SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканирование информационных активов с обогащением из любых внешних сервисов (дополнительных сканеров, БДУ и других аналитических баз данных) для анализа защищённости инфраструктуры

SPC
Security Profile Compliance

Оценка конфигураций информационных активов в соответствии с принятыми в организации стандартами безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенс различным методологиям и стандартам нормативно методической документации как для компании в целом, так и по отдельным объектам ресурсно-сервисной модели

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Нормативные документы по ИБ. Часть 8. Обзор российского законодательства в области защиты критической информационной инфраструктуры

Нормативные документы по ИБ. Часть 8. Обзор российского законодательства в области защиты критической информационной инфраструктуры
03.08.2019

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |   



Руслан Рахметов, Security Vision


В предыдущей статье мы познакомились с основными положениями 187-ФЗ  «О безопасности критической информационной инфраструктуры» и некоторыми подзаконными актами. В данной части рассмотрим подробнее систему ГосСОПКА и принципы защиты автоматизированных систем управления производственными и технологическими процессами.


В соответствии с разработанным в ФСБ РФ документом №149/2/7-200 от 24 декабря 2016 г. «Методические рекомендации по созданию ведомственных и корпоративных центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации» функциями ГосСОПКА являются:

  • инвентаризация информационных ресурсов;

  • выявление уязвимостей информационных ресурсов;

  • анализ угроз информационной безопасности;

  • повышение квалификации персонала информационных ресурсов;

  • прием сообщений о возможных инцидентах от персонала и пользователей информационных ресурсов;

  • обнаружение компьютерных атак;

  • анализ данных о событиях безопасности;

  • регистрация инцидентов;

  • реагирование на инциденты и ликвидация их последствий;

  • установление причин инцидентов;

  • анализ результатов устранения последствий инцидентов.


Центры системы ГосСОПКА подразделяются на ведомственные и корпоративные:

  • ведомственные Центры осуществляют лицензируемую деятельность по защите информационных ресурсов в интересах органов государственной власти;

  • корпоративные Центры осуществляют лицензируемую деятельность по защите информационных ресурсов в собственных интересах, а также имеют право предоставлять услуги по предупреждению, обнаружению и ликвидации последствий компьютерных атак.


Если саму систему ГосСОПКА мы утрированно можем называть «большим SIEM» в масштабе всей страны, то Центры ГосСОПКА будет корректно сравнивать скорее с Центрами мониторинга информационной безопасности (англ. Security Operations Center, SOC).


Итак, субъект КИИ, относящийся к органу государственной власти, в соответствии с текущими законодательными нормами должен подключиться к соответствующему ведомственному Центру ГосСОПКА. У субъекта КИИ, не являющегося органом государственной власти, есть возможность либо осуществить самостоятельное подключение к системе ГосСОПКА, либо создать свой собственный корпоративный Центр ГосСОПКА, либо подключиться к уже созданному Центру, оказывающему услуги по подключению к системе ГосСОПКА.


При самостоятельном подключении к Центру ГосСОПКА субъекту КИИ предстоит решить следующие задачи:

  • создание собственного Центра мониторинга информационной безопасности с учетом требований нормативных документов ФСБ РФ, ФСТЭК России, иных нормативно-правовых актов;

  • внедрение и поддержка технических средств и решений, соответствующих методическим рекомендациям ФСБ РФ по созданию ведомственных и корпоративных центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;

  • внедрение и поддержка технических средств и решений, соответствующих требованиям к лицензиату ФСТЭК России для осуществления деятельности по мониторингу информационной безопасности средств и систем мониторинга;

  • получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации (ТЗКИ) в части перечня работ и услуг по мониторингу информационной безопасности средств и систем мониторинга (в случае предоставления коммерческих услуг другим организациям или при работе в составе холдинговой структуры);

  • получение лицензии ФСБ РФ на деятельность по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (в случае предоставления коммерческих услуг другим организациям или при работе в составе холдинговой структуры);

  • осуществление взаимодействия с НКЦКИ в соответствии с регламентом взаимодействия подразделений ФСБ РФ и субъектов ГосСОПКА при осуществлении информационного обмена в области обнаружения, предупреждения и ликвидации последствий компьютерных атак;

  • привлечение, обучение, удержание сотрудников Центра мониторинга информационной безопасности;

  • разработка и непрерывная актуализация сценариев атак и мониторинга;

  • аналитика событий и инцидентов, построение отчетности.


