Нормативные документы по ИБ. Часть 8. Обзор российского законодательства в области защиты критической информационной инфраструктуры

Руслан Рахметов, Security Vision

В предыдущей статье мы познакомились с основными положениями 187-ФЗ  «О безопасности критической информационной инфраструктуры» и некоторыми подзаконными актами. В данной части рассмотрим подробнее систему ГосСОПКА и принципы защиты автоматизированных систем управления производственными и технологическими процессами.

В соответствии с разработанным в ФСБ РФ документом №149/2/7-200 от 24 декабря 2016 г. «Методические рекомендации по созданию ведомственных и корпоративных центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации» функциями ГосСОПКА являются:

• инвентаризация информационных ресурсов;

• выявление уязвимостей информационных ресурсов;

• анализ угроз информационной безопасности;

• повышение квалификации персонала информационных ресурсов;

• прием сообщений о возможных инцидентах от персонала и пользователей информационных ресурсов;

• обнаружение компьютерных атак;

• анализ данных о событиях безопасности;

• регистрация инцидентов;

• реагирование на инциденты и ликвидация их последствий;

• установление причин инцидентов;

• анализ результатов устранения последствий инцидентов.

Центры системы ГосСОПКА подразделяются на ведомственные и корпоративные:

• ведомственные Центры осуществляют лицензируемую деятельность по защите информационных ресурсов в интересах органов государственной власти;

• корпоративные Центры осуществляют лицензируемую деятельность по защите информационных ресурсов в собственных интересах, а также имеют право предоставлять услуги по предупреждению, обнаружению и ликвидации последствий компьютерных атак.

Если саму систему ГосСОПКА мы утрированно можем называть «большим SIEM» в масштабе всей страны, то Центры ГосСОПКА будет корректно сравнивать скорее с Центрами мониторинга информационной безопасности (англ. Security Operations Center, SOC).

Итак, субъект КИИ, относящийся к органу государственной власти, в соответствии с текущими законодательными нормами должен подключиться к соответствующему ведомственному Центру ГосСОПКА. У субъекта КИИ, не являющегося органом государственной власти, есть возможность либо осуществить самостоятельное подключение к системе ГосСОПКА, либо создать свой собственный корпоративный Центр ГосСОПКА, либо подключиться к уже созданному Центру, оказывающему услуги по подключению к системе ГосСОПКА.

При самостоятельном подключении к Центру ГосСОПКА субъекту КИИ предстоит решить следующие задачи:

• создание собственного Центра мониторинга информационной безопасности с учетом требований нормативных документов ФСБ РФ, ФСТЭК России, иных нормативно-правовых актов;

• внедрение и поддержка технических средств и решений, соответствующих методическим рекомендациям ФСБ РФ по созданию ведомственных и корпоративных центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;

• внедрение и поддержка технических средств и решений, соответствующих требованиям к лицензиату ФСТЭК России для осуществления деятельности по мониторингу информационной безопасности средств и систем мониторинга;

• получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации (ТЗКИ) в части перечня работ и услуг по мониторингу информационной безопасности средств и систем мониторинга (в случае предоставления коммерческих услуг другим организациям или при работе в составе холдинговой структуры);

• получение лицензии ФСБ РФ на деятельность по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (в случае предоставления коммерческих услуг другим организациям или при работе в составе холдинговой структуры);

• осуществление взаимодействия с НКЦКИ в соответствии с регламентом взаимодействия подразделений ФСБ РФ и субъектов ГосСОПКА при осуществлении информационного обмена в области обнаружения, предупреждения и ликвидации последствий компьютерных атак;

• привлечение, обучение, удержание сотрудников Центра мониторинга информационной безопасности;

• разработка и непрерывная актуализация сценариев атак и мониторинга;

• аналитика событий и инцидентов, построение отчетности.

Подключение к внешнему (коммерческому) центру ГосСОПКА, который оказывает соответствующие услуги, позволяет передать большинство вышеописанных задач специализированной организации. От заказчика потребуется лишь подключить источники событий к коммерческому центру ГосСОПКА, согласовать формат и регламент взаимодействия, а также своевременно уведомлять об изменениях в своей ИТ-инфраструктуре. Кроме того, воспользовавшись услугами внешнего центра ГосСОПКА, организация перекладывает на исполнителя риски несоответствия законодательству РФ в области ведения незаконного предпринимательства (ст. 171 УК РФ) в части ведения деятельности без соответствующих лицензий ФСБ РФ и/или ФСТЭК России.

Перейдем к принципам защиты автоматизированных систем управления производственными и технологическими процессами. Приказ ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды» (в ред. Приказа ФСТЭК России от 9 августа 2018 г. № 138) устанавливает законодательные требования в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами (далее - АСУТП). Несмотря на наличие двух казалось бы дублирующихся направлений защиты КИИ (187-ФЗ по КИИ с подзаконными актами и указанный Приказ №31 по АСУТП), в настоящее время государственные регуляторы придерживаются следующей точки зрения: если объект КИИ признан значимым (т.е. ему присвоена одна из трех категорий значимости), то используется Приказ ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации», а если объект КИИ признан незначимым (т.е. категория значимости не была присвоена), то по решению субъекта КИИ можно применять как Приказ №31 по АСУТП, так и Приказ №239 по КИИ. Мы детально рассмотрим Приказ №239 в следующей публикации.

