Журнал "Information Security/ Информационная безопасность" #4, 2018

пало с периодом перехода от защиты ключевых систем информационной инфра- структуры критически важных объектов к обеспечению безопасности критической информационной инфраструктуры Рос- сийской Федерации. При этом информа- ционные системы и автоматизированные системы управления части критически важных объектов (стадионы, гостиницы, пансионаты, пресс-центры) были исклю- чены из сферы действия Федерального закона от 26.07.2017 № 187-ФЗ "О без- опасности критической информационной инфраструктуры Российской Федерации". Общими для всех типов объектов про- верки являлись только требования зако- нодательства по защите ПДн в инфор- мационных системах персональных дан- ных, однако выполнение этих требований не позволяло нейтрализовать актуаль- ные угрозы ИБ, реализация которых позволила бы злоумышленнику нару- шить функционирование объекта. Дополнительное разнообразие внесли требования FIFA, различающиеся по типам объектов инфраструктуры чемпионата мира по футболу. Минкомсвязь России выпустила рекомендации по их выполнению на объ- ектах FIFA 2018, согласованные с ФСБ России, ФСО России и ФСТЭК России. В отдельных случаях выдвигались тре- бования по ИБ к инфраструктуре пан- сионатов и тренировочных спортивных площадок от официальных представи- телей команд – участниц чемпионата мира, касающиеся в основном систем видеонаблюдения объектов и конфи- денциальности информации. Объекты, осуществляющие обработку персональных данных граждан Евро- пейского Союза (паспорт болельщиков FAN-ID), оценивались с учетом потенци- ального риска применения Европейским Союзом санкций согласно GDPR (General Data Protection Regulation). Различные последствия компьютерных атак на объекты Наиболее трудозатратным для ауди- торов стал этап моделирования угроз и прогнозирования ущерба от компью- терных атак на объектах проверки. Осо- бенностью данного этапа стало то, что самым значимым оказалось обеспечить достоверность информации в системах автоматизированного управления и информационных системах объектов, а не конфиденциальность или целост- ность информации. Основное внимание уделялось защи- те от ложных срабатываний систем оповещения на объектах или информа- ции, отображаемых на информационных табло в результате компьютерных атак. Отдельной проблемой стала защита информационных табло, громкоговори- телей, рекламных и телевизионных устройств от возможности отображения информационного контента, содержа- щего экстремистские, расистские или иные провокационные материалы. Тре- бования FIFA по отсутствию рекламы, кроме рекламы коммерческих партне- ров на некоторых типах объектов Моск- вы, потребовали пересмотреть решения об уровне значимости информации, отображаемой на рекламных монито- рах. А штрафные санкции FIFA за подоб- ные нарушения значительно повысили стоимость инцидентов ИБ на таких объ- ектах. Акцентировалось внимание предста- вителей объектов на необходимости защиты от компьютерных атак автома- тизированных средств управления систе- мами жизнедеятельности (кондициони- рования, водоснабжения, вентиляции, освещения) и технологических систем (автоматический полив газонов, лифты). Загруженность объектов иными проверками Отдельной и существенной проблемой для организации аудита информацион- ной безопасности являлось огромное количество проверок, осуществляемых государственными надзорными органа- ми (ФСБ, МВД, МЧС, Роспотребнадзор, Ростехнадзор, транспортный надзор и т.д.) на объектах в этот же период. Сжатые сроки проведения проверок Фактор, существенно влияющий на тре- бования к профессиональному кругозору и креативности мышления аудиторов. Про- блемой для аудитора являлось не только большое количество объектов, которые было необходимо проверить в условиях ограниченного времени, но и отсутствие возможности исправить недочеты, допу- щенные при проведении аудита. Так как целью всех мероприятий по обеспечению ИБ в период подготовки к проведению чемпионата мира по футболу являлось отсутствие инцидентов информационной безопасности, которые могли повлиять на проведение чемпионата мира по футболу и/или привести к репутационным потерям для Москвы и страны, то главным крите- рием оценки деятельности аудитора при проведении проверок стал показатель количества угроз ИБ, выявленных и ней- трализованных до окончания аудита. Ограниченные ресурсы команды аудиторов Проверки выполнялись штатным подраз- делением информационной безопасности ДИТ города Москвы, не рассчитанным на такой объем дополнительной работы. Про- верка готовности объектов Москвы к чем- пионату мира по футболу являлась приори- тетной задачей подразделения, но не един- ственной. Обеспечивалась также ИБ объ- ектов Москвы, задействованных в выборах президента России в марте 2018 г. Отсутствие полномочий у аудитора ДИТ города Москвы не наделен функ- циями государственного контроля в области ИБ на городских объектах. Этот фактор негативно влиял на оператив- ность внедрения на объектах Москвы компенсирующих мер по нейтрализации угроз ИБ, выявленных в ходе аудита. Продолжение читайте в журнале Infor- mation Security № 5/2018. l • 5 В ФОКУСЕ www.itsec.ru Рис. 2. Факторы, влияющие на проведение аудита объектов Рис. 3. Объекты FIFA 2018, подлежащие проверке Ваше мнение и вопросы присылайте по адресу is@groteck.ru