Категоріювання об'єктів КВІ, вимоги до систем безпеки і забезпечення безпеки значущих об'єктів КВІ

1. Порядок категорирования об'єктів КВІ
2. Вимоги до систем безпеки значущих об'єктів КВІ
3. Вимоги до функціонування системи безпеки значущих об'єктів КВІ
4. Вимоги щодо забезпечення безпеки значущих об'єктів КВІ

Порядок категорирования об'єктів КВІ

Категоріювання об'єктів КВІ здійснюється згідно Постановою Уряду Російської Федерації від 08.02.2018 р № 127 «Про затвердження Правил категорирования об'єктів критичної інформаційної інфраструктури Російської Федерації, а також переліку показників критеріїв значущості об'єктів критичної інформаційної інфраструктури Російської Федерації і їх значень» - вступає в силу 21.02.2018.

До суб'єктів КВІ відносяться державні органи, державні установи, російські юридичні особи, індивідуальні підприємці. Відомості про те, чи є організація суб'єктом КВІ, можна отримати в наступних джерелах:

• Класифікація видів економічної діяльності;
• Ліцензії та інші дозвільні документи на різні види діяльності;
• Статути, положення організацій (державних органів);
• Інші джерела.

Об'єктами КВІ можуть бути: ІС, ІТКМ і АСУ, що функціонують в 12 сферах діяльності.

Категоріювання проходить наступним чином:

1. Керівник організації створює комісію з категоріювання, яка виявляє критичні процеси суб'єкта (управлінські, технологічні, виробничі та інші).
2. Визначаються об'єкти КВІ, пов'язані з цими процесами.
3. Отриманий перелік узгоджується зі ФСТЕК протягом п'яти днів.
4. Об'єкту КВІ присвоюється одна з трьох категорій значущості або встановлюється відсутність необхідності присвоєння категорії.
   • При виборі категорії об'єкт оцінюється за показниками критеріїв значущості. Всього існує 5 груп показників, що включають від однієї до п'яти підгруп. Підсумкова оцінка ставиться за максимальним значенням з усіх груп / підгруп.
   • Перша категорія означає, що об'єкт вимагає максимального захисту.
5. За результатами складається Акт категорирования об'єкта КВІ, який підписується членами комісії і затверджується керівником суб'єкта КВІ. Максимальний термін категорирования не повинен перевищувати одного року з дня затвердження суб'єктом КВІ переліку об'єктів.
6. Відомості про результати категорирования направляються в ФСТЕК відповідно до Наказу ФСТЕК №236 протягом 10 днів.

Реєстр значущих об'єктів формується і ведеться ФСТЕК Росії на підставі даних, що надаються суб'єктами КВІ. Реєстр підлягає захисту відповідно законодавством РФ про держтаємницю. Відповідний документ: Наказ ФСТЕК від 6.12.2017. № 227.

Дані про зміну категорії також повинні направлятися в ФСТЕК. Зміна категорії значущості може статися:

• За вмотивованим рішенням ФСТЕК за результатами перевірки, виконаної в рамках здійснення державного контролю в області забезпечення безпеки значущих об'єктів КВІ
• Об'єкт перестав відповідати критеріям значимості і показниками їх значень
• Суб'єкт КІІ було реорганізовано, ліквідовано або відбулися зміни в його організаційно-правову форму

Суб'єкт КВІ не менше ніж один раз в 5 років здійснює перегляд встановленої категорії значущості і повідомляє про зміни в ФСТЕК.

Вимоги до систем безпеки значущих об'єктів КВІ

регулюються Наказом ФСТЕК від 21.12.2017 №235 «Про затвердження Вимог до створення систем безпеки значущих об'єктів критичної інформаційної інфраструктури Російської Федерації і забезпечення їх функціонування». Наказ прийнято, проходить реєстрацію в Мін'юсті РФ.

Система безпеки значущих об'єктів - це сукупність організаційних, технічних, правових та інших заходів. Вона може бути створена для забезпечення безпеки одного об'єкта або сукупності об'єктів. Крім того, суб'єкт в праві створити одну систему безпеки для всіх значущих об'єктів.

Вимоги, описані в наказі, єдині для об'єктів усіх трьох категорій. Допускається застосовувати їх в тому числі для забезпечення безпеки незначущих об'єктів.

