Оценка рисков при построении защиты объектов критической информационной инфраструктуры

Введение

На государственном уровне проблемой защиты критических информационных инфраструктур обеспокоены уже давно. Еще в 2005 году Совет Безопасности Российской Федерации выпустил документ «Система признаков критически важных объектов и критериев отнесения функционирующих в их составе информационно-телекоммуникационных систем к числу защищаемых от деструктивных информационных воздействий». Затем в 2006 году был сформирован перечень критически важных объектов Российской Федерации, утвержденный Правительством Российской Федерации.

Важно отметить, что нормативное регулирование по информационной безопасности является неотъемлемой частью жизни каждого человека. Все мы привыкли пользоваться электронными государственными услугами и понимать, что критические информационные инфраструктуры должны иметь необходимый уровень защищенности для обеспечения безопасности по отношению к жизни и здоровью. В период с 2007 по 2010 годы ФСТЭК России выпустила ряд руководящих документов по обеспечению безопасности информации в ключевых системах информационной инфраструктуры.

Затем в 2012 году Президентом Российской Федерации был утвержден документ Совета Безопасности Российской Федерации«Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации». Целью принятия этого документа являлось снижение до минимально возможного уровня рисков неконтролируемого вмешательства в процессы функционирования данных систем, а также минимизация негативных последствий подобного вмешательства.

В развитие нормативной правовой базы по защите информационных инфраструктур, функционирование которых оказывает существенное влияние на национальную безопасность Российской Федерации, был принят Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее ФЗ-187 «О безопасности КИИ РФ»), вступивший в силу с 1 января 2018 года.

С учетом опыта формирования законодательства по обеспечению безопасности государственных информационных систем и защите персональных данных был разработан и принят ряд нормативно-правовых актов, определяющих порядок выполнения требований по обеспечению безопасности в области КИИ. Организации (государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели), которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления (далее - объекты КИИ) в установленных законодательством сферах должны выполнить мероприятия для обеспечения безопасности объектов КИИ.

Риск-ориентированный подход для выбора мер защиты КИИ

В соответствии с законодательством объекты КИИ функционируют во множестве сфер (здравоохранение, наука, транспорт, связь, энергетика, банки и иные организации финансового рынка, топливно-энергетический комплекс, атомная энергия, оборона, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленности). Для формирования необходимого набора мер для защиты таких объектов Правительством Российской Федерации и ФСТЭК России были разработаны и введены в действие следующие нормативные правовые акты:

• Постановление Правительства Российской Федерации от 08.02.2018 г. № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений».
• Приказ ФСТЭК России от 21.12.2017 г. № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования».
• Приказ ФСТЭК России от 25.12.2017 г. № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».

В указанных документах определен порядок проведения мероприятий, который основывается на оценке возможного ущерба и учитывает основные принципы риск-ориентированного подхода к созданию систем обеспечения безопасности.

В чем же заключается риск-ориентированный подход при выборе мер защиты объекта КИИ? Чтобы определить необходимые меры, обеспечивающие безопасность объекта КИИ, субъект КИИ проводит категорирование и определяет категорию значимости своих объектов. В процессе категорирования субъект КИИ проводит ряд следующих мероприятий:

1. Проводит обследование своих объектов КИИ для определения масштабов мероприятий, необходимых для обеспечения информационной безопасности.
2. Определяет управленческие, технологические, производственные, финансово-экономические и иные процессы в рамках выполнения функций или осуществления видов своей деятельности.
3. Определяет, какие из установленных процессов являются критическими, то есть те процессы, нарушение или прекращение которых может привести хотя бы к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка.
4. Составляет перечень объектов КИИ, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов.
5. Проводит анализ угроз безопасности информации, которые могут привести к возникновению компьютерных инцидентов.
6. Проводит оценку возможных последствий в случае возникновения компьютерных инцидентов.
7. Присваивает категорию значимости.
8. Строит систему обеспечения безопасности с учетом актуальных угроз и недопустимых событий.

Категория значимости определяется исходя из различных критериев – показателей значимости и их количественных характеристик. С учетом рисков и ущерба планируются мероприятия по реализации системы обеспечения безопасности. В общих чертах необходимо выполнить следующие шаги:

1. Определение перечня объектов КИИ.
2. Категорирование объектов КИИ.
3. Определение актуальных угроз.
4. Проектирование и реализация системы обеспечения безопасности КИИ.
5. Оценка эффективности и совершенствование.

В рамках категорирования определяется потенциальный ущерб, который может быть нанесен из-за прекращения или частичного нарушения функционирования объекта КИИ, а, как известно, при управлении рисками в соответствии с национальными и международными стандартами, ущерб является ключевым параметром для оценки рисков.

Для наглядности приведем пример с пропускными пунктами в метрополитене. За идентификацию пассажиров, а именно считывание и валидацию билетов и проездных, отвечают пропускные терминалы. Если из-за компьютерной атаки перестанет функционировать информационная система, ответственная за идентификацию и открывание пропускного турникета, то большое количество людей не сможет воспользоваться транспортными услугами. Таким образом, существует риск «Нарушение транспортного сообщения», и его реализация приведет к денежным потерям транспортной компании. Кроме того, большому количеству людей будет нанесен разной степени ущерб - материальный и моральный (опоздание на важную встречу, опоздание в аэропорт и т. п.). Приведенный пример показывает, что такого рода объекты необходимо защищать, учитывая при этом реальные угрозы, риски и потенциальные векторы атак при самых негативных сценариях.

Важно отметить, что накрыть мониторингом все бизнес-процессы и системы достаточно сложно, поэтому в первую очередь необходимо определить те события, которые ни при каких обстоятельствах не должны произойти. Риск-ориентированный подход в управлении безопасностью позволяет более эффективно расходовать бюджеты на информационную безопасность. То есть выбор и применение тех или иных средств защиты и мониторинга необходимо осуществлять исходя из реальных угроз и рисков, и при этом важно уметь оценивать эффективность системы и службы безопасности, правильно рассчитывать экономическую эффективность (возврат инвестиций). В первую очередь необходимо обеспечить безопасность тех информационных систем или сегментов, функционирование которых прямо или косвенно может повлиять на финансовые результаты, экологию, жизнь и здоровье людей.

Преимущества такого подхода заключаются в рациональном взвешенном выборе технологий защиты в организациях или субъектах КИИ: чем более критичной является информационная система, тем надежнее она должна быть защищена и тем сложнее злоумышленнику до нее добраться.

Рассматривая требования нормативно-правовых актов по КИИ, можно сделать вывод, что теперь регуляторы дают более гибкие возможности для создания или модернизации систем обеспечения информационной безопасности. При выборе мер защиты в соответствии с Приказом ФСТЭК России № 239 от 25.12.2017 г. «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» необходимо ориентироваться на категорию значимости и на модель угроз. При анализе угроз определяются возможные способы реализации (векторы атак) и возможные последствия их реализации. Категория значимости при этом используется для определения базового набора мер. Далее проводится адаптация базового набора мер, в процессе которой важно учитывать актуальные угрозы и способы их блокирования. Кроме того, предусмотрена возможность разработать и внедрить компенсирующие меры в тех случаях, когда отсутствует возможность реализовать меры из предлагаемого перечня. То есть выбор средств и технологий защиты зависит прежде всего от потенциальных ущербов и последствий в случае успешной кибератаки.

Также стоить отметить, что эксплуатация системы безопасности – это непрерывный процесс на всем протяжении эксплуатации. Как и при управлении рисками, в рамках поддержания необходимого уровня защищенности объектов КИИ необходимо на регулярной основе актуализировать информацию об активах, пересматривать актуальность угроз и возможных рисков, а значит внедрять при необходимости дополнительные меры защиты и совершенствовать процессы информационной безопасности. Одним из способов определения того, какие риски наиболее значимые, и как они могут быть реализованы, является проведение киберучений. При этом важно, чтобы учебная инфраструктура максимально точно дублировала конфигурацию реальных промышленных и корпоративных сетей и бизнес-приложений. При формировании реестра рисков в ходе киберучений можно проверить гипотезы и попробовать реализовать риски, оценив их последствия. Это поможет просчитать возможные размеры ущерба от инцидентов и сопоставить полученные цифры с необходимым бюджетом на ИБ для создания эффективной системы безопасности.

