Журнал "Information Security/ Информационная безопасность" #3, 2019

Приказ № 239 требует использовать БДУ в каче- стве одного из источников исходных данных для анали- за угроз. Пытаясь выпол- нить данное требование, исследователь натыкается, например, на угрозу "УБИ.063: угроза некоррект- ного использования функ- ционала программного и аппаратного обеспечения". В соответствии с описанием "угроза заключается в воз- можности использования декларированных возмож- ностей программных и аппа- ратных средств определен- ным (нестандартным, некор- ректным) способом с целью деструктивного воздействия на ИС и обрабатываемую ею информацию", а ее реа- лизация может привести к нарушению конфиденциаль- ности, доступности и целост- ности защищаемой инфор- мации. Какие выводы можно сделать из такого описания? Никаких. Подоб- ное описание угрозы никак не помогает нам оценить, актуальна ли она для защи- щаемого объекта, и если актуальна, то как от нее защититься. та, на которые нужно обратить внимание. Первый момент касается выбора средств защиты: сред- ства защиты, которые приме- няются для выполнения требо- ваний безопасности, должны пройти оценку соответствия. При этом допускается любая из трех форм оценки соответ- ствия: сертификация, испыта- ния, приемка. Сертифицированные сред- ства защиты в обязательном порядке применяются только на объектах КИИ, которые одно- временно являются государст- венными ИС, и в тех случаях, когда обязательность примене- ния только сертифицированных средств защиты установлена нормативными документами самого субъекта КИИ или выше- стоящей организации. Так, тре- бование об обязательном при- менении только сертифициро- ванных средств защиты уста- новлено рядом государственных корпораций для дочерних обществ. Методические документы ФСТЭК определяют две формы сертификации: на соответствие техническим условиям и на соответствие профилю защиты. Профиль защиты – это норма- тивный документ ФСТЭК, кото- рый определяет, какие функции безопасности должны быть реализованы в данном виде средств защиты. Если средство защиты имеет сертификат на соответствие профилю защиты, пользователь может быть уве- рен, что эти функции безопас- ности действительно реализо- ваны. На сегодняшний день профили защиты разработаны для функций безопасности опе- рационных систем, межсетевых экранов (включая WAF и спе- циализированные межсетевые экраны для АСУ ТП), средств контроля отчуждаемых носи- телей, средств доверенной загрузки, средств антивирусной защиты и средств обнаружения вторжений. Если средство защиты не относится ни к одному из пере- численных выше видов, для его сертификации разрабаты- ваются индивидуальные тех- нические условия. Для того чтобы облегчить жизнь поль- зователям, ФСТЭК требует, чтобы в технических условиях были явно перечислены меры безопасности, которые могут быть реализованы данным средством защиты. Таким образом, для демонстрации соответствия требованиям субъекту КИИ может понадо- биться не только копия серти- фиката, но и заверенная про- изводителем копия техниче- ских условий, подтверждаю- щая, что средство защиты при- меняется для реализации именно тех мер защиты, для которых предназначено. Сертификация является лишь одной из допустимых форм оценки соответствия и может применяться далеко не всегда. Если для обеспече- ния безопасности используют- ся встроенные механизмы защиты прикладного про- граммного обеспечения, не имеющего сертификатов ФСТЭК, это допустимо при условии, что будут проведены самостоятельные испытания или приемка. При этом: l испытания механизмов защи- ты программного продукта про- водятся до или в процессе соз- дания, например, для того, чтобы оценить, насколько они пригодны для реализации мер защиты; l приемка проводится в целом в порядке, предусмотренном приказом № 239, и включает в себя испытания функций без- опасности всех компонентов. Таким образом, при создании системы безопасности совер- шенно необязательно (а во мно- гих случаях и невозможно) ограничивать свой выбор толь- ко сертифицированными сред- ствами защиты. Второй момент касается собственно приемки. Перед тем как ИС будет введена в экс- плуатацию, необходимо прове- сти предварительные испыта- ния системы безопасности, ее опытную эксплуатацию, анализ уязвимостей и приемочные испытания. В ходе предварительных испытаний проверяется, дей- ствительно ли система безопас- ности значимого объекта КИИ выполняет свои функции и не оказывает ли она негативного влияния на реализованные в ней технологические процессы. Если в ходе предварительных испытаний выясняется, что система безопасности мешает функционированию, проводится ее доработка. В ходе опытной эксплуатации оценивается полнота и конси- стентность эксплуатационной документации, а самое глав- ное – наличие у пользователей и администраторов знаний и навыков, необходимых для выполнения требований без- опасности. Таким образом, до того как значимый объект КИИ будет введен в эксплуатацию, требу- ется убедиться, что его система безопасности действительно обеспечивает защиты от угроз. Объект может быть введен в эксплуатацию только после того, как анализ уязвимостей подтвердит, что в его компо- нентах отсутствуют уязвимости или что выявленные в них уязвимости не могут быть использованы нарушителем для реализации угроз. И как же все это организовать? Вступление в силу приказа № 239 фактически означает, что для каждого значимого объ- екта КИИ должна быть прове- дена модернизация системы защиты. Теоретически возмож- но, что некоторые объекты изна- чально будут соответствовать требованиям ФСТЭК, но они будут скорее исключением из общего правила. Модернизация системы защи- ты (а для некоторых ИС это будет означать создание систе- мы защиты с нуля) требует серьезных бюджетов и времени. А время ограничено: до 1 сен- тября 2019 г. субъектам реко- мендовано завершить разра- ботку перечня объектов КИИ, соответственно, к 1 сентября 2020 г. ФСТЭК ожидает завер- шения категорирования объ- ектов КИИ и в 2024 г. можно ожидать масштабные проверки. Получается, что все работы по модернизации систем безопас- ности значимых объектов КИИ нужно завершить в ближайшую пятилетку. К счастью, это не так. Кроме приказа № 239 есть приказ ФСТЭК от 21 декабря 2017 г. № 235 “Об утверждении Требо- ваний к созданию систем без- опасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования”. Особен- ность этого приказа в том, что он первым в российской нор- мативной базе устанавливает необходимость руководство- ваться моделью PDCA. В соот- ветствии с этим приказом соз- дание системы безопасности значимого объекта КИИ – не разовая работа, а процесс 16 • В ФОКУСЕ