Безопасность объектов критической информационной инфраструктуры
Защищенность информационных систем в современных условиях играет одну из основных ролей. В различных государствах совершаются целенаправленные кибератаки как на отдельные крупные компании, так и на целые отрасли промышленности. Оставлять данные инциденты без внимания – большая ошибка.
Принятие в Российской Федерации Федерального закона № 187 от 26 июля 2017 года “О безопасности критической информационной инфраструктуры Российской Федерации” и принятие других подзаконных актов в этой сфере стало ответом на данные вызовы и угрозы.
Компания ЗАО «ПМЦ «АВАНГАРД» обладает всеми компетенциями в области защиты информации. Имеет практический опыт создания модели угроз безопасности предприятий, категорирования объектов КИИ и создания систем безопасности значимых объектов КИИ.
При этом наша компания стремится привести предприятия наших Заказчиков в соответствие с требованиями регуляторов минимизируя их затраты. Создаем системы безопасности без вмешательства в рабочие процессы, выстроенные на предприятиях.
История принятия решений:
- Защита информационной инфраструктуры в государственном масштабе было положено с подписанием Указа Президента Российской Федерации №31с от 15 января 2013 г. «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации» (ГосСОПКА).
- Далее ФСТЭК РФ был разработан приказ № 31 от 14 марта 2014 г. «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, предоставляющих повышенную опасность для жизни и здоровья людей и для окружающей среды». Он стал важным источником информации в тематике информационной безопасности для специалистов в этой области.
- В 2016 г. была принята «Доктрина информационной безопасности Российской Федерации» утвержденная Приказом Президента РФ от 05 декабря 2016 г. №646. В ней информационная безопасность критической информационной инфраструктуры – один из НАЦИОНАЛЬНЫХ приоритетов.
- На следующий день после утверждения Доктрины в Государственную думу Российской Федерации был внесен проект федерального закона № 187 «О безопасности критической информационной инфраструктуры Российской Федерации». В течении полугода он был принят в трех чтениях, согласован верхней палатой Парламента Российской Федерации и подписан Президентом 16 июля 2017 г.
Согласно ФЗ № 187:
Критическая информационная инфраструктура – объекты КИИ, а также сети электросвязи,
используемые для организации взаимодействия таких объектов.
Объекты КИИ
Информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов КИИ.
Субъекты КИИ
Государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели (ИП) которым на праве собственности, аренды или на ином законном основании принадлежат объекты КИИ в функционирующие сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сферы, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, а также организации, обеспечивающие взаимодействие систем или сетей КИИ.
Для компаний сферы топливно-энергетического комплекса (ТЭК) (ссылка на соответствующее направление) существуют свои нормы, которые определены Федеральным Законом от 21 июля 2011 г. №256-ФЗ «О безопасности объектов топливно-энергетического комплекса»
которые также диктуют необходимость обеспечения безопасности информационных систем объектов топливно-энергетического комплекса путем создания систем защиты информации и информационно-телекоммуникационных сетей от неправомерных доступа, уничтожения, модифицирования, блокирования информации и иных неправомерных действий, а также необходимость обеспечения функционирования таких систем.
Следующим важным документом принятым для регулирования сферы КИИ в РФ стало
Постановление Правительства Российской Федерации № 127 от 8 февраля 2018 г. «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также Перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений».
Данное постановление установило конкретные показатели значимости согласно которых предприятие (организация) должна получить категорию значимости при проведении категорирования.
Существует 3 категории значимости:
- 1 категория (высшая)
- 2 категория
- 3 категория
Категория значимости объекта КИИ устанавливается и зависит от количественных показателей значимости этого объекта в социальной, политической, экономической и оборонной сферах.
Объекты КИИ необходимо категорировать.
Это должна выполнить постоянно действующая внутренняя комиссия по категорированию субъекта КИИ, которая также производит и документально оформляет следующие действия:
- выявляет объекты КИИ, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках деятельности субъекта КИИ;
- выявляет критические процессы, нарушение или прекращение которых может привести к негативным последствиям в социальной, политической, экономической и оборонной сферах;
- устанавливает объекты КИИ, которые обрабатывают информацию для описанных выше процессов и/или осуществляют управление, контроль или мониторинг критических процессов;
- разрабатывает модели нарушителей и угроз, при этом рассматривает наихудшие сценарии атак с максимальными негативными последствиями;
- оценивает возможные последствия, учитывая взаимосвязи между объектами и зависимости между ними;
- присваивает каждому объекту одну из трех категорий значимости либо выносит мотивированное решение о не присвоении такой категории, с составлением акта категорирования объекта КИИ либо акта об отсутствии необходимости присвоения ему категории значимости.
Результаты категорирования отправляются во ФСТЭК РФ, где проверяются правильность порядка категорирования и корректность присвоения категории значимости, и в случае отсутствия замечаний полученные сведения вносятся в реестр объектов КИИ.
