SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Нормативные документы по ИБ. Часть 9. Обзор российского законодательства в области защиты критической информационной инфраструктуры - продолжение

Нормативные документы по ИБ. Часть 9. Обзор российского законодательства в области защиты критической информационной инфраструктуры - продолжение
07.08.2019

 |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |   



Руслан Рахметов, Security Vision


Обсудив в предыдущей публикации систему ГосСОПКА и нормы Приказа ФСТЭК России №31 по защите информации в АСУТП, следует рассмотреть и один из основных подзаконных актов по защите объектов КИИ, а именно Приказ ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».


Требования, изложенные в Приказе ФСТЭК России №239, предъявляются к информационным системам, автоматизированным системам управления и информационно-телекоммуникационным сетям значимых объектов КИИ. Критерии отнесения объектов КИИ к значимым описаны в Постановлении Правительства №127, мы говорили о них ранее. Выполнение требований рассматриваемого приказа предполагает, что категорирование объектов КИИ уже было предварительно проведено, опять же в соответствии с нормами ПП-127. Кроме значимых объектов, по решению субъекта КИИ нормы рассматриваемого документа могут применяться и к незначимым объектам, равно как и требования Приказа №31. В Приказе №239 отдельно указано, что объекты КИИ, обрабатывающие ПДн, подпадают также и под нормы защиты ПДн, а в случае, если объект КИИ является ГосИС, то применяются нормы Приказа ФСТЭК России №17 по защите ГИС и проводится аттестация значимого объекта КИИ.


Приказ №239 указывает, что разработка мер ЗИ значимого объекта КИИ должна включать в себя анализ угроз безопасности и разработку модели угроз, а внедряемые меры защиты не должны оказывать негативного влияния на функционирование самого объекта. Как и в Приказе №31, анализ угроз должен включать выявление источников угроз, оценку возможностей нарушителей (т.е. создание модели нарушителя), анализ уязвимостей используемых систем (в том числе и тестирование на проникновение - пентест), определение возможных способов реализации угроз и их последствий, при этом следует использовать БДУ ФСТЭК России (мы говорили о нём в одной из предыдущих публикаций).


В Приказе №239 особо оговорено, что в случае разработки нового ПО как части подсистемы безопасности значимого объекта КИИ следует применять стандарты безопасной разработки программного обеспечения. При использовании СЗИ приоритет отдается штатному защитному функционалу, а при реагировании на компьютерные инциденты требуется отправлять информацию о них в систему ГосСОПКА.


В списке организационных и технических мер, предусмотренных положениями данного приказа в зависимости от категории значимости объекта КИИ и угроз безопасности информации, указаны пункты, аналогичные таковым в Приказе №31:

  • идентификация и аутентификация;

  • управление доступом;

  • ограничение программной среды;

  • защита машинных носителей информации;

  • аудит безопасности;

  • антивирусная защита;

  • предотвращение вторжений (компьютерных атак);

  • обеспечение целостности;

  • обеспечение доступности;

  • защита технических средств и систем;

  • защита информационной (автоматизированной) системы и ее компонентов;

  • планирование мероприятий по обеспечению безопасности;

  • управление конфигурацией;

  • управление обновлениями программного обеспечения;

  • реагирование на инциденты информационной безопасности;

  • обеспечение действий в нештатных ситуациях;

  • информирование и обучение персонала.


Алгоритм выбора и применения мер защиты, описанный в Приказе №239, сходен по сути с алгоритмом Приказа №31 (а также Приказов №17 и №21 по защите ГИС и ПДн соответственно), за исключением того, что этап уточнения адаптированного базового набора мер включен в сам этап адаптации базового набора. Итак, сначала осуществляется выбор базового набора мер для соответствующей категории значимости объекта КИИ на основании предложенного в Приказе списка. Затем производится адаптация выбранного базового набора мер, предполагающая исключение нерелевантных базовых мер в зависимости от использующихся технологий и характеристик объекта КИИ, а также включение в набор других мер, необходимых для нейтрализации актуальных угроз. Наконец, адаптированный набор дополняется мерами, установленными иными применимыми нормативными правовыми документами, например, по защите информации в ГИС, ИСПДн, криптографической защите информации и т.д. В документе также указано, что если на объекте КИИ уже применяются меры промышленной, функциональной или физической безопасности, достаточные для нейтрализации актуальных угроз информационной безопасности, то дополнительные меры защиты можно не применять. Кроме того, по аналогии с Приказом №31, подчеркиваются важность непрерывности функционирования объекта КИИ и отсутствие негативного влияния на него со стороны применяемых мер: субъект КИИ может применять более подходящие компенсирующие меры взамен базовых, которые при этом будут блокировать актуальные для объекта КИИ угрозы безопасности. Кроме того, компенсирующие меры должны применяться и при использовании новых ИТ-решений и выявлении новых угроз, не учтенных разработчиками Приказа.