Риск-ориентированный подход при организации государственного контроля в области КИИ

Риск-ориентированный подход применяется не только при выборе необходимых мер защиты, но и при осуществлении государственного контроля для оптимизации процессов проведения проверок. В соответствии с Постановлением Правительства Российской Федерации от 17.02.2018 г. № 162 «Об утверждении Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» государственный контроль в области обеспечения безопасности значимых объектов КИИ РФ проводится ФСТЭК России. Государственный контроль осуществляется путем проведения плановых и внеплановых выездных проверок.

Основанием для осуществления плановой проверки является истечение трех лет со дня:

• внесения сведений об объекте КИИ в реестр значимых объектов КИИ, который формирует ФСТЭК России;
• окончания осуществления последней плановой проверки в отношении значимого объекта КИИ.

Включение в план проверок субъектов КИИ осуществляется в выборочном порядке с учетом различных факторов. Вероятнее всего учитывается значимость информационных систем с точки зрения масштабов последствий в случае нападений кибергруппировок и возможное влияние на цифровое технологическое пространство страны.

Внеплановые проверки проводятся, если закончился срок выполнения субъектом КИИ выданного предписания об устранении нарушений, в случае если произошел компьютерный инцидент на значимом объекте КИИ с негативными последствиями, а также по поручению Президента Российской Федерации, Правительства Российской Федерации или по требованию органов прокуратуры.

31 июля 2020 года был принят Федеральный закон № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации». Указанный закон будет вступать в силу постепенно, начиная с 1 июля 2021 года. Закон интерес тем, что в нем прослеживается курс на внедрение риск-ориентированного подхода при осуществлении государственного контроля. Риск-ориентированный подход при организации государственного контроля по выполнению требований представляет собой метод организации и осуществления государственного контроля, при котором выбор интенсивности (формы, продолжительности, периодичности) проведения мероприятий по контролю, мероприятий по профилактике нарушения обязательных требований определяется отнесением сферы деятельности субъекта к определенной категории риска либо определенной категории опасности.

В разрезе тематики КИИ этим Федеральным законом подразумевается распределение большей части плановых проверок именно на те субъекты, у которых объекты находятся в максимальной зоне риска и имеются системы, нарушение функционирования которых может привести к серьезному ущербу и катастрофам. На момент написания этой статьи, государственный контроль в области обеспечения безопасности значимых объектов КИИ не вошел в перечень видов федерального государственного контроля (надзора), в отношении которых применяется риск-ориентированный подход, но вероятно впоследствии это произойдет.

Выводы

Безусловно, для обеспечения безопасности критических инфраструктур требуется нормативное государственное регулирование, так как от функционирования критических объектов в той или иной степени зависит национальная безопасность Российской Федерации. Кроме обозначения целей регулирования необходимы конкретные требования, выполнение которых позволит обеспечить должный уровень защищенности. При этом меры обеспечения безопасности должны выбираться под конкретный объект защиты с учетом его характеристик. С применением риск-ориентированного подхода субъекты КИИ могут более взвешенно подходить к построению систем безопасности, защищать в первую очередь наиболее критические для обеспечения функционирования объектов КИИ компоненты, учитывая актуальные угрозы безопасности и применяемые технологии. А применение риск-ориентированного подхода при осуществлении проверок позволяет рационально распределить усилия органов государственного контроля и планировать проверки для наиболее критичных и значимых сегментов, из-за нарушения функционирования которых могут наступить действительно катастрофические последствия.

Также стоит отметить необходимость и важность обмена информацией об инцидентах и угрозах в рамках действующей системы ГосСОПКА для совместного противодействия новым вызовам и новым угрозам в разных отраслях.

Автор:
Сергей Куц, руководитель направления по комплексным системам кибербезопасности Positive Technologies.