Перейти к основному содержанию
ИТарктика
УДК 004.056
Ботнару Наталья Михайловна, Бартов Максим Олегович, Коваленко Кристина Владиславовна,
начальник отдела организационной защиты информации ГАУ РК «ЦИТ»
главный специалист отдела организационной защиты информации
Начальник управления по безопасности ГАУ РК «ЦИТ»
Создание системы обеспечения безопасности значимых объектов критической информационной инфраструктуры холдинговых, многоступенчатых и территориально-распределенных структур
Аннотация:

В статье проведен обзор законодательства Российской Федерации в сфере обеспечения безопасности критической информационной инфраструктуры. Рассмотрены последние изменения в законодательстве в области КИИ,  также рассмотрен порядок действий субъектов КИИ и правила категорирования значимых объектов КИИ.

Ключевые слова: субъекты КИИ, объекты КИИ, категорирование, ФСТЭК, о безопасности критической информационной инфраструктуры, № 187-ФЗ.

26 июля 2017 года вступил в силу федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» [1] (Закон о безопасности КИИ),  наделавший много шума в кругах специалистов по информационной безопасности. Несмотря на то, что на издание этого закона ушло несколько лет, прошедших в попытках его упрощения и разъяснения, даже через год после его вступления он вызывает больше вопросов, чем дает ответов. О чем говорят основные положения относительно нового закона? Что необходимо сделать Организациям,  в какие сроки, какую информацию и куда предоставить?

Целью данной статьи является разъяснение требований Закона о безопасности КИИ и его подзаконных актов для организаций, имеющих холдинговую, многоступенчатую и распределенную структуру, или состоящей в ней.

Для реализации Закона о безопасности КИИ в первую очередь необходимо обратиться к его терминологии. Статья 2 Закона гласит, что:

Субъекты критической информационной инфраструктуры – это государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

Объекты критической информационной инфраструктуры – это информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры;

Значимый объект критической информационной инфраструктуры – это объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры.

Под объектом КИИ понимаются информационные системы, автоматизированные системы управления  или информационно-телекоммуникационные сети.  Все то, что с использованием объектов КИИ затрагивает критические (значимые) процессы Организации (управленческие, технологические, производственные, финансово-экономические и (или) иные процессы, функции управления и контроля) в 13 сферах [1]:

  1. Здравоохранения;
  2. Науки;
  3. Транспорта;
  4. Связи;
  5. Энергетики;
  6. Банковской;
  7. финансового рынка;
  8. топливно-энергетического комплекса, в области атомной энергии;
  9. оборонной промышленности;
  10. ракетно-космической промышленности;
  11. горнодобывающей промышленности;
  12. металлургической промышленности;
  13. химической промышленности;

является объектом КИИ.

И так подведем итог вышесказанному  Субъект КИИ = объект КИИ + категория значимости объекта КИИ.

Для упрощения процесса понимания попадает ли Организация под требования  № 187-ФЗ [1] КИИ используйте ОКВЭД для определения сфер и отрасли деятельности подпадающей под требования. Очень удобной таблицей в этой части поделился блогер Сергей Борисов https://www.securitylab.ru/blog/personal/sborisov/345868.php# [6]

Определившись с тем, что Организация является субъектом КИИ и имеет критически важные объекты КИИ, необходимо провести работы по категорированию объектов КИИ в соответствии Постановлением Правительства Российской Федерации от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» [3].

13 апреля 2019 г. вступили в силу изменения в ПП РФ № 127 [3].  Изменения затрагивают Правила категорирования объектов КИИ и перечень показателей критериев значимости объектов КИИ, а также определяют уточненный перечень показателей критериев значимости Объектов КИИ, а также правила категорирования объектов КИИ.

По окончанию работ по категорированию в течение 10 дней необходимо направить результаты о присвоенной категории значимости объектам КИИ в ФСТЭК России по форме утвержденной приказом ФСТЭК России от 22.12.2017 г. № 236 «Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий» [5].

Как и ПП РФ № 127 так и приказ ФСТЭК России от 21.12.2017 № 235 «Об утверждении требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры российской федерации и обеспечению их функционирования» [3] ждут изменения.

