SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканирование информационных активов с обогащением из любых внешних сервисов (дополнительных сканеров, БДУ и других аналитических баз данных) для анализа защищённости инфраструктуры

SPC
Security Profile Compliance

Оценка конфигураций информационных активов в соответствии с принятыми в организации стандартами безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенс различным методологиям и стандартам нормативно методической документации как для компании в целом, так и по отдельным объектам ресурсно-сервисной модели

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239

Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
05.03.2020

|  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |    


Руслан Рахметов, Security Vision


В прошлой публикации мы рассмотрели основные этапы процедуры категорирования объектов критической информационной инфраструктуры (далее ОКИИ), по результатам которой субъект критической информационной инфраструктуры (далее субъект КИИ) выявляет ОКИИ и присваивает им категории значимости. В данной статье мы подробно рассмотрим нормативные требования, регламентирующие обеспечение безопасности значимых объектов критической информационной инфраструктуры (далее ЗОКИИ), которые содержатся в Приказах ФСТЭК России № 235 и № 239.


Подход к обеспечению безопасности ЗОКИИ следует начинать с Приказа ФСТЭК России № 235, который предписывает субъекту КИИ создание системы безопасности ЗОКИИ. Под системой здесь понимается совокупность правовых, организационных, технических и прочих мер, которые должны быть направлены на обеспечение безопасности и устойчивого функционирования ЗОКИИ при проведении в отношении них компьютерных атак.


Обеспечение безопасности критической информационной инфраструктуры в рамках системы безопасности ЗОКИИ должна решать задачи по предотвращению неправомерного доступа к информации, недопущению воздействия на технические средства обработки информации, восстановлению функционирования ЗОКИИ и осуществлять непрерывное взаимодействие с государственной системой обнаружения, предупреждение и ликвидация последствий компьютерных атак (ГосСОПКА).


Создаваемая субъектом КИИ система обеспечения безопасности ЗОКИИ должна соответствовать ряду требований.


1. Требования к силам


К силам обеспечения безопасности ЗОКИИ в первую очередь относятся подразделения (работники), которые непосредственно являются ответственными обеспечение безопасности. Кроме того, к силам относятся структурные подразделения субъекта КИИ, которые эксплуатируют или обеспечивают функционирование ЗОКИИ.


На подразделения или работников, которые являются ответственными за безопасность критической информационной инфраструктуры в части защиты ЗОКИИ, в обязательном порядке возлагаются следующие основные функции: 


- разработка предложений по совершенствованию организационно-распорядительной документации (ОРД) по безопасности ЗОКИИ;
- проведение анализа угроз и выявления уязвимостей;
- обеспечение реализации требований по обеспечению безопасности ЗОКИИ;
- реализация организационных мер, применение СЗИ и их эксплуатация;
- осуществление реагирования на компьютерные инциденты,
- организация периодических оценок соответствия ЗОКИИ требованиям по безопасности,
- подготовка предложений по совершенствованию системы и повышению уровня безопасности.


Здесь важно отметить, что Приказом не допускается возложение на структурное подразделение по безопасности, специалистов по безопасности функций, не связанных с обеспечением безопасности ЗОКИИ или обеспечением информационной безопасности субъекта КИИ в целом.


2. Требования к средствам


Данные требования касаются применяемых для обеспечения безопасности ЗОКИИ программных и программно-аппаратных средств защиты информации. К таким средствам относятся: средства защиты от несанкционированного доступа, межсетевые экраны, средства обнаружения вторжений, средства предотвращения вторжений, средства антивирусной защиты, средства контроля и анализа защищенности, средства управления событиями безопасности, средства каналов передачи данных.


Документ предписывает использовать для защиты ЗОКИИ сертифицированные средства или средства, прошедшие оценку соответствия в форме испытаний (приемки). Кроме того, все применяемые средства защиты должны быть обеспечены гарантийной, технической поддержкой со стороны разработчиков.


3. Требования к организационно-распорядительным документам


Состав и формы организационно-распорядительной документации разрабатываются субъектом КИИ самостоятельно с учетом сферы и особенностей его деятельности. При этом ОРД должна в обязательном порядке определять следующие аспекты:

- Цели и задачи обеспечения безопасности ЗОКИИ;
- Основные угрозы и категории нарушителей;
- Основные организационные и технические мероприятия;
- Состав, структуру и функции системы безопасности;
- Порядок применения, формы оценки соответствия ЗОКИИ и средств защиты информации требованиям по безопасности;
- Планы мероприятий по обеспечению безопасности ЗОКИИ;
- Модели угроз в отношении ЗОКИИ;
- Порядок реализации мер и проведения испытаний (приемки) средств защиты информации;
- Порядок реагирования на компьютерные инциденты;
- Порядок информирования и обучения работников;
- Порядок взаимодействия между подразделениями субъекта КИИ при решении задач обеспечения безопасности ЗОКИИ;
- Порядок взаимодействия с ГосСОПКА;
- Правила безопасной работы сотрудников субъекта КИИ на ЗОКИИ и действия при возникновении компьютерных инцидентов.