Подключение к внешнему (коммерческому) центру ГосСОПКА, который оказывает соответствующие услуги, позволяет передать большинство вышеописанных задач специализированной организации. От заказчика потребуется лишь подключить источники событий к коммерческому центру ГосСОПКА, согласовать формат и регламент взаимодействия, а также своевременно уведомлять об изменениях в своей ИТ-инфраструктуре. Кроме того, воспользовавшись услугами внешнего центра ГосСОПКА, организация перекладывает на исполнителя риски несоответствия законодательству РФ в области ведения незаконного предпринимательства (ст. 171 УК РФ) в части ведения деятельности без соответствующих лицензий ФСБ РФ и/или ФСТЭК России.


Перейдем к принципам защиты автоматизированных систем управления производственными и технологическими процессами. Приказ ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды» (в ред. Приказа ФСТЭК России от 9 августа 2018 г. № 138) устанавливает законодательные требования в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами (далее - АСУТП). Несмотря на наличие двух казалось бы дублирующихся направлений защиты КИИ (187-ФЗ по КИИ с подзаконными актами и указанный Приказ №31 по АСУТП), в настоящее время государственные регуляторы придерживаются следующей точки зрения: если объект КИИ признан значимым (т.е. ему присвоена одна из трех категорий значимости), то используется Приказ ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации», а если объект КИИ признан незначимым (т.е. категория значимости не была присвоена), то по решению субъекта КИИ можно применять как Приказ №31 по АСУТП, так и Приказ №239 по КИИ. Мы детально рассмотрим Приказ №239 в следующей публикации.


В соответствии с Приказом №31 объектами защиты в АСУТП являются информация о параметрах или состоянии управляемого объекта или процесса, а также все сопутствующие технические средства (рабочие станции, серверы, каналы связи, контроллеры), ПО и средства защиты. Данный документ указывает, что предпринимаемые организационные и технические меры по защите АСУТП должны, в первую очередь, обеспечивать доступность и целостность обрабатываемой в АСУТП информации, а обеспечение конфиденциальности логично ставится на второе место. Кроме этого, указывается, что принимаемые меры должны быть гармонизированы с мерами по обеспечению других видов безопасности, например, промышленной, пожарной, экологической, и не должны оказывать отрицательного влияния на штатный режим функционирования АСУТП. Предъявляются требования и к СЗИ в АСУТП - они должны пройти оценку соответствия.


В документе описаны организационные шаги по защите информации (далее - ЗИ) в АСУТП: формирование требований к ЗИ, разработка и внедрение системы защиты АСУТП, обеспечение ЗИ в ходе эксплуатации АСУТП и при выводе её из эксплуатации. Именно на этапе формирования требований проводится важная работа по классификации АСУТП: системе устанавливается один из трех классов защищенности (где самый низкий класс - третий, самый высокий - первый), при этом класс защищенности определяется в зависимости от уровня значимости обрабатываемой информации, т.е. степени возможного ущерба от нарушения её свойств безопасности (целостность, доступность и, если применимо, конфиденциальность). Степень ущерба же может быть высокой (ЧП федерального или межрегионального масштаба), средней (ЧП регионального или межмуниципального масштаба) или низкой (происшествие носит локальный характер).


Кроме классификации АСУТП, на этапе формирования требований определяются угрозы безопасности АСУТП путем составления модели угроз: выявляются источники угроз, оцениваются возможности нарушителей (т.е. создается модель нарушителя), анализируются уязвимости используемых систем, определяются возможные способы реализации угроз и последствия этого, при этом следует использовать БДУ ФСТЭК России (мы говорили о БДУ в одной из предыдущих публикаций). Важность создания модели нарушителя на данном этапе заключается еще и в том, что применяемые меры защиты в АСУТП 1-го класса защищенности должны обеспечивать нейтрализацию действий нарушителя с высоким потенциалом, в АСУТП 2-го класса защищенности - нарушителя с потенциалом не ниже среднего, в АСУТП 3-го класса защищенности - нарушителя с низким потенциалом (потенциалу нарушителей даётся определение на странице БДУ).


Далее, Приказ №31 предлагает алгоритм выбора и применения мер для обеспечения безопасности, уже знакомый нам по Приказам ФСТЭК России №21 (ПДн) и №17 (ГИС): сначала осуществляется выбор базового набора мер на основании предложенного списка, далее производится адаптация выбранного базового набора мер, предполагающая исключение нерелевантных базовых мер в зависимости от особенностей информационных систем и использующихся технологий, затем адаптированный базовый набор мер уточняется для нейтрализации актуальных угроз не выбранными ранее мерами, и наконец осуществляется дополнение уточненного адаптированного базового набора мерами, установленными иными применимыми нормативными правовыми документами. При этом в Приказе №31 подчеркивается важность непрерывности технологических процессов: можно применять компенсирующие защитные меры в случае прогнозируемого негативного влияния на штатный режим функционирования АСУТП.


