| Слушать на Google Podcasts | Слушать на Mave | Слушать на Яндекс Музыке |
Руслан Рахметов, Security Vision
Обсудив в предыдущей публикации систему ГосСОПКА и нормы Приказа ФСТЭК России №31 по защите информации в АСУТП, следует рассмотреть и один из основных подзаконных актов по защите объектов КИИ, а именно Приказ ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
Требования, изложенные в Приказе ФСТЭК России №239, предъявляются к информационным системам, автоматизированным системам управления и информационно-телекоммуникационным сетям значимых объектов КИИ. Критерии отнесения объектов КИИ к значимым описаны в Постановлении Правительства №127, мы говорили о них ранее. Выполнение требований рассматриваемого приказа предполагает, что категорирование объектов КИИ уже было предварительно проведено, опять же в соответствии с нормами ПП-127. Кроме значимых объектов, по решению субъекта КИИ нормы рассматриваемого документа могут применяться и к незначимым объектам, равно как и требования Приказа №31. В Приказе №239 отдельно указано, что объекты КИИ, обрабатывающие ПДн, подпадают также и под нормы защиты ПДн, а в случае, если объект КИИ является ГосИС, то применяются нормы Приказа ФСТЭК России №17 по защите ГИС и проводится аттестация значимого объекта КИИ.
Приказ №239 указывает, что разработка мер ЗИ значимого объекта КИИ должна включать в себя анализ угроз безопасности и разработку модели угроз, а внедряемые меры защиты не должны оказывать негативного влияния на функционирование самого объекта. Как и в Приказе №31, анализ угроз должен включать выявление источников угроз, оценку возможностей нарушителей (т.е. создание модели нарушителя), анализ уязвимостей используемых систем (в том числе и тестирование на проникновение - пентест), определение возможных способов реализации угроз и их последствий, при этом следует использовать БДУ ФСТЭК России (мы говорили о нём в одной из предыдущих публикаций).
В Приказе №239 особо оговорено, что в случае разработки нового ПО как части подсистемы безопасности значимого объекта КИИ следует применять стандарты безопасной разработки программного обеспечения. При использовании СЗИ приоритет отдается штатному защитному функционалу, а при реагировании на компьютерные инциденты требуется отправлять информацию о них в систему ГосСОПКА.
В списке организационных и технических мер, предусмотренных положениями данного приказа в зависимости от категории значимости объекта КИИ и угроз безопасности информации, указаны пункты, аналогичные таковым в Приказе №31:
-
идентификация и аутентификация;
-
управление доступом;
-
ограничение программной среды;
-
защита машинных носителей информации;
-
аудит безопасности;
-
антивирусная защита;
-
предотвращение вторжений (компьютерных атак);
-
обеспечение целостности;
-
обеспечение доступности;
-
защита технических средств и систем;
-
защита информационной (автоматизированной) системы и ее компонентов;
-
планирование мероприятий по обеспечению безопасности;
-
управление конфигурацией;
-
управление обновлениями программного обеспечения;
-
реагирование на инциденты информационной безопасности;
-
обеспечение действий в нештатных ситуациях;
-
информирование и обучение персонала.
Алгоритм выбора и применения мер защиты, описанный в Приказе №239, сходен по сути с алгоритмом Приказа №31 (а также Приказов №17 и №21 по защите ГИС и ПДн соответственно), за исключением того, что этап уточнения адаптированного базового набора мер включен в сам этап адаптации базового набора. Итак, сначала осуществляется выбор базового набора мер для соответствующей категории значимости объекта КИИ на основании предложенного в Приказе списка. Затем производится адаптация выбранного базового набора мер, предполагающая исключение нерелевантных базовых мер в зависимости от использующихся технологий и характеристик объекта КИИ, а также включение в набор других мер, необходимых для нейтрализации актуальных угроз. Наконец, адаптированный набор дополняется мерами, установленными иными применимыми нормативными правовыми документами, например, по защите информации в ГИС, ИСПДн, криптографической защите информации и т.д. В документе также указано, что если на объекте КИИ уже применяются меры промышленной, функциональной или физической безопасности, достаточные для нейтрализации актуальных угроз информационной безопасности, то дополнительные меры защиты можно не применять. Кроме того, по аналогии с Приказом №31, подчеркиваются важность непрерывности функционирования объекта КИИ и отсутствие негативного влияния на него со стороны применяемых мер: субъект КИИ может применять более подходящие компенсирующие меры взамен базовых, которые при этом будут блокировать актуальные для объекта КИИ угрозы безопасности. Кроме того, компенсирующие меры должны применяться и при использовании новых ИТ-решений и выявлении новых угроз, не учтенных разработчиками Приказа.
