Защита КИИ: как следовать законодательству с минимумом затрат
В условиях киберкризиса и геополитической напряженности злоумышленники активно атакуют объекты критической информационной инфраструктуры (ОКИИ). Цель киберпреступников — дестабилизация экономической системы страны. Так, в 2023 году было зафиксировано более 65 тысяч атак на ОКИИ. С ними столкнулись 32% субъектов КИИ.
В прошлом году ФСТЭК России рассказала о проверке около 40 тысяч систем, входящих в ОКИИ. Оказалось, что треть из них требует улучшения защиты, а в каждой второй проверяемой системе обнаружены критические уязвимости. Неутешительные результаты проверки систем во многом связаны со сложностью и объемностью законодательства, которое регулирует защиту КИИ. В итоге субъекты критической информационной инфраструктуры допускают множество нарушений.
Есть ряд ключевых документов, которые определяют правила и требования для обеспечения безопасности информации:
- Федеральный закон № 187‑ФЗ. Устанавливает основные принципы и положения в области КИИ.
- Постановление Правительства РФ № 127. Определяет порядок категорирования ОКИИ.
- Указы Президента РФ № 166 и № 250. Вводят ограничения на использование иностранного программного обеспечения (ПО) и средств защиты информации (СЗИ) из недружественных стран.
- Приказы ФСТЭК России № 239 и № 235. Определяют порядок формирования систем обеспечения информационной безопасности (СОИБ).
- Приказ ФСТЭК России № 236. Устанавливает процедуры присвоения ОКИИ категории значимости.
- Приказы ФСБ России № 367 и № 282. Регламентируют процедуры информирования о компьютерных инцидентах.
За нарушения предусмотрены серьезные меры ответственности. Причем они могут быть применены как к юридическим, так и к должностным лицам, а также к третьим лицам, связанным с субъектом КИИ.
Так, за неправомерное воздействие на КИИ (статья УК РФ) наказания могут быть следующими:
- Штраф до 1 миллиона рублей или в размере дохода за период до трех лет.
- До пяти лет лишения права занимать определенные должности или заниматься определенной деятельностью.
- Принудительные работы на срок до пяти лет.
- Лишение свободы на срок до 10 лет.
А за нарушения требований в области обеспечения безопасности КИИ (статья КоАП РФ) предусмотрены штрафы: до 500 тысяч рублей — для юрлиц и до 50 тысяч рублей — для должностных лиц.
Законодательство в области КИИ постоянно совершенствуется. Чтобы соответствовать требованиям регуляторов, важно отслеживать все изменения. Отметим следующие моменты:
- В список субъектов КИИ включена сфера государственной регистрации недвижимости. Это означает, что количество субъектов КИИ, которым необходимо выполнять соответствующие требования, выросло.
- Опубликованы перечни типовых ОКИИ в таких сферах, как транспорт, энергетика, ТЭК, здравоохранение, химическая, горнодобывающая, металлургическая и оборонная промышленность. Их рекомендуется использовать при составлении списка критических процессов и формировании перечня ОКИИ.
- Повышено внимание регуляторов к выполнению указов Президента РФ № 250 и № 166, так как подходит срок выполнения основных требований этих нормативных актов (1 января 2025 года).
- Опубликовано Постановление Правительства РФ от 14.11.2023 № 1912 «О порядке перехода субъектов КИИ РФ на преимущественное применение доверенных программно‑аппаратных комплексов на принадлежащих им ЗО КИИ»
- Издан Указ Президента РФ от 08.11.2023 № 846. Он увеличивает предельную штатную численность центрального аппарата ФСТЭК России и территориальных органов ведомства.
- Опубликованы новые нормативные документы, которые касаются ряда отраслей, в том числе банковской сферы, связи, оборонной, металлургической и химической промышленности.
Также обращаем внимание на некоторые события в сфере КИИ, которые ждут нас в ближайшем будущем:
- С 1 января 2025 года будет запрещено использовать иностранное ПО на значимых ОКИИ и средства защиты информации недружественных стран.
- С 1 сентября 2024 года стартует период, когда нужно перейти на использование доверенных программно‑аппаратных комплексов на значимых ОКИИ. К 1 января 2030 года переход должен быть завершен.
- С 1 марта 2025 года могут вступить в силу изменения в 187‑ФЗ, касающиеся обеспечения технологической независимости субъектов КИИ. Соответствующий законопроект сейчас рассматривают в Госдуме.