Завдання, що виконуються системою безпеки:

1. Запобігання неправомірному доступу до інформації, що обробляється значущими об'єктами;
2. Запобігання впливу на технічні засоби обробки інформації, в результаті якого може бути порушено або припинено функціонування об'єктів;
3. Відновлення функціонування об'єктів, якщо вони вийшли з ладу;
4. Безперервна взаємодія з ГОССОПКА.

До складу системи безпеки входять три основних елементи: сили, засоби, організаційно-розпорядчі документи.

Під силами системи безпеки значущих об'єктів розуміються співробітники суб'єкта КВІ. А саме:

1. Керівник суб'єкта - визначає склад і структуру системи і функції її учасників по забезпеченню безпеки.
2. Уповноважена особа (призначається за рішенням керівника) - створює систему безпеки, контролює її функціонування.
3. Залежно від кількості об'єктів, їх категорій і завантаженості персоналу в структурних підрозділах призначаються відповідальні за забезпечення безпеки КВІ. До них відносяться:
   • Працівники підрозділів, які експлуатують об'єкт - забезпечують безпеку під час експлуатації.
   • Працівники підрозділів, що забезпечують функціонування - здійснюють свої функції відповідно до правил безпеки.
   • Дані співробітники повинні володіти відповідними знаннями та навичками для забезпечення безпеки значущих об'єктів, а також повинні щорічно проходити підвищення рівня знань з питань забезпечення безпеки КВІ та можливих загроз.

1. Підрозділи, відповідальні за забезпечення безпеки - виконують виключно функції щодо забезпечення безпеки об'єкта.

Для проведення робіт по забезпеченню безпеки КВІ суб'єктами також можуть залучатися зовнішні організації. Однак у таких організацій повинна бути відповідна ліцензія ФСТЕК Росії: або в області захисту державної таємниці (якщо на об'єкті обробляється інформація, що становить державну таємницю), або з технічного захисту конфіденційної інформації.

До засобів відносяться програмні та програмно-апаратні засоби, призначені для забезпечення безпеки об'єкта.

Кошти мають пройти оцінку відповідності. У разі, якщо об'єктом обробляється державна таємниця або об'єкт КВІ є державну інформаційну систему, сертифікація обов'язкова.

У пріоритетному порядку застосовуються вбудовані в робочі системи спеціальні програмні засоби захисту інформації. Вони повинні застосовуватися відповідно до експлуатаційної документації і обов'язково супроводжуватися підтримкою з боку розробника. При створенні системи також повинні враховуватися можливі обмеження самого розробника, наприклад, заборона використання засобу на певних об'єктах

Нормативно-організаційні документи поділяються на три категорії:

• Загальносистемні документи (визначають цілі, завдання, існуючі загрози, основні організаційно-технічні заходи, склад і структуру системи безпеки)
• Документи, які вбудовані в правила безпечної роботи працівників і регламенти дій в разі виникнення інцидентів чи інших позаштатних ситуацій
• Документи планування і документи, в яких описані дії працівників у різних ситуаціях (порядок проведення випробувань, порядок приймання, порядок взаємодії підрозділів і т.д.)

Склад і форма документів визначаються суб'єктом КВІ самостійно. Допускається виклад всіх перерахованих положень в одному документі, а також часткове виклад в різних документах за умови відображенні цього в системі ОРД суб'єкта.

Окремо підкреслюється, що документація повинна бути не формальним набором інструкцій, а реальним керівництвом співробітників.

Вимоги до функціонування системи безпеки значущих об'єктів КВІ

Вимоги до функціонування системи безпеки розділені на 4 етапи, відповідні класичного циклу PDCA:

1. Планування і розробка заходів

В рамках цього етапу повинен щорічно розроблятися План заходів щодо забезпечення безпеки значущих об'єктів. Стверджується виключно керівником суб'єкта КВІ. Щодо кожного заходу повинні бути визначені терміни реалізації та підрозділи, відповідальні за виконання. Контроль за виконанням здійснюється структурним підрозділом з безпеки. Результати відображаються в звіті, який надається керівнику суб'єкта КВІ.

1. Реалізація (впровадження) заходів

В рамках цього етапу реалізується складений План заходів. Виконання заходів здійснюється відповідно до заздалегідь розробленими організаційно-структурними документами суб'єкта.

