Реализация требований обеспечения безопасности критической информационной инфраструктуры с помощью автоматизации

Юрий Подгорбунский, Security Vision

Введение

Требования к безопасности критической информационной инфраструктуры (далее – КИИ) установлены Федеральным законом от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее – Федеральный закон).

Цель Федерального закона заключается в предъявлении требований безопасности для обеспечения устойчивого функционирования КИИ при проведении в отношении ее компьютерных атак.

Основные понятия

Компьютерная атака представляет собой целенаправленное воздействие программных и (или) программно-аппаратных средств на объекты КИИ, сети электросвязи, используемые для организации взаимодействия таких объектов, в целях нарушения и (или) прекращения их функционирования и (или) создания угрозы безопасности обрабатываемой такими объектами информации.

А компьютерный инцидент – это факт нарушения и (или) прекращения функционирования объекта КИИ, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности, обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки.

Остальные основные понятия в статье будут рассматриваться ниже последовательно. 

Что же такое КИИ?

В целом КИИ – это объекты КИИ, а также сети электросвязи (сети операторов связи), используемые для взаимодействия таких объектов.

А сами объекты КИИ — это следующие системы и сети:

• информационные системы (далее – ИС).

• автоматизированные системы управления (далее – АСУ).

• информационно-телекоммуникационные сети (далее – ИТКС).

 Но сами по себе вышеуказанные системы и сети не станут объектами КИИ, для этого существует еще одна составляющая – определенная сфера деятельности (перечень сфер будет указан ниже) в которой функционирует организация.

Федеральный закон определил следующие принципы обеспечения безопасности КИИ:

• законность (как правило это предусматривается по умолчанию).

• непрерывность обеспечения безопасности КИИ (непрерывность предполагает реализацию процессов кибербезопасности и постоянное их улучшение).

И приоритетом выделяется:

• предотвращение компьютерных атак.

Основные требования

Основными требованиями Федерального закона являются:

• проведение категорирования объектов КИИ – процедура, при реализации которой объекту КИИ присваивается одна из категорий значимости либо отсутствует необходимость присвоения категории (процедура категорирование будет рассмотрена ниже);

• информирование Национального координационного центра по компьютерным инцидентам (далее – НКЦКИ). о компьютерных атаках и компьютерных инцидентах;

• реагирование на компьютерные инциденты, принятие мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов КИИ;

• использование на значимых объектах КИИ доверенного программного обеспечения и программно-аппаратных средств;

• соблюдение требований по обеспечению безопасности значимых объектов КИИ, установленных приказами ФСТЭК России № 235 и № 239 и т.д. (будут рассмотрены в следующих статьях);

• а также осуществление непрерывного взаимодействия с инфраструктурой ГосСОПКА в порядке, установленном ФСБ России.

Пояснения к вышеуказанным требованиям

Иногда некоторые пояснения все-таки нужны, т.к. часто под каким-либо словом, сокращением может скрываться многое. Тут я выделил следующее:

НКЦКИ является составной частью сил Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (далее – ГосСОПКА).

Основной задачей НКЦКИ является координация деятельности субъектов КИИ по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.

ГосСОПКА представляет собой единый территориально распределенный комплекс, включающий силы и средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.

В свою очередь, субъектами КИИ являются государственные организации и предприятия, а также юридические лица, функционирующие в сферах:

• здравоохранения;

• науки;

• транспорта;

• связи;

• энергетики;

• государственной регистрации прав на недвижимое имущество и сделок с ним;

• банковской сфере и иных сферах финансового рынка;

• топливно-энергетического комплекса;

• атомной энергии;

• оборонной;

• ракетно-космической;

• горнодобывающей;

• металлургической;

• химической.

И которым на праве собственности или аренды принадлежат объекты КИИ.

Если организация попадает в любую вышеуказанную сферу деятельности и у нее имеется ИС, АСУ или ИТКС, она является субъектом КИИ.

Значимым объектом КИИ является объект, которому присвоена одна из категорий значимости.