В сфере соблюдения требований законодательства в области КИИ есть ряд основных проблем.
И без того объемная база законодательных документов продолжает расти. Чтобы поддерживать соответствие прописанным в них положениям, нужно постоянно отслеживать и анализировать эти документы. На это уходит много времени.
Кроме того, нормативные акты охватывают различные аспекты, включая юридические и технические, а также организационные требования. Чтобы все это учесть, нужны квалифицированные специалисты различных профилей.
Также субъектам КИИ порой сложно выстроить непрерывный процесс обеспечения соблюдения требований законодательства, не заменяя его лишь периодическими мероприятиями.
Наш опыт реализации проектов, связанных с КИИ, показывает: эффективно решать перечисленные проблемы помогают средства автоматизации. Они позволяют упростить отслеживание актуального законодательства и соблюдение его требований, а также помогают обеспечить непрерывность этого процесса.
Один из таких инструментов — BI.ZONE Compliance Platform. Это комплексный продукт для автоматизации процессов управления кибербезопасностью. Он позволяет автоматизировать выполнение требований законодательства в области персональных данных и государственных информационных систем (ГИС), а также подготовить информационные системы персональных данных (ИСПДн) и ГИС к аттестации.
В BI.ZONE Compliance Platform есть модуль КИИ. Он помогает решать задачи, связанные с соблюдением требований 187‑ФЗ, упрощая рутинные процессы. Этот модуль охватывает все аспекты работы субъектов КИИ и позволяет:
- вести учет бизнес‑процессов субъекта КИИ, в том числе критических;
- автоматизированно проводить категорирование объектов КИИ и их перекатегорирование;
- разрабатывать модели угроз и актуализировать их при изменении ОКИИ;
- автоматизированно проводить разработку технического задания на создание системы защиты ОКИИ и технического проекта;
- автоматизированно проводить разработку внутренней нормативной документации по кибербезопасности;
- проводить оценку защиты ОКИИ;
- вести перечень инцидентов.
Защита ОКИИ включает три этапа: категорирование, создание системы защиты для значимых ОКИИ, а также учет инцидентов и информирование о них. Далее рассмотрим каждый из этих этапов и то, как помогает в решении соответствующих задач BI.ZONE Compliance Platform.
Процесс категорирования объектов КИИ состоит из пяти шагов:
- Создание комиссии по категорированию.
- Выявление всех процессов в организации.
- Выявление критических процессов.
- Выявление ОКИИ, задействованных в критических процессах, и определение категории значимости.
- Подготовка документации по результатам категорирования и передача сведений во ФСТЭК России.
Все шаги, за исключением первого, требуют существенных трудозатрат.
На основе нашего проектного опыта мы сформулировали основные сложности, с которыми сталкиваются субъекты КИИ, а также рекомендации по тому, как их преодолеть.
- Как правило, в организации большое количество процессов. Чтобы выявить их все и не упустить те, которые могут быть критическими, нужно пообщаться со всеми подразделениями. Рекомендуется занести выявленные процессы в соответствующий реестр и поддерживать его в актуальном состоянии.
- Необходимо собрать большое количество информации, которую важно структурировать для правильного проведения категорирования. Желательно агрегировать всю собранную информацию в едином инструменте и поддерживать ее в актуальном состоянии.
- Далеко не всегда понятно, каким образом можно сгруппировать информационные системы (ИС), автоматизированные системы управления технологическим процессом (АСУ ТП) и информационно‑телекоммуникационные системы (ИТКС) в ОКИИ: по категории значимости, по используемым технологиям, по территориальному расположению компонентов или по функциональному назначению.
- У субъектов КИИ часто возникают проблемы с определением, какой процесс является критическим. Для этого рекомендуется использовать приведенную в Постановлении Правительства РФ № 127 методику, по которой определяется категория значимости ОКИИ.
Также в ходе реализации проектов по защите КИИ мы выделили ряд наиболее частых ошибок, которые совершают субъекты КИИ при проведении категорирования:
- При создании комиссии по категорированию не всегда в нее добавляют всех необходимых членов. А это может привести к неправильному определению категории значимости ОКИИ.
- Не всегда фиксируют действия комиссии. Из‑за этого не удается отследить порядок принятия решений и действий комиссии. Рекомендуется каждое заседание комиссии сопровождать протоколом.
