Поделиться
Почему подключение к ГосСОПКА задерживается
В 2018 году начали действовать дополнительные и обязательные правила обеспечения безопасности ИТ-инфраструктуры посредством системы ГосСОПКА, к которой необходимо подключиться всем компаниям, имеющим объекты критической информационной инфраструктуры. К чему нужно быть готовым и как избежать типовых ошибок – поговорим в этой статье.
Новые правила обеспечения безопасности и положения о системе ГосСОПКА отражены в федеральном законе ФЗ-187 об обеспечении безопасности критической информационной инфраструктуры (КИИ), вступившем в силу 1 января 2018 г. Закон регламентирует необходимость защиты объектов КИИ: информационных систем, информационно-телекоммуникационных сетей и автоматизированных систем управления. Безопасность должны обеспечивать владельцы компаний из 13 отраслей: здравоохранения, науки, транспорта, связи, энергетики, финансовой, топливно-энергетической, атомной энергетики, оборонной, ракетно-космической, горнодобывающей, металлургической и химической. Это достаточно широкий круг организаций, которые теперь решают ряд вопросов: с чего начать, что учесть, на что обратить внимание, как избежать ошибок и без опасности для себя подключиться к перспективной системе обеспечения информационной безопасности.
Практически во всех проектах подключения к системе ГосСОПКА есть одна общая черта – растянутые сроки. В идеале весь проект должен быть реализован за полгода, но на практике такой срок уходит только на этап аудита. Почему так происходит? С одной стороны, подключение к новой системе еще не стало массовым, нет достаточного опыта. С другой стороны, несмотря на то, что директива объявлена, такие проекты пока еще не в приоритете: изначально взят спокойный темп или все внимание уделяется другим ИТ-задачам. К тому же наблюдается нехватка экспертизы, с которой процесс подключения к системе был бы управляемым и прозрачным. Такую экспертизу имеют компании, обладающие большим опытом проведения аудита ИТ-инфраструктур и внедрения решений информационной безопасности, чья деятельность лицензирована и соответствует требованиям законов Российской Федерации, ФСТЭК и ФСБ.
IBS Platformix оказывает весь спектр услуг в рамках подключения к системе ГосСОПКА и имеет все необходимые лицензии.
ГосСОПКА разрабатывалась федеральными органами исполнительной власти с 2013 г. Ключевая идея создания данной системы – централизованная борьба и защита объектов КИИ от компьютерных атак, своевременное устранение всех последствий атак и инцидентов информационной безопасности. Все подключенные к ГосСОПКА организации обязаны самостоятельно отправлять сведения об инцидентах информационной безопасности, о ликвидации и обезвреживании атак на критическую информационную инфраструктуру компании.
Вся информация собирается в НКЦКИ и передается другим подключенным к системе организациям. Таким образом, находясь в системе ГосСОПКА, организации будут своевременно получать достоверную информацию об инцидентах, угрозах и средствах защиты. Компании, подключенные к системе ГосСОПКА, смогут быстрее реагировать на инциденты, используя в том числе, превентивные методы защиты.
Система ГосСОПКА представлена территориально-распределенными центрами, находящимися под управлением главного и региональных центров, созданных ФСБ. Центры могут также создаваться органами государственной власти (ведомственные центры), коммерческими или государственными компаниями (корпоративные центры), имеющими лицензии в области защиты информации.
Основные функции системы: выявление уязвимостей и анализ угроз, прием сообщений о возможных инцидентах, обнаружение компьютерных атак, анализ данных о событиях безопасности, регистрация инцидентов, реагирование на инциденты и ликвидация их последствий, расследование инцидентов и анализ результатов устранения последствий инцидентов.
О системе ГосСОПКА
Система ГосСОПКА – единая система предупреждения и борьбы с компьютерными атаками. Аккумулируя информацию об инцидентах информационной безопасности, она позволяет государственным и коммерческим организациям оперативно реагировать на компьютерные атаки.
Для подпадающих под действие закона о КИИ компаний важность подключения к системе ГосСОПКА определяется двумя факторами: полезностью использования системы для самих компаний, а также ответственностью компаний и ответственных лиц за игнорирование предписаний или некорректное их исполнение.