4. Требования к функционированию


Здесь Приказ ФСТЭК России №235 предписывает, что внутри субъекта КИИ должны быть внедрены и выстроены следующие процессы по обеспечению безопасности ЗОКИИ:

- Планирование и разработка мероприятий (ежегодных или более длительных);
- Реализация (внедрение) мероприятий (организационные и (или) технические);
- Контроль текущего состояния безопасности ЗОКИИ (не реже чем раз в 3 года);
- Совершенствование безопасности ЗОКИИ (предложения в план).


Важно отметить, что все эти процессы должны сопровождаться и подтверждаться различной документацией (отчетами, актами, протоколами, приказами), так как впоследствии эти документы могут являться предметом проверки со стороны регулятора.


Перейдем к следующему, не менее важному Приказу ФСТЭК России № 239. Данный Приказ ФСТЭК достаточно подробно описывает требования к обеспечению безопасности на всех стадиях жизненного цикла ЗОКИИ.

 


кии схема.png


1. Создание или модернизация


При создании или модернизации подсистемы безопасности ЗОКИИ требования устанавливаются в техническом задании. Их содержание должно быть следующим:

- цель и задачи обеспечения безопасности ЗОКИИ;
- категория значимости ЗОКИИ;
- перечень нормативных правовых актов, методических документов и стандартов, которым должен соответствовать ЗОКИИ;
- перечень типов объектов защиты ЗОКИИ;
- требования к организационным и техническим мерам;
- этапы работ по созданию подсистемы безопасности ЗОКИИ;
- требования к применяемым программным и программно-аппаратным средствам;
- требования к защите средств и систем, обеспечивающих функционирование ЗОКИИ;
- требования к информационному взаимодействию ЗОКИИ с другими ОКИИ или ИС, АСУ ИТКС;
- требования к составу и содержанию разрабатываемой документации.


При разработке организационных и технических мер по обеспечению безопасности ЗОКИИ в обязательном порядке должны быть осуществлены:

- анализ угроз и разработка модели угроз безопасности информации;
- проектирование подсистемы безопасности ЗОКИИ;
- разработка рабочей документации в части обеспечения безопасности ЗОКИИ.


Требования к организационным и техническим мерам принимаются в зависимости от ранее присвоенной категории значимости ЗОКИИ и актуальных угроз безопасности, реализация которых может привести к прекращению или нарушению функционирования ЗОКИИ. Общий перечень организационных и технических мер, которые необходимо применять, представлен ниже:

- идентификация и аутентификация (ИАФ);
- управление доступом (УПД);
- ограничение программной среды (ОПС);
- защита машинных носителей информации (ЗНИ);
- аудит безопасности (АУД);
- антивирусная защита (АВЗ);
- предотвращение вторжений (компьютерных атак) (СОВ);
- обеспечение целостности (ОЦЛ);
- обеспечение доступности (ОДТ);
- защита технических средств и систем (ЗТС);
- защита информационной (автоматизированной) системы и ее компонентов (ЗИС);
- планирование мероприятий по обеспечению безопасности (ПЛН);
- управление конфигурацией (УКФ);
- управление обновлениями программного обеспечения (ОПО);
- реагирование на инциденты информационной безопасности (ИНЦ);
- обеспечение действий в нештатных ситуациях (ДНС);
- информирование и обучение персонала (ИПО).


Более подробный состав мер по обеспечению безопасности ЗОКИИ, которые необходимо применять в зависимости от присвоенной категории значимости, представлен в табличной форме Приложения  к Приказу ФСТЭК России № 239.


По итогам ранее разработанных документов и на их основании осуществляется внедрение организационных и технических мер по обеспечению безопасности ЗОКИИ. Внедрение предусматривает следующие работы:

- установку и настройка средств защиты информации;
- разработку ОРД, правил и процедур;
- внедрение организационных мер;
- проведение предварительных испытаний;
- проведение опытной эксплуатации;
- анализ уязвимостей и принятие мер по их устранению;
- приемочные испытания.


Конечным результатом первого этапа является ввод в эксплуатацию ЗОКИИ и его подсистемы безопасности при положительном заключении, который оформляется актом приемки.


2. Эксплуатация


В ходе эксплуатации ЗОКИИ Приказ ФСТЭК России № 239 предписывает реализацию следующих мероприятий:

- планирование мероприятий по обеспечению безопасности ЗОКИИ;
- проведения анализа угроз и последствий от их реализации;
- администрирование подсистемы безопасности ЗОКИИ;
- управление конфигурацией ЗОКИИ и подсистемы безопасности;
- реагирование на компьютерные инциденты;
- обеспечение действий в нештатных ситуациях;
- информирование и обучение персонала ЗОКИИ;
- осуществление контроля за обеспечением безопасности ЗОКИИ.


