SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127

Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
20.02.2020

|  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |


Руслан Рахметов, Security Vision


В данной статье мы рассмотрим аспекты проведения категорирования объектов критической информационной инфраструктуры (далее ОКИИ) на основании Постановления Правительства РФ от 8 февраля 2018 г. № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений».


Осуществление процедуры категорирования обязательно для всех организаций, которые являются субъектом критической информационной инфраструктуры (далее субъект КИИ). Напомним, что субъектами КИИ являются организации, которым на законном основании принадлежат ОКИИ и которые осуществляют свою деятельность в одной или нескольких значимых для государства сферах: здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности. Здесь важно отметить, что не каждая организация, осуществляющая деятельность в обозначенных выше сферах, будет являться субъектом КИИ, так как необходимым условием является именно владение на законном основании ОКИИ.


Общая последовательность осуществления субъектом КИИ процедуры категорирования ОКИИ представлена на схеме:



 hbc.png



1. Создание комиссии по категорированию


На первом этапе необходимо сформировать специальную комиссию по категорированию ОКИИ. Возглавлять данную комиссию должен руководитель субъекта КИИ или уполномоченное им лицо. В качестве уполномоченного лица обычно выступает сотрудник, отвечающий за безопасность организации. Также в состав комиссии включаются следующие категории сотрудников субъекта КИИ:

- сотрудники, являющиеся специалистами в сфере деятельности Субъекта КИИ,

- сотрудники, осуществляющие эксплуатацию основных систем и оборудования,

- сотрудники, обеспечивающие безопасность ОКИИ,

- сотрудники подразделения по защите государственной тайны,

- сотрудники подразделения по гражданской обороне и защите от чрезвычайных ситуаций.


Таким образом, в состав комиссии может входить любой специалист субъекта КИИ, квалификация и опыт которого необходимы для проведения корректной оценки показателей критериев значимости ОКИИ. Кроме того, в комиссию по категорированию могут включаться представители государственных органов и российских юридических лиц, выполняющих функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности, по согласованию с государственными органами и российскими юридическими лицами.


Действует данная комиссия на постоянной основе, то есть на весь период действия статуса «субъект КИИ». В рамках своей деятельности она осуществляет выявление критических процессов и выявление ОКИИ, моделирует действия нарушителя, анализирует уязвимости, выявляет угрозы безопасности информации, даёт оценку возможных последствий компьютерных атак на ОКИИ и устанавливает каждому ОКИИ одну из категорий значимости либо принимает решение об отсутствии необходимости присвоения им категорий значимости.


Создание комиссии по категорированию ОКИИ оформляется в виде стандартного распорядительного документа – приказа.


2. Выявление критических процессов субъекта КИИ


На данном этапе ранее созданной комиссии необходимо провести аналитическую работу по определению основных процессов в рамках осуществления видов деятельности организации – субъекта КИИ. В качестве источника информации по существующим процессам в организации могут служить устав, учредительная документация, лицензии, сертификаты, организационно-штатная структура, положения различных подразделений и прочее. Далее, на основании полученной информации, комиссии следует выявить среди всех процессов только те, которые являются критическими. Под критическими процессами следует понимать те процессы, нарушение функционирования которых может привести к негативным социальным, экономическим, политическим и экологическим последствиям, а также негативно повлиять на обеспечение обороны страны, безопасности государства и правопорядка.


Примеры некоторых типовых критических процессов в зависимости от сферы деятельности можно посмотреть в методических рекомендациях, которые приведены в конце статьи.


3. Составление перечня ОКИИ


В рамках текущего этапа комиссии по категорированию необходимо осуществить инвентаризацию инфраструктуры своей организации с целью выявления информационных систем (далее ИС), автоматизированных систем управления (далее АСУ) или информационно-телекоммуникационных сетей (далее ИТКС), которые обеспечивают выполнение критических процессов субъекта КИИ. Здесь важно корректно выстроить взаимосвязи и иерархию с ИС, АСУ, ИТКС таких типов сущностей, как:

- программно-аппаратное средство (пользовательский компьютер, сервер, телекоммуникационное оборудование, средство беспроводного доступа),

- общесистемное программное обеспечение (клиентское, серверная операционная система, средство виртуализации),

- прикладное программное обеспечение,

- средство защиты информации.


Полученная по итогам инвентаризации информация будет необходима для последующих процедур и формирования результатов категорирования по форме Приказа ФСТЭК России от 22 декабря 2017 г. N 236.