Посмотрим, что нового для нас готовит ФСТЭК:

  1. Системы безопасности создаются в отношении всех значимых объектов КИИ (филиалах и представительствах) субъекта КИИ.
  2. Создаваемая система безопасности должна включать силы обеспечения безопасности обособленных подразделений (филиалов, представительств) субъекта КИИ.
  3. По решению руководителя в обособленных подразделениях и филиалах субъекта КИИ, эксплуатирующих значимые объекты КИИ создаются структурные подразделения по безопасности или назначаются специалисты по безопасности.
  4. Контроль за созданными подразделениями в обособленных подразделениях и филиалах субъекта КИИ осуществляется структурным подразделением или специалистами по безопасности субъекта КИИ.
  5. Порядок такого взаимодействия (п.3 и п.4) определяется в организационно-распорядительных документах субъекта КИИ.
  6. Если субъект КИИ является интегрированной инфраструктурой, в состав которой входят другие субъекты КИИ, то структурные подразделения по безопасности должны осуществлять свои функции взаимодействия со структурными подразделениями по безопасности, специалистами по безопасности интегрированной структуры.
  7. С 1 января 2021 года появляются конкретные требования к образованию по направлениям подготовки в области информационной безопасности для руководителей структурных подразделений по безопасности объектов КИИ, штатных работников по безопасности.
  8. Повышение квалификации по направлению «Информационная безопасность» работников структурных подразделений по безопасности организуется субъектом КИИ не реже 1 раза в 5 лет.
  9. При подготовке организационно-распорядительных документов учитываются положения организационно-распорядительных документов интегрированной инфраструктуры (в случае, если субъект КИИ входит в ее состав).
  10.  В план мероприятий должны включаться мероприятия по обеспечению безопасности значимых объектов КИИ, функционирующих в обособленных подразделениях (филиалах, представительствах) субъекта КИИ.
  11. Контроль проводится не реже, чем раз в 3 года. Периодичность определяет руководитель субъекта КИИ.

Как мы видим, изменения также направлены на организации, которые рассматриваются в данной статье, взаимодействующие на базе одной информационной инфраструктуры, находящиеся в холдинговой структуре или имеющие отношения к ним. Ответственность и необходимость защищать КИИ разделяется на все организации, участвующие во взаимодействии и эксплуатации значимых объектов КИИ и регламентируется.

Определившись с терминологией, можно переходить к практической реализации. Построение системы защиты любого объекта – циклический процесс, который условно делится на пять последовательных этапов, каждый из которых дает ответы на следующие появляющиеся вопросы:

  1. Что защищать?
  2. От кого, от чего защищать?
  3. Чем защищать?
  4. Кто осуществляет защиту
  5. Кто осуществляет контроль?
  6. Стоимость?

Для большей наглядности обратимся к примеру: пусть имеется некоторая холдинговая структура N, состоящая из компании ООО «Рога и Копыта», а также трех дочерних структур: «Медицина», «Связь», «Транспорт». При этом у компании «Связь» есть подразделение в другом городе (Ухта), а компания «Медицина» имеет 2 дочерние компании «ЛПУ1» и «ЛПУ2». Для упрощения ИТ-инфраструктуры холдинга в подразделении компании «Связь» был создан датацентр, являющийся общей инфраструктурой для информационных ресурсов компании. Приведем упрощенную схему инфраструктуры холдинга (Рисунок 1).

ло

Каким образом определить, какое из подразделений холдинга является субъектом КИИ? В первую очередь, зная о Федеральном законе от 04.05.2011 № 99-ФЗ "О лицензировании отдельных видов деятельности" [2], необходимо обратиться к имеющимся у организации лицензиям. Деятельность компаний «Медицина», «ЛПУ1», «ЛПУ2», «Связь», «Транспорт» относится к лицензируемым видам деятельности, вследствие чего отнести их к субъектам КИИ не составляет большого труда. Помимо лицензий, помочь с отнесением организации к субъектам КИИ помогают: Устав или Положение, классификаторы ОКВЭД и ОКОГУ. Обратившись к уставу ООО «Рога и Копыта», мы можем найти в нем пункт следующего содержания: «…Предметом основной деятельности ООО «Рога и копыта» является осуществление научной и (или) научно-технической деятельности…», что однозначно относит компанию к субъектам КИИ.

Определившись с тем, что Закон о безопасности КИИ в полной мере относится к структурам нашего холдинга, требуется начать мероприятия по его реализации, а именно определить объекты защиты, то есть ответить на вопрос: «Что защищать?».

