Обеспечение безопасности КИИ

Объекты и субъекты КИИ

В законе о КИИ (№187-ФЗ от 26.07.17) выделяют три типа объектов:

• Информационные системы (ИС) — цифровые хранилища для работы с данными.
• Информационно-телекоммуникационные сети (ИТС) — защищенные каналы для передачи информации между устройствами.
• Автоматизированные системы управления (АСУ) — «умные» системы, которые управляют работой оборудования на заводах и фабриках.

За безопасность объектов отвечают конкретные организации — субъекты КИИ. Это госучреждения и компании из следующих отраслей (по №187-ФЗ от 26.07.17):

• Медицина и научные центры
• Банки и финансовые организации
• Транспорт и связь
• Оборонная и космическая промышленность
• Металлургия, энергетика, добыча полезных ископаемых и химическая промышленность

Статус критически важного объекта присваивают не всем информационным системам. Их значимость определяют через процедуру категорирования.

В процессе анализируют значимость ИС, ИСТ или АСУ по конкретными критериям (ПП РФ № 127 от 08.02.18). Если значимый, назначают категорию — от III до I. Чем выше категория, тем строже будут сформированы меры защиты КИИ. Подробнее о категорировании.

Главный регулятор в сфере — Федеральная служба по техническому и экспортному контролю (ФСТЭК). Ведомство подтверждает категорию и проводит проверки.

Задачи обеспечения информационной безопасности КИИ

Основная задача — предотвратить нарушения в работе объектов КИИ. Для этого нужно:

• Сохранять целостность данных,
• Блокировать несанкционированный доступ (НСД),
• Поддерживать контроль за действиями персонала,
• Гарантировать бесперебойную работу оборудования,
• Взаимодействовать с ведомствами НКЦКИ и ГосСОПКА РФ,
• Создавать надежные механизмы восстановления после сбоев.

Меры по защите КИИ

Защита КИИ охватывает все аспекты работы субъекта: от передачи данных между сотрудниками до сложных производственных процессов.

1. Проектирование СОИБ КИИ

   Система обеспечения информационной безопасности критической информационной инфраструктуры (СОИБ КИИ) — комплекс защитных мер КИИ. Их формируют и внедряют после этапа категорирования.

   Этапы проектирования СОИБ КИИ:

   • Исследование инфраструктуры субъекта. Выявляют угрозы при сбоях работы цифровых систем. На базе этой информации выстраивают модель угроз.
   • Формирование технического задания. Техническое задание (ТЗ) — документ, в котором собирают конкретные требования к безопасности. ТЗ опирается на модель угроз и законодательство.
   • Проектирование архитектуры системы безопасности. Любая система состоит из небольших частей. В случае СОИБ КИИ это подсистемы безопасности: борьба с вирусами и вредоносным ПО, подсистема резервного копирования и т.д. При проектировании определяют взаимодействие между подсистемами и какие конфигурации СЗИ стоит установить.

2. Организационные меры

   Также на этапе проектирования создают организационно-распорядительную документацию (ОРД). Уровни ОРД:

   • Стратегический: политика безопасности организации,
   • Тактический: регламенты и процедуры защиты,
   • Оперативный: рабочие инструкции для персонала,
   • Контрольный: журналы учета и протоколы проверок.

3. Внедрение СОИБ КИИ

   Процесс внедрения включает:

   • установку сертифицированных СЗИ;
   • настройку прав доступа для сотрудников;
   • организацию безопасного хранения данных;
   • создание системы мониторинга безопасности;
   • комплексное тестирование защитных механизмов.

   Рекомендуется каждому работнику пройти курсы по информационной безопасности и отработать действия при инцидентах согласно ОРД.

4. Аттестация объекта

   Аттестация — итоговая проверка защищенности. Эксперты проверяют работу всей системы и подтверждают ее соответствие требованиям. Проводить оценку могут только компании с лицензией ФСТЭК.

   После успешной проверки субъект получает аттестат соответствия. Это официально подтверждает надежность СОИБ КИИ. Об аттестации.

Атаки на критическую инфраструктуру

В начале 2024 года ФСТЭК России проанализировал атаки на госорганы и предприятия за последние два года. Эксперты нашли 6 главных причин успешных взломов:

• Сотрудники ставят слабые пароли. Часто это даты рождения, имена или простые комбинации вроде «123456». Такие пароли злоумышленники подбирают за считанные минуты.
• Нет двухфакторной идентификации при входе в систему. Когда препятствием становится только пароль, злоумышленнику достаточно украсть или подобрать только его.
• Работники используют личные телефоны и ноутбуки. На них может быть вирус или программа-шпион. Через такие устройства преступники легко получают доступ к закрытой информации.
• Сотрудники сидят в личных соцсетях на рабочем компьютере. Через соцсети часто рассылают поддельные ссылки или зараженные файлы.
• Уволенным сотрудникам не блокируют доступ. Так, старые пароли и учетные записи остаются рабочими. Этим могут воспользоваться как сами бывшие работники, так и злоумышленники.
• Администраторы не меняют стандартные пароли на оборудовании. Производители часто ставят простые шифры вроде «admin» или «password». Их легко найти в интернете и использовать для взлома.

Анализ показывает важный вывод: главный риск для безопасности — человеческий фактор. Большинство атак произошли из-за несоблюдения базовых правил безопасности и невнимательности сотрудников. Ситуацию осложняет несвоевременное обновление защитных систем.

Чтобы обеспечить надежную защиту важных систем, необходимо:

1. Создать комплексную техническую защиту:
   • Организовать непрерывный мониторинг сетевой активности
   • Внедрить сегментацию сети для защиты критичных элементов
   • Обеспечить регулярное обновление средств защиты.
2. Внедрить систему аварийного восстановления:
   • Создать резервные копии нужных данных
   • Разработать и протестировать планы быстрого восстановления работы
   • Регулярно проверять работоспособность резервных систем.
3. Усилить работу с персоналом:
   • Проводить регулярное обучение правилам безопасности
   • Проверять полученные навыки на практике
   • Контролировать соблюдение правил безопасности.

Эффективная защита возможна только при комплексном внедрении всех этих направлений.

Как обеспечить безопасность КИИ

Компания «Управление информационной безопасности» предлагает комплексный подход к защите КИИ. Мы проводим категорирование объектов, проектируем системы защиты, внедряем технические решения и проводим аттестацию. Наши плюсы:

• Есть нужные лицензии ФСТЭК
• Поддерживаем на всех этапах работы с КИИ
• Официально сотрудничаем с поставщиками российского ПО
• Сотрудники работают в сфере информационной безопасности 14+ лет

Ответим на вопросы и рассчитаем цену для вашего объекта. Работаем по всей России. Телефон: 8 800-707-94-97 Email: info@uibcom.ru.