В условиях стремительного развития цифровых технологий и увеличения объемов информационного обмена защита информационных систем выходит на первый план. Это особенно актуально для критически важных объектов информационной инфраструктуры (КИИ) — таких систем, сбои в работе которых способны привести к серьезным последствиям: от подрыва национальной безопасности до существенного вреда экономике, здоровью населения и экологии.
Современные киберугрозы постоянно развиваются, становясь более изощренными и сложными. Под ударом и государственные, и частные организации по всему миру. При этом особенно часто объекты КИИ становятся целями атак, поскольку это быстрый доступ к критически важной информации и парализации жизненно важных процессов.
В таких условиях обеспечение безопасности КИИ — не просто техническая задача, а стратегическая необходимость.
Рассмотрим основные аспекты защиты объектов критической информационной инфраструктуры организации, а также подходы к организации мер безопасности в организациях такого типа.
1. Понятие и классификация объектов критической информационной инфраструктуры организации
2. Угрозы безопасности объектов КИИ
4. Моделирование угроз безопасности информации объектов КИИ
6. Организационные и технические меры защиты объектов КИИ
Критическая информационная инфраструктура (КИИ) представляет собой совокупность автоматизированных систем управления, информационных ресурсов и телекоммуникационных сетей, от стабильной работы которых зависит функционирование важнейших секторов экономики и социальной сферы.
В соответствии с Федеральным законом № 187-ФЗ от 26 июля 2017 года «О безопасности критической информационной инфраструктуры Российской Федерации», к объектам КИИ могут относиться системы, задействованные в следующих отраслях (см. изобр.).
Конкретно на предприятии к объектам КИИ относятся:
Каждый объект КИИ подлежит категорированию — определению его социальной, экономической, политической, экологической значимости, а также значимости для обеспечения обороны страны, безопасности государства и правопорядка для минимизации возникновения инцидентов с критической инфраструктурой. Согласно Федерального закону от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», значимый объект критической информационной инфраструктуры — это объект КИИ, которому присвоена определенная категория значимости и который внесен в реестр значимых объектов критической информационной инфраструктуры.
Выделяются три категории значимости:
Категорирование объектов производится самостоятельно субъектами КИИ по установленным методикам и утверждается регуляторами.
Согласно этому закону также утверждены основные принципы обеспечения безопасности объектов критической информационной инфраструктуры.
Объекты КИИ относятся к обеспечению жизненно важных процессов как в рамках государства, так и отдельной компании. Это инфраструктура в энергетике, транспорте, связи, финансах, здравоохранении и других областях. Минимальный сбой, вызванный атакой может привести к серьезным последствиям — от срыва работы отдельных предприятий до угроз национальной безопасности и блокировки работы всего государства.
Важно понимать! Одним из ключевых аспектов обеспечения устойчивости КИИ является своевременное выявление и нейтрализация потенциальных угроз.
Поэтому важно понимать, какие риски для инфраструктуры существуют сейчас, чтобы обеспечить меры пресечения.
Постоянные расширенные атаки — от английского Advanced Persistent Threat (APT). Представляют собой длительные, хорошо подготовленные и сложные киберкампании. Они требуют значительных ресурсов и планирования со стороны злоумышленников.
Чаще всего такие атаки нацелены на критическую информационную инфраструктуру, поскольку стандартные методы взлома могут оказаться неэффективными из-за высокого уровня защиты таких объектов.
DDoS-атаки — это атаки, при которых системы перегружаются за счет массовых запросов, что приводит к отказу в обслуживании или полной недоступности сервиса.
Особую опасность они представляют при атаках на объекты КИИ: DDoS-атаки часто используются как прикрытие или как часть более сложных кампаний, включая таргетированные атаки.
Вредоносное программное обеспечение, которое включает вымогателей, шифровальщиков и шпионские программы, используемое злоумышленниками для получения доступа к конфиденциальной информации. Целью таких атак может быть кража коммерческой тайны или персональных данных сотрудников.
Утечка этих данных может привести к захвату контроля над объектами критической информационной инфраструктуры или стать основой для последующих атак с использованием методов социальной инженерии — через изучение поведения сотрудников и создание персонализированных сценариев атак.
Компрометация учетных записей — один из самых опасных типов кибератак на объекты критической информационной инфраструктуры. Злоумышленники при получении доступа к логинам и паролям сотрудников, особенно менеджеров среднего и выше звена, могут проникнуть во внутренние системы КИИ, обойти механизмы аутентификации и фактически получить контроль над ключевыми ресурсами.
Полученные учетные данные могут использоваться злоумышленниками в различных целях.
Инсайдерские угрозы. Еще один тип угроз для критической информационной инфраструктуры, который особенно сложно обнаружить. Речь идет о сотрудниках организации или подрядчиках, имеющих легитимный доступ к чувствительной информации или ключевым системам и действующих во вред работе предприятия.
В отличие от внешних атак, действия инсайдеров сложнее выявить. Зачастую инсайдеры не вызывают подозрений на ранних этапах, что усложняет блокировку их действий. Заранее спланированные злонамеренные действия таких лиц могут привести к утечке конфиденциальных данных, выводу из строя критических компонентов или даже к полной остановке работы объекта.
На значимых объектах КИИ последствия могут быть особенно тяжелыми, ведь от стабильности их работы зависит многое. Успешная инсайдерская атака на объект КИИ может привести к различным по масштабности последствиям — начиная от сбоев в работе целых отраслей до угрозы жизни и здоровью людей (например, в энергетике, транспорте или здравоохранении).
Помимо технических атак со стороны внешних злоумышленников, возрастают риски, связанные с внутренними нарушениями, человеческим фактором и уязвимостями в программном обеспечении.
Важно понимать! Угрозы объектам КИИ могут вызывать не только технический ущерб. Инцидент на объекте критической информационной инфраструктуре может привести к политическому кризису, экономическому и социальному коллапсу в стране.
Законодательство в области обеспечения безопасности критической информационной инфраструктуры возлагает на организации ряд обязательств, направленных на системное управление информационной безопасностью. Прежде всего, организации обязаны провести процедуру категорирования, в рамках которой определяется значимость каждого объекта КИИ с точки зрения возможных последствий нарушения его функционирования. Результаты категорирования оформляются утвержденным перечнем значимых объектов, который должен быть официально закреплен в организации.
На основе категорирования организации разрабатывают модели угроз, учитывающие потенциальные векторы и сценарии реализации компьютерных атак, а также формируют комплекс организационных и технических мер по защите информации. Помимо разработки защитных мер, субъекты КИИ обязаны осуществлять постоянный мониторинг состояния безопасности своих объектов и регулярно предоставлять отчетность в уполномоченные органы.
Особое внимание в законодательстве уделяется инцидентам в области информационной безопасности: организации обязаны своевременно информировать регуляторов о киберинцидентах, в том числе о попытках несанкционированного доступа или иных действиях, угрожающих функционированию значимых объектов, в строго установленные сроки.
Защита критической информационной инфраструктуры в России регулируется обширным набором нормативных правовых актов, охватывающих как общие принципы безопасности, так и конкретные технические требования. Рассмотрим ключевые НПА по этой теме.
Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 г.
Это базовый закон, определяющий правовые и организационные основы обеспечения безопасности КИИ в России. В рамках этого закона определяется понятие и субъектность КИИ, устанавливают обязанности субъектов по обеспечению безопасности, регламентируются процедуры категорирования объектов. Также определяются полномочия уполномоченных органов в области регулирования безопасности объектов критической информационной инфраструктуры в РФ, включая обязанности Федеральной службы по техническому и экспортному контролю и Федеральной службы безопасности. Также в Федеральном законе № 187 описаны меры ответственности за нарушение требований безопасности этих объектов.
Приказ ФСТЭК России от 25.12.2017 г. №239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
В рамках этого приказа утверждаются меры по обеспечению безопасности значимых объектов критической информационной инфраструктуры организации на всех этапах жизненного цикла этих объектов. Также устанавливаются требования к организационно-техническим мерам защиты. Приказ ФСТЭК скорее конкретизирует требования предыдущего закона, уточняя и очерчивая ориентиры для реализации мер по защите информации.
Приказ ФСТЭК России от 21.12.2017 г. № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования».
Этот Приказ утверждает основные требования к созданию систем безопасности значимых объектов КИИ и обеспечению их функционирования. В том числе требования к техническим и программным средствам защиты, контролю и оценке эффективности применяемых мер. В большей степени этот приказ касается практической защиты объектов критической информационной инфраструктуры организации.
Постановление Правительства РФ от 08.02.2018 г. № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений».
Этот нормативно-правовой акт определяет критерии и показатели значимости объектов КИИ и обеспечивает методологическую основу для процесса категорирования.
Приказ ФСТЭК России от 06.12.2017 г. № 227 «Об утверждении Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации».
Этот НПА утверждает порядок ведения реестра значимых объектов КИИ РФ, его структуру и содержание.
Этот перечень нормативных документов и методических рекомендаций формирует комплексную правовую и организационную основу для обеспечения безопасности критической информационной инфраструктуры в России.
Согласно законодательству Российской Федерации, в том числе методическим рекомендациям ФСТЭК, моделирование угроз безопасности информации для объектов критической информационной инфраструктуры включает несколько последовательно выполняемых этапов, каждый из которых регламентирован и направлен на создание обоснованной и актуальной модели угроз. Рассмотрим основные этапы, предусмотренные нормативной базой РФ.
Моделирование угроз безопасности информации объектов КИИ — это процесс системного выявления, анализа и документирования возможных угроз, которые могут повлиять на безопасность информации в рамках критической информационной инфраструктуры.
Моделирование угроз КИИ оговорено в Федеральный закон № 187-ФЗ, как часть обязанностей субъектов КИИ и регламентируется в приказе ФСТЭК № 235 и Методических рекомендациях ФСТЭК по построению моделей угроз безопасности.
Цели моделирования угроз безопасности информации объектов КИИ:
Из каких этапов состоит моделирование угроз информационной безопасности КИИ? Рассмотрим подробнее.
Сбор и анализ исходных данных об объекте КИИ
Организация, относящаяся к объектам критической инфраструктуры должна собрать техническую, архитектурную, технологическую и организационную информацию о своей работе и используемой информации. Это полное описание бизнес-процессов, существующей структуры информационной системы, перечисление используемых технологий и программно-аппаратных средств защиты и режимов функционирования предприятия.
Идентификация активов
Этот необходим для создания четкого структурированного списка всех активов на предприятии. В рамках этого этапа проводится инвентаризация и сбор данных об используемых активах на предприятии, а также анализ бизнес-процессов, которые из них критичны для предприятия.
Разграничение идентифицированных активов и выявление элементов, входящих в круг КИИ
На этом этапе необходимо определить из полученного полного списка активы, которые напрямую задействованы в выполнении критических функций, влияющих на устойчивость, безопасность и жизнедеятельность объектов КИИ. Активы, которые выполняют вспомогательную роль, то есть не оказывают прямого влияния на критические процессы. Такие активы важны для функционирования системы в целом, но не относятся к критической инфраструктуре напрямую. А также не связанные с КИИ, то есть служебные, второстепенные активы, которые не влияют на функционирование критических процессов.
Правильно соотнести все информационные активы на предприятии согласно их значимости поможет оценка на основании критериев финансового, репутационного, вреда для жизни и здоровья людей и других видов ущерба.
Список объектов КИИ по итогу оценки активов оформляется в виде документа. Также при необходимости этот документ согласовывается и в некоторых случаях направляется в ФСТЭК России.
Выявление уязвимостей
На этом этапе определяются возможные точки атаки, которые приведут к сбою, утечке, несанкционированному доступу и другим типам инцидентов информационной безопасности. Этот этап позволяет понять: от кого защищаться, что именно может быть атаковано и какими способами. Для выявления уязвимостей могут применяться следующие методы:
Формирование перечня потенциальных угроз
Осуществляется на основе известных опубликованных баз регуляторов, корпоративного опыта в области информационной безопасности и специфики бизнес-объекта.
Угрозы информационной безопасности можно классифицировать по происхождению (внутренние или внешние), типу воздействия (преднамеренные или случайные), наступившим последствиям (нарушение конфиденциальности, целостности, доступности информации), по типу атакующего (программное воздействие, природное явление, инсайдер и др.).