Определение объектов защиты – фундамент системы защиты информации в организации. К этому этапу следует подходить очень тщательно. Условно он состоит из следующих задач:

  1. Создание комиссии;
  2. Выявление критических процессов
  3. Выявление объектов КИИ с утверждением его списка и направлением в адрес ФСТЭК России
  4. Выявление значимых объектов КИИ, их категорирование и направление сведения о его результатах в адрес ФСТЭК России
  5. Внесение информации об объектах в реестр объектов КИИ

В первую очередь необходимо создать комиссию по категорированию. В нее необходимо включать:

  • руководителя или уполномоченное им лицо;
  • работников, являющихся специалистами в области выполняемых функций или осуществляемых видов деятельности
  • работники, на которых возложены функции обеспечения безопасности (информационной безопасности)
  • работники подразделения по защите государственной тайны (если объект обрабатывает такие сведения)
  • работники структурного подразделения по гражданской обороне и защите от чрезвычайных ситуаций
  • иные работники, в том числе, работники финансово-экономических подразделений

также в комиссию могут включаться представители государственных органов и российских юридических лиц (госкорпораций), выполняющих функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности, по согласованию с государственными органами и российскими юридическими лицами. Стоит отметить, что комиссия по категорированию должна являться постоянно действующей, а результаты категорирования обязаны пересматриваться ей не реже одного раза в год. Комиссия обязана создаваться в каждом юридическом лице, а при необходимости может быть создана и в обособленных подразделениях (филиалах). Таким образом, комиссии по категорированы должны быть созданы как минимум в компании «Рога и Копыта», «Медицина», «ЛПУ1», «ЛПУ2», «Транспорт», «Связь», при этом компания «Связь» может при необходимости создать дополнительно комиссию в своем филиале в городе Ухта.

Вновь созданная комиссия должна в первую очередь определить какие процессы для организации являются критическими, то есть процессы, нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка. Это могут быть управленческие, технологические, производственные, финансово-экономические, иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности.

В нашем примере в организации «Рога и Копыта», «Транспорт», «Медицина» были выявлены критические управленческие процессы, в «ЛПУ1» «ЛПУ2» технологические, а в компании «Связь» выявлены и управленческие, и технологические критические процессы.

После определения критических процессов можно определить те информационные системы, сети и автоматизированные системы управления, которые эти процессы автоматизируют, то есть выявить объекты КИИ.

В холдинге N выявлены следующие объекты:

  1. В компании «Рога и Копыта»: ERP-система и система электронного документооборота холдинга, автоматизирующие управленческие процессы
  2. В компании «Медицина»: ECM-система, автоматизирующая управленческие процессы
  3. В компании «Транспорт»: CRM-система, автоматизирующая управленческие процессы
  4. В компании «ЛПУ1»: АСУ биохимической лаборатории, автоматизирующая технологический процесс
  5. В компании «ЛПУ2»: АСУ Компьютерного томографа, автоматизирующая технологический процесс
  6. В компании «Связь»: CRM-система, автоматизирующая управленческие процессы, АСУ сетью связи, АСУ инфраструктуры датацентра (инженерных подсистем), компоненты управления средой виртуализации датацентра, а также ИТКС холдинга, автоматизирующие технологические процессы

Каждая организация из состава холдинга формирует свой перечень объектов КИИ, согласовывает с государственным органом или российским юридическим лицом, выполняющим функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере, а также в течении 5 дней направляет утвержденный перечень в адрес ФСТЭК.

После окончания определения перечня объектов КИИ переходят к их категорированию. На данную процедуру законодательством отведен 1 год. Результаты присвоения категории оформляются актом категорирования, выполняемом в произвольной форме. Данный акт в адрес ФСТЭК России не направляется, а хранится в организации. Все подписавшиеся в акте члены комиссии с момента утверждения акта несут персональную ответственность за результаты категорирования объекта. При этом не позднее, чем через 10 дней в адрес ФСТЭК России направляются сведения об объекте по форме, установленной Приказом ФСТЭК России от 22 декабря 2017 г. № 236 [5]. Обращаем внимание, что при категорировании объектов КИИ ФСТЭК России выявил повсеместное занижение категорий значимости объектов КИИ, в результате отразилось в том, что ФСТЭК России не согласовывает формы сведений о КИИ, где показатели значимости указаны не точно (например, по показателю «Социальная значимость. Причинение ущерба жизни и здоровью людей (человек)» не допускается относить объект КИИ к 3 категории с комментарием: «менее 50 человек», а требуется указание точного числа возможных пострадавших. В случае, если объект проектируется (создается) допускается проведение категорирования только по нескольким показателям с обязательным пересмотром категории при вводе в эксплуатацию.

