17 августа, 2018, BIS Journal №3(30)/2018

Работаем на перспективу


Воробьева Анна

корреспондент (BIS Journal)

Отчет с дискуссии на PHDays 2018 «Безопасность КИИ: практические аспекты»

Тема реализации Федерального закона №187-ФЗ «О безопасности критической информационной инфраструктуры (КИИ) РФ» все еще на волне хайпа. Ее обсуждают на каждом экспертном ИБ-мероприятии. Особенно интересной и полезной нам показалась дискуссия, состоявшаяся на секции «Безопасность КИИ: практические аспекты» на Positive Hack Days 2018.

Закон вступил в силу полгода назад, а на ключевой вопрос о принадлежности к субъектам КИИ до сих пор нет однозначного ответа. В очередной раз участники дискуссии попытались разобраться в этом самостоятельно.

В обсуждении приняли участие начальник отдела эксплуатации и поддержки систем информационной безопасности «Ростелекома» Дмитрий Царев, директор департамента мониторинга и реагирования на киберугрозы «Ростелекома» Владимир Шадрин, директор по развитию бизнеса «ИнфоТеКСа» Роман Кобцев, генеральный директор R-Vision Александр Бондаренко, руководитель группы пресейла JSOC компании Solar Security Алексей Павлов, менеджер по продвижению продуктов Positive Technologies Сергей Куц, консультант по информационной безопасности компании «ICL Системные технологии» Руслан Замалиев.

ЧТО ЯВЛЯЕТСЯ КИИ?

Официальное трактованные субъектов КИИ довольно широкое, что для многих становится проблемой. К тому же, существуют разногласия в формулировках самих регуляторов – ФСБ и ФСТЭК. Среди тех, кто оказался на распутье «быть или не быть» – МЧС России. Представитель ведомства обратился за помощью к экспертам с просьбой помочь разъяснить, является их структура субъектом КИИ. Согласно правилам категорирования, МЧС России принадлежит к таковым, а по определению – нет. Дать однозначный ответ участники сессии не смогли, поэтому было предложено идентифицировать себя самостоятельно.

Отечественная нормативная база, необходимая для ФЗ-187, только на старте. Правительство утвердило 100% документов по КИИ, ФСТЭК – 90%, ФСБ – только 20%. Компаниям, по мнению участников дискуссии, нужно настраиваться на «долгосрочный тренд в этом направлении», а не «бежать впереди паровоза». Была проведена аналогия с Законом о персональных данных, которому более 10 лет, а требования к его исполнению все еще меняются. В итоге те, кто первым стремился идти в ногу с законом, теряли немалые деньги.

КАТЕГОРИРОВАНИЕ КРУПНЫХ СУБЪЕКТОВ КИИ

Крупные отечественные компании уже приступили к выполнению Закона о КИИ, однако столкнулись с весомой проблемой – необходимостью проведения категорирования множества объектов, расположенных в территориально-распределенных филиалах.

По мнению участников обсуждения, если субъект КИИ имеет разветвленную сеть территориальных подразделений, целесообразно провести предварительную методическую работу по категорированию в центральном офисе. Прежде всего, сформировать перечень всех подразделений, бизнес-процессов, а затем привязать их к региональным офисам. После чего выработать методические рекомендации по категорированию, в том числе, с описанием типизации объектов КИИ, и, если это возможно, разработать шаблоны документов (перечень объектов КИИ, подлежащих категорированию, акты категорирования, сведения, передаваемые во ФСТЭК по результатам категорирования).

Не стоит забывать про контрольную функцию – внедрить данные наработки в территориальные подразделения, предварительно опробовав их на одном-двух офисах, сформировать перечень объектов КИИ, подлежащих категорированию, осуществить моделирование угроз для объектов КИИ из данного перечня, провести категорирование и сформировать на основе шаблонов отчетные документы.

Свою помощь активно предлагают коммерческие компании. К примеру, представитель «ICL Системные технологии» рассказал о системе, автоматизирующей процессы категорирования информационных систем и выпуска необходимой документации.

Категорирование влияет на объем выполняемых требований, поэтому изначально стоит, проанализировав постановления Правительства, попытаться изменить внутренние процессы так, чтобы «уйти от значимости или уменьшить свою категорию», - высказал мнение Александр Бондаренко.

Пока в России нет ни одной компании, которая прошла бы полный путь и выполнила все требования по КИИ. Поэтому, по мнению Бондаренко, необходимо выстраивать долгосрочную стратегию, учитывая, что все документы до конца не приняты. «Хотеть реализовать данный проект за полгода достаточно наивно. Эффективнее разбить его на несколько лет и расставить правильные приоритеты», - посоветовал гендиректор R-Vision.

ОПЫТ СУБЪЕКТОВ КИИ

Все игроки «большой четвёрки» операторов ведут активные работы по категорированию. На площадке Ассоциации документальной электросвязи совместно разрабатывается единый отраслевой стандарт для упрощения подходов и методик категорирования. «ФСБ и ФСТЭК поддерживают данную идею, поскольку в один прекрасный момент они могут утонуть в зоопарке подходов и методик к категорированию», - заметил руководитель Центра компетенции по безопасности КИИ «МегаФон» Дмитрий Афанасьев.

