Безопасность объектов КИИ: от целого к частному

Федеральный закон от 26.07.2017 г. № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации"¹ сформулировал следующее понятие КИИ: это объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов. Другими словами, КИИ – это совокупность информационных и автоматизированных систем, а также информационно-телекоммуникационных сетей субъектов КИИ и сетей электросвязи, обеспечивающих их взаимодействие.

Опускаясь на прикладной уровень, можно сказать, что КИИ Российской Федерации – это совокупность информационных инфраструктур всех субъектов КИИ (государственные органы, государственные учреждения, организации различных форм собственности и индивидуальные предприниматели). Сказанное означает, что на практике обеспечение безопасности КИИ "опускается" на уровень обеспечения безопасности имеющихся у каждого из субъектов КИИ объектов КИИ. Именно с указанной позиции мы и будем говорить о безопасности КИИ в этой статье.

Дорожная карта по обеспечению безопасности КИИ

Весь процесс обеспечения безопасности КИИ можно представить в виде дорожной карты, изображенной на рис. 1.

Начальным этапом реализации мер является категорирование, т.к. именно на нем субъект КИИ определяет, какие у него есть объекты КИИ.

С точки зрения значимости объекты КИИ подразделяются на два вида – значимые и незначимые. Значимые имеют три категории значимости: максимальная – первая, минимальная – третья. От категории значимости объекта КИИ зависит набор мер по обеспечению безопасности.

Что касается объектов КИИ, не отнесенных к значимым, то для них не требуется построение дополнительной системы безопасности. Состав и содержание мер защиты информации для указанных объектов регламентированы в нормативно-правовых актах, регулирующих вопросы безопасности конкретного вида систем: информационная система персональных данных, автоматизированная система управления, автоматизированная банковская система и т.п.

При этом, помимо требований по обеспечению безопасности значимых объектов КИИ, действующее законодательство предусматривает права и обязанности субъектов КИИ (как владельцев значимых, так и незначимых объектов КИИ), которые закреплены в ст. 9 закона "О безопасности КИИ". Не будем перечислять их в данной статье, т.к. с ними можно подробно ознакомиться в тексте закона, укажем лишь на практические аспекты их реализации.

Реагирование на компьютерные инциденты

С практической точки зрения для выполнения возложенных на субъекта КИИ (владельца как значимых, так и незначимых объектов) ст. 9 закона "О безопасности КИИ" обязанностей необходимо разработать регламент реагирования на компьютерные инциденты (дополнить соответствующим разделом уже имеющийся регламент реагирования на инциденты информационной безопасности), в котором предусмотреть:

• алгоритм действий в случае нарушения функционирования объекта КИИ или безопасности обрабатываемой таким объектом информации;
• порядок информирования ФСБ России и (или) Центрального банка Российской Федерации, организацию взаимодействия с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА)²;
• правила взаимодействия и оказания содействия должностным лицам ФСБ России в ходе расследования инцидента и ликвидации его последствий;
• план действий персонала в случае возникновения компьютерного инцидента, в т.ч. направленных на ликвидацию его последствий.

Кроме того, не лишним будет подготовить план повышения осведомленности и проведения киберучений, примерная структура которого может быть следующей:

1. основные мероприятия по подготовке учения;
2. очередность и сроки их исполнения;
3. ответственные исполнители.

Система безопасности значимого объекта КИИ

В соответствии со ст. 10 закона "О безопасности КИИ", в целях обеспечения безопасности значимого объекта КИИ субъект КИИ создает систему безопасности такого объекта (СБ ЗОКИИ) и реализует ее функционирование.

Целью СБ ЗОКИИ является обеспечение его устойчивой работы. Проект создания СБ ЗОКИИ, как правило, включает в себя несколько этапов.

Этап 1. Планирование

На этом этапе устанавливаются требования, которые необходимо выполнить для обеспечения безопасности каждого ЗОКИИ, и формируется план мероприятий.

Требования к созданию СБ ЗОКИИ установлены приказом ФСТЭК России от 21 декабря 2017 г. № 235, в котором определены состав сил обеспечения информационной безопасности, их структура и функции, требования к ним (рис. 2).

Приказом ФСТЭК России от 25 декабря 2017 г. № 239 утверждены требования по обеспечению безопасности ЗОКИИ. Одним из ключевых и проблемных на практике требований, установленных данным приказом, является моделирование угроз безопасности ЗОКИИ. Однако на сегодняшний день утвержденная методика моделирования угроз и действий нарушителей для объектов КИИ отсутствует.

ФСТЭК России в информационном сообщении от 4 мая 2018 г. № 240/22/2339 сообщает, что в связи с внесением изменений в Положение о Федеральной службе по техническому и экспортному контролю, утвержденное Указом Президента Российской Федерации от 16 августа 2004 г. № 1085, и определением ФСТЭК России федеральным органом исполнительной власти, уполномоченным в области безопасности КИИ, с 1 января 2018 г. ФСТЭК России утратила полномочия в области обеспечения безопасности информации в ключевых системах информационной инфраструктуры. Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, утвержденные ФСТЭК России 18 мая 2007 г., и Рекомендации по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, утвержденные ФСТЭК России 19 ноября 2007 г., признаны утратившими силу.