Сначала о полезности. В системе ГосСОПКА реализованы принципы превентивной защиты, оперативной и адекватной реакции на инцидент. Благодаря системе, информационная безопасность компании перестает быть «вещью в себе». Специалисты по информационной безопасности получают максимум достоверной информации для подготовки к возможным атакам, их отражению и устранению нежелательных последствий. Система информационной безопасности состоит из актуальных и сертифицированных решений, а в процессе работы системы формируется общая база знаний об атаках и средствах борьбы с ними. Таким образом, каждая подключенная к системе организация получает возможность принятия обоснованных решений в части информационной безопасности в процессе развития собственной ИТ-инфраструктуры.
Теперь об ответственности. Федеральный закон №194-ФЗ от 26.07.2017 предполагает уголовную ответственность. В случае нарушения правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в КИИ, либо в случае утечки информации, повлекшей причинение вреда КИИ Российской Федерации, ответственные лица наказываются принудительными работами на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.
Подключение к системе ГосСОПКА
Для подключения к системе ГосСОПКА каждая организация должна пройти три этапа самостоятельно или с помощью эксперта.
Первый этап – аудит и инвентаризация информационных систем для формирования списка объектов КИИ, согласование перечня с федеральными органами исполнительной власти (ФОИВ), категорирование объектов КИИ инфраструктуры.
Второй этап – разработка частной модели угроз и модели нарушителя для значимых объектов КИИ. Затем, внедрение средств защиты для значимых объектов КИИ в соответствии с требованиями регуляторов.
Третий этап – подключение к центрам системы ГосСОПКА и передача сведений об инцидентах информационной безопасности.
Срок реализации подключения к системе ГосСОПКА зависит от масштабов организации и количества объектов КИИ, архитектуры информационных систем и бизнес-процессов, используемых средств защиты информации и, главное, от инструкций и методов непосредственно подключения к системе, которые в данный момент утверждаются ФСБ.
В идеальной картине первый этап по времени занимает 2 месяца, второй этап – примерно 2-3 месяца, третий этап – 2 месяца. В итоге всего полгода, но на практике процесс может растянуться на год или полтора.
I этап – категорирование объектов критической информационной инфраструктуры
В определенном смысле этот этап является самым сложным. Он требует глубокого изучения организационной и технической сторон вопроса. Прежде всего, каждая организация должна сформировать специальную комиссию, которая проведет аудит и инвентаризацию информационных систем и автоматизированных систем управления, сформирует перечень объектов и согласует его с ФСТЭК.
Этот этап включает анализ внутренней документации, уточнение технологических процессов и их схем, обследование и описание компонентов информационных систем (сбор сведений о структуре информационных систем, разработка карт логической и физической структуры информационных систем, составление карты взаимодействия автоматизированных систем между собой), анализ мер и средств защиты (сбор сведений об используемых мерах и средствах защиты, оценка соответствия текущего состояния защищенности требованиям российских регуляторов).
В результате обследования происходит формирование перечня бизнес-процессов и идентификация критических бизнес-процессов организации, затем определение категорий значимости объектов КИИ и категорирование объектов КИИ в соответствии с оценкой параметров их значимости.
Есть нюанс: указ о создании единой системы по защите информации Президент РФ подписал еще в 2013 году, ряд правовых актов был выпущен до принятия ФЗ №187. Есть примеры, когда организации заранее составляли перечень объектов, не дожидаясь утверждения законопроектов. После этого сформированный перечень объектов был согласован во ФСТЭК. Произошли изменения в требованиях подзаконных актов, которые касаются субъектов КИИ и объектов КИИ, формирования перечня систем, сдвинулись сроки предоставления информации, в самом субъекте добавились или изменились объекты КИИ, появились новые информационные системы. Компаниям-первопроходцам пришлось начинать путь заново.
Если составление перечня и его согласование с ФСТЭК поручить внешнему эксперту, то появится дополнительная гарантия успешного категорирования объектов КИИ. На момент проведения обследования эксперты руководствуются и учитывают все изменения в требованиях и нормативно-правовой документации.
На первом этапе IBS Platformix проводит аудит и инвентаризацию информационных систем для категорирования объектов критической информационной инфраструктуры и определения значимости объектов критической информационной инфраструктуры.
