КИИ - что это? Безопасность объектов критической информационной инфраструктуры

Руслан Рахметов, Security Vision

Друзья, в предыдущей статье мы узнали о системах IRP, а до этого познакомились с основными концепциями информационной безопасности, Центрами SOC и системами SIEM. В рамках описания функционала систем IRP мы упомянули о том, что в большинстве случаев при обработке инцидентов ИБ крайне важна скорость реагирования, особенно когда речь идет о безопасности информационных систем отдельных отраслей экономики или всего государства. Для подобных систем есть даже свой термин: КИИ - критическая информационная инфраструктура. Если вам интересно, что такое КИИ и как защищать КИИ - читайте дальше!

Начнем наше повествование с предыстории. Наука о защите информации существует и применяется уже не одну сотню лет: начиная с древних времен правителям и военачальникам нужно было сохранять в тайне важные военные, экономические и политические сведения. Шло время, и на смену пергаментам с тайнописью пришли информационные технологии и криптография, но цели государственных деятелей не меняются: сохранить правительственные и промышленные секреты, защитить информацию от посягательств разведчиков, не допустить аварий и катастроф из-за кибератак диверсантов. Почти никакие важные сведения сейчас уже не хранятся в бумажном виде и не обрабатываются в аналоговых (нецифровых) системах, поэтому и методы их защиты должны быть цифровыми. Мероприятия по киберзащите секретной государственной информации проводятся уже не один десяток лет, но всепроникающее развитие информационных технологий привело к тому, что цифровые технологии стали широко применяться не только в правительственных учреждениях, но и в промышленности, транспорте, медицине, финансовых и научных учреждениях. Информационные системы подобных отраслей экономики все чаще становятся объектом кибератак, проводимых в том числе и спонсируемыми другими государствами хакерами, которые ставят своей целью похищение ценных сведений и новейших разработок, а иногда - вывод из строя атакуемых систем и даже диверсии. Разумеется, игнорировать подобные угрозы было бы легкомысленно, поэтому принятие защитных мер, о которых мы поговорим далее, стало логичной ответной реакцией.

Итак, определимся с терминологией, расскажем про закон о КИИ и ответим на вопрос, что такое КИИ. Критическая информационная инфраструктура (сокращенно - КИИ) - это информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов КИИ, а также сети электросвязи, используемые для организации их взаимодействия. В свою очередь, субъекты КИИ - это компании, работающие в стратегически важных для государства областях, таких как здравоохранение, наука, транспорт, связь, энергетика, банковская сфера, топливно-энергетический комплекс, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, а также организации, обеспечивающие взаимодействие систем или сетей КИИ. Компьютерная атака на КИИ определяется как целенаправленное вредоносное воздействие на объекты КИИ для нарушения или прекращения их функционирования, а компьютерный инцидент - как факт нарушения или прекращения функционирования объекта КИИ и/или нарушения безопасности обрабатываемой объектом информации.

Таким образом, был определен список областей экономики страны, в которых государство требует обеспечивать безопасность КИИ, и дано определение самих атак и инцидентов, от которых предстоит защищаться. Данные нормы были введены Федеральным Законом от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», который вступил в силу с 1 января 2018 года. Кроме подписания данного Закона о КИИ, были назначены федеральные органы исполнительной власти (сокращенно - ФОИВ), отвечающие за реализацию норм данного закона. Так, Федеральная Служба по Техническому и Экспортному Контролю (ФСТЭК) России была назначена уполномоченным ФОИВ в области обеспечения безопасности критической информационной инфраструктуры РФ. На Федеральную Службу Безопасности (ФСБ) РФ были возложены функции обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (далее – система ГосСОПКА). Кроме этого, приказом ФСБ РФ в 2018 году был создан Национальный координационный центр по компьютерным инцидентам (НКЦКИ), который координирует деятельность субъектов КИИ и чья техническая инфраструктура используется для функционирования системы ГосСОПКА. Говоря максимально упрощенно, НКЦКИ - это Центр SOC в государственном масштабе, а система ГосСОПКА - это такая большая система SIEM для всей страны. При этом в работе системы ГосСОПКА есть особенность, о которой мы говорили в публикации про IRP: информация по произошедшему компьютерному инциденту должна быть передана субъектом КИИ в систему ГосСОПКА в течение 24 часов, при этом удобнее делать это автоматизированно, например, с помощью API системы IRP.

Также как и во всех случаях защиты информации, важно определить меры по защите информации в КИИ, а для того, чтобы это осуществить, следует понять, какие объекты КИИ являются более важными и, соответственно, требуют большей защиты, а какие - не столь важны. Для этого было введено понятие категорирования объектов КИИ и подписано Постановление Правительства РФ от 8 февраля 2018 г. №127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также Перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений». В данном документе приведены требования для субъектов КИИ по осуществлению категорирования объектов КИИ и указан перечень критериев значимости объектов КИИ, т.е. количественных показателей для корректного выбора категории значимости.

