Сбой в работе объекта КИИ способен нарушить жизнь граждан целых регионов и даже страны. Поэтому в 2017 году появился Федеральный закон №187, который устанавливает правила защиты КИИ.
Процесс начинается с категорирования — определения степени значимости объекта. Во время процедуры оценивают масштаб последствий при сбоях. Например, к каким проблемам приведет отказ сети в больнице, банке или на заводе. Итоговая степень значимости напрямую влияет на уровень мер безопасности. Чем важнее объект, тем будет строже защита.
Следующий шаг — проектирование системы обеспечения информационной безопасности значимых объектов КИИ (СОИБ ЗОКИИ). На основе присвоенной категории разрабатывают и внедряют комплекс защитных мер.
Этапы проектирования систем защиты КИИ (ЗОКИИ)
1. Построение модели угроз
Модель угроз — документ, в котором подробно описаны риски для информационной безопасности объекта КИИ. Он включает оценку вероятности каждой угрозы и масштаб возможного ущерба.
Над моделью угроз работают сотрудники по информационной безопасности вместе с разработчиками и бизнес-аналитиками компании. Готовый документ становится основой для будущего проектирования защиты.
2. Формирование технического задания
Для разработки СОИБ ЗОКИИ составляют техническое задание (ТЗ) — документ, в котором собирают общий список требований. Оно включает:
- Список объектов КИИ, которые нужно защитить.
- Набор подсистем безопасности. Он показывает, из каких направлений защиты будет состоять система. Например, антивирусная проверка, контроль доступа, резервное копирование и другое.
- Требования к техническим компонентам и программным средствам.
- Границы системы — четкое определение того, какие элементы инфраструктуры входят в периметр защиты, а какие нет. Это помогает избежать лишних затрат на защиту некритичных элементов.
3. Проектирование СОИБ ЗОКИИ
При проектировании создают структуру СОИБ ЗОКИИ, которая включает:
- Архитектуру подсистем: определяет взаимодействие между элементами комплекса.
- Конфигурацию средств защиты информации (СЗИ), включая выбор конкретных технических решений — антивирусов, межсетевых экранов, ПО для резервного копирования и прочего.
- Организационные меры: инструкции и регламенты, которые определяют порядок работы персонала с защищенными системами.
Этап внедрения системы защиты КИИ
1. Выбор аппаратных и программных решений
Сначала выполняют анализ текущих средств защиты информации (СЗИ) и планируют закупку новых. Оценка действующих программ и оборудования помогает снизить расходы на модернизацию.
2. Разработка ОРД и правил безопасности
Организационно-распорядительную документацию (ОРД) формируют на четырех уровнях. На верхнем создают общую политику безопасности компании. Далее разрабатывают правила для разных направлений работы: от резервного копирования до контроля доступа сотрудников.
Третий уровень включает инструкции для сотрудников. Например, сценарии реагирования на инциденты и нештатные ситуации.
Четвертый уровень включает документы строгой отчетности: рабочие журналы, протоколы проверок, акты выполненных работ и приказы.
3. Внедрение СЗИ
Устанавливают защиту на разных уровнях: от антивирусной программы до средств для контроля доступа. Монтируют межсетевые экраны, настраивают мониторинг сети. На каждом компьютере проверяют список установленных программ и регламентируют использование съемных носителей.
4. Тестовый период
В ходе предварительных испытаний проверяют работу каждого элемента СОИБ ЗОКИИ. Специалисты оценивают, как новые СЗИ взаимодействуют с инфраструктурой и как работают механизмы контроля доступа. При необходимости производят дополнительную настройку и оптимизацию.
5. Поиск слабых мест
Этап включает анализ возможных уязвимостей. Проверяют прочность объектов при сетевых атаках, работу антивирусных ПО и надежность средств резервного копирования. По результатам проверки разрабатывают меры по усилению защиты, если это будет необходимо.
6. Финальная проверка
На заключительном этапе проводят комплексную оценку. Проверяют выполнение требований ФСТЭК, работоспособность СЗИ и эффективность организационных мер.
