Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Часть 2. Приказы ФСТЭК России №235 и 239



Руслан Рахметов, Security Vision

В прошлой публикации мы рассмотрели основные этапы процедуры категорирования объектов критической информационной инфраструктуры (далее ОКИИ), по результатам которой субъект критической информационной инфраструктуры (далее субъект КИИ) выявляет ОКИИ и присваивает им категории значимости. В данной статье мы подробно рассмотрим нормативные требования к обеспечению безопасности значимых объектов критической информационной инфраструктуры (далее ЗОКИИ), которые содержатся в Приказах ФСТЭК России № 235 и № 239.

Подход к обеспечению безопасности ЗОКИИ следует начинать с Приказа ФСТЭК России № 235, который предписывает субъекту КИИ создание системы безопасности ЗОКИИ. Под системой здесь понимается совокупность правовых, организационных, технических и прочих мер, которые должны быть направлены на обеспечение безопасности и устойчивого функционирования ЗОКИИ при проведении в отношении них компьютерных атак.

Система безопасности должна решать задачи по предотвращению неправомерного доступа к информации, недопущению воздействия на технические средства обработки информации, восстановлению функционирования ЗОКИИ и осуществлять непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).

Создаваемая субъектом КИИ система обеспечения безопасности ЗОКИИ должна соответствовать ряду требований.

1. Требования к силам

К силам обеспечения безопасности ЗОКИИ в первую очередь относятся подразделения (работники), которые непосредственно являются ответственными обеспечение безопасности. Кроме того, к силам относятся структурные подразделения субъекта КИИ, которые эксплуатируют или обеспечивают функционирование ЗОКИИ.

На подразделения или работников, которые являются ответственными за обеспечение безопасности ЗОКИИ, в обязательном порядке возлагаются следующие основные функции:
- разработка предложений по совершенствованию организационно-распорядительной документации (ОРД) по безопасности ЗОКИИ;
- проведение анализа угроз и выявления уязвимостей;
- обеспечение реализации требований по обеспечению безопасности ЗОКИИ;
- реализация организационных мер, применение СЗИ и их эксплуатация;
- осуществление реагирования на компьютерные инциденты,
- организация периодических оценок соответствия ЗОКИИ требованиям по безопасности,
- подготовка предложений по совершенствованию системы и повышению уровня безопасности.

Здесь важно отметить, что Приказом не допускается возложение на структурное подразделение по безопасности, специалистов по безопасности функций, не связанных с обеспечением безопасности ЗОКИИ или обеспечением информационной безопасности субъекта КИИ в целом.

2. Требования к средствам

Данные требования касаются применяемых для обеспечения безопасности ЗОКИИ программных и программно-аппаратных средств защиты информации. К таким средствам относятся: средства защиты от несанкционированного доступа, межсетевые экраны, средства обнаружения вторжений, средства предотвращения вторжений, средства антивирусной защиты, средства контроля и анализа защищенности, средства управления событиями безопасности, средства каналов передачи данных.

Документ предписывает использовать для защиты ЗОКИИ сертифицированные средства или средства, прошедшие оценку соответствия в форме испытаний (приемки). Кроме того, все применяемые средства защиты должны быть обеспечены гарантийной, технической поддержкой со стороны разработчиков.

3. Требования к организационно-распорядительным документам

Состав и формы организационно-распорядительной документации разрабатываются субъектом КИИ самостоятельно с учетом сферы и особенностей его деятельности. При этом ОРД должна в обязательном порядке определять следующие аспекты:
- Цели и задачи обеспечения безопасности ЗОКИИ;
- Основные угрозы и категории нарушителей;
- Основные организационные и технические мероприятия;
- Состав, структуру и функции системы безопасности;
- Порядок применения, формы оценки соответствия ЗОКИИ и средств защиты информации требованиям по безопасности;
- Планы мероприятий по обеспечению безопасности ЗОКИИ;
- Модели угроз в отношении ЗОКИИ;
- Порядок реализации мер и проведения испытаний (приемки) средств защиты информации;
- Порядок реагирования на компьютерные инциденты;
- Порядок информирования и обучения работников;
- Порядок взаимодействия между подразделениями субъекта КИИ при решении задач обеспечения безопасности ЗОКИИ;
- Порядок взаимодействия с ГосСОПКА;
- Правила безопасной работы сотрудников субъекта КИИ на ЗОКИИ и действия при возникновении компьютерных инцидентов.

4. Требования к функционированию

Здесь Приказ ФСТЭК России №235 предписывает, что внутри субъекта КИИ должны быть внедрены и выстроены следующие процессы по обеспечению безопасности ЗОКИИ:
- Планирование и разработка мероприятий (ежегодных или более длительных);
- Реализация (внедрение) мероприятий (организационные и (или) технические);
- Контроль текущего состояния безопасности ЗОКИИ (не реже чем раз в 3 года);
- Совершенствование безопасности ЗОКИИ (предложения в план).

Важно отметить, что все эти процессы должны сопровождаться и подтверждаться различной документацией (отчетами, актами, протоколами, приказами), так как впоследствии эти документы могут являться предметом проверки со стороны регулятора.

Перейдем к следующему, не менее важному Приказу ФСТЭК России № 239. Данный нормативный документ достаточно подробно описывает требования к обеспечению безопасности на всех стадиях жизненного цикла ЗОКИИ.

