Как съесть слона? А именно создать систему защиты значимого объекта КИИ, давно и успешно функционирующего в инфраструктуре банка, не изобретая велосипед

Как съесть слона? А именно создать систему защиты значимого объекта КИИ, давно и успешно функционирующего в инфраструктуре банка, не изобретая велосипед

Большинство финансовых организаций, попавших под действие Федерального закона 26.07.2017 №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» от (далее – 187-ФЗ), скорее всего уже завершили этап категорирования идентифицированных в их инфраструктуре объектов критической информационной инфраструктуры (далее – КИИ) и теперь для объектов, признанных в результате категорирования значимыми, должны обеспечить наличие системы безопасности значимых объектов КИИ (далее – ЗОКИИ), в соответствии с установленными требованиями регуляторов.

ТРЕБУЮТСЯ СВИДЕТЕЛЬСТВА

В соответствии со статьей 10 187-ФЗ основными задачами системы безопасности (далее – СБ) ЗОКИИ являются:

1. Предотвращение неправомерного доступа к информации, обрабатываемой ЗОКИИ, уничтожения такой информации, ее модифицирования, блокирования, копирования, предоставления и распространения, а также иных неправомерных действий в отношении такой информации;
2. Недопущение воздействия на технические средства обработки информации, в результате которого может быть нарушено и (или) прекращено функционирование ЗОКИИ;
3. Восстановление функционирования ЗОКИИ, обеспечиваемого в том числе за счет создания и хранения резервных копий необходимой для этого информации;
4. Непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.

Поскольку эти задачи по сути не новы, а ЗОКИИ – это объекты инфраструктуры организаций, или логические объединения таких объектов, созданные не вчера и не с нуля, в подавляющем большинстве случаев цель обеспечить фактическое наличие и функционирование СБ ЗОКИИ уже решена, и требуется только представить свидетельства достижения этой цели в объеме, форме и формате, требуемом уполномоченными регуляторами в области КИИ.

ДОКУМЕНТЫ КАК НАБОР ЗЕРКАЛ

Специфика требований по обеспечению ЗОКИИ (помимо уже предъявленных к ним требованиям по другим регуляторным направлениям обеспечения безопасности) отражена в следующих основных организационно-распорядительных и нормативно-методических документах:

1. Федеральный закон от 26.07.2017 №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
2. Постановление Правительства Российской Федерации от 17.02.2018 № 162 «Об утверждении Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» (далее – 162-ПП).
3. Приказ ФСТЭК России от 21.12.2017 № 235 «Об утверждении требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования» (далее – Приказ ФСТЭК № 235).
4. Приказ ФСТЭК России от 25.12.2017 № 239 «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» (далее – Приказ ФСТЭК №239).
5. Приказ ФСБ России от 24.07.2018 № 367 «Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий  компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации» (далее – Приказ ФСБ № 367).
6. Приказ ФСБ России от 19.06.2019 №281 «Об утверждении Порядка, технических условий установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, за исключением средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации» (далее – Приказ ФСБ № 281).
7. Приказ ФСБ России от 19.06.2019 №282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации» (далее – Приказ ФСБ № 282).
8. Приказ ФСБ России от 24.07.2018 №368 «Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и Порядка получения субъектами критической информационной инфраструктуры Российской Федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения» (далее – Приказ ФСБ № 368).

МЕРОПРИЯТИЯ И ИХ СВИДЕТЕЛЬСТВА

Согласно перечисленным документам, в общем случае набор мероприятий и свидетельств их выполнения следующий:

1. Разработка Модели угроз информационной безопасности ЗОКИИ (разово, пересмотр при необходимости). Источники требований к разработке: 127-ПП: п. 10 буллит «е», п. 11 буллит «а»; Приказ ФСТЭК России №239 п. 11.1; Методический документ ФСТЭК России от 05.02.2021 «Методика оценки угроз безопасности».

2. Создание СБ ЗОКИИ (разово, модернизация по мере необходимости). Источники требований: Приказ ФСТЭК №235 п.п. 8-9.