При этом для объектов КИИ, принадлежащих одному субъекту, но используемых для целей контроля и управления объектами, принадлежащим другому субъекту, категорирование осуществляется на основе исходных данных, представляемых субъектом, которому принадлежит оборудование, тем самым объекты компании «Связь» холдинга N категорируются на основе всех актов категорирования холдинговых структур.

ФСТЭК России рассматривает предоставленные данные в течении 30 дней, и в случае согласования вносит данные об объекте в реестр объектов КИИ, а при несогласовании определяет 5-дневный срок на устранение замечаний. При этом срок действия результатов категорирования во времени ограничивается 5 годами.

Корректно предоставить во ФСТЭК России данные об объекте КИИ невозможно без ответа на вопрос «От кого и от чего защищать объект?», то есть без формирования модели угроз и вероятного нарушителя информационной безопасности.

С учетом практики создания подобных документов, согласования их с УФСТЭК России по СЗФО, 8-м Центром ФСБ России, Управлением ФСБ России по Республике Коми, в модель угроз целесообразно следующее содержание:

  • Термины и определения согласно ГОСТ и НПА
  • Принятые сокращения и обозначения
  • Общие положения (основания для создания системы и ввода ее в эксплуатацию, перечень НПА, методических документов и ГОСТ, на основании которых создана модель угроз)
  • Описание информационной системы и ее структурно-функциональных характеристик
  • Определение объектов защиты в информационной системе
  • Описание угроз безопасности информации
  • Расчет актуальности угроз безопасности информации
  • Перечень актуальных угроз информационной безопасности, являющийся выводом.

Рассмотрим отдельные разделы модели угроз. Описание информационной системы и ее структурно-функциональных характеристик должно содержать:

  • Назначение системы
  • Состав и структура системы
  • Описание информатизируемого процесса
  • Физические, логические, технологические, функциональные схемы взаимодействия компонентов системы, между сегментами системы и с иными информационными системами, АСУ и информационно-телекоммуникационными сетями
  • Режимы обработки информации в системе и в ее отдельных сегментах
  • Условия функционирования
  • Состав применяемых программных, программно-аппаратных, технических средств, в том числе аппаратура связи и СЗИ
  • Показатели назначения
  • Применяемые информационные технологии
  • Объекты доступа
  • Субъекты доступа
  • Роли субъектов доступа к объектам доступа
  • Перечень информации, обрабатываемой объектом
  • Сведения о категории объекта, классе защищенности (если ОКИИ=ГИС), уровне защищенности ПДн (если ОКИИ=ИСПДн), классе АСУ ТП (ОКИИ=АСУ ТП)

Определение объектов защиты в информационной системе должно включать:

  • Категории и перечень информации, подлежащей защите
  • Определение ценности информационных активов
  • Виды и степень ущерба обрабатываемой на объекте информации
  • Состав подлежащих защите программных, программно-аппаратных и технических средств
  • Перечень объектов защиты

Описание угроз безопасности информации должно содержать пункты:

  • Идентификация источников угроз
  • Идентификация вероятных нарушителей
  • Идентификация уязвимостей системы и компонент
  • Идентификация угроз ИБ

В свою очередь, в пункте «Идентификация источников угроз» рассматриваются антропогенные, техногенные и стихийные источники угроз. В разделе «Идентификация вероятных нарушителей» определяется тип, вид, мотивация, оснащенность нарушителя, способ реализации атаки, объект атаки, а также потенциал нарушителя. Часть «Описание уязвимостей системы» включает в себя описание уязвимостей используемых протоколов обмена данными, описание уязвимостей используемого ПО, программно-аппаратных средств, аппаратного обеспечения и средств связи. «Описание угроз безопасности информации» содержит информацию в составе:

  • Идентификатор УБИ
  • Наименование УБИ
  • Описание
  • Источник угрозы (характеристика и потенциал нарушителя)
  • Объект воздействия
  • Последствия реализации угрозы (нарушение конфиденциальности, нарушение целостности, нарушение доступности)

Расчет актуальности угроз проводится в соответствии с методическими документами:

Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденная ФСТЭК России 15 февраля 2008 г [7].

Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденная ФСТЭК России 14 февраля 2008 г [9].

Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры, утвержденная ФСТЭК России 18 мая 2007 г [8].

Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры, утвержденная ФСТЭК России 18 мая 2007 г [10].

После определения вероятного нарушителя и вероятных угроз возможно приступать к созданию подсистемы защиты объекта КИИ.

Создание подсистемы защиты включает в себя:

  • Техническое задание
  • Проектирование системы защиты
  • Рабочая и эксплуатационная документация
  • Внедрение СЗИ

Техническое задание на создание подсистемы защиты должно при этом обязательно содержать разделы:

  • цель и задачи обеспечения безопасности значимого объекта или подсистемы безопасности значимого объекта
  • категорию значимости значимого объекта
  • перечень нормативных правовых актов, методических документов и национальных стандартов, которым должен соответствовать значимый объект
  • перечень типов объектов защиты значимого объекта
  • организационные и технические меры, применяемые для обеспечения безопасности значимого объекта
  • стадии (этапы работ) создания подсистемы безопасности значимого объекта
  • требования к применяемым программным и программно-аппаратным средствам, в том числе средствам защиты информации
  • требования к защите средств и систем, обеспечивающих функционирование значимого объекта (обеспечивающей инфраструктуре)
  • требования к информационному взаимодействию значимого объекта с иными объектами критической информационной инфраструктуры, а также иными информационными системами, автоматизированными системами управления или информационно-телекоммуникационными сетями.

На этапе технического проекта:

  • определяются субъекты доступа и объекты доступа
  • определяются политики управления доступом
  • обосновываются организационные и технические меры, подлежащие реализации в рамках подсистемы безопасности
  • определяются виды и типы средств защиты информации, обеспечивающие реализацию технических мер по обеспечению безопасности информации
  • осуществляется выбор средств защиты информации и (или) их разработка
  • разрабатывается архитектура подсистемы безопасности значимого объекта, включающая состав, места установки, взаимосвязи средств защиты информации
  • определяются требования к параметрам настройки программных и программно-аппаратных средств, включая средства защиты информации
  • определяются меры по обеспечению безопасности при взаимодействии значимого объекта с иными объектами критической информационной инфраструктуры, информационными системами, автоматизированными системами управления или информационно-телекоммуникационными сетями

При создании рабочей и эксплуатационной документации приводят:

описание архитектуры подсистемы безопасности значимого объекта

порядок и параметры настройки программных и программно-аппаратных средств, в том числе средств защиты информации

правила эксплуатации программных и программно-аппаратных средств, в том числе средств защиты информации (правила безопасной эксплуатации)

на этапе внедрения СЗИ проводится:

установка и настройка СЗИ

разработка организационно-распорядительных документов, регламентирующих правила и процедуры обеспечения безопасности информации

внедрение организационных мер по обеспечению безопасности информации

предварительные испытания значимого объекта и его подсистемы безопасности

опытная эксплуатация значимого объекта и его подсистемы безопасности;

анализ уязвимостей значимого объекта и принятие мер по их устранению;

приемочные испытания значимого объекта и его подсистемы безопасности

Построение системы защиты при этом неразрывно связано с ответом на вопрос: «Кто осуществляет защиту?», то есть с вопросом создания подразделения по защите информации.

В организации должно быть реализовано следующее разделение ролей по вопросам безопасности объектов КИИ:

РУКОВОДИТЕЛЬ или УПОЛНОМОЧЕННОЕ ИМ ЛИЦО:

  • Создает подсистему информационной безопасности в организации
  • Определяет ответственное за информационную безопасность лицо (подразделение)

ОТВЕТСВЕННОЕ ЛИЦО (ПОДРАЗДЕЛЕНИЕ)

  • разрабатывает предложения по совершенствованию организационно-распорядительной документации по информационной безопасности
  • проводит анализ угроз безопасности информации и выявляет уязвимости
  • обеспечивает реализацию требований по информационной безопасности
  • обеспечивает в соответствии с требованиями по информационной безопасности реализацию организационных мер и применение средств защиты информации, эксплуатацию средств защиты информации
  • осуществлять реагирование на компьютерные инциденты в установленном порядке
  • организовывает проведение аудита информационной безопасности
  • готовит предложения по совершенствованию функционирования подсистемы информационной безопасности