 

кии схема.png

1. Создание или модернизация

При создании или модернизации подсистемы безопасности ЗОКИИ требования устанавливаются в техническом задании. Их содержание должно быть следующим:
- цель и задачи обеспечения безопасности ЗОКИИ;
- категория значимости ЗОКИИ;
- перечень нормативных правовых актов, методических документов и стандартов, которым должен соответствовать ЗОКИИ;
- перечень типов объектов защиты ЗОКИИ;
- требования к организационным и техническим мерам;
- этапы работ по созданию подсистемы безопасности ЗОКИИ;
- требования к применяемым программным и программно-аппаратным средствам;
- требования к защите средств и систем, обеспечивающих функционирование ЗОКИИ;
- требования к информационному взаимодействию ЗОКИИ с другими ОКИИ или ИС, АСУ ИТКС;
- требования к составу и содержанию разрабатываемой документации.

При разработке организационных и технических мер по обеспечению безопасности ЗОКИИ в обязательном порядке должны быть осуществлены:
- анализ угроз и разработка модели угроз безопасности информации;
- проектирование подсистемы безопасности ЗОКИИ;
- разработка рабочей документации в части обеспечения безопасности ЗОКИИ.

Требования к организационным и техническим мерам принимаются в зависимости от ранее присвоенной категории значимости ЗОКИИ и актуальных угроз безопасности, реализация которых может привести к прекращению или нарушению функционирования ЗОКИИ. Общий перечень организационных и технических мер, которые необходимо применять, представлен ниже:
- идентификация и аутентификация (ИАФ);
- управление доступом (УПД);
- ограничение программной среды (ОПС);
- защита машинных носителей информации (ЗНИ);
- аудит безопасности (АУД);
- антивирусная защита (АВЗ);
- предотвращение вторжений (компьютерных атак) (СОВ);
- обеспечение целостности (ОЦЛ);
- обеспечение доступности (ОДТ);
- защита технических средств и систем (ЗТС);
- защита информационной (автоматизированной) системы и ее компонентов (ЗИС);
- планирование мероприятий по обеспечению безопасности (ПЛН);
- управление конфигурацией (УКФ);
- управление обновлениями программного обеспечения (ОПО);
- реагирование на инциденты информационной безопасности (ИНЦ);
- обеспечение действий в нештатных ситуациях (ДНС);
- информирование и обучение персонала (ИПО).

Более подробный состав мер по обеспечению безопасности ЗОКИИ, которые необходимо применять в зависимости от присвоенной категории значимости, представлен в табличной форме Приложения к Приказу ФСТЭК России № 239.

По итогам ранее разработанных документов и на их основании осуществляется внедрение организационных и технических мер по обеспечению безопасности ЗОКИИ. Внедрение предусматривает следующие работы:
- установку и настройка средств защиты информации;
- разработку ОРД, правил и процедур;
- внедрение организационных мер;
- проведение предварительных испытаний;
- проведение опытной эксплуатации;
- анализ уязвимостей и принятие мер по их устранению;
- приемочные испытания.

Конечным результатом первого этапа является ввод в эксплуатацию ЗОКИИ и его подсистемы безопасности при положительном заключении, который оформляется актом приемки.

2. Эксплуатация

В ходе эксплуатации ЗОКИИ Приказ ФСТЭК России № 239 предписывает реализацию следующих мероприятий:
- планирование мероприятий по обеспечению безопасности ЗОКИИ;
- проведения анализа угроз и последствий от их реализации;
- администрирование подсистемы безопасности ЗОКИИ;
- управление конфигурацией ЗОКИИ и подсистемы безопасности;
- реагирование на компьютерные инциденты;
- обеспечение действий в нештатных ситуациях;
- информирование и обучение персонала ЗОКИИ;
- осуществление контроля за обеспечением безопасности ЗОКИИ.

3. Вывод из эксплуатации

При принятии решения об окончании жизненного цикла ЗОКИИ субъекту КИИ необходимо осуществить ряд процедур, которые предусматривает нормативный документ:
- архивирование информации ЗОКИИ;
- уничтожение данных и остаточной информации из ЗОКИИ;
- уничтожение или архивирование данных об архитектуре и конфигурации ЗОКИИ;
- архивирование или уничтожение эксплуатационной документации на ЗОКИИ.

Важно отметить, что процедуры уничтожения должны быть задокументированы субъектом КИИ с указанием наименования, состава документов, способов и даты их уничтожения.

Как мы видим, документы регулятора предписывают осуществлять достаточно большой объем обязательных процедур, не считая непосредственной операционной деятельности по отражению компьютерных атак. Необходимо учитывать, что значимые критические ИС, АСУ или ИТКС не являются статическими сущностями, они очень часто подвергаются модернизации, а это в свою очередь влечет необходимость пересмотра всех ранее разработанных документов ЗОКИИ, вплоть до пересмотра категории значимости объекта. Поэтому субъектам КИИ важно понимать, что обеспечение безопасности ЗОКИИ – это непрерывный процесс на протяжении всего существования критических ИС, АСУ или ИТКС. Собственно, именно по этой причине регулятор предписывает выделять специалистов, ответственных за безопасность ЗОКИИ, в отдельное структурное подразделение и не допускать возложения на них косвенных функций и задач.