Журнал "Information Security/ Информационная безопасность" #1, 2021

Этап выполнения требо- ваний законодательства, связанный с категорирова- нием, – это чисто "бумаж- ная" безопасность. На этапе создания систем безопасности объ- ектов КИИ уже проекти- руются и внедряются реше- ния, связанные именно с "реальной безопасностью" информационных ресурсов. ного закона (так называемыми субъектами КИИ). Алгоритм реализации требо- ваний этих нормативно-право- вых актов (укрупненно) выгля- дит следующим образом: 1. Определение критичности информационных ресурсов (категорирование). 2. Создание систем безопас- ности (значимых 2 ) объектов КИИ. 3. Организация взаимодей- ствия с государственной системой обнаружения, пред- упреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федера- ции (ГосСОПКА). 4. Поддержание работоспо- собности и улучшение систем безопасности объектов КИИ. Если посмотреть на этот алго- ритм с точки зрения "реальной" и "бумажной" безопасности, то получается следующее. Этап выполнения требований законодательства, связанный с категорированием, – это чисто "бумажная" безопасность, так как в его рамках требуется: l выпустить приказ о постоянно действующей комиссии по кате- горированию; l провести работу комиссии по категорированию (определение критических процессов, выявле- ние объектов КИИ, оценка угроз, оценка показателей кри- териев значимости и т.п.) и оформить результаты в виде внутренних документов (прото- колов); l подготовить и отправить во ФСТЭК России перечень объ- ектов КИИ, подлежащих кате- горированию; l оформить актом решение комиссии по категорированию; l подготовить и отправить во ФСТЭК России сведения о кате- горировании. Как видно, все мероприятия, проводимые на данном этапе, не оказывают влияния на "реальную" защиту информа- ционных ресурсов, а связаны с выявлением информационных ресурсов, нуждающихся в защи- те, их классификацией, а также актуальными для них угрозами безопасности. Но при этом без указанных мероприятий невоз- можно обеспечить безопасность объектов КИИ. На этапе создания систем безопасности объектов КИИ уже проектируются и внедряют- ся решения, связанные именно с "реальной безопасностью" информационных ресурсов, то есть направленные на: l предотвращение несанкцио- нированного доступа к обраба- тываемой в объекте КИИ информации; l недопущение воздействия на технические средства обработ- ки информации, в результате которого может быть нарушено и (или) прекращено функцио- нирование объекта КИИ; l восстановление функциони- рования объекта КИИ при инци- дентах. Связанным с двумя предыду- щими этапами 3 , но все-таки, по мнению автора, требующим отдельного рассмотрения, является этап организации взаимодействия с ГосСОПКА. Необходимость организации взаимодействия с ГосСОПКА связана с исполнением обязан- ности, предусмотренной ч. 2 ст. 9 Федерального закона "О безопасности КИИ", по неза- медлительному информирова- нию Национального координа- ционного центра по компьютер- ным инцидентам (по сути, пере- дачи информации в ГосСОПКА) о компьютерных инцидентах. В рамках исполнения указан- ной обязанности очень важно обратить внимание на понятия "инцидент" и "компьютерная атака". Так, согласно ст. 2 Федераль- ного закона "О безопасности КИИ": l компьютерная атака – целе- направленное воздействие про- граммных и (или) программно- аппаратных средств на объекты критической информационной инфраструктуры, сети электро- связи, используемые для орга- низации взаимодействия таких объектов, в целях нарушения и (или) прекращения их функцио- нирования и (или) создания угрозы безопасности обраба- тываемой такими объектами информации; l компьютерный инцидент – факт нарушения и (или) пре- кращения функционирования объекта критической информа- ционной инфраструктуры, сети электросвязи, используемой для организации взаимодей- ствия таких объектов, и (или) нарушения безопасности, обра- батываемой таким объектом информации, в том числе про- изошедший в результате ком- пьютерной атаки. Таким образом, действующее законодательство в области безопасности КИИ обязывает субъект КИИ информировать регулятора в случае произо- шедшего инцидента и стимули- рует его (субъект КИИ) к реаги- рованию на компьютерную атаку на как можно более ран- ней стадии (чтобы не допустить возникновения инцидента). Именно в этой части четко прослеживается вектор смеще- ния акцента с формального выполнения требований ("бумажной безопасности") на реальную защиту информа- ционного ресурса, причем на как можно более ранней стадии компьютерной атаки (компью- терного нападения). На этапе поддержания рабо- тоспособности и улучшения системы безопасности прово- дятся аудиты как на соответ- ствие требованиям безопасно- сти, так и аудиты информа- ционной инфраструктуры, опре- деляется зрелость процессов информационной безопасности компании, вырабатываются рекомендации по: l совершенствованию деловых процессов компании, связанных с обеспечением информацион- ной безопасности; l настройке текущих техниче- ских решений и внедрению новых; l изменению организационно- распорядительной документа- ции по информационной без- опасности. Таким образом, когда систе- ма безопасности объектов КИИ уже создана и функционирует, активно используются механиз- мы "бумажной безопасности" для достижения целей раннего предупреждения о компьютер- ном нападении и обеспечения устойчивости функционирова- ния объектов КИИ, то есть для достижения "реальной безопас- ности". l • 7 КИИ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru 2 В рамках данной статьи автор сознательно исключает из рассмотрения вопросы обязательности создания систем безопасности для разных видов объектов КИИ. 3 В ряде случаев организация взаимодействия с ГосСОПКА входит в этап создания системы безопасности объектов КИИ.

RkJQdWJsaXNoZXIy Mzk4NzYw