В соответствии с Приказом №31 объектами защиты в АСУТП являются информация о параметрах или состоянии управляемого объекта или процесса, а также все сопутствующие технические средства (рабочие станции, серверы, каналы связи, контроллеры), ПО и средства защиты. Данный документ указывает, что предпринимаемые организационные и технические меры по защите АСУТП должны, в первую очередь, обеспечивать доступность и целостность обрабатываемой в АСУТП информации, а обеспечение конфиденциальности логично ставится на второе место. Кроме этого, указывается, что принимаемые меры должны быть гармонизированы с мерами по обеспечению других видов безопасности, например, промышленной, пожарной, экологической, и не должны оказывать отрицательного влияния на штатный режим функционирования АСУТП. Предъявляются требования и к СЗИ в АСУТП - они должны пройти оценку соответствия.

В документе описаны организационные шаги по защите информации (далее - ЗИ) в АСУТП: формирование требований к ЗИ, разработка и внедрение системы защиты АСУТП, обеспечение ЗИ в ходе эксплуатации АСУТП и при выводе её из эксплуатации. Именно на этапе формирования требований проводится важная работа по классификации АСУТП: системе устанавливается один из трех классов защищенности (где самый низкий класс - третий, самый высокий - первый), при этом класс защищенности определяется в зависимости от уровня значимости обрабатываемой информации, т.е. степени возможного ущерба от нарушения её свойств безопасности (целостность, доступность и, если применимо, конфиденциальность). Степень ущерба же может быть высокой (ЧП федерального или межрегионального масштаба), средней (ЧП регионального или межмуниципального масштаба) или низкой (происшествие носит локальный характер).

Кроме классификации АСУТП, на этапе формирования требований определяются угрозы безопасности АСУТП путем составления модели угроз: выявляются источники угроз, оцениваются возможности нарушителей (т.е. создается модель нарушителя), анализируются уязвимости используемых систем, определяются возможные способы реализации угроз и последствия этого, при этом следует использовать БДУ ФСТЭК России (мы говорили о БДУ в одной из предыдущих публикаций). Важность создания модели нарушителя на данном этапе заключается еще и в том, что применяемые меры защиты в АСУТП 1-го класса защищенности должны обеспечивать нейтрализацию действий нарушителя с высоким потенциалом, в АСУТП 2-го класса защищенности - нарушителя с потенциалом не ниже среднего, в АСУТП 3-го класса защищенности - нарушителя с низким потенциалом (потенциалу нарушителей даётся определение на странице БДУ).

Далее, Приказ №31 предлагает алгоритм выбора и применения мер для обеспечения безопасности, уже знакомый нам по Приказам ФСТЭК России №21 (ПДн) и №17 (ГИС): сначала осуществляется выбор базового набора мер на основании предложенного списка, далее производится адаптация выбранного базового набора мер, предполагающая исключение нерелевантных базовых мер в зависимости от особенностей информационных систем и использующихся технологий, затем адаптированный базовый набор мер уточняется для нейтрализации актуальных угроз не выбранными ранее мерами, и наконец осуществляется дополнение уточненного адаптированного базового набора мерами, установленными иными применимыми нормативными правовыми документами. При этом в Приказе №31 подчеркивается важность непрерывности технологических процессов: можно применять компенсирующие защитные меры в случае прогнозируемого негативного влияния на штатный режим функционирования АСУТП.

В Приказе №31 указаны следующие группы мер по обеспечению безопасности АСУТП, которые должны быть применены в зависимости от требуемого класса защищенности АСУТП:

• идентификация и аутентификация;

• управление доступом;

• ограничение программной среды;

• защита машинных носителей информации;

• аудит безопасности;

• антивирусная защита;

• предотвращение вторжений (компьютерных атак);

• обеспечение целостности;

• обеспечение доступности;

• защита технических средств и систем;

• защита информационной (автоматизированной) системы и ее компонентов;

• реагирование на компьютерные инциденты;

• управление конфигурацией;

• управление обновлениями программного обеспечения;

• планирование мероприятий по обеспечению безопасности;

• обеспечение действий в нештатных ситуациях;

• информирование и обучение персонала.

При этом в документе подчеркивается, что при внедрении технических средств защиты информации прежде всего следует использовать штатный защитный функционал используемых в АСУТП систем, а уже затем - наложенные СЗИ, к которым также предъявляются определенные требования: если для защиты информации в АСУТП применяются сертифицированные СЗИ, то необходимо руководствоваться требованиям к их классам, а также к классам СВТ и уровням контроля отсутствия НДВ, описанным в п.24 Приказа №31. Классы СЗИ, СВТ и уровни контроля отсутствия НДВ мы уже кратко описывали ранее.