Журнал "Information Security/ Информационная безопасность" #1, 2025

потенциальную угрозу интересам Рос- сийской Федерации. Согласно же рас- смотренному ранее положению, утвер- жденному постановлением Правитель- ства Российской Федерации от 3 ноября 1994 г. № 1233, к служебной информа- ции ограниченного распространения относится несекретная информация, касающаяся деятельности организаций, ограничения на распространение кото- рой диктуются служебной необходи- мостью, а также поступившая в органи- зации несекретная информация, доступ к которой ограничен в соответствии с федеральными законами. Государственная информационная система для обработки обезличенных ПДн В рамках подготовки ко вступлению в силу с 1 сентября 2025 г. ст. 13.1 Феде- рального закона от 27.07.2006 № 152- ФЗ "О персональных данных" в феврале 2025 г. Минцифры России представило проекты следующих постановлений Пра- вительства Российской Федерации: l О государственной информационной системе, предназначенной для обра- ботки персональных данных, полученных в результате обезличивания персональ- ных данных, и о внесении изменений в постановление Правительства Россий- ской Федерации от 14 мая 2021 г. № 733 17 . l Об утверждении правил проверки соответствия пользователей государст- венной информационной системы, опре- деленной в соответствии с ч. 2 ст. 13.1 Федерального закона "О персональных данных", требованиям, указанным в ч. 7 ст. 13.1 Федерального закона "О персо- нальных данных", и о внесении измене- ний в некоторые акты Правительства Российской Федерации 18 . l Об определении случаев формирова- ния составов персональных данных, полученных в результате обезличивания персональных данных, сгруппированных по определенному признаку, при усло- вии, что последующая обработка таких данных не позволит определить при- надлежность таких данных конкретному субъекту персональных данных 19 . l Об установлении Правил взаимодей- ствия федерального органа исполни- тельной власти, осуществляющего функ- ции по выработке и реализации госу- дарственной политики и нормативно- правовому регулированию в сфере информационных технологий, с опера- торами, обрабатывающими персональ- ные данные, в целях формирования составов персональных данных, полу- ченных в результате обезличивания пер- сональных данных, сгруппированных по определенному признаку, при условии, что последующая обработка таких дан- ных не позволит определить принад- лежность таких данных конкретному субъекту персональных данных 20 . В качестве государственной инфор- мационной системы, предназначенной для обработки ПДн, полученных в результате обезличивания ПДн, и пре- доставления доступа к ним, предпола- гается использовать федеральную госу- дарственную информационную систему "Единая информационная платформа национальной системы управления дан- ными" (ЕИП НСУД). l 8 • ПРАВО И НОРМАТИВЫ Ваше мнение и вопросы присылайте по адресу is@groteck.ru 17 https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=154662 18 https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=154667 19 https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=154909 20 https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=154910 Одной из главных проблем в области информационной безопасности, с кото- рыми сталкиваются российские компа- нии, является недостаточно высокий уровень импортозамещения, что суще- ственно осложняет процесс своевремен- ного патчинга программного обеспече- ния. Согласно оценкам экспертного цент- ра "Информзащита", лишь около 50% российских организаций успешно пере- шли на отечественные программные решения, заменив западные аналоги. Поэтому в стране по-прежнему наблю- дается острая нехватка полноценной технической поддержки со стороны зару- бежных вендоров. А значит обновления и патчи для использующихся программ- ных продуктов не применяются, а систе- мы, таким образом, становятся всё более уязвимыми для кибератак. Отсутствие своевременных обновле- ний – это одна из ключевых причин, по которой информационная безопасность российских организаций продолжает оставаться под угрозой. Программные уязвимости, которые не устраняются в рамках регулярных обновлений, стано- вятся идеальной целью для злоумыш- ленников. Фактический отказ от обнов- лений ведет к накоплению значительных рисков, поскольку оставшиеся незащи- щенными уязвимости могут быть исполь- зованы для атак на системы. Согласно экспертам, около 30% инцидентов в сфере информационной безопасности, зафиксированных в 2024 г, начинались с эксплуатации уязвимостей в ПО. При- чем значительная часть этих уязвимостей оставалась неустраненной именно из-за несвоевременного применения патчей. Особую опасность в контексте патчин- га представляют промежутки времени между моментом выпуска обновления и его фактическим внедрением в органи- зацию. В этот период, пока компании еще не установили соответствующий патч, злоумышленники могут подробно изучить, какие уязвимости были устра- нены в обновлениях, и использовать эти данные для организации атак. Процесс патчинга включает в себя несколько критически важных этапов. Во-первых, следует оперативно отсле- живать выход новых обновлений про- граммного обеспечения. Как только появляется информация о выпуске патча, необходимо сразу же приступать к его внедрению, чтобы минимизировать период, в течение которого системы остаются уязвимыми. Чем быстрее будет установ- лено обновление, тем меньше времени у злоумышленников для проведения атаки. Во-вторых, даже после того как обнов- ление стало доступным, оно должно пройти тщательное тестирование. Не все патчи идеально совместимы с дру- гими установленными в организации программными продуктами. Иногда обновления могут вызывать сбои или нарушать функциональность смежных систем. Примером такого инцидента является ситуация, произошедшая в 2024 г., когда обновление для антиви- русного ПО от компании CrowdStrike привело к сбоям в работе операционной системы Windows на миллионах устройств. Тестирование обновлений позволяет заранее выявить такие про- блемы и найти решение. В-третьих, внедрение патчей должно быть поэтапным. Такой подход позво- ляет избежать длительных остановок работы системы и минимизировать риски для функционирования бизнеса. Вместо того чтобы ждать выделенных технологических окон, можно внедрять обновления постепенно, что позволяет решить проблему безопасности без прерывания операционной деятельно- сти. l По материалам компании "Информзащита" Более 80% компаний не обновляют ПО вовремя 83% компаний не проводят патчинг программного обеспечения вовремя, а среди основных причин бизнес называет возможность сбоев из-за патчинга (48% опрошенных), нехватку квалифицированных специалистов и времени (44%), отсутствие возможности протестировать обновление (38%).