Журнал "Information Security/ Информационная безопасность" #5, 2022

по каждому событию операционного риска, связанного с нарушением опера- ционной надежности, фактических значений показателей, а также обеспе- чить контроль соблюдения значений целевых показателей. Для реализации указанных в положе- ниях № 787-П и № 779-П требований необходимо разработать (актуализиро- вать) комплект нормативно-методиче- ских документов. В документах должны быть регламентированы процедуры: l выявления, регистрации событий опе- рационного риска, связанных с наруше- нием операционной надежности; l обеспечения непрерывности деятель- ности при наступлении события опера- ционного риска, связанного с наруше- нием операционной надежности; l организации взаимодействия с участни- ками технологического процесса и заинте- ресованными сторонами. Выполнение требований по операционной надежности Кроме рассмотренных выше процедур, финансовые организации должны обес- печить выполнение следующих процес- сов и процедур: l управление уязвимостями и обновле- ниями; l планирование и внедрение изменений в критичной архитектуре; l управление конфигурациями объектов информационной инфраструктуры; l управление рисками реализации информационных угроз и технической зависимости функционирования инфор- мационной инфраструктуры при при- влечении поставщиков услуг; l моделирование информационных угроз в отношении критичной архитек- туры. Как правило, при реализации требо- ваний к обеспечению защиты информа- ции в соответствии с положениями Банка России № 683-П и № 757-П в ФО ука- занные процессы и процедуры уже долж- ны быть реализованы. Следует удосто- вериться, что ранее внедренные про- цессы защиты информации в том числе охватывают все компоненты критичной архитектуры. Практические мероприятия по повышению киберустойчивости Банк России сформировал отдельные отраслевые требования. Казалось бы, организациям остальных отраслей не на что опереться. Однако проблема обеспечения киберустойчивости в миро- вом масштабе актуальна достаточно давно, сформированы и применяются лучшие практики, международные стан- дарты обеспечения непрерывности про- цессов и систем. И в отечественных нормативно-правовых актах по отдель- ным направлениям (например, по без- опасности КИИ РФ) уделяется большое внимание вопросам управления инци- дентами информационной безопасно- сти, обеспечению доступности, плани- рованию действий в нештатных ситуа- циях. Приведем основные шаги, позволяю- щие повысить киберустойчивость инфра- структуры предприятия вне зависимости от его отраслевой принадлежности: 1. Определить, какие системы поддер- живают и/или обеспечивают управление и контроль критических процессов. 2. Оценить, к каким негативным последствиям в худшем сценарии могут привести действия злоумышленников в отношении систем. Исходя из этого, определить, насколько чувствительны отдельные системы для процессов орга- низации, каково допустимое время их простоя и время допустимой потери дан- ных. 3. Обеспечить создание резервных копий и тестирование возможности вос- становления систем из них. При небла- гоприятном стечении обстоятельств, когда злоумышленники достигли цели и парализовали работу отдельных систем и/или процессов, наличие актуальных резервных копий может гарантировать, что прерывание процессов не будет катастрофичным. При формировании плана резервного копирования необхо- димо учесть не только непосредственно данные систем, но и данные связанной инфраструктуры (например, конфигура- ции телекоммуникационного оборудо- вания, средств защиты информации). 4. Обеспечить своевременную уста- новку необходимых обновлений. Зло- умышленники могут в первую очередь ориентироваться на легкодостижимые цели, например общедоступные сервисы с известными уязвимостями. 5. Слабые или заданные по умолча- нию пароли, скомпрометированные учет- ные записи значительно упрощают реа- лизацию атаки. Анализ результатов про- водимых оценок защищенности пока- зывает, что пользователи и администраторы зача- стую используют легко подбираемые пароли на критичных сервисах. Использование на регу- лярной основе специализированных решений для проверки соответствия учетных записей требованиям безопас- ности можно отнести к одному из шагов. 6. Формализовать подход к реагиро- ванию на инциденты, по возможности регламентировать правила взаимодей- ствия и порядок действий внутренних подразделений и привлечения третьих сторон. Отсутствие четкого плана дей- ствий и понимания зон ответственности приводит к потере времени в случае нештатных ситуаций и инцидентов, что увеличивает масштаб возможных нега- тивных последствий и время после- дующего восстановления систем и про- цессов. Нельзя не отметить, что одним из важнейших вопросов в рамках обес- печения киберустойчивости в текущих условиях является выбор ИТ- и ИБ- решений. Многие зарубежные произво- дители покинули российский рынок, основная часть зарубежных решений перестала полноценно функционировать, продлить подписки нет возможности, с обновлениями также возникают про- блемы. Кроме того, усиливается зако- нодательное регулирование в части ограничения применения иностранного ПО и средств защиты информации. Замена неподдерживаемого оборудо- вания и ПО является одной из задач в рамках обеспечения киберустойчиво- сти. При этом заменить все и сразу, как правило, не представляется возможным, в том числе ввиду ограниченности финансовых и временных ресурсов. При планировании замены также целесооб- разно учитывать критичность отдельных систем и оборудования: в первую оче- редь внимания требуют те, которые обеспечивают критические процессы, где потенциальное влияние инцидентов и сбоев может привести к критичным последствиям. l • 43 УПРАВЛЕНИЕ www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ "АМТ-ГРУП" см. стр. 52 NM Реклама