• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Статья Безопасность критической информационной инфраструктуры (КИИ)

Всем привет! Сегодня хотел бы затронуть тему защиты информации критической информационной инфраструктуре (далее – КИИ). Начнем с определения, что такое КИИ – объекты критической инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов.

Что по поводу нормативной базы:
  • Федеральный закон ФЗ-187 «О безопасности КИИ РФ», регулирует отношения в области КИИ. В документе сформулированы определения субъекта и объекта КИИ, безопасности КИИ и компьютерного инцидента.
  • ПП №127 «Об утверждении Правил категорирования объектов КИИ РФ, а также перечня показателей критериев значимости объектов КИИ РФ и их значений». В документе определены правила категорирования объектов КИИ.
  • Приказ ФСТЭК №235 «Об утверждении Требований по обеспечению безопасности значимых объектов КИИ РФ».
Теперь рассмотрим, какие необходимо решить задачи:
  • Описать общую структуру субъекта КИИ с его процессами и объектами, обеспечивающими критические процессы.
  • Провести категорирование выбранного объекта КИИ
  • Провести анализ угроз безопасности
  • Разработать организационные и технические меры для обеспечения безопасности значимых объектов КИИ
  • Подготовить в ФСТЭК сведения о результатах присвоения объекту КИИ одной из категорий значимости.
Итак, начнем с описание субъекта КИИ, определение процессов субъекта КИИ и выявление среди них критических, определение объектов КИИ, необходимых для критических процессов.

Для проведения предварительного анализа и дальнейшего категорирования, приказом руководителя создается комиссия по категорированию для реализации описанных выше задач (пример приказа есть в сети).

Далее выделяем критические процессы. Не все процессы одинаково влияют на результат деятельности вашей организации. Нам нужно выделить критические процессы, оказывающие наибольшее воздействие. Под критическими понимаются процессы, нарушение или прекращение которых может привести к негативным социальным, политическим итд. последствиям для обеспечения обороны страны, безопасности государства. На данный момент нет общих нормативных актов, которые бы регламентировали отнесение технологических процессов к критическим. Каждая организация сама определяет такой порядок.

Далее идет описание ИС, обеспечивающих критические процессы. При анализе ИС были выделены системы, обрабатывающие информацию, необходимую для обеспечения критических процессов организации. Итак, мы выбрали ИС и определили их как объекты КИИ. Для всех объектов КИИ определяем сведения, содержащиеся в ОРД:
  • Название системы
  • Архитектура
  • Программное и аппаратное обеспечение
  • Взаимодействие с другими объектами КИИ
  • Наличие и характеристики доступа к сетям связи
Делаем выводы. Был проведен анализ субъекта, с целью определить является ли данный субъект, субъектом КИИ. Рассмотрели процессы, обеспечивающие функционирование субъекта, выделены критические. На основании перечня процессов, был определен список объектов КИИ, связанных с данными критическими процессами. Сведения о результатах определения объектов КИИ направляем в ФСТЭК.

Переходим к следующей задаче: Категорирование объектов КИИ, анализ угроз безопасности, возможные действия нарушителя.
После отправки сведений в ФСТЭК, нужно провести категорирование объектов в срок, не превышающий одного года со дня утверждения субъектом КИИ данного перечня. Что нам для этого нужно:
  • Проанализировать угрозы (Модель угроз)
  • Рассмотреть возможности нарушителя (Модель нарушителя)
  • В соответствии с перечнем показателей критериев значимости оценить масштаб возможных последствий от реализации компьютерных инцидентов.
  • Каждому из объектов КИИ установить одну из категорий значимости либо обосновать отсутствие.
Модель угроз и нарушителя я описывать не буду (в сети есть много примеров, статей и рекомендаций по разработке данных документов) делаются они по нормативным актам ФСТЭК и ФСБ.
Категорирование объектов КИИ регламентировано правилами категорирования объектов КИИ РФ. Определение категорий значимости объектов КИИ осуществляется на основании показателей критериев значимости объектов КИИ и их значений, представленных в ПП 127.

Делаем выводы. Мы рассмотрели возможные действия нарушителей в отношении объекта КИИ (Модель нарушителя далее - МУ), проанализировали угрозы (Модель угроз). В соответствии с перечнем показателей критериев значимости оценили масштаб возможных последствий, установили категорию значимости объекта КИИ.

Далее мы приступаем к разработке организационных и технических мер.
После того, как определили категорию значимости, нам необходимо:
  • В соответствии с требованиями по обеспечению безопасности значимых объектов КИИ и МУ, определить необходимые меры по обеспечению безопасности объекта КИИ согласно категории значимости, которую мы установили.
  • Разработать организационные и технические меры в соответствии с требованиями (ФСТЭК)
  • Выбрать ТСЗИ
  • Подготовить итоговый акт, содержащий сведения об объекте КИИ, результаты анализа угроз, реализованные меры по обеспечению безопасности, сведения о присвоенной объекту КИИ категории значимости. Направить акт в ФСТЭК
Итак, для совершенствования существующих организационных и технических мер по обеспечению безопасности, в первую очередь, определяем состав мер для значимого объекта той категории, которую вы определили. Открываем приказ ФСТЭК №235 и смотрим базовый состав мер для вашей категории значимости (весь приказ я разбирать не буду, в сети есть множество статей и рекомендаций). Разрабатываем требования к системе защиты, то есть техническое задание. Техническое задание разрабатывается с учетом ГОСТ 34.602, ГОСТ Р 51583 и ГОСТ Р 51624. Далее разрабатываем технический проект, внедряем ТСЗИ. Далее разрабатываем ОРД (перечень документов есть в сети).

Подводя итоги. Мы рассмотрели этапы приведение в соответствие объектов КИИ. Если в вашей организации есть объекты КИИ, то лучше не откладывать это на последний день и отнестись к этому серьезно. За несоблюдение требований по обеспечению безопасности КИИ, согласно ФЗ-194 максимальная мера наказания, за нарушение норм безопасности КИИ, составляет лишение свободы до 10 лет. Думаю, есть над чем задуматься :)

Надеюсь, что статья кому-нибудь пригодится. Спасибо, что дочитали до конца.
 
Последнее редактирование:
  • Не нравится
Реакции: Dmitry__

Сергей Попов

Кодебай
30.12.2015
4 702
6 609
BIT
449
Кратко:

1589961108773.png


Подробнее:
 
  • Нравится
Реакции: Dmitry__ и Knotoni

Archi00

Green Team
01.07.2019
19
42
BIT
0
Кратко:

Посмотреть вложение 40974

Подробнее:

Ну так эта статья создана из выжимки нормативно-правовых актов, для тех кто впервые с столкнулся с этим вопросом. Рассмотрены все законодательные документы по части КИИ, подчеркнуты основные моменты и прописаны этапы приведение в соответствия. Я не копировал откуда то статью, а проанализировал все документы и на основании их составил методические рекомендации по работе.
 

Сергей Попов

Кодебай
30.12.2015
4 702
6 609
BIT
449
Ну так эта статья создана из выжимки нормативно-правовых актов, для тех кто впервые с столкнулся с этим вопросом. Рассмотрены все законодательные документы по части КИИ, подчеркнуты основные моменты и прописаны этапы приведение в соответствия. Я не копировал откуда то статью, а проанализировал все документы и на основании их составил методические рекомендации по работе.
Ок. Подождем, что скажут модераторы.
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!