Приоритизированный подход к реализации требований по обеспечению безопасности объектов КИИ

Закон 187-ФЗ о безопасности КИИ вступил в силу, но при этом на текущий момент далеко не все необходимые методические документы и нормативные правовые акты приняты. В этих условиях у организаций, которые могут оказаться в сфере действия закона, больше вопросов, чем ответов. С какой стороны подступиться к этому вопросу? С чего начать и как оптимально спланировать реализацию необходимых мероприятий?

Проведя анализ требований к обеспечению безопасности значимых объектов КИИ, мы разработали приоритизированный подход, который позволяет поэтапно подойти к этой задаче. Как и во многих других процессах, здесь следует начинать с фундаментальных мероприятий и постепенно на их базе выстраивать следующие. Следует отметить, что предложенный нами подход и план действий не претендует на абсолютную полноту и достоверность. При реализации мероприятий по обеспечению безопасности КИИ следует руководствоваться нормами действующего законодательства.

Поэтапный и взвешенный подход

К вопросу обеспечения безопасности значимых объектов КИИ необходимо подходить как к долговременному проекту, который займет несколько лет, и выстраивать его поэтапно. Поэтому прежде, чем погружаться в детали рекомендуется сделать общую оценку проекта.

Взвешенный подход также поможет сэкономить ресурсы и усилия. По опыту развития законодательства о защите персональных данных, которое неоднократно изменялось, стремление максимально быстро обеспечить выполнение требований может обернуться излишней тратой усилий и ресурсов на постоянные корректировки системы безопасности.

Законодательство по КИИ сейчас в активной фазе развития. Данная область находится в сфере ответственности двух регуляторов – ФСБ и ФСТЭК, и при ведении проектов рекомендуется сопоставлять требования со стороны каждого из них. На текущий момент со стороны ФСТЭК опубликовано порядка 90% необходимых регулирующих документов, со стороны ФСБ – около 20%.

Чтобы эффективно управлять этим процессом, важно все требования и реализованные мероприятия сводить в единую систему. Помимо старой доброй таблицы в Excel, существуют современные решения, позволяющие этот процесс автоматизировать и максимально упростить, ведь обеспечение безопасности объектов КИИ — это очень во многом про compliance.

Важность самоидентификации

Согласно определению закона 187-ФЗ о безопасности КИИ, субъекты критической информационной инфраструктуры – это государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

Таким образом, закон распространяется на субъекты, которые владеют и управляют соответствующими объектами. Следует дифференцированно подходить к тому, является ли организация субъектом КИИ и в первую очередь определить, попадает ли компания под требования 187-ФЗ.

Если в компании выявлена необходимость соответствия 187-ФЗ и проведения работ по обеспечению безопасности объекта (объектов) КИИ, законодатель предусмотрел, что такие работы должны выполняться на всех стадиях жизненного цикла объекта и включают в себя (на основании п. 8 Приказа ФСТЭК России от 25.12.2017 N 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»):

а) установление требований к обеспечению безопасности;

б) разработку организационных и технических мер по обеспечению безопасности;

в) внедрение организационных и технических мер по обеспечению безопасности значимого объекта и ввод его в действие;

г) обеспечение безопасности значимого объекта в ходе его эксплуатации;

д) обеспечение безопасности значимого объекта при выводе его из эксплуатации.

Данные этапы работ по обеспечению безопасности объекта КИИ мы рассмотрели с точки зрения приоритизированного подхода, выделив 4 основных приоритета (см. рис 1).

Описание и состав каждого из приоритетов приведен ниже, а также представлен на рисунке 2 с указанием необходимых документальных подтверждений для каждого из мероприятий.

Приоритет 1. Первоочередные действия

1. Назначить ответственных сотрудников или подразделения за категорирование, обеспечение безопасности, эксплуатацию и функционирование (сопровождение, обслуживание, ремонт) значимых объектов КИИ, выявление компьютерных инцидентов в ходе эксплуатации объекта КИИ и реагирование на них.
2. Составить перечень объектов КИИ – на данном этапе пока речь идет просто о перечне, чтобы понимать, с чем придется иметь дело. Если в организации уже проводилась работа по выделению ИСПДн или по ГИС, логично использовать данные наработки в части методологии составления перечня, а не начинать все с нуля.
3. Если организация не имеет собственных ресурсов для всей этой работы, имеет смысл заранее озаботиться выбором подрядчиков для выполнения задач по проектированию и обеспечению ИБ на объектах КИИ. Спектр таких задач широк, начиная от поставки решений и заканчивая их обслуживанием вплоть до полного аутсорсинга. Важно выяснить, имеет ли подрядчик необходимые лицензии, обладает ли достаточной квалификацией, и т.д.
4. Если требуется обучение собственных специалистов компании, то важно также озаботиться этим заранее, т.к. это длительный процесс. И хотя в нормативных документах нет конкретных требований к квалификации персонала, в Приказе ФСТЭК № 239 есть целая группа требований «XVII. Информирование и обучение персонала (ИПО)», также вопрос о квалификации сотрудников может возникнуть в случае инцидента.
5. Составить годовой план обеспечения безопасности значимых объектов КИИ. План может включать и категорирование, и моделирование угроз, и все остальные мероприятия.

