Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» сформулировал следующее понятие критической информационной инфраструктуры (далее по тексту - КИИ) объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов. Иными словами КИИ – это совокупность информационных и автоматизированных систем, а также информационно-телекоммуникационных сетей субъектов КИИ и сетей электросвязи, обеспечивающих их взаимодействие.
Опускаясь на прикладной уровень, можно сказать, что критическая информационная инфраструктура Российской Федерации – это совокупность критических информационных инфраструктур всех входящих в нее субъектов КИИ (государственные органы, государственные учреждения, организации различных форм собственности и индивидуальные предприниматели). Сказанное означает, что на практике обеспечение безопасности КИИ «опускается» на уровень обеспечения безопасности имеющихся у каждого из субъектов КИИ объектов КИИ. Именно с указанной позиции мы и будем говорить о безопасности КИИ в настоящей статье.
Дорожная карта по обеспечению безопасности КИИ
Весь процесс обеспечения безопасности критической информационной инфраструктуры субъекта КИИ можно представить в виде следующей дорожной карты (рисунок 1).
Рисунок 1. Дорожная карта по обеспечению безопасности объектов КИИ
Начальным этапом реализации мер по обеспечению безопасности объектов КИИ является категорирование, т.к. именно на данном этапе субъект КИИ определяет какие у него есть объекты КИИ.
С точки зрения значимости, объекты КИИ подразделяются на два вида: «значимый» и «не значимый», а значимые объекты имеют три категории значимости: максимальная ‑ первая, минимальная ‑ третья. От категории значимости объекта КИИ, зависит набор мер по обеспечению безопасности.
Что касается объектов КИИ не отнесенных к значимым, то для них не требуется построения дополнительной системы безопасности, состав и содержание мер защиты информации для указанных объектов регламентирован в нормативно-правовых актах, регулирующих вопросы безопасности конкретного вида систем: информационная система персональных данных, автоматизированная система управления, автоматизированная банковская система и т.п.
При этом, помимо требований по обеспечению безопасности значимых объектов КИИ, действующее законодательство предусматривает права и обязанности субъектов КИИ (как владельцев значимых, так и не значимых объектов КИИ), которые закреплены в статье 9 Закона «О безопасности КИИ». Автор сознательно не будет перечислять их в данной статье, т.к. с ними подробно можно ознакомиться в тексте Закона, укажем лишь на практические аспекты их реализации.
С практической точки зрения, для выполнения возложенных на субъекта КИИ (владельца как «значимых», так и «не значимых» объектов) статьей 9 Закона «О безопасности КИИ» обязанностей, необходимо разработать регламент по реагированию на компьютерные инциденты (дополнить соответствующим разделом уже имеющийся регламент реагирования на инциденты информационной безопасности), в котором предусмотреть:
- алгоритм действий в случае нарушения функционирования объекта КИИ или безопасности, обрабатываемой таким объектом информации;
- порядок информирования ФСБ России и (или) Центрального банка России, организацию взаимодействия с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА);
- правила взаимодействия и оказания содействия должностным лицам ФСБ России в ходе расследования инцидента и ликвидации его последствий;
- план действий персонала в случае возникновения компьютерного инцидента, в том числе направленных на ликвидацию его последствий. Не лишним будет подготовить план повышения осведомленности и план проведения киберучений, примерная структура которого может быть следующая: основные мероприятия по подготовке учения; очередность и сроки их исполнения; ответственные исполнители.
Создание СБ ЗОКИИ
Целью СБ ЗОКИИ является обеспечение его устойчивого функционирования. Проект по созданию СБ ЗОКИИ, как правило будет включать следующие этапы:
Этап 1. Планирование. На данном этапе устанавливаются требования, которые необходимо выполнить для обеспечения безопасности каждого ЗОКИИ и формируется план мероприятий.
Требования к созданию СБ ЗОКИИ установлены приказом ФСТЭК России от 21 декабря 2017 г. № 235, в котором определены состав сил обеспечения информационной безопасности их структура и функции, требования к ним (рисунок 1).
Рисунок 1. Состав сил обеспечения безопасности ЗОКИИ
Приказом ФСТЭК России от 25 декабря 2017 г. № 239 утверждены требования по обеспечению безопасности ЗОКИИ.
Одним из ключевых и проблемных на практике требований, установленных данным приказом, является моделирование угроз безопасности ЗОКИИ. Проблема в том, что на сегодняшний день утвержденная методика по моделированию угроз и действий нарушителей для объектов КИИ отсутствует.
ФСТЭК России в Информационном сообщении от 4 мая 2018 года № 240/22/2339 сообщает, что в связи с внесением изменений в Положение о Федеральной службе по техническому и экспортному контролю, утвержденное Указом Президента Российской Федерации от 16 августа 2004 г. № 1085, и определением ФСТЭК России федеральным органом исполнительной власти, уполномоченным в области безопасности КИИ, с 1 января 2018 г. ФСТЭК России утратила полномочия в области обеспечения безопасности информации в ключевых системах информационной инфраструктуры. Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, утвержденные ФСТЭК России 18 мая 2007 г., и Рекомендации по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, утвержденные ФСТЭК России 19 ноября 2007 г., признаны утратившими силу.
