Журнал "Information Security/ Информационная безопасность" #3, 2019

Приказ № 239 не ограничивает выбор системы сертификации, т.е. легитимным подтверждени- ем соответствия средства защиты требованиям без- опасности являются как сер- тификаты системы обяза- тельной сертификации ФСТЭК России, так и серти- фикаты добровольных систем сертификации, при условии, что сертификация проводилась в соответствии с методическими документа- ми ФСТЭК. Анализ уязвимостей – едва ли не самая важная часть приемки системы без- опасности. Он включает в себя: l выявление архитектурных уязвимостей на основе ана- лиза проектной и рабочей документации; l проверку корректности настройки компонентов ИС, существенных для обес- печения безопасности, включая средства защиты; l проверку наличия извест- ных уязвимостей компонен- тов с помощью средств контроля защищености (т.е. сканеров уязвимостей); l проведение тестирования на проникновение. постоянного совершенствова- ния с годовым циклом PDCA. С момента приемки объекта в эксплуатацию его владелец дол- жен ежегодно планировать мероприятия по обеспечению его безопасности, реализовы- вать их в течение года, контро- лировать их реализацию и по итогам контроля планировать на следующий год совершенство- вание системы безопасности. Создание или модернизация системы безопасности значимого объекта Необязательно ставить перед собой задачу обеспечить защи- ту от всех возможных угроз. Фактически их можно разделить на четыре категории. 1. Угрозы, реализация кото- рых может быть продемонстри- рована на практике и которые могут привести к таким послед- ствиям, из-за возможного наступления которых объекту и была присвоена категория значимости. Проще говоря, это угрозы, которые действительно могут быть реализованы и кото- рые могут привести как к значи- тельному прямому ущербу, так и к возможности уголовного преследования. 2. Прочие угрозы, реализация которых может быть продемон- стрирована на практике. 3. Теоретически возможные угрозы, реализацию которых пока не удается продемонстри- ровать на практике. 4. Угрозы, которые пока не удается спрогнозировать. Такое разделение позволяет приоритезировать работы по созданию и модернизации системы защиты. Целью дея- тельности по обеспечению без- опасности значимых объектов КИИ является их защита от угроз первых трех категорий. Для приемки системы безопас- ности достаточно обеспечить защиту от угроз первых двух категорий. Но для относитель- ного спокойствия владельца значимого объекта достаточно создать систему безопасности, которая обеспечит защиту от угроз первой категории. Таким образом, приступая к созданию или модернизации системы безопасности, субъекту КИИ стоит разделить меры без- опасности на две категории: l первостепенные меры без- опасности, которые необходимы для защиты от угроз первой категории; l второстепенные меры без- опасности, которые необходимы для защиты от угроз второй и третьей категорий. Методические документы ФСТЭК предоставляют опреде- ленную свободу в выборе спо- собов, которыми реализуются меры безопасности. Меры без- опасности могут быть реализо- ваны так, чтобы предотвращать осуществление угрозы: такая защиты эффективна с точки зрения противодействия нару- шителю, но требует серьезных вложений. Такой подход целе- сообразен только для перво- степенных мер защиты. Альтернативой является реак- тивный подход к реализации мер безопасности: внедряется минимальный объем техниче- ских средств, необходимый для обнаружения действий наруши- теля, а основной упор делается на организационные меры, поз- воляющие обеспечить противо- действие. Подобный подход в отдельных случаях может ока- заться малоэффективным, но реализованные с его использо- ванием меры защиты все равно будут соответствовать требо- ваниям приказа № 239. Таким образом, среди мер безопасности, предусмотренных приказом № 239, можно априо- ри выделить те, которые необходимо реализовать в мак- симально короткие сроки: l анализ и устранение уязви- мостей; l защита от сетевых атак с при- менением средств обнаружения вторжений и WAF; l антивирусная защита; l регистрация и анализ собы- тий безопасности; l реагирование на инциденты и фиксация свидетельств, кото- рые должны быть переданы в НКЦК, и т.п. Описанное выше разделение способов реализации позволяет сконцентрироваться на полно- ценной реализации первосте- пенных мер безопасности и осу- ществлять второстепенные меры безопасности по остаточ- ному принципу, рассматривая это как первую итерацию соз- дания системы безопасности. Такой подход позволяет создать систему безопасности, которая обеспечивает эффективную защиту от угроз первой катего- рии и формально соответствует нормативным требованиям ФСТЭК при минимально воз- можных финансовых и времен- ных затратах. При этом одновременно с первой итерацией целесооб- разно провести проектирование полноценной системы безопас- ности, которая позволит обес- печить эффективную защиту от угроз первых трех категорий. Таким образом, станет возмож- ным оценить общий объем финансирования, необходимый для создания полноценной системы безопасности, ожидае- мые сроки ее создания, а на их основе – ежегодный объем средств, который может быть выделен на последовательное совершенствование системы безопасности. Итак, после завершения первой итерации и ввода системы безопасности в эксплуатацию можно начать предусмотренный приказом № 235 цикл PDCA. На каждой следующей итерации станут совершенствоваться отдельные меры безопасности, при этом объем усовершенствований будет определяться прежде всего объемом финансирова- ния. Ежегодный контроль будет демонстрировать снижение количества и степени опасности угроз, реализацию которых система безопасности пока не способна предотвратить. Подобное итеративное совер- шенствование обеспечит посте- пенное приведение системы безопасности в сбалансирован- ное состояние, при котором затраты на ее создание и экс- плуатацию будут адекватны предотвращаемому вреду, и при этом на протяжении всего процесса совершенствования будет обеспечено ее соответ- ствие требованиям норматив- ных документов ФСТЭК. При таком подходе к обес- печению безопасности значи- мых объектов КИИ перечень базовых мер безопасности перестает быть пугающим. Да, мер безопасности довольно много, но нормативные доку- менты ФСТЭК предоставляют субъекту КИИ возможность приоритезировать их реализа- цию. Не стоит забывать, что целью федерального закона является не приведение ИС в соответствие каким-либо тре- бованиям, а защита от атак, которые сейчас умеют прово- дить даже школьники и которые могут привести к трагическим последствиям. l • 17 В ФОКУСЕ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru