Несмотря на то, что с момента вступления в силу Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» прошло уже более 6 лет, вопросы создания системы безопасности значимых объектов критической информационной инфраструктуры (далее – КИИ) являются актуальными для многих субъектов КИИ и по сей день. Тем более, что в прошлом 2023 году в число сфер отнесенных к КИИ добавилась еще одна - государственная регистрация прав на недвижимое имущество и сделок с ним.
Напомню, что в соответствии с Федеральным законом от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» КИИ ‑ объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов. Иными словами КИИ – это совокупность информационных и автоматизированных систем, а также информационно-телекоммуникационных сетей субъектов КИИ и сетей электросвязи, обеспечивающих их взаимодействие.
Опускаясь на прикладной уровень, можно сказать, что критическая информационная инфраструктура Российской Федерации – это совокупность критических информационных инфраструктур всех входящих в нее субъектов КИИ (государственные органы, государственные учреждения, организации различных форм собственности и индивидуальные предприниматели). Сказанное означает, что на практике обеспечение безопасности КИИ «опускается» на уровень обеспечения безопасности имеющихся у каждого из субъектов КИИ объектов КИИ. Именно с указанной позиции мы и будем говорить о безопасности КИИ в настоящей статье.
Весь процесс обеспечения безопасности критической информационной инфраструктуры субъекта КИИ можно представить в виде следующей схемы (рисунок 1).
Начальным этапом реализации мер по обеспечению безопасности объектов КИИ является категорирование, т.к. именно на данном этапе субъект КИИ определяет какие у него есть объекты КИИ.
С точки зрения значимости, объекты КИИ подразделяются на два вида: «значимый» и «не значимый», а значимые объекты имеют три категории значимости: максимальная ‑ первая, минимальная ‑ третья.
От категории значимости объекта КИИ, зависит набор организационных и технических мер, обеспечивающих блокирование (нейтрализацию) угроз безопасности информации, последствиями которых может быть прекращение или нарушение его функционирования.
Что касается объектов КИИ не отнесенных к значимым, то для них не требуется построения дополнительной системы безопасности, состав и содержание мер защиты информации для указанных объектов регламентирован в нормативно-правовых актах, регулирующих вопросы безопасности конкретного вида систем: ИСПДн, АСУТП и т.п.
При этом, помимо требований по обеспечению безопасности значимых объектов КИИ, действующее законодательство предусматривает права и обязанности субъектов КИИ (как владельцев значимых, так и не значимых объектов КИИ), которые закреплены в статье 9 Закона «О безопасности КИИ». Автор сознательно не будет перечислять их в данной статье, т.к. с ними подробно можно ознакомиться в тексте Закона.
В соответствии со статьей 10 Закона «О безопасности КИИ» в целях обеспечения безопасности значимого объекта КИИ субъект КИИ создает систему безопасности такого объекта (далее по тексту – СБ ЗОКИИ) и обеспечивает ее функционирование.
Целью СБ ЗОКИИ является обеспечение его устойчивого функционирования. Проект по созданию СБ ЗОКИИ, как правило будет включать следующие этапы:
Этап 1. Планирование. На данном этапе устанавливаются требования, которые необходимо выполнить для обеспечения безопасности каждого ЗОКИИ и формируется план мероприятий.
Требования к созданию СБ ЗОКИИ установлены приказом ФСТЭК России от 21 декабря 2017 г. № 235, в котором определены состав сил обеспечения информационной безопасности их структура и функции, требования к ним.
Приказом ФСТЭК России от 25 декабря 2017 г. № 239 утверждены требования по обеспечению безопасности ЗОКИИ.
Первым шагом к созданию СБ ЗОКИИ является определение (моделирование) угроз безопасности.
Приказом ФСТЭК России от 25.12.2017 г. № 239 (п.11.1) утверждены требования к содержанию модели угроз для ЗОКИИ, в соответствии с которыми модель угроз безопасности информации должна содержать краткое описание архитектуры значимого объекта, характеристику источников угроз безопасности информации, в том числе модель нарушителя, и описание всех угроз безопасности информации, актуальных для значимого объекта.
В качестве исходных данных для анализа угроз безопасности информации должен использоваться банк данных угроз безопасности информации, ведение которого осуществляется ФСТЭК России. Подробнее про моделирование угроз читайте в статье автора «Моделирование угроз безопасности объектов кии в вопросах и ответах» https://dzen.ru/a/Zakxw9UrzVPtSFrQ
После определения актуальных угроз, перед проектированием СБ ЗОКИИ необходимо проведение т.н. «диагностического аудита» (в общей теории менеджмента более известного как «GAP анализ»), целью которого является определение тех мер по защите информации, которые уже приняты в отношении данного объекта КИИ, и тех, которые необходимо будет реализовать в процессе создания СБ ЗОКИИ.
Результатом проведения «Диагностического аудита» будет являться понимание того, какая часть обязательных мер по обеспечению безопасности ЗОКИИ уже реализована, а какая требует реализации в процессе создания СБ ЗОКИИ, какая часть мер может быть «закрыта» встроенными средствами защита, а для какой потребуется применение наложенных.
По итогам проведенного анализа и формирования требований к СБ ЗОКИИ подготавливается и утверждается руководителем субъекта КИИ план мероприятий по обеспечению безопасности ЗОКИИ (п. 29-31 приказа ФСТЭК России от 21 декабря 2017 г. № 235), начало реализации которого означает переход на следующий этап.
Этап 2. Реализация. На данном этапе осуществляется фактическое создание:
- сил СБ ЗОКИИ, т.е. формирование структурных подразделений;
- внедрение организационных и технических мер, реализация плана мероприятий по обеспечению безопасности ЗОКИИ (п. 34 приказа ФСТЭК России от 21 декабря 2017 г. № 235). Состав организационных и технических мер по обеспечению безопасности ЗОКИИ приведен в приложении к приказу ФСТЭК России № 239 от 25 декабря 2017 года;
- разработка организационно-распорядительных документов, регламентирующих процессы управления информационной безопасностью.
Этап 3. Мониторинг и контроль. Ключевым для данного этапа, по мнению авторов, является аудит информационной безопасности.
По сути, основная цель проведения аудита информационной безопасности, определить, какое положение дел в области обеспечения информационной безопасности существует сейчас и какие дальнейшие действия необходимо предпринять для создания либо улучшения системы защиты информации.
Подробнее про аудит информационной безопасности объектов КИИ читайте в статье автора «Особенности проведения аудита информационной безопасности объектов критической информационной инфраструктуры» https://dzen.ru/a/ZRsOCsQs0W_qnXbE
Этап 4. Совершенствование. Созданная система не является статичной и нуждается в систематическом совершенствовании, чтобы противостоять новым угрозам. В рамках совершенствования системы проводится анализ функционирования СБ ЗОКИИ, на основании которого осуществляется (при необходимости) корректировка архитектуры объектов КИИ, обновление существующих средств защиты ЗОКИИ, совершенствование (повышение зрелости) процессов управления информационной безопасностью, корректировка организационно-распорядительных документов.
Сведения об авторе: Саматов Константин Михайлович, член Правления Ассоциации руководителей Служб информационной безопасности, руководитель комитета по безопасности КИИ.
Мы в ВК: https://vk.com/vkaciso
Наш сайт: aciso.ru
Ставьте лайк и подписывайтесь на нашу страницу в АРСИБ Яндекс.Дзен и будьте в курсе актуальной информации в сфере информационной безопасности!
