20 августа, 2018, BIS Journal №3(30)/2018

До развилки и дальше


Кузнецов Александр

руководитель направления информационной безопасности (ООО «НТЦ «Вулкан», CISM, MVP)

Дорожная карта обеспечения безопасности КИИ для организаций банковской сферы

Текущий сценарий развития активностей вокруг Федерального закона № 187-ФЗ чем-то напоминает ситуацию с Федеральным законом № 152-ФЗ: так же есть несколько регуляторов, так же есть множество подзаконных актов, частично введенных в действие, а частично нет, так же много предложений, конференций, заявлений и «шумихи».

Но, к сожалению, для многих организаций банковской сферы по-прежнему существует масса вопросов, нужно ли им вообще что-то делать, все ли нужно делать, с чего начать, чтобы не прогадать, когда все это нужно успеть и т.д. и т.п.

Давайте последовательно разбираться.

Где Банк, где КИИ?

Проблемы кибербезопасности в наше время становятся особо актуальными. Последние компьютерные атаки показывают, что сейчас хакерские группировки переключаются, в том числе, на технологические системы. Чтобы ввести борьбу с этим злом в правовое поле, в России подготовлен и с 1 января 2018 года вступил в силу Федеральный закон № 187-ФЗ [1], регулирующий отношения в области обеспечения безопасности критической информационной инфраструктуры (КИИ) Российской Федерации в целях ее устойчивого функционирования при проведении в отношении нее компьютерных атак.

К субъектам КИИ, в том числе были отнесены российские юридические лица, которым на праве собственности, аренды или на ином законном основании принадлежат:

- информационные системы (ИС),

- информационно-телекоммуникационные сети (ИТС),

- автоматизированные системы управления (АСУ),

функционирующие в банковской сфере и иных сферах финансового рынка, а также российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

Сюда же, согласно Доктрине [2], входят и организации денежно-кредитной, валютной, банковской и иных сфер финансового рынка.

Таким образом, банки (кредитные организации) и некредитные финансовые организации, в том числе осуществляющие функции в соответствии с Федеральным законом № 7-ФЗ [3], а также субъекты национальной платежной системы выступают субъектами КИИ, а их ИС, ИТС и АСУ – объектами КИИ, ряд которых может быть отнесен к значимым. Этот тезис подтверждает Банк России, в частности, такое подтверждение было озвучено на прошедшем юбилейном X Уральском форуме [4].

Точки на дорожной карте

Ну, а если это так, то встает вопрос: что же надо делать, чтобы выполнить положения Федерального закона № 187-ФЗ [1] организациям банковской сферы.

На наш взгляд, в первую очередь, стоит отделить мух от котлет. Следует выделить 2 основных направления работ:

- как создать свой элемент и/или встроиться в структуру ГосСОПКА,

‑ как провести категорирование объектов КИИ и обеспечить безопасность значимых объектов КИИ.

Вот второму блоку и связанным с ним активностям посвящена настоящая статья.

Обратим особое внимание, что согласно букве закона, ключевым моментом является то, что в первую очередь требуется обеспечить безопасность значимых объектов КИИ, то есть, прежде чем защищать объекты, необходимо понять, а есть ли вообще эти самые значимые объекты КИИ?

И как ни странно, первой точкой на дорожной карте будет не категорирование, которое активно обсуждается профессиональным сообществом, а инвентаризация (см. рис.1)[1]:

- существующих видов деятельности,

- существующих процессов,

- существующих ИС, ИТС и АСУ.

Дело в том, что несмотря на требование законодательства о том, что категорирование проводится комиссией, создаваемой субъектом КИИ, и четко описывается кто должен входить в эту комиссию, для работы такой комиссии необходимы первичные исходные данные. Но, как показывает уже накапливаемая практика, в 99% такие данные отсутствуют или являются неактуальными.

Ну, а если учесть, что часть этих сведений требуется предоставить в ФСТЭК России, сбор и систематизация такой информации становится первоочередной задачей.