В среднем половина затрат на внедрение системы защиты КИИ идет на подготовку специалистов и проектирование, вторая половина — на закупку технических средств. Результат напрямую зависит от того, как руководители разных уровней включены в процесс и насколько опытна команда информационной безопасности.
Как подготовиться к проектированию
Проектирование защиты для КИИ начинается с качественного исследования. Для этого стоит:
- Досконально изучить документацию через опросные листы,
- Создать подробный фотоархив состояния объектов,
- Детально исследовать инженерную инфраструктуру,
- Организовать глубинные беседы с профильными экспертами,
- Сформировать исчерпывающий пакет документов.
Типичные проблемы при неподходящей подготовке
- Неточности в списках необходимого оборудования,
- Непредвиденный рост бюджета,
- Задержка обозначенных сроков,
- Переизбыток технических решений.
Поверхностный подход вызовет сложности в дальнейшем. Придется проводить повторные исследования и вносить правки в проектную документацию.
Основные сложности при внедрении системы защиты КИИ
1. Интеграция новых СЗИ на старых объектах
Представьте завод, где работают разные станки и автоматизированные системы управления. Некоторые совсем новые, другие — служат уже много лет. При установке нового СЗИ важно, чтобы оно «подружилось» со всем оборудованием.
Даже короткий сбой может остановить производство и принести большие убытки. Специалистам часто приходится искать компромисс между внедрением СЗИ и сохранением работоспособности старых систем.
2. Сертификация и обновление ПО
С 2023 года требования к КИИ ужесточились — теперь на объектах нужно внедрять только сертифицированные СЗИ или те, что в процессе сертификации.
Сертифицированные СЗИ — те, что прошли проверку ФСБ и ФСТЭК России и получили разрешение на использование в российских организациях. Список таких средств защиты расположен в открытом реестре от ФСТЭК. А информацию о СЗИ с одобрением ФСБ предоставляют центры сертификации.
Процесс сертификации длится от полугода до года. За это время разработчики СЗИ успевают обновить ПО. В итоге предприятие использует проверенную, но уже не самую свежую версию программы. Обновить ее тоже нельзя — контрольные суммы новой версии не совпадут с теми, что будут в сертификате.
3. Оптимальная функциональность
Разработчики защитных средств стремятся оснастить продукты максимальным количеством функций. Но чем больше возможностей у программы, тем сложнее ее настраивать и обслуживать. На производстве лучше работают простые и надежные решения, где каждая функция необходима и хорошо отлажена.
4. Импортозамещение в сфере защиты информации
С 2025 года на объектах КИИ будет запрещено использовать зарубежное ПО (Указ Президента РФ №166 от 30.03.2022 г). Владельцам объектов КИИ нужно перейти на российские решения из специального реестра ПО. При этом отечественные продукты не всегда покрывают необходимые функции. Российские ПО предстоит адаптировать под конкретные объекты и интегрировать с текущими СЗИ. Также придется затратить ресурсы для обучения персонала.
Успешное внедрение СОИБ ЗОКИИ зависит от грамотного планирования и учета всех сложностей. Нужно выполнить все требования регуляторов и сохранить бесперебойную работу предприятия. Справиться с этими сложностями помогут профессионалы с опытом подобных проектов. Они проведут плавную модернизацию и обучат персонал работе с новым оборудованием.
КИИ под защитой: услуги УИБ
Компания «Управление информационной безопасности» — интегратор в области информационной безопасности. Являемся лицензиатом ФСТЭК и партнером для отечественных производителей средств защиты информации. Проводим полный цикл работ по защите КИИ
- Категорирование объекта
- Комплексное предпроектное обследование инфраструктуры
- Разработка проектной и рабочей документации
- Внедрение систем безопасности
- Проведение аттестационных испытаний
- Сопровождение при проверках регуляторов.
Получите консультацию по защите ваших объектов КИИ. Телефон: 8 800-707-94-97. E-mail: info@uibcom.ru.