Етап включає прийняття організаційно-технічних заходів, застосування технічних засобів захисту інформації. Результати документуються і враховуються при підготовці наступного щорічного Плану.

1. Контроль стану безпеки об'єктів

Проводиться щорічно. Виділяється зовнішній і внутрішній контроль стану безпеки.

Внутрішній контроль проводиться комісією, яка призначається суб'єктом. До складу входять працівники підрозділу, відповідального за забезпечення безпеки, а також співробітники зацікавлених підрозділів.

Зовнішній контроль (аудит) проводиться зовнішньої організацією, яка має ліцензію в області послуг з контролю захищеності інформації від несанкціонованого доступу і її модифікації системах і засобах автоматизації.

1. Удосконалення безпеки об'єктів

Здійснюється в 3 етапи підрозділом з безпеки.

• Проводиться аналіз функціонування системи безпеки та стан безпеки об'єктів
• За результатами здійснюється розробка пропозицій щодо розвитку системи безпеки
• Розглянуті пропозиції подаються керівнику суб'єкта КВІ і можуть бути внесені до Плану заходів

Вимоги щодо забезпечення безпеки значущих об'єктів КВІ

регулюються Наказом ФСТЕК від 25.12.2017 №239 «Про затвердження Вимог щодо забезпечення безпеки значущих об'єктів критичної інформаційної інфраструктури Російської Федерації».

Структура документа схожа з Наказами ФСТЕК №17 і 21 і включає в себе: загальні положення, вимоги щодо забезпечення безпеки на етапах життєвого циклу, вимоги до організаційних та технічних заходів, а також додаток з переліком заходів щодо забезпечення безпеки.

Вимоги документа поширюються на всі стадії життєвого циклу системи безпеки: створення, експлуатація, виведення з експлуатації. Якщо на даний момент значимий об'єкт вже функціонує, то вимоги повинні бути виконані при його найближчій модернізації.

Реалізація вимог до ІБ, описаних в Наказі, включає в себе 5 базових кроків:

Крок 1. Формування переліку застосовних вимог

Включає в себе категорирование об'єкта КВІ (відповідно до Постанови Уряду № 127 від 08.02.2018 р), а також вимоги щодо забезпечення безпеки, що включаються в ТЗ.

Крок 2. Розробка організаційних і технічних заходів. Включає в себе:

• Моделювання загроз (за вимогами ФСТЕК)
• Проектування системи безпеки
• Розробка експлуатаційної документації

Крок 3. Впровадження організаційних і технічних заходів щодо забезпечення безпеки. Включає в себе:

• Установка і настройка засобів захисту
• Розробка документів з безпеки об'єкта
• попередні випробування
• Дослідна експлуатація
• виявлення вразливостей
• Приймальні випробування (для ГІС проводиться атестація)

Крок 4. Забезпечення безпеки під час експлуатації

Крок 5. Забезпечення безпеки при виведенні з експлуатації

Склад заходів по забезпеченню безпеки для значимого об'єкта наводиться в додатку до Наказу. Частина заходів, які увійшли в документ, вже містяться в Наказі ФСТЕК №17, але також з'явилися нові заходи, які торкнулися наступних області:

• аудит безпеки
• Реагування на інциденти ІБ
• управління конфігурацією
• Управління оновленнями ПЗ
• Планування заходів щодо забезпечення безпеки
• Забезпечення дій в нештатних (непередбачених) ситуаціях
• Інформування та навчання персоналу

Крім цих заходів необхідно враховувати наступні обмеження:

• Не допускається наявність прямого віддаленого доступу до значимого об'єкта
• Не допускається передача інформації, в т.ч. технологічної, розробнику / виробнику значимого об'єкта без відома суб'єкта КВІ

При відсутності можливості реалізації окремих заходів захисту інформації, в першу чергу розглядаються заходи щодо забезпечення промислової і фізичної безпеки об'єкта.

При виборі заходів слід враховувати можливі загрози, пов'язані з відповідним категорії об'єкта рівнем потенціалом джерела, а також співвідношення категорії значущості і необхідного класу СЗІ.

Всі нормативні документи по КВІ

Матеріал резюмує доповіді представників ФСТЕК Росії, що пролунали 14.02.2018 на 8-й конференції «Актуальні питання захисту інформації» в рамках ТБ Форуму 2018.