Кстати, только после этого можно поставить вторую точку на дорожной карте: только после уяснения всех процессов и идентификации систем/сетей в течение 1 года проводится категорирование.

Итак, с чего начать?

Начнется все с формирования перечня осуществляемых видов деятельности, а именно банковских операций и сделок, зафиксированных в уставе организации и имеющихся лицензиях (на выходе – «Перечень Видов деятельности»).

Далее, надо провести инвентаризацию всех управленческих, технологических, производственных, финансово-экономических и иных процессов и сформировать перечень реализуемых процессов (на выходе – «Перечень Процессов»).

Затем, среди этих процессов надо определить наиболее критические, то есть процессы, от нарушения которых может последовать ущерб, который можно будет позднее соотнести с критериями значимости, установленными Правительством РФ, а именно со среднедневным (по отношению к числу календарных дней в году) количеством осуществляемых операций, измеряемым в миллионах единиц:

- прекращение или нарушение проведения клиентами операций по банковским счетам и (или) без открытия банковского счета;

- прекращение или нарушение проведения операций, осуществляемых организацией, являющимся системно значимой кредитной организацией [7][2];

- прекращение или нарушение проведения операций оператором услуг платежной инфраструктуры системно и (или) социально значимых платежных систем [8][3];

- прекращение или нарушение проведения операций системно значимой инфраструктурной организацией финансового рынка [9][4].

Правда, это не все, еще необходимо просмотреть соответствие по всем критериям, установленным Правительством РФ, в контексте конкретного организации, и только тогда, мы сможем сказать, что у нас есть окончательное решение (на выходе – «Перечень Критических процессов»).

И только после этого можно приступить к инвентаризации и формированию перечня всех ИС, ИТС и АСУ, обеспечивающих автоматизацию и информационное обеспечение критических процессов в Вашей организации (на выходе – «Перечень Объектов»).

Рис.1 – Шаги в рамках инвентаризации

 

Далее именно объекты из Перечня Объектов уже можно категорировать. Сам Перечень Объектов направляется напрямую в ФСТЭК России, согласование с Банком России не требуется, т.к. последний не является государственным органом (т.е. п. 15 Правил [6] неприменим).

Временной точкой отсчета всех дальнейших шагов выступает дата утверждения Перечня Объектов (см. рис.2).

Рис.2 – Временная дорожная карта

Приступая к непосредственно категорированию объектов КИИ, сначала надо провести полноценное моделирование угроз безопасности информации, а именно:

- рассмотреть возможные действия нарушителей в отношении объектов, а также иные источники угроз безопасности информации,

- проанализировать угрозы безопасности информации и уязвимости, которые могут привести к возникновению компьютерных инцидентов на объектах КИИ.

Стоит отметить, что ГОСТ 57580.1 [10], который станет актуален для всех организаций финансовой сферы после внесения изменений в Федеральный закон № 86-ФЗ [11], определяет, что разработанные и утвержденные модели угроз и нарушителей безопасности информации выступают в качестве основы для реализации финансовой организацией системы защиты информации. В данном случае мы предлагаем осуществлять моделирование угроз безопасности информации, учитывая положения и Правил [6], и ГОСТ [10].

Только имея всю указанную выше фактуру на руках, можно переходить непосредственно к сопоставлению для каждого отдельно взятого объекта КИИ организации, то есть для каждой (и это важно!) ИС, ИТС и АСУ, масштаба возможных последствий в случае возникновения компьютерных инцидентов со значениями показателя(ей), определенного(ых) в Правилах [6], и делать вывод о присвоении объекту одной из категорий значимости, либо об отсутствии необходимости данного присвоения.

Меры по обеспечению безопасности значимого объекта КИИ

Когда разговор заходит о реализации мер по обеспечению безопасности значимого объекта, у специалистов может возникнуть резонный вопрос: в связи с тем, что в форме сведений [5] для ФСТЭК России предусмотрены данные о:

- применяемых средствах защиты информации,

‑ функциях безопасности программного обеспечения, если в него встроены средства защиты информации,

‑ организационных мерах,

‑ технические мерах,

нужно ли успеть реализовывать положения приказов ФСТЭК России [11,12] до окончания процедуры категорирования?

