16 января, 2019, BIS Journal №4(31)/2018

«Безопасность КИИ - не только техника»


Иванов Олег

генеральный директор (ООО «ЦИБИТ»)

Косичкин Роман

эксперт Департамента комплаенса в кредитно-финансовой сфере (ООО «ЦИБИТ»)

Рассказывают эксперты компании «ЦИБИТ»

С 1 января 2018 года вступил в силу закон № 187 ФЗ «О безопасности критической информационной инфраструктуры». Еще находясь в проекте, этот закон породил много вопросов, касающихся реализации его требований. Теперь, когда эти требования вступили в силу, многие компании столкнулись с необходимостью их выполнения.

Что это за требования и как можно их выполнить? Какими компетенциями должен обладать персонал, строящий и эксплуатирующий системы? На эти и другие вопросы, некоторые из которых до сих пор остаются в «тени» технических решений, отвечают эксперты компании «ЦИБИТ» (Центр исследования безопасности информационных технологий).

- Для начала просьба напомнить для чего потребовался этот закон и что такое КИИ?

- Новый закон предназначен для регулирования деятельности по обеспечению безопасности объектов информационной инфраструктуры Российской Федерации, функционирование которых критически важно для экономики государства. Такие объекты в законе называются объектами критической информационной инфраструктуры (КИИ). Согласно Закону, к объектам КИИ могут быть отнесены информационные системы и сети, а также автоматизированные системы управления, функционирующие в значимых для государства сферах, таких как, например, финансовый рынок, связь, энергетика.

Объекты КИИ, а также сети электросвязи, используемые для организации взаимодействия между ними, составляют понятие критической информационной инфраструктуры (КИИ).

Организации или индивидуальные предприниматели в определенных отраслях промышленности, обеспечивающие взаимодействие объектов КИИ называются субъектами КИИ.

- Какие действия должны предпринять субъекты КИИ для выполнения Закона?

- Согласно закону, субъекты КИИ должны:

провести категорирование объектов КИИ;
обеспечить интеграцию (встраивание) в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА);
принять организационные и технические меры по обеспечению безопасности объектов КИИ.

- Как протекает процесс категорирования и передачи данных?

- Категорирование объекта КИИ предполагает определение его категории значимости на основе ряда критериев и показателей. Всего устанавливается три категории. Если объект КИИ не соответствует ни одному из установленных критериев, ему не присваивается ни одна категория. Те объекты КИИ, которым была присвоена одна из категорий, называются в законе значимыми объектами КИИ.

По завершению категорирования сведения о его результатах должны направляться субъектом КИИ во ФСТЭК России для ведения реестра значимых объектов КИИ.

Важно отметить, что если в процессе категорирования было определено отсутствие категории значимости у объекта КИИ, результаты категорирования все равно должны быть представлены во ФСТЭК России.

Сам процесс категорирования протекает в три этапа:

Первый этап. Необходимо создать внутреннюю комиссию по категорированию, включающую наиболее компетентных специалистов по бизнес-процессам, поскольку только «владелец» знает все тонкости бизнес-процесса, которые могут привести к его нарушению и последующим негативным последствиям.

Второй этап. На этом этапе проводится предпроектное обследование и, на основании полученных данных, комиссия принимает решение о наличии перечня объектов КИИ, подлежащих категорированию и присваивает категорию значимости исходя из показателей критериев значимости (социальная, политическая, экономическая, экологическая, значимость для обеспечения обороны страны, безопасности государства и правопорядка).

Результатом второго этапа является «Акт категорирования объекта КИИ», который утверждается руководителем субъекта КИИ. Акт должен содержать полные сведения об объекте КИИ. Субъект КИИ направляет сведения о результатах категорирования в ФСТЭК России, которая проверяет соблюдение порядка и правильности категорирования и вносит сведения в реестр значимых объектов КИИ.

Третий этап. Планомерное выполнение требований по обеспечению безопасности значимых объектов КИИ, включающее разработку ТЗ, модели угроз ИБ, рабочей документации, а также испытания и ввод системы безопасности в действие.

- Что важно при создании систем информационной безопасности для КИИ? На что обращать внимание?

- Система безопасности значимого объекта КИИ представляет собой комплекс организационных и технических мер. Порядок создания системы и требования к принимаемым мерам безопасности определяется ФСТЭК России рядом приказов [1], [2].

Уже довольно много говорилось о технических мерах защиты. Мы же хотели более подробно поговорить об организационных мерах.

Как мы упоминали ранее, одним из пунктов плана мероприятий по обеспечению безопасности значимых объектов КИИ является разработка документации. В рамках данного процесса необходимо создать или модифицировать те нормативные документы организации, в которых бы определялись и излагались процессы обеспечения системы защиты КИИ.

Исходя из текста закона и подзаконных актов, можно составить примерный список данных документов.

Для владельцев значимых объектов КИИ перечень таких документов весьма обширен. Помимо приказов и положений, связанных с категорированием объектов, необходимо согласно [1] и [2] подготовить документы, связанные с:

Проектированием систем безопасности значимых объектов;
Испытаниями и приемом в эксплуатацию систем безопасности;
Контролем за состоянием значимых объектов.

Кроме этого, придется внести ряд изменений в существующие документы по обнаружению и предотвращению вторжений, антивирусной защите, управлению доступом, использованию материальных носителей информацией.

Всего, в случае эксплуатации значимых объектов КИИ, необходимо разработать и изменить несколько десятков организационно-распорядительных документов.

Следует также отметить, что большинство из этих документов являются политиками (т.е. нормативными документами достаточно высокого уровня). Не исключено, что субъекту придется разрабатывать и внедрять документы, конкретизирующие данные политики (процедуры и инструкции).