В Приказе №31 указаны следующие группы мер по обеспечению безопасности АСУТП, которые должны быть применены в зависимости от требуемого класса защищенности АСУТП:

  • идентификация и аутентификация;

  • управление доступом;

  • ограничение программной среды;

  • защита машинных носителей информации;

  • аудит безопасности;

  • антивирусная защита;

  • предотвращение вторжений (компьютерных атак);

  • обеспечение целостности;

  • обеспечение доступности;

  • защита технических средств и систем;

  • защита информационной (автоматизированной) системы и ее компонентов;

  • реагирование на компьютерные инциденты;

  • управление конфигурацией;

  • управление обновлениями программного обеспечения;

  • планирование мероприятий по обеспечению безопасности;

  • обеспечение действий в нештатных ситуациях;

  • информирование и обучение персонала.


При этом в документе подчеркивается, что при внедрении технических средств защиты информации прежде всего следует использовать штатный защитный функционал используемых в АСУТП систем, а уже затем - наложенные СЗИ, к которым также предъявляются определенные требования: если для защиты информации в АСУТП применяются сертифицированные СЗИ, то необходимо руководствоваться требованиям к их классам, а также к классам СВТ и уровням контроля отсутствия НДВ, описанным в п.24 Приказа №31. Классы СЗИ, СВТ и уровни контроля отсутствия НДВ мы уже кратко описывали ранее.

Аудит информационной безопасности ГосСОПКА SIEM Угрозы ИБ КИИ Нарушители ИБ СЗИ Управление уязвимостями Подкасты ИБ ГОСТы и документы ИБ НКЦКИ

Рекомендуем

Технические знания первоклассного специалиста SOC
Технические знания первоклассного специалиста SOC
API на передовой: методы противостояния кибератакам
API на передовой: методы противостояния кибератакам
Комплексное управление уязвимостями
Комплексное управление уязвимостями
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Ландшафт угроз информационной безопасности последних лет. Часть 2
Ландшафт угроз информационной безопасности последних лет. Часть 2
Что такое средства доверенной загрузки и для чего они применяются
Что такое средства доверенной загрузки и для чего они применяются
Каналы утечки информации. Часть 2
Каналы утечки информации. Часть 2

Рекомендуем

Технические знания первоклассного специалиста SOC
Технические знания первоклассного специалиста SOC
API на передовой: методы противостояния кибератакам
API на передовой: методы противостояния кибератакам
Комплексное управление уязвимостями
Комплексное управление уязвимостями
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Ландшафт угроз информационной безопасности последних лет. Часть 2
Ландшафт угроз информационной безопасности последних лет. Часть 2
Что такое средства доверенной загрузки и для чего они применяются
Что такое средства доверенной загрузки и для чего они применяются
Каналы утечки информации. Часть 2
Каналы утечки информации. Часть 2

Похожие статьи

Технические знания первоклассного специалиста SOC
Технические знания первоклассного специалиста SOC
Какими навыками должен овладеть специалист SOC
Какими навыками должен овладеть специалист SOC
Комплексное управление уязвимостями
Комплексное управление уязвимостями
Мобильные угрозы, способы их выявления и предотвращения: как узнать, есть ли в телефоне вирус, и удалить его
Мобильные угрозы, способы их выявления и предотвращения: как узнать, есть ли в телефоне вирус, и удалить его
Управление ИТ-активами
Управление ИТ-активами
Разработка без кода
Разработка без кода
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Сетевая форензика с помощью ZUI
Сетевая форензика с помощью ZUI
Модель угроз ФСТЭК
Модель угроз ФСТЭК

Похожие статьи

Технические знания первоклассного специалиста SOC
Технические знания первоклассного специалиста SOC
Какими навыками должен овладеть специалист SOC
Какими навыками должен овладеть специалист SOC
Комплексное управление уязвимостями
Комплексное управление уязвимостями
Мобильные угрозы, способы их выявления и предотвращения: как узнать, есть ли в телефоне вирус, и удалить его
Мобильные угрозы, способы их выявления и предотвращения: как узнать, есть ли в телефоне вирус, и удалить его
Управление ИТ-активами
Управление ИТ-активами
Разработка без кода
Разработка без кода
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Сетевая форензика с помощью ZUI
Сетевая форензика с помощью ZUI
Модель угроз ФСТЭК
Модель угроз ФСТЭК