Категория значимости объекта КИИ может принимать одно из трех значений (где самая высокая категория - первая, самая низкая - третья) и зависит от количественных показателей значимости этого объекта в социальной, политической, экономической и оборонной сферах. Например, если компьютерный инцидент на объекте КИИ может привести к причинению ущерба жизни и здоровью более 500 граждан, то объекту присваивается максимальная первая категория, а если услуги связи в результате инцидента КИИ могут стать недоступны для 3 тыс. - 1 млн. абонентов, то объекту присваивается минимальная третья категория. Процесс категорирования объектов КИИ проводится внутренней комиссией по категорированию субъекта КИИ, в результате чего формируется список объектов КИИ с категориями значимости и затем отправляется в ФСТЭК России, где полученные сведения вносятся в специальный реестр объектов КИИ. Таким образом, категорирование КИИ состоит из нескольких взаимосвязанных шагов, результатом которых является составление субъектом КИИ Акта категорирования КИИ и наполнение реестра объектов КИИ данными с соответствующими категориями значимости.

Поговорим теперь о расследовании инцидентов в КИИ и об отправке информации о них в систему ГосСОПКА. Начнем с того, что опишем основные функции ГосСОПКА: это как методическая и техническая подготовка к обработке инцидентов информационной безопасности (например, инвентаризация ресурсов, выявление уязвимостей и угроз), так и непосредственно расследование инцидентов ИБ (прием сообщений о возможных атаках и их обнаружение, регистрация инцидентов, помощь в проведении расследования и анализе причин). При этом Центры ГосСОПКА могут быть как ведомственными, так и корпоративными: ведомственные защищают информацию органов государственной власти, а корпоративные - расследуют инциденты в своих системах и могут предоставлять такие услуги на коммерческой основе. Центры ГосСОПКА - это, упрощенно говоря, еще один пример государственного Центра SOC, по аналогии с НКЦКИ. Сразу отметим, что создание своего корпоративного Центра ГосСОПКА потребует не только закупки средств защиты (например, систем SIEM и IRP) и найма специалистов-аналитиков ИБ, но и получения лицензии ФСТЭК России на осуществление деятельности по мониторингу информационной безопасности, а также налаживания взаимодействия с НКЦКИ для обмена информацией об инцидентах КИИ.

Кроме уже указанных выше документов, ФСТЭК России выпустил ряд нормативных документов, которые детально описывают процесс защиты информации в КИИ. Например, один из основных документов - это Приказ ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации». Его требуется применять тогда, когда организация-субъект КИИ провела процедуру категорирования своих объектов КИИ и пришла к выводу, что среди них есть значимые объекты критической информационной инфраструктуры (сокращенно - ЗОКИИ).

Какие же меры следует предпринимать для защиты значимых объектов критической информационной инфраструктуры (ЗОКИИ)? Приказ №239 говорит, что разработка мер защиты информации значимого объекта КИИ должна включать в себя анализ угроз безопасности и разработку модели угроз безопасности КИИ:

1. Анализ угроз включает в себя выявление источников угроз, оценку возможностей нарушителей (т.е. создание модели нарушителя), анализ уязвимостей используемых систем, определение возможных способов реализации угроз и их последствий. Модель нарушителя строится на основе предположений о потенциале атакующих, т.е. о мере усилий, затрачиваемых нарушителем при реализации угроз безопасности информации в информационной системе (при этом потенциалы нарушителей можно условно разделить на высокий, средний и низкий).

Анализ уязвимостей можно произвести при помощи тестов на проникновение - пентестов (англ. PenTest, сокращение от Penetration Test). При проведении пентестов проверяющие определяют слабые места инфраструктуры компании, выявляют уязвимости в системах защиты, проводят контролируемую эмуляцию настоящей хакерской атаки - в общем, наглядно показывают, что компания - заказчик этого тестирования может быть взломана. Далее заказчик получает рекомендации по устранению выявленных в ходе пентеста недочетов, и через какое-то время пентест повторяется. При проведении анализа уязвимостей и способов реализации угроз рекомендуется использовать Банк Данных Угроз (сокращенно – БДУ) ФСТЭК России - это официальный государственный справочник различных уязвимостей и способов атак, который регулярно пополняется и поддерживается в актуальном состоянии.

2. Под построением модели угроз безопасности КИИ при защите КИИ подразумевается описание свойств или характеристик угроз безопасности информации, а под угрозой безопасности - совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации (т.е. базовых свойств информации, о которых мы уже говорили). Целью моделирования угроз КИИ является нахождение всех условий и факторов, проводящих к нарушению безопасности информации и работы ИТ-систем. Модель угроз может строиться на основе следующего классического подхода: актуальная угроза информационной безопасности возникает при наличии источника угрозы (внешний/внутренний нарушитель или третьи силы), уязвимости актива, способа реализации угрозы, объекта воздействия и самого вредоносного воздействия. Кроме того, совсем недавно ФСТЭК России выпустил проект новой методики моделирования угроз безопасности информации, которую можно применять для моделирования угроз в критической информационной инфраструктуре. В соответствии с данной Методикой, угроза безопасности информации является актуальной, если существует источник угрозы, условия и сценарий для её реализации, а воздействие на активы приведет к негативным последствиям. 