Категорирование объектов КИИ

Федеральный закон требует проводить категорирование объектов КИИ, которое должно осуществляется в соответствии с постановлением Правительства РФ от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений».

Категорирование объектов КИИ осуществляется субъектом КИИ (организацией), которая на праве собственности или аренды владеет объектами КИИ (ИС, АСУ, ИТКС).

Категорированию подлежат объекты КИИ, соответствующие типам ИС, АСУ, ИТКС, включенным в перечни типовых отраслевых объектов КИИ.

Перечни типовых отраслевых объектов КИИ созданы для систематизации типов объектов КИИ и сгруппированы по сферам деятельности (далее – перечни типовых объектов КИИ).

Категорирование включает в себя следующее:

• выявление ИС, АСУ, ИТКС, соответствующих типовым объектам КИИ, включенным в перечни типовых объектов КИИ;

• оценку соответствия с перечнем показателей критериев значимости масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах КИИ;

• присвоение каждому из объектов КИИ одной из категорий значимости либо принятие решения об отсутствии необходимости присвоения им одной из категорий значимости.

Существует три категории значимости, которые могут быть присвоены объектам КИИ:

• первая (самая высокая, и соответственно требований и мер безопасности используется больше);

• вторая;

• третья (самая низкая, меньше требований и мер – базовый уровень безопасности).

 Для проведения категорирования объектов КИИ должна быть создана постоянно действующая комиссия по категорированию (далее – комиссия по категорированию), в состав которой как минимум должны включаться:

• руководитель организации или уполномоченное им лицо;

• работники, являющиеся специалистами в области выполняемых функций или осуществляемых видов деятельности;

• работники эксплуатирующих подразделений;

• работники, на которых возложены функции обеспечения безопасности объектов КИИ.

Комиссия по категорированию в ходе своей работы:

• выявляет объекты КИИ, соответствующие типовым, включенным в перечни типовых объектов КИИ;

• рассматривает возможные действия нарушителей в отношении объектов КИИ, а также иные источники угроз безопасности информации;

• анализирует угрозы безопасности информации, которые могут привести к возникновению компьютерных инцидентов на объектах КИИ;

• оценивает в соответствии с перечнем показателей критериев значимости, а также с учетом отраслевых особенностей категорирования масштаб возможных последствий в случае возникновения компьютерных инцидентов на объектах КИИ, определяет значения каждого из показателей критериев значимости или обосновывает их неприменимость;

• устанавливает каждому объекту КИИ одну из категорий значимости либо принимает решение об отсутствии необходимости присвоения им категорий значимости.

Дополнение и пояснения

При рассмотрении нарушителей и угроз безопасности информации комиссия должна рассматривать наихудшие сценарии проведения компьютерных атак на объекты КИИ, результатом которых являются нарушение или прекращение функционирования объектов КИИ.

Перечень показателей критериев значимости объектов КИИ РФ и их значений включает в себя следующие области (звучит как значимость), в которых может быть причинён ущерб:

• социальная;

• политическая;

• экономическая;

• экологическая;

• оборона страны, безопасность государства и правопорядка.

 В каждой вышеуказанной области (применительно к конкретной организации) оцениваются показатели и соответствующие значения показателя, исходя из которых определяется категория значимости для объекта КИИ в случае нарушения и прекращения функционирования данного объекта.

Результаты категорирования

Решение комиссии по категорированию оформляется актом, который должен содержать сведения об объекте КИИ, а также сведения о присвоении объекту КИИ определенной категории значимости либо об отсутствии необходимости присвоения ему одной из таких категорий.

Акт подписывается членами комиссии по категорированию и утверждается руководителем организации или уполномоченным им лицом.

Организация в течении 10 дней со дня утверждения акта категорирования направляет в ФСТЭК России в установленной форме сведения о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий (далее – сведения о результатах категорирования объекта КИИ).