Требования предъявляются также и к самим СЗИ: можно применять средства, прошедшие оценку на соответствие требованиям по безопасности в форме испытаний, приемки или обязательной сертификации. Испытания и приемка проводятся субъектами КИИ самостоятельно либо с помощью лицензиатов ФСТЭК России. При использовании сертифицированных СЗИ требования к ним следующие: на объектах 1-й категории значимости следует применять СЗИ не ниже 4-го класса защиты, на объектах 2-й категории - СЗИ не ниже 5-го класса, а на объектах 3-й категории - СЗИ не ниже 6-го класса; при этом на значимых объектах всех категорий требуется применять СВТ не ниже 5-го класса (про классификацию СЗИ и СВТ мы писали ранее в наших публикациях).


Интересно также и то, что в Приказе №239 приведены требования и к уровням доверия СЗИ. Уровни доверия (далее - УД) определяются в соответствии с Приказом ФСТЭК России №131 от 30 июля 2018 г., в котором установлены шесть УД (самый низкий – 6-ой, самый высокий – 1-ый). Так, на объектах 1-й категории значимости следует применять СЗИ, соответствующие 4-му или более высокому УД, на объектах 2-й категории - СЗИ, соответствующие 5-му или более высокому УД, а на объектах 3-й категории - СЗИ, соответствующие 6-му или более высокому УД. Заметим, что пункты про уровни доверия применяемых СЗИ были введены в марте 2019 г. уже после выпуска первоначальной версии Приказа: ранее требования предъявлялись к уровню контроля отсутствия недекларированных возможностей (на объектах 1-й и 2-й категорий следовало применять СЗИ, прошедшие проверку по 4-му уровню НДВ), но с выходом упомянутого выше Приказа №131, вступившего в силу с июня 2019 г., требования руководящего документа по НДВ фактически прекращают действие.


Кроме того, в Приказе №239 подчеркивается, что на объектах 1-й категории значимости в качестве граничных маршрутизаторов следует использовать устройства, сертифицированные на соответствие требованиям по безопасности информации, а в случае невозможности их использования следует оценивать функции безопасности обычных граничных маршрутизаторов на этапах приемки или испытаний значимых объектов КИИ.


В дополнение к ранее указанному, в Приказе указывается на важность использования СЗИ, которые обеспечиваются гарантийной и/или технической поддержкой, а также на возможные ограничения по использованию программного/аппаратного обеспечения или СЗИ (видимо, имеются ввиду санкционные риски). Также указано, что на значимом объекте КИИ требуется запретить удаленный и локальный бесконтрольный доступ для обновления или управления лицами, не являющимися работниками субъекта КИИ, а также запретить бесконтрольную передачу информации из объекта КИИ производителю или иным лицам. Кроме этого, все программные и аппаратные средства объекта КИИ 1 категории значимости должны располагаться на территории РФ (за исключением оговоренных законодательством случаев).


Как мы видим, Приказ №239, несмотря на схожую с другими приказами ФСТЭК России структуру, имеет целый ряд новаций: это и требования по соответствию СЗИ уровням доверия, и упоминание санкционных рисков, и повышенное внимание обеспечению безопасности сетевого взаимодействия. Следует отметить, что данный приказ является ключевым при выполнении требований по защите объектов КИИ, так что субъектам КИИ следует изучить его положения с особым вниманием.

СЗИ ГосСОПКА Аудит информационной безопасности Угрозы ИБ КИИ Нарушители ИБ Оргмеры ИБ Подкасты ИБ НКЦКИ

Рекомендуем

Обзор Положения Банка России от 23 декабря 2020 г. №747-П
Обзор Положения Банка России от 23 декабря 2020 г. №747-П
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 6. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 6. Основные понятия и парадигма - продолжение
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №9  «Общайтесь, взаимодействуйте, делитесь информацией»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №9 «Общайтесь, взаимодействуйте, делитесь информацией»
Управление доступом и учетными записями (конспект лекции)
Управление доступом и учетными записями (конспект лекции)
Риски кибербезопасности. Управление киберрисками с помощью Security Vision Cyber Risk System (CRS)
Риски кибербезопасности. Управление киберрисками с помощью Security Vision Cyber Risk System (CRS)
Защита веб-приложений: WAF
Защита веб-приложений: WAF
Биометрические персональные данные, изменения в регулировании их обработки и влияние на рынок
Биометрические персональные данные, изменения в регулировании их обработки и влияние на рынок
DDoS-атаки: что это такое и способы защиты от них
DDoS-атаки: что это такое и способы защиты от них
Принципы информационной безопасности
Принципы информационной безопасности
Обзор публикации NIST SP 800-128 "Guide for Security-Focused Configuration Management of Information Systems"
Обзор публикации NIST SP 800-128 "Guide for Security-Focused Configuration Management of Information Systems"
IPS / IDS системы. Обнаружение и предотвращение вторжений
IPS / IDS системы. Обнаружение и предотвращение вторжений
Управление рисками информационной безопасности. Часть  7. Стандарт ISO/IEC 27005:2018 (продолжение). Стандарт IEC 31010:2019
Управление рисками информационной безопасности. Часть 7. Стандарт ISO/IEC 27005:2018 (продолжение). Стандарт IEC 31010:2019