В Методике сказано, что процесс моделирования угроз ИБ состоит из следующих этапов:

• определение возможных негативных последствий от реализации угроз по результатам оценки рисков нарушения законодательства, бизнес-процессов и/или нарушения защищенности информации, что может привести к таким негативным последствиям, как нарушение законодательства, экономический или репутационный ущерб;

• определение условий для реализации угроз безопасности информации, т.е. выявление уязвимостей, недекларированных возможностей, доступов к ИТ-системам, которые могут быть использованы злоумышленниками;

• определение источников угроз (техногенных и антропогенных) и оценка возможностей нарушителей (внешних и внутренних);

• определение сценариев реализации угроз с помощью таблицы тактик и техник атакующих, приведенной в Методике;

• оценка уровня опасности угроз безопасности информации путем анализа типа доступа, необходимого для реализации атаки, сложности сценария атаки и уровня важности атакуемых активов.

Вернемся к Приказу №239. После анализа и моделирования угроз следует переходить к внедрению контрмер. При этом следует иметь в виду, что внедряемые меры защиты не должны оказывать негативного влияния на функционирование самого объекта КИИ – этим подчеркивается, что приоритетом является непрерывность технологических процессов, остановка которых может сама по себе привести к инциденту на КИИ, например, к выходу оборудования из строя или даже аварии.

В списке организационных и технических мер, предусмотренных положениями данного приказа в зависимости от категории значимости объекта КИИ и угроз безопасности информации, указаны следующие пункты:

• идентификация и аутентификация;

• управление доступом;

• ограничение программной среды;

• защита машинных носителей информации;

• аудит безопасности;

• антивирусная защита;

• предотвращение вторжений (компьютерных атак);

• обеспечение целостности;

• обеспечение доступности;

• защита технических средств и систем;

• защита информационной (автоматизированной) системы и ее компонентов;

• планирование мероприятий по обеспечению безопасности;

• управление конфигурацией;

• управление обновлениями программного обеспечения;

• реагирование на инциденты информационной безопасности;

• обеспечение действий в нештатных ситуациях;

• информирование и обучение персонала.

Кроме этого, в Приказе №239 особо оговорено, что при использовании СЗИ для защиты КИИ приоритет отдается штатному защитному функционалу, а при реагировании на компьютерные инциденты в критической информационной инфраструктуре требуется отправлять информацию о них в систему ГосСОПКА. Указывается также на важность использования СЗИ, которые обеспечиваются гарантийной и/или технической поддержкой, а также на возможные ограничения по использованию программного/аппаратного обеспечения или СЗИ (видимо, имеются ввиду санкционные риски). Также указано, что на значимом объекте КИИ требуется запретить удаленный и локальный бесконтрольный доступ для обновления или управления лицами, не являющимися работниками субъекта КИИ, а также запретить бесконтрольную передачу информации из объекта КИИ производителю или иным лицам. Кроме этого, все программные и аппаратные средства объекта КИИ первой категории значимости должны располагаться на территории РФ (за исключением оговоренных законодательством случаев).

Отметим, что Приказ №239 применяется в случае, если объект КИИ признан значимым (т.е. ему присвоена одна из трех категорий значимости). Если же объект КИИ признан незначимым (т.е. ни одна из категорий значимости не была присвоена), то по решению субъекта КИИ можно применять как Приказ №239 по КИИ, так и Приказ ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды». Данный Приказ №31 посвящен защите АСУТП - автоматизированных систем управления производственными и технологическими процессами, а положения данного Приказа близки к нормам Приказа №239.

Итак, как мы увидели из данной публикации, защита КИИ - критической информационной инфраструктуры - представляет из себя сложную, но интересную задачу. Это достаточно новое направление в информационной безопасности. Как мы уже упоминали выше, для реагирования на инциденты ИБ в КИИ создана система ГосСОПКА - государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ. В систему ГосСОПКА следует отправлять данные из средств защиты и обработки инцидентов ИБ в КИИ, причем осуществлять это целесообразнее всего с применением автоматизированных средств, таких как системы SIEM и IRP с модулем API-интеграции с ГосСОПКА. Субъектам КИИ необходимо подключаться к ведомственным или корпоративным Центрам ГосСОПКА, либо создавать свои Центры ГосСОПКА, что потребует существенных затрат. Для защиты информации в КИИ требуется выполнять комплекс организационных и технических мер по обеспечению безопасности информации в КИИ, перечисленных в том числе в Приказах №239 и №31 ФСТЭК России.