ГосСОПКА
В соответствии с разработанным в ФСБ РФ документом №149/2/7-200 от 24 декабря 2016 г. «Методические рекомендации по созданию ведомственных и корпоративных центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации»,
Функциями ГосСОПКА являются:
- инвентаризация информационных ресурсов;
- выявление уязвимостей информационных ресурсов;
- анализ угроз информационной безопасности;
- повышение квалификации персонала информационных ресурсов;
- прием сообщений о возможных инцидентах от персонала и пользователей информационных ресурсов;
- обнаружение компьютерных атак;
- анализ данных о событиях безопасности;
- регистрация инцидентов;
- реагирование на инциденты и ликвидация их последствий;
- установление причин инцидентов;
- анализ результатов устранения последствий инцидентов.
Центры системы ГосСОПКА подразделяются на ведомственные и корпоративные:
Ведомственные Центры
Осуществляют лицензируемую деятельность по защите информационных ресурсов в интересах органов государственной власти;
Корпоративные Центры
Осуществляют лицензируемую деятельность по защите информационных ресурсов в собственных интересах, а также имеют право предоставлять услуги по предупреждению, обнаружению и ликвидации последствий компьютерных атак
Субъект КИИ, относящийся к органу государственной власти, в соответствии с текущими законодательными нормами должен подключиться к соответствующему ведомственному Центру ГосСОПКА.
Субъект КИИ, не являющейся органом государственной власти, может либо осуществить самостоятельное подключение к системе ГосСОПКА, либо создать свой собственный корпоративный Центр ГосСОПКА, либо подключиться к уже созданному Центру, оказывающему услуги по подключению к системе ГосСОПКА.
АСУТП
Защита автоматизированных систем управления производственными и технологическими процессами осуществляется в соответствии с приказом ФСТЭК России № 31 от 14 марта 2014 г. № 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды» (в ред. Приказа ФСТЭК России от 9 августа 2018 г. № 138).
Данный приказ устанавливает законодательные требования в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами.
В соответствии с Приказом № 31 объектами защиты в АСУТП являются информация о параметрах или состоянии управляемого объекта или процесса и все сопутствующие технические средства (рабочие станции, серверы, каналы связи, контроллеры), ПО и средства защиты.
Модель угроз безопасности
Кроме классификации АСУТП, информационных систем и информационно телекоммуникационных сетей, на этапе формирования требований определяются угрозы безопасности информации, путем составления модели угроз:
- Выявляются источники угроз,
- Оцениваются возможности нарушителей,
- Анализируются уязвимости используемых систем,
- Определяются возможные способы реализации угроз и последствия их реализации.
Для составления модели угроз безопасности информации ФСТЭК РФ разработало Методику оценки угроз безопасности информации 5 февраля 2021 г., Базовую модель угроз безопасности от 15 февраля 2008 г. и другие регламентирующие документы. Ведется банк данных угроз безопасности информации, в котором описаны более 220 угроз информации, их источники, объекты воздействия и последствия реализации угрозы.
Разработка модели угроз безопасности информации предприятия является кропотливой работой, требующей соответствующих узкоспециализированных знаний и образования.
Безопасность значимых объектов КИИ
Один из основных подзаконных актов по защите объектов КИИ - Приказ ФСТЭК России № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» от 25 декабря 2017 г.
Требования, изложенные в данном Приказе, предъявляются к информационным системам, автоматизированным системам управления и информационно-телекоммуникационным сетям значимых объектов КИИ.
Приказ №239 указывает, что разработка мер по защите информации значимого объекта КИИ должна включать в себя анализ угроз безопасности и разработку модели угроз, а внедряемые меры защиты не должны оказывать негативного влияния на функционирование самого объекта.
Анализ угроз должен включать выявление источников угроз, оценку возможностей нарушителей (создание модели нарушителя), анализ уязвимостей используемых систем (в том числе и тестирование на проникновение), определение возможных способов реализации угроз и их последствий, при этом следует использовать банк данных угроз ФСТЭК России.
В списке организационных и технических мер, предусмотренных положениями данного приказа указаны следующие пункты:
- Идентификация и аутентификация;
- Управление доступом;
- Ограничение программной среды;
- Защита машинных носителей информации;
- Фудит безопасности;
- Фнтивирусная защита;
- Предотвращение вторжений (компьютерных атак);
- Обеспечение целостности;
- Обеспечение доступности;
- Защита технических средств и систем;
- Защита информационной (автоматизированной) системы и ее компонентов;
- Планирование мероприятий по обеспечению безопасности;
- Управление конфигурацией;
- Управление обновлениями программного обеспечения;
- Реагирование на инциденты информационной безопасности;
- Обеспечение действий в нештатных ситуациях;
- Информирование и обучение персонала.
Следует отметить, что данный приказ является ключевым при выполнении требований по защите объектов КИИ, так что субъектам КИИ следует изучить его положения с особым вниманием.