Приоритет 2. Основы

1. Следующий ключевой шаг – провести категорирование объектов КИИ, из которого вытекает установление требований к обеспечению безопасности объекта. Для этого нужно проанализировать Постановление Правительства и выделить показатели критериев значимости объектов КИИ. Категорирование напрямую влияет на объем требований, который нужно выполнять и, следовательно, на бюджет проекта. Поэтому если есть возможность, следует рассмотреть пути оптимизации процессов в рамках осуществления деятельности субъекта КИИ таким образом, чтобы снизить возможный ущерб по направлениям деятельности. Так как это может повлиять на характеристики значимого объекта критической информационной инфраструктуры, то может привести к пересмотру категории значимости в сторону уменьшения и, тем самым, оптимизировать затраты на выполнение обязательных требований в соответствии с категорией.
2. После проведения категорирования результаты направляются во ФСТЭК и корректируются в случае мотивированного возврата.
3. Необходимо провести моделирование угроз (или уточнение модели угроз) для каждого значимого объекта КИИ и проанализировать принятые и необходимые меры по обеспечению безопасности объекта. Эти сведения указываются в Акте категорирования.
4. Зафиксировать требования и спроектировать подсистемы безопасности значимых объектов КИИ с учетом модели угроз и требований ФСТЭК. Сведения об организационных и технических мерах, необходимых для обеспечения безопасности объекта критической информационной инфраструктуры, также направляются регулятору.
5. Далее необходимо принять решение о создании собственного центра ГосСОПКА, либо о подключении к существующему.
6. Важно правильно определить зону ответственности субъекта ГосСОПКА. Согласно определению, это совокупность информационных ресурсов, в отношении которых субъектом ГосСОПКА обеспечивается обнаружение, предупреждение и ликвидация последствий компьютерных атак.
7. В случае создания собственного центра ГосСОПКА, для начала стоит реализовать самые базовые вещи:
   • Обеспечить инвентаризацию информационных ресурсов, поскольку это первейший шаг;
   • Обеспечить анализ уязвимостей, которые проходят красной нитью и в требованиях ФСТЭК, и в требованиях ФСБ;
   • Обеспечить антивирусную защиту как базовое средство;
   • Обеспечить анализ данных о событиях и регистрацию инцидентов, например, open-source средствами или другими решениями.

Приоритет 3. Защита

Данный этап подразумевает непосредственно обеспечение защиты. Сюда относятся:

1. Внедрение организационных и технических мер – т.е. все, что прописано в приказах ФСТЭК, исходя из категорий объектов.
2. Анализ уязвимостей на объектах КИИ до ввода в эксплуатацию.
3. Ввод в эксплуатацию системы безопасности.
4. Проектирование комплекса средств автоматизации центра ГосСОПКА (выбор решений, план создания) и согласование с уполномоченным органом.
5. Введение дополнительных средств автоматизации центра ГосСОПКА, в дополнение к указанным в приоритете 2:
   • Установить соответствующие средства и обеспечить прием сообщений о возможных инцидентах;
   • Обеспечить обнаружение компьютерных атак;
   • Обеспечить обмен информацией об инцидентах с уполномоченным органом;
   • Реализовать организационные мероприятия по функционированию центра ГосСОПКА в соответствии с методическими рекомендациями.
6. Периодический анализ уязвимостей на объектах КИИ.

Приоритет 4. Контроль

На этапе контроля проводятся периодические мероприятия:

1. Пересмотр категории объектов КИИ при необходимости.
2. Ежегодная оценка соблюдения требований по ИБ на объектах КИИ (если предусмотрено законодательством, то в форме аттестации).
3. Периодический анализ и совершенствование системы обеспечения ИБ на объектах КИИ.
4. Проведение мероприятий по повышению уровня знаний работников по вопросам обеспечения безопасности КИИ и о возможных угрозах безопасности информации.
5. Ежегодная актуализация годового плана мероприятий по обеспечению безопасности значимых объектов КИИ.
6. Актуализация моделей угроз для объектов КИИ при необходимости.
7. Также сюда относится постоянный процесс реагирования на инциденты ИБ (включая установление причин и результатов устранения последствий) и информирование уполномоченных органов об инцидентах.

*Предложенный нами подход и план действий не претендует на абсолютную полноту и достоверность. При реализации мероприятий по обеспечению безопасности объектов КИИ следует руководствоваться нормами действующего законодательства.