X неизвестных в защите критической информационной инфраструктуры

В статье мы даем свое видение — как выполнить рекомендации закона № 187-ФЗ.

Работы по категорированию можно разде­лить на 2 части: собственно присвоение катего­рии и создание системы безопасности значимых объектов КИИ. Отметим, что хотя эта система создается в первую очередь для защиты значи­мых объектов (то есть имеющих категорию), об остальных активах забывать не стоит. Напри­мер, если у субъекта есть АСУ ТП, не имеющая категории, но подпадающая под определение «критически важный объект» из Приказа № 31 ФСТЭК, она тоже подлежит защите.

Если с первой частью все более­-менее по­нятно, то создание системы безопасности вы­зывает недоумение у многих субъектов. Ниже мы разберемся, как ее построить: уточним важные моменты, связанные с реализацией мер защиты, и укажем, на что стоит обратить особое внимание.

Система безопасности должна включать 3 блока: силы (под этим термином регулятор имеет в виду людей, далее по статье для упрощения понимания мы будем обозначать их именно так), организационно-­распорядитель­ную документацию и средства защиты инфор­мации (СЗИ).

Люди

Главный элемент в системе безопаснос­ти — люди. Именно им предстоит органи­зовать защиту, оформить документы, вне­дрить СЗИ и т.д. Сотрудники делятся на 4 сущности (далее по статье — функциональные роли), у каждой свои задачи и ответ­ственность. При этом только совместные действия всех людей, отвечающих за объект КИИ, помогут максимально эффективно предотвратить угрозы.

Первая функциональная роль — руководитель или назначенное им уполномоченное лицо. Этот человек обязан создать систему безопасности, контроли­ровать ее функционирование и следить за тем, чтобы она постоянно функциони­ровала. Именно он несет ответственность за ее отсутствие или неработоспособность.

Его главные задачи — назначить ответ­ственных за 3 другие сущности и убедиться в выполнении требований закона. Если в значимом объекте КИИ или структурных подразделениях произойдут изменения, ру­ководитель также будет отвечать за внесе­ние корректировок в систему безопасности.

Вторая функциональная роль — служба безопасности (СБ). Ее формирует руководитель предприятия. ФСТЭК России отмечает, что это должно быть специально выделенное подразделение, занимающе­еся организацией безопасности объектов КИИ. Создать фиктивную СБ, состоящую из ИТ-­администратора и бухгалтера, вряд ли удастся. При этом руководитель может возложить эти обязанности на уже сущес­твующую службу безопасности.

Основные задачи СБ объектов КИИ — формирование и актуализация организа­ционно-распорядительной документации по реализации мер защиты для остальных категорий сотрудников. Это подразделение определяет, как защищаться от актуальных угроз и какие СЗИ применять.

Но самое важное — реагирование на компьютерные инциденты. При выяв­лении такого случая СБ должна сообщить о нем в НКЦКИ в течение суток с момента его обнаружения и принять меры по лока­лизации и нейтрализации угрозы, а также минимизации ущерба. Она же будет нести ответственность за попытки замалчивания инцидентов.

Третья роль — подразделения, эксплуатирующие значимые объекты КИИ. Это сотрудники, которые непосредственно взаимодействуют со значимым объектом. На них возлагается обязанность по обеспе­чению безопасности на основании органи­зационно-­распорядительных документов, разработанных СБ. То есть служба безо­пасности передает функции реализации непосредственно подразделениям и специ­алистам, которые работают со значимым объектом. При возникновении инцидента они должны первыми реагировать, руко­водствуясь ОРД, и сообщать о произошед­шем в СБ.

Четвертая роль — сотрудники, обеспечивающие функционирование значимых объектов КИИ. Они взаимо­действуют с объектом только для реали­зации определенных функций. Это могут быть ИТ-­специалисты, обслуживающие информационные системы. Для них, так же как и для подразделений, обеспечи­вающих эксплуатацию, служба безопас­ности разрабатывает ОРД, включающую информацию по работе с объектом КИИ.