2.1 Задачу нормативного обеспечения СБ ЗОКИИ при желании можно решить разработкой и утверждением одного локального нормативного акта (далее – НА) об организации СБ ЗОКИИ, описывающего, каким образом уже реализованные в инфраструктуре субъекта КИИ процессы и решения применяются в отношении ЗОКИИ. Такой документ должен содержать как минимум:

• определение СБ ЗОКИИ как совокупности организационных и технических мер, реализованных как в инфраструктуре субъекта КИИ, так и в отдельных автоматизированных системах (далее – ИС), от которых зависит функционирование ЗОКИИ;
• правила распространения действия нормативных актов субъекта КИИ, описывающих политику информационной безопасности, на ЗОКИИ;
• указание зон ответственности подразделений и порядка их взаимодействия при реализации задач обеспечения безопасности ЗОКИИ;
• описание жизненного цикла ЗОКИИ, состава и содержания документации технического и рабочего характера, возникающей в процессе жизненного цикла ЗОКИИ, а также порядка утверждения указанных документов. Например, номенклатура проектной документации ЗОКИИ, устанавливаемая данным документом, может по составу и порядку утверждения отличаться от документации других АС, внедряемых в инфраструктуре субъекта КИИ;
• описание порядка контроля состояния ЗОКИИ, включая вопросы управления инцидентами в ЗОКИИ, со ссылками на существующие регламенты.

2.2. Реализация программно-технических средств и разработка документов, определяющих политику информационной безопасности (далее – ИБ)ЗОКИИ (модернизация по мере необходимости). У финансовых организаций уже должно все быть, исходя из других регуляторных требований, появившихся до КИИ.

3. Назначение подразделения, ответственного за безопасности ЗОКИИ (разово). Источники требований: п.10 Приказа ФСТЭК России № 235.

Внесение в нормативный акт, определяющий задачи и ответственность подразделения ИБ, ответственности за безопасность ЗОКИИ в явном виде.

4. Разработка регламента повышения уровня знаний работников (разово), повышение квалификации специалистов по безопасности(на постоянной основе). Источники требований: п.п. 12, 15, 16 Приказа ФСТЭК России № 235.

Добавление вопросов, связанных с КИИ в имеющиеся курсы, памятки, инструктажи. Систематизация накапливаемых в процессе текущей деятельности свидетельств, таких как результаты прохождения курсов, сертификаты об обучении и т. д.

5. Проектирование и внедрение систем безопасности ЗОКИИ. Источники требований: ст. 10 187-ФЗ, Приказ ФСТЭК России № 239, п. 8 Приказа ФСТЭК № 235.

Пакет технических документов, разработанный и утвержденный в соответствии с НА об организации СБ ЗОКИИ.

6. Подключение СБ ЗОКИИ к ГосСОПКА (разово). Источники требований: ст. 9 187-ФЗ. Свидетельства, подтверждающие установление соответствующего информационно-технического взаимодействия.

7. Разработка регламента управления инцидентами, в т. ч. определение участников процесса управления инцидентами, разработка плана реагирования на компьютерные инциденты (разово, актуализация при необходимости). Источники требований: ст. 9 187-ФЗ; п. 6 Приказа ФСБ № 282.

Распространение действующего в субъекте КИИ регламента на ЗОКИИ через НА об организации СБ ЗОКИИ (при необходимости – с какими-то доработками). В течение 90 дней с момента присвоения ФСТЭК России номера ЗОКИИ субъектом КИИ должен быть разработан план реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак. Данный план должен быть направлен в ФСБ России.

8. Доведение до НКЦКИ информации об инцидентах ИБ на ЗОКИИ (по факту возникновения инцидентов). Источники требований: п. 5 приказа ФСБ № 367.

В банковской сфере допускается выполнение через взаимодействие с ФинЦЕРТ.

9. Разработка Плана мероприятий по обеспечению безопасности ЗОКИИ в случае нештатной ситуации (разово, актуализация при необходимости). Источники требований: п. 13.6 Приказа ФСТЭК № 239.

Дополнение имеющихся планов обеспечения непрерывности и восстановления деятельности, распространение их на ЗОКИИ через НА об организации СБ ЗОКИИ.

10. Организация контроля за состоянием системы безопасности ЗОКИИ (регулярно). Разработка Регламента контроля системы безопасности ЗОКИИ (не реже чем раз в год). Источники требований: п. 36 Приказа ФСТЭК России № 235.

В НА об организации СБ ЗОКИИ может быть прописан особый порядок контроля, или распространен уже имеющийся в субъекте КИИ общий утвержденный порядок на ЗОКИИ.

В общем случае также должна быть сформирована и наделена полномочиями комиссия из состава работников субъекта КИИ, которая будет осуществлять регулярный контроль СБ ЗОКИИ, или определен порядок и условия привлечения для выполнения указанной задачи сторонней организации. Контрольные мероприятия должны осуществляться по утвержденной программе, в результате контроля должны быть выработаны рекомендации и планы устранения выявленных недостатков.

Всё. Дальше только подготовка отчета о выполнении Плана и разработка Плана на следующий отчетный период (п. 32 и п. 29 Приказа ФСТЭК России № 235 соответственно).