Ответ: нет, организация подает сведения только о мерах, принятых на момент проведения категорирования. Дело в том, что категория значимости выступает неотъемлемой составляющей первичного документа для системы безопасности значимых объектов (СБЗО) – Технического задания.

 При этом нужно учитывать, что основой для принятия решения в рамках категорирования является размер ущерба, который может быть причинен в результате возникновения компьютерных инцидентов. Если организация обладает определенным набором организационных и технических мер защиты информации, то может быть обоснована невозможность наступления определенных компьютерных инцидентов в результате реализации угроз безопасности информации в следствии неактуальности последних.

В связи с этим мы предлагаем начинать работу по обеспечению безопасности объектов, получая уже первые результаты в процессе категорирования, т.е. последовательно и планомерно расширять (масштабировать) область действия существующей системы защиты информации или создаваемой СБЗО.

В значимых объектах в зависимости от их категории значимости и угроз безопасности информации должны быть реализованы следующие организационные и технические меры [11]:

- идентификация и аутентификация (ИАФ),

- управление доступом (УПД),

- ограничение программной среды (ОПС),           

- защита машинных носителей информации (ЗНИ),

- аудит безопасности (АУД),         

- антивирусная защита (АВЗ),        

- предотвращение вторжений/компьютерных атак (СОВ),

- обеспечение целостности (ОЦЛ),

- обеспечение доступности (ОДТ),

- защита технических средств и систем (ЗТС),     

- защита системы (сети) и ее компонентов (ЗИС),

- реагирование на инциденты информационной безопасности (ИНЦ),   

- управление конфигурацией (УКФ),         

- управление обновлениями программного обеспечения (ОПО),

- планирование мероприятий по обеспечению безопасности (ПЛН),

- обеспечение действий в нештатных (непредвиденных) ситуациях (ДНС),

- информирование и обучение персонала (ИПО).

Этапы выполнения работ классические, завязанные на жизненный цикл систем [11]:

- установление требований к обеспечению безопасности значимого объекта,

- разработка организационных и технических мер по обеспечению безопасности значимого объекта,

- внедрение организационных и технических мер по обеспечению безопасности значимого объекта и ввод его в действие,

- обеспечение безопасности значимого объекта в ходе его эксплуатации,

- обеспечение безопасности значимого объекта при выводе его из эксплуатации.

А непосредственно дальнейшее функционирование СБЗО вкладывается в цикл непрерывного совершенствования [12], уже знакомый организациям банковской сферы:

- планирование и разработка мероприятий,

- реализация (внедрение) мероприятий,

- контроль состояния безопасности значимых объектов,

- совершенствование безопасности значимых объектов.

Кто идет по маршруту?

В состав комиссии по категорированию включают [6]:

- руководителя субъекта КИИ (председатель совета директоров организации) или уполномоченное им лицо,

- специалистов в области выполняемых функций или осуществляемых видов деятельности (представители бизнес подразделений),

- специалистов в области информационных технологий и связи (ИТ-специалисты),

- специалистов по эксплуатации основного технологического оборудования, технологической (промышленной) безопасности, контролю за опасными веществами и материалами, учету опасных веществ и материалов (технологи, если есть),

- специалистов, на которых возложены функции обеспечения безопасности (информационной безопасности) объектов КИИ (ИБ-специалисты),

- специалистов подразделения по защите государственной тайны (в случае, если в объекте КИИ обрабатывается информация, составляющая государственную тайну),

- специалистов структурного подразделения по гражданской обороне и защите от чрезвычайных ситуаций или уполномоченный по ГО и ЧС.

В случае если один или несколько объектов КИИ организации определены как значимые объекты КИИ [12], то возникает необходимость определения ответственного лица, на которое будут возложены следующие функции обеспечения безопасности значимых объектов КИИ:

- создание СБЗО,

- организация функционирования СБЗО,

- контроль функционирования СБЗО.

