В рубрику "В фокусе" | К списку рубрик | К списку авторов | К списку публикаций
Федеральный закон от 26.07.2017 г. № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации"1 сформулировал следующее понятие КИИ: это объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов. Другими словами, КИИ – это совокупность информационных и автоматизированных систем, а также информационно-телекоммуникационных сетей субъектов КИИ и сетей электросвязи, обеспечивающих их взаимодействие.
Опускаясь на прикладной уровень, можно сказать, что КИИ Российской Федерации – это совокупность информационных инфраструктур всех субъектов КИИ (государственные органы, государственные учреждения, организации различных форм собственности и индивидуальные предприниматели). Сказанное означает, что на практике обеспечение безопасности КИИ "опускается" на уровень обеспечения безопасности имеющихся у каждого из субъектов КИИ объектов КИИ. Именно с указанной позиции мы и будем говорить о безопасности КИИ в этой статье.
Весь процесс обеспечения безопасности КИИ можно представить в виде дорожной карты, изображенной на рис. 1.
Начальным этапом реализации мер является категорирование, т.к. именно на нем субъект КИИ определяет, какие у него есть объекты КИИ.
С точки зрения значимости объекты КИИ подразделяются на два вида – значимые и незначимые. Значимые имеют три категории значимости: максимальная – первая, минимальная – третья. От категории значимости объекта КИИ зависит набор мер по обеспечению безопасности.
Что касается объектов КИИ, не отнесенных к значимым, то для них не требуется построение дополнительной системы безопасности. Состав и содержание мер защиты информации для указанных объектов регламентированы в нормативно-правовых актах, регулирующих вопросы безопасности конкретного вида систем: информационная система персональных данных, автоматизированная система управления, автоматизированная банковская система и т.п.
При этом, помимо требований по обеспечению безопасности значимых объектов КИИ, действующее законодательство предусматривает права и обязанности субъектов КИИ (как владельцев значимых, так и незначимых объектов КИИ), которые закреплены в ст. 9 закона "О безопасности КИИ". Не будем перечислять их в данной статье, т.к. с ними можно подробно ознакомиться в тексте закона, укажем лишь на практические аспекты их реализации.
С практической точки зрения для выполнения возложенных на субъекта КИИ (владельца как значимых, так и незначимых объектов) ст. 9 закона "О безопасности КИИ" обязанностей необходимо разработать регламент реагирования на компьютерные инциденты (дополнить соответствующим разделом уже имеющийся регламент реагирования на инциденты информационной безопасности), в котором предусмотреть:
Кроме того, не лишним будет подготовить план повышения осведомленности и проведения киберучений, примерная структура которого может быть следующей:
В соответствии со ст. 10 закона "О безопасности КИИ", в целях обеспечения безопасности значимого объекта КИИ субъект КИИ создает систему безопасности такого объекта (СБ ЗОКИИ) и реализует ее функционирование.
Целью СБ ЗОКИИ является обеспечение его устойчивой работы. Проект создания СБ ЗОКИИ, как правило, включает в себя несколько этапов.
На этом этапе устанавливаются требования, которые необходимо выполнить для обеспечения безопасности каждого ЗОКИИ, и формируется план мероприятий.
Требования к созданию СБ ЗОКИИ установлены приказом ФСТЭК России от 21 декабря 2017 г. № 235, в котором определены состав сил обеспечения информационной безопасности, их структура и функции, требования к ним (рис. 2).
Приказом ФСТЭК России от 25 декабря 2017 г. № 239 утверждены требования по обеспечению безопасности ЗОКИИ. Одним из ключевых и проблемных на практике требований, установленных данным приказом, является моделирование угроз безопасности ЗОКИИ. Однако на сегодняшний день утвержденная методика моделирования угроз и действий нарушителей для объектов КИИ отсутствует.
