Как продолжить построение системы безопасности КИИ в условиях удаленной работы

Некоторые предприятия, относящиеся к субъектам критической информационной инфраструктуры, сейчас находятся в растерянности, не понимая, как быть с запланированными или даже уже запущенными проектами по исполнению требований Федерального закона № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Проанализируем, можно ли реализовать такой проект удаленно, и почему стоит рассмотреть такую возможность.

Часики тикают

В апреле прошлого года вышло Постановление Правительства Российской Федерации № 452 «О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127», в котором был определен срок утверждения субъектами критической информационной инфраструктуры (КИИ) перечня объектов критической информационной инфраструктуры (ОКИИ), подлежащих категорированию, и сроки проведения работ по категорированию. Не позднее 1 сентября текущего года все субъекты КИИ обязаны передать ФСТЭК России сведения о результатах присвоения объектам КИИ категорий значимости.

Времени остается мало, к тому же неизвестно, как долго продлится пандемия коронавируса, а рассчитывать на продление сроков категорирования со стороны регуляторов нецелесообразно. Кроме того, ряд отраслей, например, медицина и фармацевтика, в период эпидемий находятся под пристальным вниманием хакеров. Атакам могут подвергнуться как лечебные учреждения, переключившие все свое внимание на борьбу с вирусной угрозой, так и лаборатории, работающие над созданием вакцины.

Что нужно сделать

Напомним, что Федеральный закон № 187-ФЗ вступил в силу 1 января 2018 г. Закон дал определение объекта КИИ и установил ответственность (вплоть до уголовной) за инциденты, вызванные невыполнением требований по защите информационной инфраструктуры предприятий и повлекшие за собой негативные последствия.

Реализацию проекта по приведению ИТ-инфраструктуры в соответствие с требованиями 187-ФЗ можно разбить на три этапа.

Первый этап – категорирование объектов критической инфраструктуры. Он состоит из трех шагов:

1. Формирование комиссии по категорированию.
2. Составление перечня объектов КИИ, подлежащих категорированию.
3. Присвоение объектам КИИ степеней значимости либо обоснование их отсутствия.

Необходимо определить, какие объекты в составе организации подходят под определение КИИ, и присвоить им категории значимости. Главная сложность на этапе категорирования – эволюционное развитие предприятия и, как следствие, отсутствие полного перечня бизнес-процессов, реестров информационных систем и цифровых активов предприятия. Это затрудняет определение актуальных моделей угроз для данного типа предприятий и их активов. Собрать все нужные для категорирования данные автоматизированными средствами невозможно. Работа по сбору документации и интервьюированию руководителей бизнес-критичных подразделений может занять несколько месяцев, поэтому если она до сих пор не запущена, откладывать ее на потом просто невозможно.

Второй этап предусматривает реализацию организационных и технических мер для обеспечения безопасности значимых объектов КИИ. Его можно условно разделить еще на пять шагов:

1. Формирование технического задания на построение системы обеспечения информационной безопасности (СОИБ) для значимых объектов КИИ.
2. Пилотирование (испытания на демо-стендах либо на отдельно выделенной площадке внутри организации) средств защиты информации (СЗИ).
3. Проектирование СОИБ.
4. Разработка пакета организационно-распорядительной документации, регламентирующей порядок работы и обеспечение безопасности объектов КИИ.
5. Поставка и внедрение средств защиты информации.
6. Проведение оценки эффективности системы обеспечения безопасности значимых объектов КИИ.

Организация обычно совместно с ИТ-партнером проводит работу по обследованию ИТ-инфраструктуры и проектированию систем обеспечения информационной безопасности. ИБ-инфраструктура вновь реализуемых объектов (цеха, заводы), в соответствии с требованиями закона, с 1 января 2018 г. должна создаваться сразу с учетом данных требований.

Стоит отметить, что средства защиты чаще всего внедряются в рамках уже действующего непрерывного производственного процесса. Если в работе информационного сайта произойдет задержка в одну десятую секунды, она будет некритичной, но если такая задержка произойдет в процессе выплавки металла, то мы не получим продукт должного качества. Поэтому основная задача любого внедряемого средства защиты – не навредить технологическим процессам. И, реализуя требования регулятора, важно испытать все средства защиты, которые будет применять предприятие. Испытания проводятся на стендах. При этом необходимо создать условия, максимально приближенные к «боевым», чтобы убедиться в том, что средства защиты хорошо интегрируются с существующей производственной системой и не нарушают ее работу.

И, наконец, согласно подзаконным для 187-ФЗ актам (приказам ФСБ России), должен быть организован информационный обмен с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Предлагаемый принцип работы системы достаточно прост: при обнаружении компьютерного инцидента одним из субъектов КИИ или центров ГосСОПКА информация передается в Национальный координационный центр по компьютерным инцидентам (НКЦКИ), который анализирует ее и распространяет сведения об атаке и способах защиты по всей системе. Таким образом снижается риск распространения однотипных атак или эпидемии вредоносного программного обеспечения.

Что можно сделать удаленно

Рассмотрим подробнее перечисленные выше девять шагов реализации проекта по приведению ИБ-инфраструктуры в соответствие с требованиями Федерального закона № 187-ФЗ. Практика показывает, что возможно дойти как минимум до пятого - пилотирования средств защиты информации, исключив личное присутствие специалистов ИТ-партнера на площадке заказчика, особенно если речь идет об объектах, на которых не используются автоматизированные системы управления технологическим процессом (АСУ ТП).