Резюме

Субъект должен выделить у себя 4 пе­речисленные категории, назначить ответ­ственных, сформировать подразделения. Основная задача — создание службы безо­пасности значимых объектов. Именно она будет выстраивать систему безопасности. Важно обратить внимание на требования, которые регулятор предъявляет к квали­фикации ИБ-­специалистов, и выполнить их заранее.

Без совместной работы всех участников процесса построить рабочую систему безо­пасности не получится. Эксплуатирующие и поддерживающие ее функционирование подразделения должны активно участво­вать в подготовке ОРД. Ведь именно им предстоит выполнять сформированные правила по взаимодействию со значимыми объектами.

Документы

После того как субъект выделит лю­дей, работающих со значимыми объек­тами, ему следует определиться с ОРД. Если посмотреть на таблицу из Прика­за № 239 ФСТЭК России, то мы увидим, что каждая группа требований начина­ется с нулевого пункта. Например, груп­па «VI. Антивирусная защита» содержит меру «АВЗ.0 — Регламентация правил и процедур антивирусной защиты». Сле­довательно, если для владельца значи­мого объекта положения этой группы применимы, ему стоит позаботиться о принятии документа, регламентиру­ющего требования к антивирусной защи­те, соответствующие мероприятия и т.д.

Таблица из Приказа № 239 разбита на 17 групп, к каждой из них нужно раз­работать новые или актуализировать действующие регламенты. Либо нужно создать документ «Политика ИБ значи­мых объектов КИИ» и добавить в него со­ответствующие разделы. Надо отметить, что 17 групп применимы только к объ­ектам 1-­й и 2-­й категорий значимости. Для 3­-й категории исключаются группы III «Ограничение программной среды» и VII «Средство обнаружения вторжения». Но остальные 15 групп необходимо рас­смотреть, выделить те, что применимы к объекту КИИ и соответствуют вашим моделям угроз и нарушителей, и присту­пить к их разработке.

Иерархическая структура необходи­мых документов представлена в табл. 1.

В качестве примера в табл. 2 представ­лен минимальный набор регламентов, которые мы готовим для заказчиков в рамках построения системы безопас­ности для объектов 3­-й категории зна­чимости.

Таблица 1. Иерархия организационно-распорядительной документации значимых объектов КИИ

Таблица 2. Пример организационно-распорядительной документации для ЗОКИИ 3-й категории

Указанные в таблице документы в большинстве случаев уже есть в ком­паниях. Задача тех, кто создает систему безопасности, — проверить, все ли требо­вания регулятора они охватывают. То есть нужно провести аудит документации и добавить недостающие положения.

К этому этапу стоит отнестись так же серьезно, как и к выделению людей, ответственных за реализацию ИБ. В наших проектах мы всегда проводим ау­дит и общаемся с теми, кому предстоит выполнять правила из сформированной документации. Крайне важно грамотно распределить ответственность между подразделениями.

Именно сотрудники, отвечающие за эксплуатацию и поддержание функ­ционирования объектов КИИ, становятся звеном, от которого зависит безопасность. Ведь они непосредственно работают с объ­ектом и могут воздействовать на него. Они со своей стороны должны детально проработать организационно­распоряди­тельную документацию. Ведь после того, как служба безопасности все подготовит, отвечать за инциденты будут именно вы­шеозначенные подразделения. И скорее всего, именно в этой части возникнут са­мые большие сложности, так как люди, от­вечающие за функционирование объекта, должны будут дополнительно выполнять работу по информационной безопаснос­ти, которую им поручит СБ. Мы считаем, что подробное распределение зон ответ­ственности и описание требований к со­трудникам в политиках и регламентах будут способствовать пониманию задач всеми экспертами, участвующими в обес­печении ИБ.

Резюме

ОРД — ответственный этап построения системы безопасности. Именно от того, как составлены документы, зависит, кто и как будет минимизировать последствия при компьютерных атаках. Очень важно правильно сформировать подразделе­ния, отвечающие за эксплуатацию и под­держание функциональности значимых объектов КИИ, снабдить их регламентами и инструкциями, а также периодически проводить учения для выявления про­белов в знаниях.