- Поговорим о владельцах незначимых объектов КИИ. Разве они должны готовить какие-то документы, ведь пункт плана к ним не относится?

- Да, большинство документов, упомянутых нами ранее, для них не требуются. При этом, комиссия по категорированию все равно создается, следовательно, необходимы, как минимум приказ о создании комиссии и документ, определяющий порядок ее деятельности. В ходе своей работы комиссия должна определять критические процессы и объекты, которые обрабатывают критические процессы, разработать модель угроз. По результатам работы комиссии создается перечень объектов КИИ и по всем объектам оформляется акт о категорировании.

Таким образом, даже субъект КИИ, обладающий только незначимыми объектами, должен разработать или модифицировать порядка десяти документов.

- Да, это трудная задача. Справиться с ней могут только подготовленные специалисты. Есть ли в законодательстве требования к кадровому составу субъектов КИИ?

- Согласно приказу ФСТЭК [1] в подразделении организации, ответственном за защиту значимых объектов КИИ, должны работать специалисты по безопасности. Исходя из контекста задач, решаемых ими, данные специалисты обязаны быть компетентны в области ИБ и обладать всеми знаниями и умениями, требующимися от специальности «Информационная безопасность».

- Но ведь с объектами КИИ взаимодействуют не только специалисты по информационной безопасности. Работники, которые участвуют в критических процессах, тоже должны понимать их значимость с точки зрения защиты. Чему и как их надо обучать?

- В вышеупомянутом приказе ФСТЭК явно указывается, что работники субъекта КИИ должны быть обучены правилам безопасности в соответствие с принятыми в организации организационно-распорядительными документами. Не реже одного раза в год следует также проводить организационные мероприятия, направленные на повышение уровня знаний работников по вопросам обеспечения безопасности КИИ и о возможных угрозах безопасности информации.

- Получается, что процесс категорирования, построения систем защиты и обмена данными весьма трудоемкий и требует высокой квалификации исполнителей. Что же делать, если у предприятия нет опыта построения требуемых систем безопасности?

Понятно, что не все организации обладают необходимыми ресурсами для создания систем защиты. Например, все банки являются субъектами КИИ. Согласно статье 10 Приказа ФСТЭК [1], руководитель субъекта КИИ создает подразделение или назначает ответственных за обеспечение безопасности значимых объектов КИИ. Как мы уже отмечали, с очень большой долей вероятности это будут сотрудники ИБ. При этом людских ресурсов, ответственных за информационную безопасность, практически всегда недостаточно. Эти сотрудники выполняют массу профильных задач. В их числе – работа с ключевой инфраструктурой, настройка и обслуживание СКЗИ и программного обеспечения по ИБ, организация безопасной разработки, написание нормативной документации, обучение персонала. Очевидно, что при такой большой нагрузке вероятность допустить ошибку или упустить важный момент существенно возрастает. Однако, из данной ситуации есть выход. Тот же Приказ разрешает сторонним организациям, обладающим лицензиями ФСТЭК, осуществлять деятельность по защите значимых объектов КИИ.

11. Для выполнения функций, предусмотренных пунктом 10 настоящих Требований, субъектами критической информационной инфраструктуры могут привлекаться организации, имеющие в зависимости от информации, обрабатываемой значимым объектом критической информационной инфраструктуры, лицензию на деятельность по технической защите информации, составляющей государственную тайну, и (или) на деятельность по технической защите конфиденциальной информации (далее - лицензии в области защиты информации)».

Следует при этом отметить, что ответственность за обеспечение безопасности все равно остается на работниках самого субъекта КИИ.

К силам обеспечения безопасности значимых объектов критической информационной инфраструктуры относятся:

подразделения (работники) субъекта критической информационной инфраструктуры, ответственные за обеспечение безопасности значимых объектов критической информационной инфраструктуры;»

- Спасибо! Мы поняли, что помимо технических средства для выполнения требований закона о безопасности КИИ очень большую роль играет работа с организационно-распорядительной документацией, грамотный подбор кадров, обучение работников субъекта КИИ. Скажите, как компания ЦИБИТ может содействовать организациям – субъектам КИИ в решении этой нелегкой задачи?

- Прежде всего, хотим добавить, что даже наличие опытных кадров и обученных работников не исключает помощь лицензированных сторонних организаций при организации системы безопасности значимых объектов КИИ.

Компания «ЦИБИТ» обладает уникальными компетенциями в данных областях.

Имея собственное кадровое агентство, специализирующееся на подборе и трудоустройстве сотрудников в области ИБ, мы всегда готовы предложить организациям нужные кадры с требуемым опытом работы и квалификацией.

Если необходимо, можно обучить работников субъекта КИИ, используя ресурсы учебного центра «ЦИБИТ». Кроме того, учебный центр может содействовать в регулярном повышении осведомленности работников организации по вопросам ИБ.

Наконец, подразделение финансового комплаенса ЦИБИТ всегда готово «подставить плечо», если есть необходимость помочь субъекту КИИ в организации защиты, подготовке системы организационно-распорядительных документов, в проведении проверки соответствия.

- Спасибо.

Литература:

Федеральная служба по техническому и экспортному контролю. Приказ от 21 декабря 2017 г. № 235 «Об утверждении требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования».
Федеральная служба по техническому и экспортному контролю. Приказ от 25 декабря 2017 г. № 239 «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».

 

Смотрите также

Итоги CyberCrimeCon 2018

17 октября, 2018
Подпишись на новости!
Подписаться