При этом Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры, утвержденная ФСТЭК России 18 мая 2007 г., а также Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры, утвержденная ФСТЭК России 18 мая 2007 г., могут применяться субъектами КИИ:

• для моделирования угроз безопасности информации на ЗОКИИ;
• до тех пор, пока ФСТЭК России не утверждены аналогичные методические документы по безопасности объектов КИИ.

Следует отметить, что информационные сообщения не являются нормативно-правовыми актами и не имеют юридической силы.

Приказом ФСТЭК России от 25.12.2017 г. №2 39 (п. 11.1) утверждены требования к содержанию модели угроз для ЗОКИИ, в соответствии с которыми модель угроз безопасности информации должна содержать краткое описание архитектуры значимого объекта, характеристику источников угроз безопасности информации, в т.ч. модель нарушителя, и описание всех угроз безопасности информации, актуальных для значимого объекта.

В качестве исходных данных для анализа угроз безопасности информации должен использоваться банк данных, ведение которого осуществляется ФСТЭК России.

По сути, п. 11.1 приказа ФСТЭК России от 25.12.2017 г. № 239 устанавливает требования и подходы, которыми необходимо руководствоваться при моделировании угроз безопасности ЗОКИИ.

По мнению автора, опираться на методики и базовые модели угроз, разработанные ФСТЭК России для ключевых систем информационной инфраструктуры, на текущий момент стратегически неверно, так как методические документы в части моделирования угроз безопасности информации объектов КИИ, которые планируются к утверждению ФСТЭК России (согласно информационному сообщению от 4 мая 2018 г. № 240/22/2339), явно будут опираться на требования действующего законодательства по безопасности КИИ, в частности приказа ФСТЭК России от 25.12.2017 г. № 239.

После определения актуальных угроз перед проектированием СБ ЗОКИИ необходимо проведение так называемого диагностического аудита (в общей теории менеджмента более известного как GAP-анализ), целью которого является определение тех мер по защите информации, которые уже приняты в отношении данного объекта КИИ, и тех, которые необходимо будет реализовать в процессе создания СБ ЗОКИИ.

Результатом проведения диагностического аудита будет являться понимание того, какая часть обязательных мер по обеспечению безопасности ЗОКИИ уже реализована, какая требует реализации в процессе создания СБ ЗОКИИ, какая может быть "закрыта" встроенными средствами защиты, а для какой потребуется применение наложенных средств.

По итогам проведенного моделирования угроз, анализа текущего положения дел и формирования требований к СБ ЗОКИИ (на основании категории значимости) подготавливается и утверждается руководителем субъекта КИИ план мероприятий по обеспечению безопасности ЗОКИИ (пп. 29–31 приказа ФСТЭК России от 21 декабря 2017 г. № 235), начало реализации которого означает переход на следующий этап.

Этап 2. Реализация

На данном этапе осуществляется фактическое создание:

• сил СБ ЗОКИИ, то есть формирование структурных подразделений, указанных на рис. 1;
• внедрение организационных и технических мер, реализация плана мероприятий по обеспечению безопасности ЗОКИИ (п. 34 приказа ФСТЭК России от 21 декабря 2017 г. № 235). Состав организационных и технических мер по обеспечению безопасности ЗОКИИ приведен в приложении к приказу ФСТЭК России № 239 от 25 декабря 2017 г.;
• разработка организационно-распорядительных документов, регламентирующих процессы управления информационной безопасностью.

Этап 3. Мониторинг и контроль

Основная цель этого этапа – постоянное наблюдение за функционированием СБ ЗОКИИ, определение существующего положения дел в области обеспечения информационной безопасности и дальнейших действий для улучшения системы защиты информации, т.е. ее совершенствования.

Этап 4. Совершенствование

Созданная система не является статичной и нуждается в систематическом совершенствовании, чтобы противостоять новым угрозам. По результатам мониторинга и контроля в рамках совершенствования осуществляется (при необходимости) корректировка архитектуры объектов КИИ, обновление существующих средств защиты ЗОКИИ, повышение зрелости процессов управления информационной безопасностью и корректировка организационно-распорядительных документов.

Проектный подход

Со времени вступления в законную силу Федерального закона от 26.07.2017 г. № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" прошло уже около двух лет, многие субъекты КИИ провели процедуру категорирования и теперь приступают к созданию СБ ЗОКИИ. Исходя из того, что создание СБ ЗОКИИ – это некий проект в области обеспечения безопасности организации, в этой статье и был предложен проектный подход с указанием этапов проекта и некоторых особенностей их реализации.