3. Вывод из эксплуатации


При принятии решения об окончании жизненного цикла ЗОКИИ субъекту КИИ необходимо осуществить ряд процедур, которые предусматривает нормативный документ:

- архивирование информации ЗОКИИ;
- уничтожение данных и остаточной информации из ЗОКИИ;
- уничтожение или архивирование данных об архитектуре и конфигурации ЗОКИИ;
- архивирование или уничтожение эксплуатационной документации на ЗОКИИ.


Важно отметить, что процедуры уничтожения должны быть задокументированы субъектом КИИ с указанием наименования, состава документов, способов и даты их уничтожения.


Как мы видим, документы регулятора предписывают осуществлять достаточно большой объем обязательных процедур, не считая непосредственной операционной деятельности по отражению компьютерных атак. Необходимо учитывать, что значимые критические ИС, АСУ или ИТКС не являются статическими сущностями, они очень часто подвергаются модернизации, а это в свою очередь влечет необходимость пересмотра всех ранее разработанных документов ЗОКИИ, вплоть до пересмотра категории значимости объекта. Поэтому субъектам КИИ важно понимать, что обеспечение безопасности ЗОКИИ – это непрерывный процесс на протяжении всего существования критических ИС, АСУ или ИТКС. Собственно, именно по этой причине регулятор предписывает выделять специалистов, ответственных за безопасность ЗОКИИ, в отдельное структурное подразделение и не допускать возложения на них косвенных функций и задач.

КИИ Управление ИБ Подкасты ИБ Сертификация СЗИ СЗИ ГОСТы и документы ИБ Стандарты ИБ

Рекомендуем

Деловые игры рыцарей круглого стола
Деловые игры рыцарей круглого стола
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Политика информационной безопасности предприятия – пример и советы по разработке
Политика информационной безопасности предприятия – пример и советы по разработке
Безопасность контейнеров на новом уровне: погружение в Trivy
Безопасность контейнеров на новом уровне: погружение в Trivy
Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Сертификация ФСТЭК
Сертификация ФСТЭК
Процессы ИТ и ИБ
Процессы ИТ и ИБ
Тестирование на проникновение
Тестирование на проникновение

Рекомендуем

Деловые игры рыцарей круглого стола
Деловые игры рыцарей круглого стола
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Политика информационной безопасности предприятия – пример и советы по разработке
Политика информационной безопасности предприятия – пример и советы по разработке
Безопасность контейнеров на новом уровне: погружение в Trivy
Безопасность контейнеров на новом уровне: погружение в Trivy
Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Сертификация ФСТЭК
Сертификация ФСТЭК
Процессы ИТ и ИБ
Процессы ИТ и ИБ
Тестирование на проникновение
Тестирование на проникновение

Похожие статьи

Образование в ИБ. Ожидание vs Реальность
Образование в ИБ. Ожидание vs Реальность
Что такое снифферы и как они используются
Что такое снифферы и как они используются
Интернет вещей и безопасность
Интернет вещей и безопасность
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Средства обеспечения информационной безопасности – виды и описание
Средства обеспечения информационной безопасности – виды и описание
Ландшафт угроз информационной безопасности последних лет. Часть 1
Ландшафт угроз информационной безопасности последних лет. Часть 1
Что такое средства доверенной загрузки и для чего они применяются
Что такое средства доверенной загрузки и для чего они применяются
Lessons Learned: почему никогда не стыдно взять и всё переделать
Lessons Learned: почему никогда не стыдно взять и всё переделать
Кибератаки. Часть 1: Технические инструменты и способы реализации
Кибератаки. Часть 1: Технические инструменты и способы реализации
Термины и определения в области информационной безопасности
Термины и определения в области информационной безопасности

Похожие статьи

Образование в ИБ. Ожидание vs Реальность
Образование в ИБ. Ожидание vs Реальность
Что такое снифферы и как они используются
Что такое снифферы и как они используются
Интернет вещей и безопасность
Интернет вещей и безопасность
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Средства обеспечения информационной безопасности – виды и описание
Средства обеспечения информационной безопасности – виды и описание
Ландшафт угроз информационной безопасности последних лет. Часть 1
Ландшафт угроз информационной безопасности последних лет. Часть 1
Что такое средства доверенной загрузки и для чего они применяются
Что такое средства доверенной загрузки и для чего они применяются
Lessons Learned: почему никогда не стыдно взять и всё переделать
Lessons Learned: почему никогда не стыдно взять и всё переделать
Кибератаки. Часть 1: Технические инструменты и способы реализации
Кибератаки. Часть 1: Технические инструменты и способы реализации
Термины и определения в области информационной безопасности
Термины и определения в области информационной безопасности