ПОЛЬЗОВАТЕЛИ ОБЪЕКТА:

  • выполняют свои обязанности в соответствии с правилами безопасности, установленными организационно-распорядительными документами по информационной безопасности (инструкциями, руководствами).
  • своевременно (не реже одного раза в год) повышать осведомленность в области информационной безопасности (организуется ответственным или подразделением)

          Исходя из структуры сети холдинга, размещения всей инфраструктуры в одном датацентре, целесообразно создать в компании «Связь» подразделение по информационной безопасности, а в остальных подразделениях холдинга назначить ответственных лиц. При этом, в соответствии с требованиями законодательства, компании «Связь» требуется для осуществления работ в области защиты информации получение лицензий ФСТЭК России на деятельность по технической защите конфиденциальной информации и (или) осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны, лицензии ФСБ России на проведение работ, связанных с использованием сведений, составляющих государственную тайну, лицензии ФСБ России на деятельность по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств и (или) на деятельность, связанную с созданием средств защиты информации. Кроме того, после получения вышеуказанных лицензий возможно получение аккредитации компании «Связь» как корпоративного центра ГОССОПКА в соответствии с методическими документами ФСБ России (предоставляются по запросу организаций).

Созданное подразделение по информационной безопасности (ответственный сотрудник) обязан выстроить циклический рабочий процесс на основе цикла Деминга (Plan, Do, Check, Act) в каждом субъекте КИИ.

        Крайним крупным вопросом в обеспечении информационной безопасности объектов КИИ является вопрос аудита и контроля (вопрос: «Кто осуществляет контроль?»). Аудит для объектов КИИ обязателен как минимум один раз в год, при этом внутренний аудит обязателен для всех объектов КИИ, а для объектов КИИ 1 категории обязателен еще и внешний аудит (осуществляется лицензиатами ФСТЭК России).

Кроме того, в отношении объектов КИИ проводятся плановые и внеплановые проверки ФСТЭК России (плановые – не позднее 3 лет с момента категорирования или по истечению срока крайней проверки).

         Самой важной и весомой частью статьи является ответ на вопрос «Сколько стоит система обеспечения объекта КИИ? А если это многоступенчатая большая инфраструктура? А можно ли сэкономить?»

Точный расчет стоимости подсистемы защиты объекта КИИ проводится для каждого конкретного случая, т.к. зависит от физического расположения объекта, количества зданий, пользователей, качества имеющейся техники, вероятных угроз для данного объект, вероятного нарушителя и т.д.

Рассмотрим, насколько стоимость обеспечения безопасности КИИ выше стоимости обеспечения безопасности, к примеру, ИСПДн.

Для примера берем холдинговую структуру N распределенной вычислительной сети, сегменты которой расположены в 20 муниципальных районах.

В нее подключено 100 организаций (в том числе организации, расположенные в различных зданиях (20 организаций имеют офисы в 5 зданиях, 20 организаций имеют офисы в 4 зданиях, 10 организаций имеют офисы в 2 зданиях, офисы остальных 50 - расположены каждая в отдельном здании, т.е. в общем более 250 офисов), в сети 5 000 пользователей.

Функционирует защищенный датацентр для хранения конфиденциальной информации и персональных данных, рабочие места пользователей оснащены СЗИ от НСД, антивирусами, установлены межсетевые экраны и криптомаршрутизаторы или СКЗИ с межсетевым экраном, т.е. выполнены технические меры по защите персональных данных. Специалисты по защите информации отсутствуют практически во всех организациях.

Топология сети – звезда, причем имеется ядро сети (core) – защищенный датацентр и узлы связи в каждом муниципальном районе. Сеть в районе также имеет топологию звезда, ядром которой является узел связи района.

Какие же проблемы возникают в связи с тем, что данная сеть станет объектом КИИ?