ФСТЭК России в информационном сообщении от 4 мая 2018 г. № 240/22/2339 сообщает, что в связи с внесением изменений в Положение о Федеральной службе по техническому и экспортному контролю, утвержденное Указом Президента Российской Федерации от 16 августа 2004 г. № 1085, и определением ФСТЭК России федеральным органом исполнительной власти, уполномоченным в области безопасности КИИ, с 1 января 2018 г. ФСТЭК России утратила полномочия в области обеспечения безопасности информации в ключевых системах информационной инфраструктуры. Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, утвержденные ФСТЭК России 18 мая 2007 г., и Рекомендации по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, утвержденные ФСТЭК России 19 ноября 2007 г., признаны утратившими силу.
При этом Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры, утвержденная ФСТЭК России 18 мая 2007 г., а также Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры, утвержденная ФСТЭК России 18 мая 2007 г., могут применяться субъектами КИИ:
Следует отметить, что информационные сообщения не являются нормативно-правовыми актами и не имеют юридической силы.
Приказом ФСТЭК России от 25.12.2017 г. №2 39 (п. 11.1) утверждены требования к содержанию модели угроз для ЗОКИИ, в соответствии с которыми модель угроз безопасности информации должна содержать краткое описание архитектуры значимого объекта, характеристику источников угроз безопасности информации, в т.ч. модель нарушителя, и описание всех угроз безопасности информации, актуальных для значимого объекта.
В качестве исходных данных для анализа угроз безопасности информации должен использоваться банк данных, ведение которого осуществляется ФСТЭК России.
По сути, п. 11.1 приказа ФСТЭК России от 25.12.2017 г. № 239 устанавливает требования и подходы, которыми необходимо руководствоваться при моделировании угроз безопасности ЗОКИИ.
По мнению автора, опираться на методики и базовые модели угроз, разработанные ФСТЭК России для ключевых систем информационной инфраструктуры, на текущий момент стратегически неверно, так как методические документы в части моделирования угроз безопасности информации объектов КИИ, которые планируются к утверждению ФСТЭК России (согласно информационному сообщению от 4 мая 2018 г. № 240/22/2339), явно будут опираться на требования действующего законодательства по безопасности КИИ, в частности приказа ФСТЭК России от 25.12.2017 г. № 239.
После определения актуальных угроз перед проектированием СБ ЗОКИИ необходимо проведение так называемого диагностического аудита (в общей теории менеджмента более известного как GAP-анализ), целью которого является определение тех мер по защите информации, которые уже приняты в отношении данного объекта КИИ, и тех, которые необходимо будет реализовать в процессе создания СБ ЗОКИИ.
Результатом проведения диагностического аудита будет являться понимание того, какая часть обязательных мер по обеспечению безопасности ЗОКИИ уже реализована, какая требует реализации в процессе создания СБ ЗОКИИ, какая может быть "закрыта" встроенными средствами защиты, а для какой потребуется применение наложенных средств.
По итогам проведенного моделирования угроз, анализа текущего положения дел и формирования требований к СБ ЗОКИИ (на основании категории значимости) подготавливается и утверждается руководителем субъекта КИИ план мероприятий по обеспечению безопасности ЗОКИИ (пп. 29–31 приказа ФСТЭК России от 21 декабря 2017 г. № 235), начало реализации которого означает переход на следующий этап.
На данном этапе осуществляется фактическое создание:
Основная цель этого этапа – постоянное наблюдение за функционированием СБ ЗОКИИ, определение существующего положения дел в области обеспечения информационной безопасности и дальнейших действий для улучшения системы защиты информации, т.е. ее совершенствования.
Созданная система не является статичной и нуждается в систематическом совершенствовании, чтобы противостоять новым угрозам. По результатам мониторинга и контроля в рамках совершенствования осуществляется (при необходимости) корректировка архитектуры объектов КИИ, обновление существующих средств защиты ЗОКИИ, повышение зрелости процессов управления информационной безопасностью и корректировка организационно-распорядительных документов.
Со времени вступления в законную силу Федерального закона от 26.07.2017 г. № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" прошло уже около двух лет, многие субъекты КИИ провели процедуру категорирования и теперь приступают к созданию СБ ЗОКИИ. Исходя из того, что создание СБ ЗОКИИ – это некий проект в области обеспечения безопасности организации, в этой статье и был предложен проектный подход с указанием этапов проекта и некоторых особенностей их реализации.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #6, 2019