Требования предъявляются также и к самим СЗИ: можно применять средства, прошедшие оценку на соответствие требованиям по безопасности в форме испытаний, приемки или обязательной сертификации. Испытания и приемка проводятся субъектами КИИ самостоятельно либо с помощью лицензиатов ФСТЭК России. При использовании сертифицированных СЗИ требования к ним следующие: на объектах 1-й категории значимости следует применять СЗИ не ниже 4-го класса защиты, на объектах 2-й категории - СЗИ не ниже 5-го класса, а на объектах 3-й категории - СЗИ не ниже 6-го класса; при этом на значимых объектах всех категорий требуется применять СВТ не ниже 5-го класса (про классификацию СЗИ и СВТ мы писали ранее в наших публикациях).
Интересно также и то, что в Приказе №239 приведены требования и к уровням доверия СЗИ. Уровни доверия (далее - УД) определяются в соответствии с Приказом ФСТЭК России №131 от 30 июля 2018 г., в котором установлены шесть УД (самый низкий – 6-ой, самый высокий – 1-ый). Так, на объектах 1-й категории значимости следует применять СЗИ, соответствующие 4-му или более высокому УД, на объектах 2-й категории - СЗИ, соответствующие 5-му или более высокому УД, а на объектах 3-й категории - СЗИ, соответствующие 6-му или более высокому УД. Заметим, что пункты про уровни доверия применяемых СЗИ были введены в марте 2019 г. уже после выпуска первоначальной версии Приказа: ранее требования предъявлялись к уровню контроля отсутствия недекларированных возможностей (на объектах 1-й и 2-й категорий следовало применять СЗИ, прошедшие проверку по 4-му уровню НДВ), но с выходом упомянутого выше Приказа №131, вступившего в силу с июня 2019 г., требования руководящего документа по НДВ фактически прекращают действие.
Кроме того, в Приказе №239 подчеркивается, что на объектах 1-й категории значимости в качестве граничных маршрутизаторов следует использовать устройства, сертифицированные на соответствие требованиям по безопасности информации, а в случае невозможности их использования следует оценивать функции безопасности обычных граничных маршрутизаторов на этапах приемки или испытаний значимых объектов КИИ.
В дополнение к ранее указанному, в Приказе указывается на важность использования СЗИ, которые обеспечиваются гарантийной и/или технической поддержкой, а также на возможные ограничения по использованию программного/аппаратного обеспечения или СЗИ (видимо, имеются ввиду санкционные риски). Также указано, что на значимом объекте КИИ требуется запретить удаленный и локальный бесконтрольный доступ для обновления или управления лицами, не являющимися работниками субъекта КИИ, а также запретить бесконтрольную передачу информации из объекта КИИ производителю или иным лицам. Кроме этого, все программные и аппаратные средства объекта КИИ 1 категории значимости должны располагаться на территории РФ (за исключением оговоренных законодательством случаев).
Как мы видим, Приказ №239, несмотря на схожую с другими приказами ФСТЭК России структуру, имеет целый ряд новаций: это и требования по соответствию СЗИ уровням доверия, и упоминание санкционных рисков, и повышенное внимание обеспечению безопасности сетевого взаимодействия. Следует отметить, что данный приказ является ключевым при выполнении требований по защите объектов КИИ, так что субъектам КИИ следует изучить его положения с особым вниманием.