Что касается структуры документов: в начале описывается политика инфор­мационной безопасности (ее общие положения), затем идут регламенты и поло­жения, а на нижнем уровне — журналы, реестры и инструкции. Все документы должны быть утверждены руководителем субъекта и актуализироваться службой безопасности.

Средства защиты информации (СЗИ)

Чаще всего у нас спрашивают: нужно ли ис­пользовать только те средства защиты, кото­рые прошли сертификацию во ФСТЭК? Пункт 28 Приказа № 239 говорит о том, что вы можете применять инструменты ИБ, сертифициро­ванные регулятором, но не обязательно толь­ко их. Для использования средств защиты, не прошедших сертификацию, необходимо провести их испытания и приемку. Они долж­ны доказать, что, например, антивирус выпол­няет заявленный функционал и соответствует требованиям Приказа № 239. Для объектов 3­-й категории должны быть проведены следую­щие приемо-­сдаточные испытания: «АВЗ.2 – Антивирусная защита электронной почты и иных сервисов», «АВЗ.4 – Обновление базы данных признаков вредоносных компьютер­ных программ (вирусов)», «АВЗ.1 – Реализация антивирусной защиты».

Проблема с несертифицированным анти­вирусом особенно актуальна для промышлен­ных предприятий, использующих импортное оборудование. Зачастую его производители крайне негативно относятся к применению СЗИ, не прошедших испытания в их лабораториях, и рекомендуют только одобренные ими про­дукты. При исполнении гарантийных обяза­тельств в случае неисправности оборудования они в первую очередь проверяют, не вмеши­вался ли эксплуатант в его работу и не уста­навливал ли он нерекомендуемое ПО. При вы­ явлении попыток вмешательства вендор АСУ ТП просто снимает оборудование с гарантии. Поэтому мы постоянно видим на промышлен­ных предприятиях несертифицированные регулятором средства защиты.

Также субъектов волнует, какие именно средства защиты нужно внедрить для вы­полнения требований регулятора. Ответить однозначно не сможет никто. Во­-первых, кате­горируются 3 разные сущности: информацион­ные системы, информационно-телекоммуни­кационные сети и АСУ ТП. Для каждой из них есть свои рекомендованные СЗИ. Во­-вторых, выполнение более половины требований Приказа No 239 обеспечивается встроенными возможностями. В­-третьих, всегда нужно все­сторонне оценивать существующие средства защиты, особенно для АСУ ТП.

В качестве примера рассмотрим субъект с АСУ ТП, которая ранее не защищалась, а сей­час ей присвоена 3-­я категория значимости. Мы предлагаем обратить внимание на сред­ства защиты из табл. 3. Мы всегда предостав­ляем на выбор решения нескольких вендоров, а если возможно, то и несколько вариантов от выбранного производителя. Например, если субъект хочет установить межсетевой экран, мы предложим продукты как минимум 3 про­изводителей, а затем варианты из модельного ряда, представленного в России.

Таблица 3. Производители и средства защиты АСУ ТП 3-й категории ЗОКИИ

Контроль доступа	Dallas Lock		Secret Net, ПАК «Соболь
Межсетевое экранирование	USG		FortiGate			ARMA
Анализ защищенности	MaxPatrol 8, XSpider		Nexpose		Nessus
Антивирусная защита					KICS for Nodes, KES
Мониторинг безопасности	FortiSIEM		MaxPatrol SIEM		ArcSight	QRadar SIEM
Реализация защищенного удаленного доступа		ViPNet	«Квазар»	«АПКШ Континент», «TLS Континент»
Централизованное управление ИБ	Resilient Incident Response Platform				SOC 3D

Перед приобретением средств защиты мы рекомендуем провести аудит ИБ субъек­та (или непосредственно значимого объекта). Необходимо проанализировать имеющиеся СЗИ и определить, какие требования Прика­за № 239 будут выполняться встроенными средствами защиты, а для каких потребует­ся приобретение дополнительных.