4. Направление во ФСТЭК России перечня ОКИИ


На данном этапе необходимо осуществить оформление полученного перечня ОКИИ, подлежащих категорированию в соответствии с рекомендуемой ФСТЭК России формой (см. Информационное сообщение ФСТЭК России от 24 августа 2018 г. N 240/25/3752), которая утверждается руководителем субъекта КИИ или уполномоченным лицом, а также регулятором сферы деятельности субъекта КИИ. Утвержденную форму на бумажном и электронном носителе необходимо направить на согласование во ФСТЭК России.


5. Присвоение категории значимости ОКИИ


По итогам прошлого этапа направления утвержденного перечня ОКИИ у субъекта возникает обязательство, а именно: в течение одного года с момента утвержденного перечня ОКИИ осуществить процедуру присвоения категории значимости ОКИИ.


ОКИИ классифицируются на значимые и не значимые. В свою очередь, если объект является значимым, то ему может быть присвоена первая, вторая или третья категория. В зависимости от присвоенной категории значимости изменяется состав обязательных организационных и технических мер обеспечения безопасности ОКИИ (первая – максимальная, третья - минимальная). В случае, если ОКИИ не относится к значимым, для него не применяются дополнительные составы мер обеспечения безопасности, которые приведены в подзаконных актах Федерального закона № 187.


В рамках процедуры категорирования комиссия субъекта КИИ:

- выполняет моделирование действий нарушителей и рассматривает иные источники угроз безопасности информации в отношении ОКИИ,

- производит анализ угроз безопасности информации и уязвимостей, которые могут привести к возникновению компьютерных инцидентов на ОКИИ.


Далее комиссия по категорированию производит оценку возможных последствий в результате возникновения компьютерных инцидентов каждого ОКИИ на основании 14-ти показателей значимости ОКИИ РФ и их значений, которые приведены в Постановлении Правительства РФ № 127. Важно отметить, что категория значимости ОКИИ присваивается по максимальному значению одного из критерия значимости.


Результирующим документом данного процесса является утвержденный комиссией субъекта КИИ акт категорирования ОКИИ с присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий. Содержание данного документа базируется на форме из Приказа ФСТЭК России от 22 декабря 2017 г. N 236.


6. Направление во ФСТЭК России результата присвоения категории ОКИИ


На последнем этапе комиссии по категорированию необходимо в течение 10-ти дней со дня утверждения актов категорирования ОКИИ направить результаты в ФСТЭК России по форме Приказа ФСТЭК России от 22 декабря 2017 г. N 236 «Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий».


На практике некоторые организации могут столкнуться со сложностями в части отнесения себя к субъекту КИИ или присвоения ОКИИ той или иной категории значимости. Здесь мы рекомендуем обращаться к регулятору ФСТЭК России для получения разъяснений либо воспользоваться общедоступными методическими рекомендациями. Ниже приведены ссылки на методические рекомендации по категорированию ОКИИ от различных организаций и ассоциаций. Некоторые из них согласованы со ФСТЭК России и ФСБ России.


- Безопасность объектов критической информационной инфраструктуры организации (общие рекомендации). От Межрегиональной общественной организации «Ассоциация руководителей служб информационной безопасности».

http://aciso.ru/files/docs/metodichka_2.0.pdf


- Методические рекомендации по определению и категорированию объектов критической информационной инфраструктуры топливно-энергетического комплекса. От Минэнерго России.

https://minenergo.gov.ru/view-pdf/11357/102517


- Методические рекомендации по категорированию объектов критической информационной инфраструктуры, принадлежащих. субъектам критической информационной инфраструктуры, функционирующим в сфере связи. От Общественно-государственного объединения «Ассоциация документальной электросвязи».

http://www.rans.ru/images/metrecKII.pdf


- Методические рекомендации по категорированию объектов КИИ. От компании «СТЭП ЛОДЖИК».

https://step.ru/upload/pdf/87877a75035badbaed3ab8f792ea0ca5.pdf

КИИ Управление ИБ Подкасты ИБ Стандарты ИБ ГОСТы и документы ИБ

Рекомендуем

Тестирование на проникновение
Тестирование на проникновение
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №4 «Нанимайте и удерживайте квалифицированных сотрудников»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №4 «Нанимайте и удерживайте квалифицированных сотрудников»
Практическая защита персональных данных. Проводим оценку эффективности принимаемых мер по обеспечению безопасности ПДн
Практическая защита персональных данных. Проводим оценку эффективности принимаемых мер по обеспечению безопасности ПДн
Обзор средств информационной безопасности: пользователи и данные
Обзор средств информационной безопасности: пользователи и данные
Управление доступом и учетными записями (конспект лекции)
Управление доступом и учетными записями (конспект лекции)
«Фишки» Security Vision: совместная работа
«Фишки» Security Vision: совместная работа
Роль киберполигона в обеспечении ИБ
Роль киберполигона в обеспечении ИБ
Обзор публикации NIST SP 800-215 "Guide to a Secure Enterprise Network Landscape"
Обзор публикации NIST SP 800-215 "Guide to a Secure Enterprise Network Landscape"
Обзор публикации NIST SP 800-47 Rev. 1 "Managing the Security of Information Exchanges"
Обзор публикации NIST SP 800-47 Rev. 1 "Managing the Security of Information Exchanges"
Модуль «Управление активами и инвентаризация» на платформе Security Vision: еще больше возможностей
Модуль «Управление активами и инвентаризация» на платформе Security Vision: еще больше возможностей
Нормативные документы по ИБ. Часть 12. Обзор российского законодательства в области информационной безопасности финансовых организаций
Нормативные документы по ИБ. Часть 12. Обзор российского законодательства в области информационной безопасности финансовых организаций
Особенности обеспечения безопасности в платежных процессах за счет технологии
Особенности обеспечения безопасности в платежных процессах за счет технологии