Форма сведения о результатах категорирования объекта КИИ утверждена приказом ФСТЭК России от 22.12.2017 N 236 «Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий» и включает следующее:

• сведения об объекте КИИ;

• сведения о субъекте КИИ (организации), который на праве собственности или аренды принадлежит объекту КИИ;

• сведения о взаимодействии объекта КИИ и сетей электросвязи;

• сведения о лице, эксплуатирующем объект КИИ;

• сведения о программных и программно-аппаратных средствах, используемых на объекте КИИ;

• сведения об угрозах безопасности информации и категориях нарушителей в отношении объекта КИИ;

• возможные последствия в случае возникновения компьютерных инцидентов на объекте КИИ;

• категория значимости, которая присвоена объекту КИИ, либо отсутствие необходимости присвоения категории;

• принятые организационные и технические меры для обеспечения безопасности объекта КИИ;

• доменные имена и сетевые адреса объекта КИИ в случае подключения к сетям общего пользования.

По результатам категорирования, если объекту КИИ присваивается одна из категории значимости, фактический объект КИИ становится значимым (с учетом, что ФСТЭК России внесет данный объект КИИ в реестр значимых объектов). В противном случае категория не присваивается, и объект КИИ без категории значимости.

Как автоматизация может помочь в части выполнения требований безопасности?

С учетом роста требований безопасности со стороны регуляторов (ФСТЭК России и т.д.), увеличения количества и сложности кибератак на КИИ, исходящих от нарушителей, автоматизация процессов информационной безопасности уже стала необходимостью. Приведу примеры реализации требований, указанных выше, с помощью систем автоматизации.

 Проведение категорирования объектов КИИ (процедура была рассмотрена выше) можно автоматизировать с помощью Security Vision КИИ:

• формирование объектов КИИ;

• проведение категорирования с автоматическим расчетом категории значимости объекта КИИ;

• формирование сведений о результатах категорирования объекта КИИ (более подробно представлено ниже);

• формирование акта категорирования объекта КИИ.

Что касается информирования о компьютерных инцидентах, а также непрерывного взаимодействие с инфраструктурой ГосСОПКА, — их можно автоматизировать с помощью Security Vision ГосСОПКА (далее – модуль), который позволяет осуществлять оперативный двусторонний обмен информацией:

• уведомление об инцидентах информационной безопасности;

• получение сообщений о подозрениях на инцидент с участием подконтрольных ресурсов организации;

• получение оперативных бюллетеней об угрозах и уязвимостях от регулятора.

Модуль взаимодействия разработан с учетом регламента НКЦКИ. Основной способ передачи данных осуществляется через интеграцию с личным кабинетом субъекта ГосСОПКА посредством Application Programming Interface (API) – данная интеграция как раз и является способом непрерывного взаимодействия.

А вот для реализации требования реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак, в текущих реалиях необходимо действовать очень оперативно, т.к. любое промедление может дать нарушителям возможность нанести организации наибольший ущерб. В этом случае можно и нужно использовать средства автоматизации реагирования на компьютерные инциденты, например, Security Vision SOAR, с помощью которого осуществляется в автоматическом и автоматизированном режиме:

• получение инцидента из Security Vision SIEM;

• обогащение инцидента (из аналитических сервисов, sigma-правила и т.д.);

• классификация и анализ инцидента (MITRE ATT&CK, Kill Chain, слепки хостов, цифровые свидетельства);

• блокирование и изоляция (учетных записей, хостов, вредоносных доменов URL/Email);

• реагирование на основе преднастроенных действий для хостов, учетных записей и т.д.;

• возврат скомпрометированных объектов в исходное состояние.

А что дальше?

К значимым объектам КИИ предъявляются требования безопасности: создание системы безопасности значимых объектов КИИ, обеспечение безопасности значимых объектов КИИ, моделирование угроз безопасности информации и т.д., которые будут рассмотрены в следующих статьях. А вот что касается объектов КИИ без категории значимости — конечно же, есть определенные общие требования безопасности к объектам КИИ независимо от значимости. Но в основном такой субъект КИИ самостоятельно принимает решение о том, какие меры защиты будут реализованы.