Журнал "Information Security/ Информационная безопасность" #1, 2024

Создание эффективной системы защиты объектов КИИ является многоэтапным процессом, включающим в себя определение объектов защиты, аудит текущего состояния, проектирование, внедрение средств защиты и их ввод в эксплуатацию. в соответствии с актуальными угрозами информационной без- опасности, применяемыми информационными технология- ми и особенностями функцио- нирования производственного объекта, с учетом требований следующих нормативных доку- ментов: l Приказ ФСТЭК России от 21.12.2017 № 235 "Об утвер- ждении Требований к созданию систем безопасности значимых объектов критической инфор- мационной инфраструктуры Российской Федерации и обес- печению их функционирования". l Приказ ФСТЭК России от 25.12.2017 № 239 "Об утвер- ждении Требований по обес- печению безопасности значи- мых объектов критической информационной инфра- структуры Российской Феде- рации". l Приказ ФСТЭК России от 14.03.2014 № 31 "Об утвер- ждении Требований к обес- печению защиты информации в автоматизированных систе- мах управления производ- ственными и технологически- ми процессами на критически важных объектах, потенциаль- но опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды". l Приказ ФСТЭК России от 18.02.2013 № 21 "Об утвержде- нии Состава и содержания орга- низационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных дан- ных". Выше был указан ориенти- ровочный набор мер для обес- печения комплексной защиты объектов КИИ на производ- ственном объекте, теперь давайте рассмотрим алгоритм создания такой системы защиты. Алгоритм создания системы защиты Первое, с чего нужно начи- нать создание системы защи- ты, – это определение объектов защиты и состава мер, которые необходимо реализовать. Этому и была посвящена предыдущая часть статьи. Второе – это аудит, то есть оценка текущего состояния информационной безопасности с целью понять, что уже сделано (какие меры реализованы ранее), а что еще необходимо сделать для создания комплекс- ной системы защиты информа- ции 1 . Третье – проектирование системы защиты, то есть раз- работка описания системы защиты, основанного на результатах аудита (понимании текущего положения дел) и включающего компоненты и функции, которые будут включены в систему, описание того, как они будут работать вместе, какие технологии и инструменты будут исполь- зоваться для ее разработки и поддержки. Четвертое – внедрение: закупка, установка и настройка средств защиты, образующих комплексную систему защиты информации. Пятое – ввод в эксплуатацию: проведение испытаний, опытной эксплуатации и ввод в промыш- ленную эксплуатацию. Если необходимо создать комплексную систему безопас- ности с нуля или осуществить ее модернизацию (внесение существенных изменений), то все указанные пять этапов сле- дует рассматривать как проект и применять для их реализации принципы проектного управле- ния (обычно в таких случаях подходит "классическое" про- ектное управление, а не гибкие методологии). Когда система создана и функционирует, необходимо обеспечить ее дальнейшее сопровождение и совершен- ствование. Напомню знамени- тый цикл Шухарта-Деминга: Планирование (Plan) – Выпол- нение (Do) – Контроль (Check) – Корректировка/Улучшение (Act). В рамках процессов сопровождения рекомендую обеспечить: l периодическое проведение анализа эффективности систе- мы защиты информации и внедрение необходимых изменений; l учет изменений, трендов и развития технологий как в обла- сти автоматизации технологи- ческих процессов, так и инфор- мационной безопасности; l постоянное обновление про- граммного и аппаратного обеспечения с целью закры- тия уязвимостей и поддержа- ния устойчивого функциони- рования; l проведение регулярных ауди- тов безопасности, включая раз- личные виды тестирования на проникновение (внутренний нарушитель, внешний наруши- тель). В заключение следует отме- тить, что создание эффективной системы защиты объектов КИИ является многоэтапным процес- сом, включающим в себя опре- деление объектов защиты, аудит текущего состояния, про- ектирование, внедрение средств защиты и их ввод в экс- плуатацию. Однако работа не заканчи- вается на этапе создания системы. Важно обеспечить ее постоянное сопровождение и совершенствование, что поз- волит своевременно реагиро- вать на изменения в ландшаф- те угроз, закрывать новые уязвимости, следить за разви- тием технологий защиты и повышать общий уровень безопасности производствен- ного предприятия. l • 9 КИИ www.itsec.ru Когда система создана и функционирует, необходимо обеспечить ее дальнейшее сопровождение и совершенствование. Ваше мнение и вопросы присылайте по адресу is@groteck.ru Фото: playground.com 1 Подробнее о том, что такое аудит и как его проводить, можно посмотреть в статье https://lib.itsec.ru/articles2/focus/osoben- nosti-provedeniya-auditainformatsionnoy-bezopasnosti-obektov-kii