Рекомендуем

Тестирование на проникновение
Тестирование на проникновение
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №4 «Нанимайте и удерживайте квалифицированных сотрудников»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №4 «Нанимайте и удерживайте квалифицированных сотрудников»
Практическая защита персональных данных. Проводим оценку эффективности принимаемых мер по обеспечению безопасности ПДн
Практическая защита персональных данных. Проводим оценку эффективности принимаемых мер по обеспечению безопасности ПДн
Обзор средств информационной безопасности: пользователи и данные
Обзор средств информационной безопасности: пользователи и данные
Управление доступом и учетными записями (конспект лекции)
Управление доступом и учетными записями (конспект лекции)
«Фишки» Security Vision: совместная работа
«Фишки» Security Vision: совместная работа
Роль киберполигона в обеспечении ИБ
Роль киберполигона в обеспечении ИБ
Обзор публикации NIST SP 800-215 "Guide to a Secure Enterprise Network Landscape"
Обзор публикации NIST SP 800-215 "Guide to a Secure Enterprise Network Landscape"
Обзор публикации NIST SP 800-47 Rev. 1 "Managing the Security of Information Exchanges"
Обзор публикации NIST SP 800-47 Rev. 1 "Managing the Security of Information Exchanges"
Модуль «Управление активами и инвентаризация» на платформе Security Vision: еще больше возможностей
Модуль «Управление активами и инвентаризация» на платформе Security Vision: еще больше возможностей
Нормативные документы по ИБ. Часть 12. Обзор российского законодательства в области информационной безопасности финансовых организаций
Нормативные документы по ИБ. Часть 12. Обзор российского законодательства в области информационной безопасности финансовых организаций
Особенности обеспечения безопасности в платежных процессах за счет технологии
Особенности обеспечения безопасности в платежных процессах за счет технологии

Похожие статьи

Кибербезопасность, киберустойчивость, киберучения – что это?
Кибербезопасность, киберустойчивость, киберучения – что это?
Применение стандарта ISO 31000
Применение стандарта ISO 31000
Информационное взаимодействие с АСОИ «ФинЦЕРТ» Банка России через API
Информационное взаимодействие с АСОИ «ФинЦЕРТ» Банка России через API
Модель угроз ФСТЭК
Модель угроз ФСТЭК
Управление рисками информационной безопасности. Часть 3. Стандарт NIST SP 800-37
Управление рисками информационной безопасности. Часть 3. Стандарт NIST SP 800-37
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №1 «Знайте, что вы защищаете и почему»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №1 «Знайте, что вы защищаете и почему»
Топливно-энергетическая отрасль
Топливно-энергетическая отрасль
Метрики: их очарование и коварство
Метрики: их очарование и коварство
Справочник законодательства Российской Федерации в области информационной безопасности
Справочник законодательства Российской Федерации в области информационной безопасности

Похожие статьи

Кибербезопасность, киберустойчивость, киберучения – что это?
Кибербезопасность, киберустойчивость, киберучения – что это?
Применение стандарта ISO 31000
Применение стандарта ISO 31000
Информационное взаимодействие с АСОИ «ФинЦЕРТ» Банка России через API
Информационное взаимодействие с АСОИ «ФинЦЕРТ» Банка России через API
Модель угроз ФСТЭК
Модель угроз ФСТЭК
Управление рисками информационной безопасности. Часть 3. Стандарт NIST SP 800-37
Управление рисками информационной безопасности. Часть 3. Стандарт NIST SP 800-37
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №1 «Знайте, что вы защищаете и почему»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №1 «Знайте, что вы защищаете и почему»
Топливно-энергетическая отрасль
Топливно-энергетическая отрасль
Метрики: их очарование и коварство
Метрики: их очарование и коварство
Справочник законодательства Российской Федерации в области информационной безопасности
Справочник законодательства Российской Федерации в области информационной безопасности