Собственно, цель категорирования объектов КИИ – это присвоение каждому из объектов критической информационной инфраструктуры одной из категорий значимости либо принятие решения об отсутствии необходимости присвоения им одной из категорий значимости. Существует три категории значимости, где самая высокая категория – первая, самая низкая – третья.
Категорирование объектов критической информационной инфраструктуры осуществляется на основе оценки пяти параметров. Первый – социальная значимость: оценка возможного ущерба, причиняемого жизни или здоровью людей, возможности прекращения или нарушения функционирования объектов обеспечения жизнедеятельности населения, транспортной инфраструктуры, сетей связи, максимального времени отсутствия доступа к государственной услуге для получателей такой услуги. Второй параметр – политическая значимость: оценка возможного причинения ущерба интересам Российской Федерации в вопросах внутренней и внешней политики. Затем учитываются экономическая значимость, для этого проводится оценка возможного причинения прямого и косвенного ущерба субъектам критической информационной инфраструктуры или бюджетам Российской Федерации, и экологическая значимость с оценкой уровня воздействия на окружающую среду. Последний, пятый параметр – значимость объекта критической информационной инфраструктуры для обеспечения обороны страны, безопасности государства и правопорядка.
Важно учесть, если появляются новые объекты – новая информационная система или автоматизированная система управления техническим процессом – они должны быть включены в перечень и категорированы. Для этого все вопросы касательно защиты объектов обсуждаются с ФСТЭК, а вопросы подключения и изменений в части системы ГосСОПКА – с ФСБ через официальный письменный запрос.
II этап – внедрение средств защиты объектов
На втором этапе проверяется соответствие систем защиты информации для значимых объектов. При необходимости внедряется комплекс технических средств защиты информации. В приказе №239 от 25 декабря 2017 г. «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры РФ» указано, что при отправке сведений о КИИ необходимо описать, какие организационные и технические меры применяются для обеспечения безопасности объекта критической информационной инфраструктуры. Если на категорирование дается один год, то до истечения срока и после согласования перечня КИИ во ФСТЭК компаниям необходимо успеть внедрить соответствующие средства защиты для объектов КИИ и приложить эту информацию в результаты категорирования по форме в ФОИВ.
Для обеспечения безопасности значимых объектов КИИ необходимо выполнить анализ рисков, разработать модель угроз информационной безопасности, сформировать требования к средствам защиты информации, разработать организационные меры по обеспечению безопасности значимых объектов КИИ, внедрить организационные и программно-технические меры по обеспечению безопасности значимых объектов КИИ, провести обучение и повышение компетенций сотрудников в области информационной безопасности.
На втором этапе эксперты IBS Platformix внедряют методы защиты критической информационной инфраструктуры в соответствии с требованиями регуляторов, если есть несоответствие в части требований системы ГосСОПКА.
III этап – подключение к системе ГосСОПКА
Подключение к системе ГосСОПКА является заключительным, третьим шагом. После успешного подключения к системе ГосСОПКА и отладки всех процессов, компания готова к проверке со стороны федеральных органов исполнительной власти на предмет выполнения требований законодательства в области защиты критической информационной инфраструктуры. На этом этапе IBS Platformix, используя корпоративный центр ГосСОПКА, организует взаимодействие с госорганами и подключение к системе ГосСОПКА. Для реализации третьего этапа необходимо дождаться утверждения всех проектов документов ФСБ о регламенте подключения к центрам ГосСОПКА. Тем не менее, хотя документы еще не введены в действие, всем субъектам КИИ уже необходимо завершать первый этап и приступать ко второму этапу.
Заключение
Подключение к системе ГосСОПКА – длительная и довольно трудоемкая процедура, в которой до сих пор остается некоторая неопределенность. Тем не менее, ожидаемая полезность от подключения к системе, а также санкции за неподключение со стороны регуляторов не оставляют выбора. Подключаться нужно, и начинать этот процесс необходимо уже сегодня. Чтобы процесс прошел гладко, не стоит рассчитывать только на свои силы – разумно привлечь поставщика, который уже решал подобные задачи и имеет необходимый опыт.
Короткая ссылка