Рекомендуем

Обзор Положения Банка России от 23 декабря 2020 г. №747-П
Обзор Положения Банка России от 23 декабря 2020 г. №747-П
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 6. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 6. Основные понятия и парадигма - продолжение
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №9 «Общайтесь, взаимодействуйте, делитесь информацией»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №9  «Общайтесь, взаимодействуйте, делитесь информацией»
Управление доступом и учетными записями (конспект лекции)
Управление доступом и учетными записями (конспект лекции)
Риски кибербезопасности. Управление киберрисками с помощью Security Vision Cyber Risk System (CRS)
Риски кибербезопасности. Управление киберрисками с помощью Security Vision Cyber Risk System (CRS)
Защита веб-приложений: WAF
Защита веб-приложений: WAF
Биометрические персональные данные, изменения в регулировании их обработки и влияние на рынок
Биометрические персональные данные, изменения в регулировании их обработки и влияние на рынок
DDoS-атаки: что это такое и способы защиты от них
DDoS-атаки: что это такое и способы защиты от них
Принципы информационной безопасности
Принципы информационной безопасности
Обзор публикации NIST SP 800-128 "Guide for Security-Focused Configuration Management of Information Systems"
Обзор публикации NIST SP 800-128 "Guide for Security-Focused Configuration Management of Information Systems"
IPS / IDS системы. Обнаружение и предотвращение вторжений
IPS / IDS системы. Обнаружение и предотвращение вторжений
Управление рисками информационной безопасности. Часть 7. Стандарт ISO/IEC 27005:2018 (продолжение). Стандарт IEC 31010:2019
Управление рисками информационной безопасности. Часть  7. Стандарт ISO/IEC 27005:2018 (продолжение). Стандарт IEC 31010:2019

Похожие статьи

SD-WAN – оркестратор для сетей большого масштаба
SD-WAN – оркестратор для сетей большого масштаба
Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты
Обзор публикации NIST SP 800-161 Rev. 1 (Draft) "Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations"
Обзор публикации NIST SP 800-161 Rev. 1 (Draft) "Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations"
Нормативные документы по ИБ. Часть 1. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Нормативные документы по ИБ. Часть 1. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Нормативные документы по ИБ. Часть 11. Защита коммерческой тайны
Нормативные документы по ИБ. Часть 11. Защита коммерческой тайны
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 4. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 4. Основные понятия и парадигма - продолжение
Обзор публикации NIST SP 800-88 "Guidelines for Media Sanitization"
Обзор публикации NIST SP 800-88 "Guidelines for Media Sanitization"
Взаимодействие субъектов критической информационной инфраструктуры с ГосСОПКА в рамках 187-ФЗ. Приказы ФСБ России № 366, 367, 368 и 282
Взаимодействие субъектов критической информационной инфраструктуры с ГосСОПКА в рамках 187-ФЗ. Приказы ФСБ России № 366, 367, 368 и 282
Как научиться выстраивать килчейн
Как научиться выстраивать килчейн

Похожие статьи

SD-WAN – оркестратор для сетей большого масштаба
SD-WAN – оркестратор для сетей большого масштаба
Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты
Обзор публикации NIST SP 800-161 Rev. 1 (Draft) "Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations"
Обзор публикации NIST SP 800-161 Rev. 1 (Draft) "Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations"
Нормативные документы по ИБ. Часть 1. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Нормативные документы по ИБ. Часть 1. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Нормативные документы по ИБ. Часть 11. Защита коммерческой тайны
Нормативные документы по ИБ. Часть 11. Защита коммерческой тайны
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 4. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 4. Основные понятия и парадигма - продолжение
Обзор публикации NIST SP 800-88 "Guidelines for Media Sanitization"
Обзор публикации NIST SP 800-88 "Guidelines for Media Sanitization"
Взаимодействие субъектов критической информационной инфраструктуры с ГосСОПКА в рамках 187-ФЗ. Приказы ФСБ России № 366, 367, 368 и 282
Взаимодействие субъектов критической информационной инфраструктуры с ГосСОПКА в рамках 187-ФЗ. Приказы ФСБ России № 366, 367, 368 и 282
Как научиться выстраивать килчейн
Как научиться выстраивать килчейн