С технологическими предприятиями сложнее, но и тут можно собрать всю необходимую для разработки проектной документации информацию, если заказчик глубоко погружен в бизнес-процессы и четко знает свою инфраструктуру, вплоть до расположения оборудования в стойках. Если же заказчик не настолько погружен в свои производственные процессы (например, компания недавно приобрела новые площадки), решить проблему может присутствие на местах профильных специалистов заказчика и высокая степень их вовлеченности в проект. Кроме того, к проекту должен быть привлечен ИТ-партнер, имеющий опыт удаленного аудита и реализации мер по выполнению требований регулятора. Такой опыт приобретается в ходе дистанционной работы на объектах, характеризующихся тяжелой территориальной доступностью или наличием жестких ограничений по пропуску сторонних компаний. Пандемия вынуждает адаптировать методику удаленного обследования к работе в условиях физической недосягаемости.

Как грамотно выстроить процесс, и что может пойти не так

До начала реализации удаленного проекта по защите КИИ важно грамотно организовать передачу информации ИТ-партнеру и ее защиту. Ранее большая часть таких проектов выполнялась с подписанием соглашения о неразглашении (Non-disclosure agreement, NDA), и подрядчик брал на себя обязательства соблюдать все принятые на предприятии регламенты информационной безопасности. В дистанционном формате приходится использовать технические средства, исключающие утечку информации во время передачи документов от заказчика к исполнителю и обратно. Для этого рекомендуется создать защищенный канал связи на базе специализированных решений ключевых российских вендоров, сертифицированных ФСБ России и отвечающих требованиям ГОСТ. Еще один вариант – хранить данные в защищенном облаке, если это не запрещают внутренние регламенты заказчика. Наконец, можно использовать шифрованную почту, но она имеет свою специфику. В частности, невозможно отследить цепочку переписки в браузере, что не всегда бывает удобно.

Кроме того, важно соблюдать общие требования и рекомендации ФСТЭК России по обеспечению безопасности удаленной работы для своих сотрудников, обозначенные в Письме от 20 марта 2020 г. Вот некоторые из них:

• Ни в каком виде не допускать удаленное взаимодействие с сегментом АСУ ТП.
• Выделить сотрудникам устройства, снабдив их антивирусными средствами и обеспечив идентификацию MAC-адресов на серверах объектов КИИ.
• Реализовать доступ по методу «белого списка» и только через VPN-соединение.
• Определить перечень томов, программ, файлов, каталогов, к которым возможен доступ, и назначить пользователям минимально необходимые права.
• Обеспечить двухфакторную аутентификацию.
• Сформировать для работников отдельный домен, который управляется с сервера.
• Присвоить каждому устройству сетевое доменное имя.
• Обеспечить мониторинг безопасности объектов КИИ и вести журнал регистрации действий сотрудников.
• Предусмотреть функцию блокировки сеанса удаленного доступа, если пользователь неактивен.

Главные сложности в реализации удаленных проектов по защите КИИ возникают, как правило, в части сбора информации. Важно грамотно подойти к организации этого процесса уже при первом шаге – на этапе формирования комиссии. По регламенту выполнения требований 187-ФЗ в комиссию должны быть включены не только руководители подразделений, непосредственно задействованных в работе объекта КИИ или поддерживающих его функционирование, но и представители других бизнес-критичных подразделений, например, финансового блока, или департамента ГО и ЧС.

Если изначально они не были внесены в перечень, необходимо оперативно подключить их к работе, что не всегда бывает легко сделать дистанционно. В этом случае ИТ-провайдер опирается на свой опыт работы с клиентами той или иной отрасли. Такой опыт позволяет сервисной компании сформировать особый перечень наводящих вопросов, позволяющих при удаленном взаимодействии определить все бизнес-критичные процессы конкретного субъекта КИИ.

После формирования комиссии можно, как и при очном обследовании, создать план-график интервьюирования. Здесь важно заранее обозначить заказчику круг вопросов по каждому направлению, чтобы к моменту интервью он уже был готов на них ответить.

Второй шаг - составление перечня объектов КИИ, подлежащих категорированию, - в дистанционном формате как правило проводится точно так же, как и в очном. Сложности могут возникнуть, только если заказчик не может предоставить запрашиваемую документацию, например, готовую схему сети. В таком случае, сбор документов производится совместно с ИТ-партнером. Например, схему можно создать в ходе телефонных интервью или интерактивных конференций (с демонстрацией экрана).

В том случае, если на объекте отсутствует АСУ ТП, после сбора информации проект реализуется в привычном русле, то есть так же, как до начала пандемии. Проектирование СОИБ и разработка пакета организационно-распорядительной документации, регламентирующей порядок работы и обеспечение безопасности объектов КИИ, производится ИТ-партнером и согласуется с заказчиком полностью удаленно.

А вот произвести пилотирование и поставки выбранных средств защиты без посещения объекта представителями ИТ-партнера пока, к сожалению, затруднительно. Самостоятельно реализовать этот шаг, как и этап поставки и внедрения оборудования смогут только наиболее зрелые организации, имеющие в своем штате большой штат высококвалифицированных ИТ-специалистов.

Тем не менее, организациям, попадающим под действие Федерального закона № 187-ФЗ, нельзя затягивать с выполнением требований закона, даже если специфика их деятельности не позволяет полностью обойтись без очного обследования. Период самоизоляции можно использовать для сбора всей необходимой документации и проведения удаленных интервью, а ближе к сентябрю можно будет приступить к работе на объекте.

Автор:
Максим Прохоров, специалист по защите критической инфраструктуры компании Softline