- Не используют аргументацию при категорировании. В этом случае в ответе от ФСТЭК России говорится, что необходимо предоставить аргументацию по результатам категорирования ОКИИ.
- Не всегда верно составляют документацию по результатам категорирования. Чтобы избежать ошибок, рекомендуем пользоваться типовыми формами регуляторов при формировании документации.
- Проводят категорирование однократно. Но важно не забывать повторять этот процесс при появлении новых ОКИИ, а также проводить перекатегорирование для текущих ОКИИ.
Преодолеть сложности и не допустить ошибки в процессе категорирования помогает средство автоматизации. BI.ZONE Compliance Platform может автоматизировать все перечисленные выше шаги, начиная с формального создания комиссии, заканчивая самим категорированием и разработкой необходимой документации. Кроме того, внутри платформы легко проводить перекатегорирование, добавлять новые процессы и ОКИИ.
Информацию о текущем соответствии организации требованиям можно увидеть на дашборде, который отображается на главном экране модуля КИИ. Здесь можно посмотреть, сколько всего процессов в организации, сколько из них критических, сколько ОКИИ, все ли они оценены. На дашборде также доступны другие важные метрики, которые требуются в рамках работы с КИИ.
Все разделы, которые касаются категорирования, взаимосвязаны. После заполнения всех необходимых данных платформа поможет определить критичность процессов в организации, выстроить их связку с существующими информационными системами.
BI.ZONE Compliance Platform формирует перечень ОКИИ. По каждому можно посмотреть, какая у него категория значимости по 187‑ФЗ, уровень защищенности по 152‑ФЗ, класс защищенности ГИС, а также в скольких процессах данный объект участвует, какие автоматизированные системы входят в состав ОКИИ, какие СЗИ используются и т. д.
Этот этап защиты ОКИИ состоит из трех шагов:
- Моделирование угроз и нарушителей.
- Проектирование системы защиты.
- Внедрение системы защиты.
Первый шаг подразумевает разработку модели угроз и нарушителей (МУиН). На втором шаге субъект КИИ должен сформировать техническое задание и разработать технический проект. Эти шаги возможно автоматизированно выполнить в BI.ZONE Compliance Platform.
Последний шаг — внедрение системы защиты — состоит сразу из восьми промежуточных шагов:
- Разработка организационной распорядительной документации (ОРД) и эксплуатационной документации (выполняется в BI.ZONE Compliance Platform).
- Установка и настройка СЗИ, программных и программно‑аппаратных средств.
- Внедрение организационных мер.
- Предварительные испытания (выполняется в BI.ZONE Compliance Platform).
- Опытная эксплуатация (выполняется в BI.ZONE Compliance Platform).
- Анализ уязвимостей и их устранение.
- Приемочные испытания (выполняется в BI.ZONE Compliance Platform).
- Аттестация (опционально, выполняется в BI.ZONE Compliance Platform).
Моделирование угроз
Чтобы сформировать МУиН, определяют негативные последствия, объекты воздействия, актуальных нарушителей, интерфейсы и способы реализации угроз, применимые для ОКИИ технологии и техники. На основе этой информации определяют перечень актуальных угроз. Моделирование выполняется в соответствии с методикой ФСТЭК России от 5 февраля 2021 года. При этом оценивается актуальность угроз, приведенных в БДУ ФСТЭК. Он насчитывает 222 угрозы. Субъект КИИ может добавлять дополнительные угрозы, чтобы провести оценку их актуальности.
Разработанная МУиН должна быть практически применимым документом. Для этого списки полученных угроз дополняют актуальными уязвимостями и данными об инцидентах, определяют риски и их влияние на процессы организации. Также стоит отметить, что в случае, если значимый ОКИИ является ГИС или ИСПДн, нужно учитывать особенности этих систем при моделировании угроз. МУиН необходимо периодически пересматривать для поддержания документа в актуальном состоянии.
Качественное моделирование угроз занимает много времени, но с помощью BI.ZONE Compliance Platform его можно сократить в 10 раз. Почти все шаги по созданию МУиН автоматизированы, лишь на начальном этапе нужно выбрать из списка последствия, которые могут быть актуальны для конкретного ОКИИ. При этом любую информацию при необходимости можно редактировать, например самостоятельно оценить актуальность нарушителя или выбрать свои варианты после того, как платформа автоматически определит и предложит меры противодействия для каждой угрозы.