Плюс, должно быть сформировано структурное подразделение по безопасности или выделены отдельные специалисты, которые:

- разрабатывают предложения по совершенствованию локальных актов,

- проводят анализ угроз безопасности информации и выявляют уязвимости,

- обеспечивают реализацию требований по обеспечению безопасности,

- обеспечивают реализацию организационных мер защиты информации,

- осуществляют реагирование на компьютерные инциденты,

- организуют проведение оценки соответствия,

- готовят предложения по совершенствованию функционирования СБЗО.

Целесообразно коррелировать данные назначения с уже существующими в Вашей организации ИБ-специалистами, а также использовать это как дополнительный драйвер для расширения штата и бюджета ИБ-подразделения.

***

В заключении хочется еще раз отметить, что первым шагом для организаций банковской сферы является именно инвентаризации процессов, а не непосредственно категорирование систем или сетей «по таблице». Само же категорирование является ключевой развилкой, определяющей весь дальнейший маршрут обеспечения безопасности объектов КИИ организации банковской сферы, при этом своевременная и полноценная реализация мер защиты информации играет здесь ключевую роль


Литература

Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»
Доктрина информационной безопасности Российской Федерации, утверждена указом Президента Российской Федерации от 05.12.2016 г. № 646.
Федеральный закон от 07.02.2011 № 7-ФЗ «О клиринге, клиринговой деятельности и центральном контрагенте».
«Финансовая организация как субъект критической информационной инфраструктуры», презентация заместителя начальника Управления Главного управления безопасности и защиты информации Банка России, А.О. Выборнова.
Форма «Сведения о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий», утверждена приказом ФСТЭК России от 22.12.2017 г. № 236.
Правила категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, утверждены постановлением Правительства Российской Федерации от 08.02.2018 № 127.
Центральный банк Российской Федерации (Банк России). Пресс-служба «Информация. Об утверждении перечня системно значимых кредитных организаций» от 13.09.2017.
Реестр операторов платежных систем на 04.05.2018 (http://www.cbr.ru/PSystem/rops/)
Центральный банк Российской Федерации (Банк России). Пресс-служба «Информация. О признании инфраструктурных организаций финансового рынка системно значимыми» от 26.09.2014.
57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер», утвержден и введен в действие приказом Росстандарт от 08.08.2017 № 822-ст.
Федеральный закон «О Центральном банке Российской Федерации (Банке России)» от 10.07.2002 № 86-ФЗ.
Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утверждены приказом ФСТЭК России от 25.12.2017 № 239.
Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утверждены приказом ФСТЭК России от 21.12.2017 № 235.

 

 

[1] Несмотря на то, что в п.5 Правил [6] данные шаги включены в процесс категорирования, автором предлагается рассматривать их как отдельную задачу (проект), обусловленную значительной трудоемкостью и требующую участия работников организации, выходящих за пределы состава комиссии по категорированию.

[2] АО ЮниКредит Банк, Банк ГПБ (АО), Банк ВТБ (ПАО), АО «АЛЬФА-БАНК», ПАО Сбербанк, ПАО «Московский Кредитный Банк», ПАО Банк «ФК Открытие», ПАО РОСБАНК, ПАО «Промсвязьбанк», АО «Райффайзенбанк», АО «Россельхозбанк».

[3] АО КБ «ЮНИСТРИМ», ЗАО «НКК», ООО «ХэндиСолюшенс», ПАО АКБ «Связь-Банк», ООО «Платежная система «Виза», РНКО «Платежный Центр» (ООО), НКО АО НРД, ООО «Таможенная карта», «Мастеркард» ООО, ООО «Мультисервисная платежная система», Банк ВТБ (ПАО), ПАО Сбербанк, КБ «Геобанк» (ООО), ООО «БЭСТ», ООО «Цифровой Платеж», КИВИ Банк (АО).

[4] НКО ЗАО «Национальный расчетный депозитарий» и ЗАО АКБ «Национальный Клиринговый Центр».