Оценка актуальности угроз и анализ сценариев их реализации
Для каждого типа угроз необходимо произвести оценку их актуальности для конкретного объекта критической инфраструктуры. На основе этой оценки можно составить несколько сценариев реализации самых главных угроз, включая сценарии проникновения, использования различных средств атаки, способов обходов защитных мер и возможные последствия наступления оцениваемых сценариев. Также оцениваются риски и критичность этих сценариев.
Разработка модели угроз
На основании предыдущих этапов формируется итоговая модель угроз — документ, в котором зафиксированы актуальные для конкретного типа предприятия, входящего в список объектов КИИ, угрозы, их источники и возможные сценарии реализации.
Документ по моделированию угроз информационной безопасности КИИ утверждается руководством организации и используется как основа для выбора и обоснования мер защиты информации на предприятии.
Актуализация модели угроз
Модель угроз информационной безопасности объектов КИИ подлежит обязательному пересмотру и обновлению при изменениях в конфигурации объекта критической инфрасруктуры, выявлении новых уязвимостей. Причиной может также служить изменение уровня значимости объекта, если тот включен в реестр объектов КИИ, или наоборот — исключение из списка объектов критической информационной инфраструктуры. Также актуализация модели угроз может быть реализована по предписанию регуляторов после проверки, произошедших инцидентов безопасности или из-за обновления списка угроз ФСТЭК.
Важно понимать! Модель угроз служит основой для проектирования системы защиты и обязательна для всех значимых объектов КИИ.
Создание модели угроз безопасности объектов критической инфраструктуры организаций позволяет адекватно и в соответствии с имеющимися возможностям предприятия оценить риски информации, обосновать применяемые меры защиты, предупредить нарушения законодательства в области защиты КИИ.
Отсутствие модели угроз на значимом объекте КИИ является прямым нарушением Федерального закона № 187-ФЗ, а также подзаконных актов ФСТЭК. За такие нарушения предусмотрена административная ответственность для должностных лиц в размере штрафа до 20 000 рублей, и для юридических лиц в размере штрафа до 100 000 рублей, в том числе с возможностью повторного привлечения к ответственности.
Так, отсутствие модели угроз или ее низкая актуальность приводит к инциденту информационной безопасности (например, утечке персональных данных, остановке производства или нарушению технологических процессов), финансовый, репутационный, коммерческий ущерб от которого может исчисляться миллионами рублей.
Защита объектов КИИ требует комплексного подхода, сочетающего как организационные, так и технические меры.
Организационные меры защиты объектов КИИ — это управленческие, регламентные и процедурные действия, направленные на обеспечение устойчивости и безопасности функционирования критической информационной инфраструктуры организации.
Иными словами, это не технические средства, а правила, инструкции и действия персонала, которые обеспечивают защиту от угроз информационной безопасности и соблюдение профильного законодательства в области защиты объектов КИИ.
К организационным мерам защиты объектов критической информационной инфраструктуры организации относятся следующие меры.
Технические меры защиты объектов критической информационной инфраструктуры (КИИ) — это это все применяемые программные, аппаратные и программно-аппаратные, а также физические средства, предназначенные для обеспечения информационной безопасности и устойчивости функционирования объектов КИИ. Они направлены на предотвращение, обнаружение и устранение компьютерных атак, сбоев, несанкционированного доступа и иных воздействий на информационной поле предприятия.
К техническим мерам защиты объектов КИИ относятся:
Получить консультацию по использованию DLP-системы Falcongaze SecureTower можно по ссылке.
Для тестирования системы в условиях вашей компании доступен тридцатидневный бесплатный период.
Важно понимать! Система защиты объектов КИИ должна быть многоуровневой, постоянно адаптируемой к изменяющимся угрозам и требованиям регуляторов.
Даже самые продвинутые технологии неэффективны без подготовленного персонала. Именно человеческий фактор остается одной из самых популярных причин инцидентов информационной безопасности.
Ключевые направления работы с персоналом:
Безопасность объектов критической информационной инфраструктуры — ключевая составляющая национальной безопасности и стабильности бизнеса. В условиях роста цифровых угроз организации обязаны не только выполнять требования законодательства, но и активно развивать свои системы защиты.
Своевременное внедрение необходимых мер позволит минимизировать риски, повысить устойчивость организации к внешним и внутренним угрозам, а также обеспечить надежную защиту важнейших информационных систем.