Еще в начале года оператор создал подразделение компетенции по защите КИИ и выделил штатные единицы. Филиальные подразделения «Мегафон» активно налаживают контакты с инфраструктурой. Главная проблема - широкая географическая сеть и множество объектов, которые подходят под категорию КИИ (вплоть до вышек с базовыми станциями). Чтобы решить проблему распределенной инфраструктуры, на уровне ЦОДа компания вводит типовые доверенные зоны по регионам.

Укрепляя оборону, оператор сотовой связи переходит на новую SIEM-платформу, а также строит собственный SOC. «Все требования ФЗ-187 планируется полностью реализовать к концу 2019 года», - заверил Афанасьев.

Начальник Управления режима ИБ Газпромбанка Алексей Плешков большой проблемы в реализации закона пока не видит, поскольку отечественные банки с 2004 года на плановой основе ведут аналогичную работу с Банком России через ФинЦЕРТ. Сейчас главная задача - сопоставить требования регулятора и Закона о КИИ.

Тем не менее проблемы при внедрении ФЗ-187 в банковской сфере тоже существуют. В том числе, отсутствие в банках ниже ТОП-50 должного кадрового уровня. Плешков посоветовал банкам малого и среднего уровня задуматься о расширении персонала, ответственного за реализацию требований КИИ.

Представитель энергетического холдинга «Интер РАО» Дмитрий Васильев заметил, что пока неясно, как распределить ответственность за безопасность объектов КИИ, если крупная компания привлекает подрядчиков. «Не всегда отраслевой регулятор может выступать локомотивом и снабжать подведомственные организации необходимыми методиками и инструкциями по категорированию, а также участвовать в составе комиссии по категорированию, как это предписывает 127-ПП», - отметил Васильев. Поэтому в их компании, не дождавшись реакции от отраслевого регулятора, приступили к работам самостоятельно: разработали методические рекомендации по категорированию, составили комиссию, утвердив ее приказом и наделив участников определяющими функциями. В данный момент организация формирует перечень объектов КИИ, подлежащих категорированию.

ВЗАИМОДЕЙСТВИЕ С ГОССОПКА

Для реализации закона, помимо категорирования объектов КИИ, важно формализовать их присоединение к ГосСОПКА, создать или модернизировать собственные системы информационной безопасности значимых объектов КИИ.

Пока взаимодействие с ГосСОПКА добровольное, однако со временем станет обязательным. На данный момент к государственной системе подключились более 1,5 тысячи объектов КИИ.

В 2017 году с участием ГосСОПКА было собрано более 300 серьёзных компьютерных инцидентов, что более чем в пять раз больше показателя 2016 года. При содействии центра было заблокировано свыше 3 тыс. вредоносных ресурсов.

Работа ГосСОПКА строится по двум основным направлениям: агрегация потоков ИБ-инцидентов, с которыми организации справились, и помощь в устранении компьютерных инцидентов. Также ФСБ собирает информацию от участников системы, какую информацию об инцидентах им необходимо получать, чтобы «не зафлудить и соблюсти баланс».

Эксперты обратили внимание, что существует различие в формулировке ФСТЭК и ФСБ России понятия «компьютерный инцидент». Представитель Национального координационного центра по компьютерным инцидентам (НКЦКИ) Алексей Новиков пояснил, что имеется в виду нарушение штатного режима работы всей системы или ее элемента. А проблема состоит скорее не в самом определении, а в типизации инцидентов (сейчас определено 12 типов). Мнение ФСТЭК, к сожалению, не прозвучало. И тут мнение экспертов, конечно, едино: больше хотелось бы не слов представителей регулятора, которые к делу не подошьешь, а официальных документов.

Однако Новиков заверил, что ФСБ уже разработало, но пока не открыло доступ к разъяснениям, что считать инцидентом без привязки к конкретной сфере. Также уже есть документ, разработанный НКЦКИ, описывающий форматы передачи данных в ГосСОПКА. Его можно получить по запросу в НКЦКИ.

Перечень информации, передаваемой в ГосСОПКА приведен в соответствующем проекте приказа ФСБ («Об утверждении Перечня информации, представляемой в ГосСОПКА и Порядка представления информации в ГосСОПКА»). Проект будет утвержден и передан в Минюст в течение месяца.

Участники дискуссии сошлись во мнении, что реализация, как и применение, ФЗ-187 только в начале длинного и тернистого пути, поскольку ещё ни одна организация в стране не прошла полный цикл подготовки к его выполнению. К тому же существует проблема несоответствия терминологии. Но выполнять требования компании обязаны уже сейчас, поэтому и действуют они самостоятельно и с энтузиазмом. Понятно, это в их интересах.

Но ведь и в интересах государства тоже.