Когда все готово, BI.ZONE Compliance Platform позволяет сгенерировать документ со всеми приложениями, который доступен для скачивания и редактирования. Также есть возможность хранить различные версии. При любых изменениях по объекту, которые вносятся на платформе, достаточно нажать кнопку синхронизации, и документы модели угроз обновятся.
Проектирование СОИБ
На этапе формирования технического задания сначала определяют базовый набор мер согласно приказу ФСТЭК России № 239 в соответствии с категорией значимости ОКИИ. Затем базовый набор уточняют и адаптируют в соответствии с нейтрализацией актуальных угроз безопасности информации, а также в соответствии с информационными технологиями и особенностями значимых ОКИИ. В итоге уточненный и адаптированный набор мер дополняют мерами иного законодательства в области КИИ и защиты информации.
На этапе технического проектирования необходимо выбрать СЗИ. Для защиты значимых ОКИИ могут использоваться как сертифицированные средства защиты, так и несертифицированные, но прошедшие оценку на соответствие требованиям безопасности.
Исходя из нашего опыта, мы сформулировали ряд практических рекомендаций:
- Нужно учитывать требования, предъявляемые к ИСПДн или ГИС, если ОКИИ является одновременно такой системой.
- Важно учитывать пересечение требований к ОКИИ, ИСПДн и ГИС, чтобы облегчить техническое проектирование.
- Необходимо использовать только сертифицированные СЗИ, если ОКИИ является ГИС.
- Можно не закупать дополнительные средства защиты, если существующих в организации СЗИ достаточно.
- Необходимо поддерживать СОИБ в актуальном состоянии: своевременно выявлять изменения архитектуры и появление новых ОКИИ, внося корректировки в СОИБ.
- Лучше использовать рискориентированный подход для повышения защищенности ОКИИ: выделять наиболее критические сегменты и реализовывать для них дополнительные защитные меры.
Основные меры для значимых ОКИИ приведены в приказе ФСТЭК России № 239, для ИСПДн — в приказе ФСТЭК № 21, для ГИС — в приказе ФСТЭК № 17, а для АСУ ТП, которые не являются значимыми ОКИИ, — в приказе ФСТЭК № 31.
| Наименование домена | Приказ № 21 | Приказ № 17 | Приказы № 31, 239 |
|---|---|---|---|
| ИАФ |
+ |
+ |
+ |
| УПД |
+ |
+ |
+ |
| ОПС |
+ |
+ |
+ |
| ЗНИ |
+ |
+ |
+ |
| РСБ |
+ |
+ |
- |
| АВЗ |
+ |
+ |
+ |
| СОВ |
+ |
+ |
+ |
| АНЗ |
+ |
+ |
- |
| ОЦЛ |
+ |
+ |
+ |
| ОДТ |
+ |
+ |
+ |
| ЗСВ |
+ |
+ |
- |
| ЗТС |
+ |
+ |
+ |
| ЗИС |
+ |
+ |
+ |
| ИНЦ |
+ |
- |
+ |
| УКФ |
+ |
- |
+ |
| АУД |
- |
- |
+ |
| ОПО |
- |
- |
+ |
| ПЛН |
- |
- |
+ |
| ДНС |
+ |
+ |
+ |
| ИПО |
- |
- |
+ |
Мы сравнили эти меры и сделали следующие выводы:
- Приказ ФСТЭК № 21 почти полностью покрывает меры приказа ФСТЭК № 17, за исключением мер ЗИС.21 — ЗИС.30 и иных точечных мер.
- Приказ ФСТЭК № 17 почти полностью покрывает меры приказа ФСТЭК № 21, за исключением доменов мер по выявлению инцидентов и реагированию на них, по управлению конфигурацией и иных точечных мер.
- Приказы № 31 и 239 являются самыми обширными по количеству мер, почти полностью покрывают приказы № 21 и 17, за исключением точечных мер, а также включают в себя пять групп дополнительных мер.
BI.ZONE Compliance Platform позволяет оценить меры защиты каждого ОКИИ. Так, если система подпадает не только под 187-ФЗ, но и работает с ПДн либо является ГИС или АСУ ТП, подтягиваются все требования, которые только возможны. Можно посмотреть, как будут выглядеть требования в разрезе разного правового поля. После прохождения опросника платформа автоматически рассчитывает оценку. А все рекомендации собираются в одном месте, и наглядно видно, по каким требованиям есть недостатки.