Также стоит отметить требование ре­гулятора к наличию гарантийной и (или) технической поддержки установленных средств защиты (пункт 31 Приказа № 239). Мы же часто видим АСУ ТП, которые были внедрены более 15 или даже 20 лет назад, и зачастую на автоматизированных рабо­чих местах либо вообще не установлены средства защиты, либо установлены старые версии ОС — Windows Vista или XP, которые не поддерживаются даже производителями антивирусов.

Резюме

При построении системы безопаснос­ти необходимо уделить большое внима­ние выбору СЗИ. При этом не стоит забы­вать о том, что большинство требований, представленных в Приказе № 239, можно выполнить, применяя встроенные воз­можности и используя ОРД. Конечно, не обойтись без антивируса, защиты удаленного доступа и других средств, но вопрос приобретения необходимого ПО и оборудования должен решаться уже после реализации 2 предыдущих этапов — выделения сил (ответственных сотрудников) и актуализации ОРД.

Информационная безопасность — это процесс

Главная мысль регулятора, проходящая красной нитью по всему тексту Приказа № 239, заключается в том, что категориро­вание и создание системы безопасности — это не разовый проект, а процесс. Он не мо­жет прекратиться. Этот процесс цикличен, мероприятия повторяются из года в год. У каких­-то из них будет 3-­летний цикл (например, проверки, проводимые комиссией).

Если субъект считает, что, закупив сред­ства защиты и создав на бумаге систему безопасности, сможет продемонстриро­вать выполнение требований регулятора во время проверки ФСТЭК, то он глубоко заблуждается. Мало организовать и провес­ти комплекс мероприятий — все функции защиты нужно поддерживать в актуальном состоянии, проводить обучение персонала, обновлять СЗИ и т.д.

Если проиллюстрировать требования 2 основных Приказов, у нас получится 2 блока работ: 1) процесс построения сис­темы безопасности; 2) внедрение ОРД и средств защиты. Процесс всегда будет выглядеть одинаково и состоять из 4 эле­ментов: планирование, реализация, мо­ниторинг и контроль (аудит), развитие (совершенствование) (см. рис. 2).

Часть этих требований содержится в обоих приказах. Например, планирование является одной из групп Приказа № 239 (XV. Планирование мероприятий по обеспечению безопасности), а в Приказе № 235 (п. 29) уточняется: «В рамках плани­рования мероприятий... осуществляются разработка и утверждение ежегодного плана мероприятий».

Под реализацией стоит понимать внедрение средств защиты и действия сотрудников. В качестве примера мож­но привести группу «XII. Реагирование на компьютерные инциденты (ИНЦ)». Рассматривая содержащиеся в ней меры, мы видим, что они начинаются с выявления компьютерных инцидентов и заканчива­ются предотвращением повторных случа­ев. Таким образом, служба безопасности объектов КИИ на основе модели наруши­теля должна предусмотреть действия зло­умышленников и определить, как долж­ны реагировать на это эксплуатирующие подразделения.

Вместо «мониторинга» регулятор использует 2 слова: контроль и аудит. Контроль — прерогатива службы безо­пасности, которая должна следить за дей­ствиями подразделений, связанных со значимыми объектами. Также на СБ воз­ложена ответственность за выполнение запланированных мероприятий. При этом Приказ № 235 возлагает контроль за состоянием ИБ субъекта на комиссию, включаю­щую представителей всех подразделений, участвующих в системе безопасности, — от службы безопасности до структур, обес­печивающих функционирование значи­мых объектов. Для более качественной оценки можно заменить проверку внут­ренней комиссией на внешний аудит. Выявленные недостатки в любом случае должны быть устранены.

Эта обязанность ложится на плечи службы безопасности. Она должна запу­стить новый цикл — планирование меро­приятий, реализация и контроль исполне­ния — на основе полученных замечаний.

По замыслу ФСТЭК, эта последова­тельность мероприятий может быть прекращена только после вывода значи­мого объекта из эксплуатации. Поэтому мы настоятельно советуем серьезно от­ нестись к положениям Закона № 187-­ФЗ и реализовать его требования.

Для упрощения выполнения этой мас­штабной задачи мы публикуем план соз­дания службы безопасности для значимых объектов КИИ (см. табл. 4).

Таблица 4. План организации СБ для значимых объектов КИИ