутренние бизнес-процессы.
На кого распространяются законодательные требования по защите от DDoS-атак?
Регуляторы в области информационной безопасности предъявляют требования или дают рекомендации по защите от DDoS-атак
DDoS-атаки направлены на создание ситуации, когда атакуемые ресурс перестает быть доступным.
Вполне логично, что регуляторы в области информационной безопасности предъявляют требования или дают рекомендации по защите от DDoS-атак.
Требования и рекомендации зависят от типа защищаемых информационных систем или отрасли экономики, в которой эти информационные системы используются.
Банк России предъявляет требования к организациям финансового сектора, ФСТЭК России предъявляет требования к операторам государственных информационных систем, субъектам критической информационной инфраструктуры, операторам автоматизированных систем управления производственными и технологическими процессами.
Вполне логично, что регуляторы в области информационной безопасности предъявляют требования или дают рекомендации по защите от DDoS-атак.
Требования и рекомендации зависят от типа защищаемых информационных систем или отрасли экономики, в которой эти информационные системы используются.
Банк России предъявляет требования к организациям финансового сектора, ФСТЭК России предъявляет требования к операторам государственных информационных систем, субъектам критической информационной инфраструктуры, операторам автоматизированных систем управления производственными и технологическими процессами.
Требования к информационным системам финансового сектора
ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» содержит меры защиты информации:
Также защита от DDoS-атак для организаций финансового сектора требуется в рамках управления операционным риском.
Успешная DDoS-атака может привести к простою или деградации бизнес-процесса, что согласно Положению Банка России от 12.02.2022 № 787-П приведет к нарушению операционной надежности.
- ВСА.8 - Контроль отсутствия (выявление) аномальной сетевой активности, связанной с возможным осуществлением атак типа "отказ в обслуживании", предпринимаемых в отношении ресурсов доступа, размещенных в вычислительных сетях финансовой организации, подключенных к сети Интернет
- ВСА.9 - Блокирование атак типа "отказ в обслуживании" в масштабе времени, близком к реальному
Также защита от DDoS-атак для организаций финансового сектора требуется в рамках управления операционным риском.
Успешная DDoS-атака может привести к простою или деградации бизнес-процесса, что согласно Положению Банка России от 12.02.2022 № 787-П приведет к нарушению операционной надежности.
Слайд из презентации по системе управления операционным риском представителя ДИБ ЦБ Антона Чернодеда на конференции АБИСС 2023 года.
Требования к государственным информационным системам (ГИС)
Приказом ФСТЭК от 11.02.2013 № 17 установлены следующие меры защиты государственных информационных систем от DDoS-атак:
- СОВ.1 - Обнаружение вторжений
- СОВ.2 - Обновление базы решающих правил
- ЗИС.22 - Защита информационной системы от угроз безопасности информации, направленных на отказ в обслуживании информационной системы.
Требования и рекомендации к защите критической информационной инфраструктуры (КИИ)
Приказом ФСТЭК от 25.12.2017 г. № 239 установлены меры защиты критической информационной инфраструктуры от DDoS-атак:
Дополнительно ФСТЭК России разработал рекомендации по защите от DDoS-атак, которые изложил в письме № 240/84/2582 от 30 сентября 2022.
- СОВ.1 - Обнаружение и предотвращение компьютерных атак
- СОВ.2 - Обновление базы решающих правил
- ЗИС.34 - Защита от угроз отказа в обслуживании (DOS, DDOS атак)
Дополнительно ФСТЭК России разработал рекомендации по защите от DDoS-атак, которые изложил в письме № 240/84/2582 от 30 сентября 2022.
Слайд из презентации представителя ФСТЭК России Е.Б. Торбенко на SOC Forum 2023.
Требования к защите автоматизированных систем управления производственными и технологическими процессами (АСУ ТП)
Приказом ФСТЭК от 14.03.2014 № 31 установлены меры защиты АСУ ТП от DDoS-атак:
- СОВ.1 - Обнаружение и предотвращение компьютерных атак
- СОВ.2 - Обновление базы решающих правил
- ЗИС.34 - Защита от угроз отказа в обслуживании (DOS, DDOS атак)
8 АПРЕЛЯ / 2024
По всем вопросам свяжитесь с нами любым удобным способом:
E-mail: legal@bifit.com
Телефон: +7 (495) 532-15-02
E-mail: legal@bifit.com
Телефон: +7 (495) 532-15-02