  1. Возможность атак из Интранет, в том числе с применением шифрования (атаки могут осуществляться внутри района, что приведет к тому, что средства обнаружения атак ядра всей сети такие атаки не детектируют, причем атака может вестись как из Интернет, так и из Интранет);
  2. Несколько точек доступа в сети общего пользования, наличие Wi-Fi в организациях создают дополнительные точки входа в сеть, что способствует реализации атак внутренними нарушителями;
  3. Наличие нелигитимных доменов внутри инфраструктуры сложной сети, в результате централизация управления средствами защиты (антивирусы, СЗИ от НСД) невозможна;
  4. Ввиду критичности объекта на него могут быть совершены сложные, подготовленные исключительно для этой сети атаки, могут использоваться уязвимости 0 дня, что ведет к тому, что классические СЗИ защититься от атак не помогут;
  5. Кроме того, существует ненулевая вероятность атак внутри локальных сетей организаций;
  6. И самая главная проблема: управлять конфигурацией системы защиты, патч менеджментом в такой сети слишком сложно, а предотвращать целенаправленные атаки невозможно, ввиду того что специалисты по информационной безопасности в чистом виде в каждой организации не существуют.

Каким же следовать путем?

  1. Организовать сегментацию сети и управлению доступом в ней на уровне районов UTM устройствами с функционалом FW/IPS;
  2. Организация мониторинга компьютерных атак посредством IDS в ЛВС;
  3. Методическое руководство защиты от компьютерных атак в инфраструктуре из одной точки (создание центра компетенций – центра мониторинга, который оказывает техническую и методическую помощь, обучает администраторов и пользователей на местах через онлайн тренинги и информационные рассылки, организация передачи логов с IDS по защищенному каналу связи (с использованием СКЗИ), а также управление IDS, МЭ/СОА из одной точки;
  4. Внедрение средств мониторинга хостов, а именно SIEM.

Каковы же примерные затраты на все это со стороны организации?

Указанная схема, согласно таблице, обойдется оператору сети в сумму порядка 139 миллионов рублей или около 1.4 млн рублей за каждую организацию.

Каждый последующий год будет обходиться в сумму около 600 000 рублей за организацию или порядка 60 млн рублей в год.

Насколько же это эффективно?

Да, на рынке существуют продукты типа «Платформа 187» от компании “Positive Technologies”, которые представляют устройство «Все в одном». Однако подобные устройства рассчитаны на подключение не более 250 хостов, что с учетом того, что в сети 5 000 пользователей доустановить от 20 подобных устройств (при централизации закупки и установки) до 100 устройств (при закупке из расчета 1 устройство на организацию), что обойдется в сумму от 180 млн. до 900 млн рублей (от 1,8 до 9 млн на организацию), и 50% от стоимости ежегодно при этом масштабирование сети будет приводить к скачкообразному увеличению издержек и не решит ключевую проблему – отсутствие специалистов по ИБ на конкретном объекте.

Заключение

Таким образом, для систем обеспечения безопасности объектов КИИ характерна:

  • Комплексность
  • Цикличность
  • Долгосрочность
  • Высокая стоимость

В свою очередь, построение комплексной системы защиты холдинговой структуры неразрывно связано со следующими вопросами:

  • Получение лицензий ФСТЭК России, ФСБ России
  • Целесообразностью перехода к аутсорсингу в области информационной безопасности
  • Увеличением штата специалистами по информационной безопасности
  • Постоянное повышения осведомленности в области информационной безопасности.
  1. Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 № 187-ФЗ
  2. Федеральный закон «О лицензировании отдельных видов деятельности» от 04.05.2011 № 99-ФЗ
  3. Постановление Правительства РФ от 8 февраля 2018 г. № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений»
  4. Приказ ФСТЭК России от 21 декабря 2017 г. № 235 «об утверждении требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования»
  5. Приказ ФСТЭК России от 22 декабря 2017 г. № 236 «Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий»
  6. Приказ ФСТЭК России от 25 декабря 2017 г. № 239 «об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»»
  7. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденная ФСТЭК России 15 февраля 2008 г.
  8. Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры, утвержденная ФСТЭК России 18 мая 2007 г.
  9. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденная ФСТЭК России 14 февраля 2008 г.
  10. Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры, утвержденная ФСТЭК России 18 мая 2007 г.
  11. Интернет ресурс https://www.securitylab.ru/blog/personal/sborisov/345868.php#
  12. Федеральный портал проектов нормативных правовых актов  https://regulation.gov.ru
  13. Интернет ресурс https://www.securitylab.ru/