Журнал "Information Security/ Информационная безопасность" #3, 2019

Порядок создания систе- мы защиты значимого объ- екта КИИ установлен прика- зом ФСТЭК от 25 декабря 2017 г. № 239 "Об утвержде- нии требований по обес- печению безопасности значимых объектов критиче- ской информационной инфраструктуры Российской Федерации" и включает в себя следующие шаги: l субъект должен устано- вить требования к системе защиты объекта КИИ; l субъект должен разрабо- тать организационные и тех- нические меры защиты в соответствии с этими требо- ваниями; l субъект должен внедрить эти меры защиты и ввести объект в действие. Эти действия выполняют- ся при создании или модер- низации системы безопасно- сти значимого объекта КИИ и, на первый взгляд, ничего сложного в них нет. Но по мере погружения в детали картина меняется. Формирование требований к системе безопасности значимого объекта КИИ Трудности поджидают субъ- екта уже на первом шаге: уста- новить требования к системе защиты принадлежащего ему объекта КИИ он должен само- стоятельно. Процедура опреде- ления требований выглядит сле- дующим образом. Приказ № 239 устанавливает для каждой категории значимо- сти объектов КИИ т.н. базовый набор мер безопасности. Базо- вые меры являются необходи- мыми и должны быть реализо- ваны на всех объектах КИИ дан- ной категории значимости. При этом возможна ситуация, когда реализовать какую-то из базо- вых мер безопасности на отдель- ном объекте невозможно в силу технических или иных ограниче- ний (например, производитель оборудования может запрещать установку на него дополнитель- ного программного обеспечения, в том числе антивирусов). В этом случае субъект вправе отказать- ся от такой меры безопасности, но при этом он должен оценить, реализация каких угроз стано- вится при этом возможна, и при- нять какие-то иные меры для защиты от них. Приказ называет это адаптацией базового набора мер безопасности. Такой адаптированный набор по-прежнему содержит лишь необходимые меры безопасно- сти, которых может оказаться недостаточно для полноценной защиты. В связи с этим от субъ- екта требуется разработать модель угроз, оценить, какие из них могут быть реализованы даже при наличии адаптиро- ванного набора мер безопас- ности, и усилить этот набор, самостоятельно дополнив его недостающими мерами защиты. Таким образом, для каждого объекта КИИ должен быть сформирован довольно боль- шой перечень мер безопасности (для значимых объектов КИИ второй и первой категорий значимости он будет насчиты- вать более ста пунктов). Но это всего лишь перечень мер безопасности, который еще нужно превратить в требования к ним. ФСТЭК уже больше года ведет работу над методическим документом, раскрывающим содержание мер безопасности. Пока вместо него можно исполь- зовать другой методический документ, "Меры защиты инфор- мации в государственных информационных системах" 1 , большая часть мер безопасности для государственных информа- ционных систем (ИС) и для значимых объектов КИИ совпа- дает. Для каждой базовой меры документ содержит 1–2 страни- цы пояснений, как именно эта мера должны быть реализована, и на основе этих пояснений субъ- ект должен формировать техни- ческое задание на создание или модернизацию системы безопас- ности. Вот как это работает. Возьмем для примера такую меру безопасности, как АВЗ.1 “Реализация антивирусной защиты”, которая является базовой для значимых объ- ектов КИИ всех категорий значимости. В соответствии с методическим документом эта мера безопасности включает в себя: l применение средств антиви- русной защиты на всех компо- нентах, подверженных заражению вредоносными программами; l установку, конфигурирование и управление средствами анти- вирусной защиты; l предоставление средствам антивирусной защиты необхо- димых прав доступа; l проведение периодических проверок компонентов на нали- чие вирусов; l проведение проверок загру- жаемых, открываемых и запус- каемых файлов в режиме реального времени; l оповещение администрато- ров безопасности о выявлении вирусов в режиме реального времени; l определение действий, кото- рые должны выполняться при обнаружении вирусов. Эти требования являются общими, т.е. должны быть выполнены при реализации антивирусной защиты на всех объектах КИИ. Кроме них, доку- мент содержит т.н. требования усиления, которые субъект КИИ должен включить в техническое задание, если считает общие требования недостаточными. Таким образом, даже столь оче- видная мера безопасности, как реализация антивирусной защи- ты, должна превратиться в довольно подробный перечень требований, которые необходи- мо включить в техническое задание на создание или модер- низацию системы безопасности. Часть этих мер должна быть реализована техническими средствами, часть – отражена в эксплуатационной и норма- тивной документации системы безопасности. 14 • В ФОКУСЕ Защита КИИ: от слов к делу едеральный закон “О безопасности критической информационной инфраструктуры Российской Федерации” вступил в силу почти полтора года назад, но до сих пор основной темой обсуждения на профильных круглых столах остается категорирование объектов КИИ. И хотя закон фактически не ограничивает сроки проведения категорирования, наступила пора двигаться дальше – приводить защиту значимых объектов КИИ в соответствие с требованиями ФСТЭК. Попробуем разобраться, как подступиться к этой задаче. Ф Дмитрий Кузнецов, директор по методологии и стандартизации Positive Technologies 1 https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-doku- menty/805-metodicheskij-dokument