Также в ходе технического проектирования можно самостоятельно выбрать конкретные СЗИ, опираясь на справочники, которые представлены в BI.ZONE Compliance Platform. Кроме того, решение позволяет автоматически установить СЗИ. В этом случае платформа предложит для каждой меры определенные средства защиты с описаниями.
После прохождения всех шагов будет доступен полный комплект документов на объект.
Внедрение системы защиты
В теории СОИБ состоит из совокупности правовых, организационных и технических мер. На практике же ее составляющие — это совокупность внедренных технологий и процессов, а также квалифицированные кадры и их экспертный опыт. Если хотя бы один из этих компонентов отсутствует, СОИБ не будет эффективно работать.
На основе нашего опыта мы выработали несколько практических рекомендаций:
- Закладывайте больше времени на закупку, поставку и внедрение необходимых СЗИ, потому что не всегда эти процессы проходят быстро и гладко.
- Внедряйте организационные меры, которые не зависят от закупаемых СЗИ, для экономии времени, пока осуществляется закупка дополнительных средств защиты.
- Не забывайте о том, что по законодательству, помимо анализа уязвимостей, необходимо проводить статический анализ исходного кода, фаззинг-тестирование, а для ЗОКИИ первой категории значимости — динамический анализ кода.
- Усильте контроль на уязвимых направлениях для повышения защищенности ОКИИ.
- Проводите аттестацию даже в том случае, если ЗОКИИ не является ГИС, несмотря на то что по закону это не обязательно. (Если ЗОКИИ является ГИС, то аттестацию необходимо проводить в обязательном порядке.)
- Устраивайте регулярное обучение сотрудников, которые отвечают за безопасность ОКИИ.
- Поддерживайте СОИБ в актуальном состоянии, отслеживая добавление новых ОКИИ и изменение текущих объектов.
BI.ZONE Compliance Platform позволяет существенно сократить трудозатраты на разработку всей необходимой для внедрения СОИБ документации. В соответствующем разделе на основе шаблонов генерируется полный комплект документов, который регламентирует все нужные направления. В общей сложности платформа способна сформировать около 60 различных документов.
Также в BI.ZONE Compliance Platform есть отдельный модуль по аттестации, который синхронизирован с модулем КИИ. Он позволит дополнительно разработать комплект документов по приказу ФСТЭК России № 77.
Важно отметить два момента, которые касаются этого этапа защиты КИИ:
- Если у субъекта КИИ есть значимый ОКИИ, то субъекту необходимо подключиться к ГосСОПКА и обеспечивать непрерывное взаимодействие с ней.
- Если же у субъекта КИИ нет значимого объекта, обеспечивать непрерывное взаимодействие с ГосСОПКА не нужно. Можно информировать НКЦКИ о компьютерных инцидентах, например, по почте или по телефону.
Передавать информацию о компьютерных инцидентах можно через BI.ZONE: у нас есть соглашение с НКЦКИ и мы являемся коммерческим центром ГосСОПКА.
BI.ZONE Compliance Platform позволяет вести учет всех инцидентов. После заполнения всей необходимой информации платформа генерирует по каждому инциденту уведомление и карточку компьютерного инцидента. Их можно скачать и направить в НКЦКИ. Также можно вести учет взаимодействия с НКЦКИ для дополнительного контроля. Кроме того, на платформе представлена общая сводка состояния работ по инцидентам, а также статус по уведомлениям — отправлены они или нет.
Таким образом, мы убедились, что средство автоматизации значительно упрощает жизнь организациям, которые являются субъектами КИИ. В частности, BI.ZONE Compliance Platform позволяет:
- соответствовать требованиям законодательства и избегать штрафов и предписаний со стороны регуляторов;
- увеличить скорость выполнения требований и сэкономить ресурсы;
- оперативно обновлять документы при изменении законодательства в несколько кликов;
- обеспечить прозрачность, позволив хранить всю информацию, в том числе и результаты, в едином инструменте;
- повысить защищенность и снизить риск успешных атак на объекты КИИ.
По нашим данным, благодаря BI.ZONE Compliance Platform выполнение требований законодательства и актуализация ускоряются более чем в два раза, а разработка документации — в 10 раз.