При этом Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры, утвержденная ФСТЭК России 18 мая 2007 года, а также Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры, утвержденная ФСТЭК России 18 мая 2007 г., могут применяться субъектами КИИ:
- для моделирования угроз безопасности информации на ЗОКИИ;
- до тех пор, пока ФСТЭК России не утверждены аналогичные методические документы по безопасности объектов КИИ.
Приказом ФСТЭК России от 25.12.2017 г. № 239 (п.11.1) утверждены требования к содержанию модели угроз для ЗОКИИ, в соответствии с которыми модель угроз безопасности информации должна содержать краткое описание архитектуры значимого объекта, характеристику источников угроз безопасности информации, в том числе модель нарушителя, и описание всех угроз безопасности информации, актуальных для значимого объекта.
В качестве исходных данных для анализа угроз безопасности информации должен использоваться банк данных угроз безопасности информации, ведение которого осуществляется ФСТЭК России.
Таким образом, по сути п. 11.1 Приказа ФСТЭК России от 25.12.2017 г. № 239 устанавливает требования и подходы, которыми необходимо руководствоваться при моделировании угроз безопасности ЗОКИИ.
При этом, по мнению автора, опираться на методики и базовые модели угроз разработанные ФСТЭК России для ключевых систем информационной инфраструктуры на текущий момент стратегически не верно, т.к. методические документы в части моделирования угроз безопасности информации объектов КИИ, которые планируются к утверждению ФСТЭК России (согласно Информационному сообщению от 4 мая 2018 г. № 240/22/2339), явно будут опираться на требования, действующего законодательства по безопасности КИИ, в частности Приказа ФСТЭК России от 25.12.2017 г. № 239.
После определения актуальных угроз, перед проектированием СБ ЗОКИИ необходимо проведение т.н. «диагностического аудита» (в общей теории менеджмента более известного как «GAP анализ»), целью которого является определение тех мер по защите информации, которые уже приняты в отношении данного объекта КИИ, и тех, которые необходимо будет реализовать в процессе создания СБ ЗОКИИ.
Результатом проведения «Диагностического аудита» будет являться понимание того, какая часть обязательных мер по обеспечению безопасности ЗОКИИ уже реализована, а какая требует реализации в процессе создания СБ ЗОКИИ, какая часть мер может быть «закрыта» встроенными средствами защиты, а для какой потребуется применение наложенных.
По итогам проведенного моделирования угроз, анализа текущего положения дел и формирования требований к СБ ЗОКИИ (на основании категории значимости) подготавливается и утверждается руководителем субъекта КИИ план мероприятий по обеспечению безопасности ЗОКИИ (п. 29-31 приказа ФСТЭК России от 21 декабря 2017 г. № 235), начало реализации которого означает переход на следующий этап.
Этап 2. Реализация. На данном этапе осуществляется фактическое создание:
- сил СБ ЗОКИИ, т.е. формирование структурных подразделений, указанных на рисунке 1;
- внедрение организационных и технических мер, реализация плана мероприятий по обеспечению безопасности ЗОКИИ (п. 34 приказа ФСТЭК России от 21 декабря 2017 г. № 235). Состав организационных и технических мер по обеспечению безопасности ЗОКИИ приведен в приложении к приказу ФСТЭК России № 239 от 25 декабря 2017 года;
- разработка организационно-распорядительных документов, регламентирующих процессы управления информационной безопасностью.
Этап 4. Совершенствование. Созданная система не является статичной и нуждается в систематическом совершенствовании, чтобы противостоять новым угрозам. В рамках совершенствования системы, по результатам мониторинга и контроля, осуществляется (при необходимости) корректировка архитектуры объектов КИИ, обновление существующих средств защиты ЗОКИИ, совершенствование (повышение зрелости) процессов управления информационной безопасностью, корректировка организационно-распорядительных документов.
В заключении хотелось бы отметить, что со времени вступления в законную силу Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» прошло уже около двух лет, многие субъекты КИИ провели процедуру категорирования и теперь приступают к созданию СБ ЗОКИИ. По мнению автора, создание СБ ЗОКИИ это некий проект в области обеспечения безопасности организации, исходя из этого, автором и был предложен проектный подход с указанием этапов проекта и некоторых особенностей их реализации.
_________________________________________________
Источник публикации: http://cs.groteck.ru/IB_6_2019/6/index.html
Сведения об авторе: Саматов Константин Михайлович, руководитель направления в Аналитическом центре Уральского центра систем безопасности, член Ассоциации руководителей служб информационной безопасности, преподаватель дисциплин информационной безопасности в УрГЭУ и УРТК им. А.С. Попова.