Исполнение законодательных актов обеспечения информационной безопасности
Информация приобретает все большую ценность как ресурс, оказывающий существенное влияние на состояние и развитие человека и общества. Одновременно с этим наблюдается рост киберпреступности, направленной на овладение информацией не только с целью извлечения прямой финансовой выгоды, но и с целью дезорганизации экономической жизни общества.
Федеральные законы «О персональных данных» (152-ФЗ) и «О безопасности критической информационной инфраструктуры Российской Федерации» (187-ФЗ) направлены на обеспечение информационной безопасности как отдельной личности, так и сообществ людей, занятых в экономике.
Защита персональных данных — исполнение 152-ФЗ
Развитие и совершенствование нормативно-правовой базы, руководящих и нормативных документов регуляторов в сфере ПДн (Роскомнадзор, ФСЭК, ФСБ) требует внесения корректив и изменений не только в организационно-нормативные документы, регулирующие безопасное обращение персональных данных, но и в системы защиты информации (СЗИ) информационных систем персональных данных (ИСПДн).
Содержание работ
- Аудит СЗИ ИСПДн на соответствие требованиям регуляторов как в части организационно-нормативных документов, так и применяемых средств СЗИ.
Внимание обращается на корректность отнесения ИСПДн к тому или иному уровню защищенности, на что влияют такие факторы, как: тип ПДн (специальные, биометрические, общедоступные, иные); принадлежность ПДн (сотрудники компании, внешние лица); количество субъектов ПДн (больше или меньше 100 тыс.); типы актуальных угроз для ИСПДн.
Также обращается внимание на то, попадает ли организация под GDPR (General Data Protection Regulation) — общий регламент о защите персональных данных (ПДн) всех физических лиц, которые находятся на территории Европейского союза, т. к. в этом случае потребуется устранить имеющиеся расхождения между 152-ФЗ и GDPR в таких аспектах обращения ПДн, как: состав ПДн, принципы и обязанности обработчика ПДн.
- Разработка и модернизация полного пакета документов, регулирующего организационные и технические вопросы. Всего может потребоваться порядка 30 документов, среди которых укажем основные:
- уведомление об обработке ПДн;
- документ, определяющий ответственного за организацию обработки ПДн;
- перечень сотрудников, допущенных к обработке ПДн;
- документы, определяющие места хранения ПДн;
- справка об обработке специальных и биометрических категорий ПДн;
- справка об осуществлении трансграничной передачи ПДн;
- типовые формы документов с ПДн;
- порядок уничтожения ПДн;
- типовая форма согласия на обработку ПДн;
- порядок передачи ПДн третьим лицам;
- порядок учета обращений субъектов ПДн;
- перечень используемых ИСПДн;
- акт классификации ИСПДн по уровню защищенности;
- документы, регламентирующие резервирование данных в ИСПДн;
- перечень используемых средств защиты информации;
- матрица доступа к ИСПДн;
- документ, определяющий уровни защищенности для каждой ИСПДн в соответствии с ПП-1119 от 01.11.2012 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
- Разработка Технического Задания на создание системы защиты ПДн (СЗПДн) осуществляется на основе классификации ИСПДн по уровню защищенности, модели угроз безопасности ПДн, применимых требований нормативных документов регуляторов, которым должна удовлетворять СЗПДн в целом и ее подсистемы, включая требование применения сертифицированных в РФ средств защиты информации.
- По согласованному заказчиком ТЗ на СЗПДн разрабатывается технический проект с оценкой стоимости его реализации. В рамках пояснительной записки к Техническому проекту СЗПДн формируется план внедрения технических средств и других мероприятий по защите персональных данных.
Защита критической информационной инфраструктуры — исполнение 187-ФЗ
Эпидемия вируса WannaCry, атаки на ядерные объекты, объекты энергоснабжения и с использованием вредоносного ПО Stuxnet и BlackEnergy показали, что кибепреступность все чаще воздействует на социально значимые предприятия и организации, вызывая паралич ИС различного назначения. В результате таких воздействий на информационную инфраструктуру население может остаться без воды, газо- и электроснабжения, лишиться транспортных услуг, что приведет к коллапсу жизнедеятельности целых регионов, сопровождаемому реальной угрозой жизни и здоровью людей.
Принятый в 2017г. Федеральный закон 187-ФЗ обязывает производственные предприятия, организации государственного управления, действующие практически во всех областях экономики, обеспечить защиту критической информационной инфраструктуры (КИИ) от вредоносных воздействий, негативно влияющих на области значимости объектов КИИ: экономическая, политическая, социальная, государственная (правопорядок и обороноспособность).
Правовые нормы обязывают предприятия и организации, обладающие значимыми объектами КИИ, подключиться к Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА). Цель ГосСОПКА – повышение уровня и качества защиты информационных ресурсов РФ от компьютерных атак и оказание помощи предприятиям и организациям, владеющим объектами КИИ в проактивной защите и ликвидации последствий компьютерных атак.
Содержание работ
- Формирование рабочей группы по категорированию
В состав РГ, кроме специалистов по ИБ и ИТ, должны войти специалисты, знающие все типы информационных процессов, составляющих основную бизнес-деятельность предприятия, и способные на экспертном уровне оценивать последствия (ущерб) нарушения их штатного функционирования вследствие возможных угроз нарушения конфиденциальности, доступности и целостности.
- Определение областей значимости объектов КИИ, в рамках которых проводится дальнейшая работа по категоризации, исходя из содержания и области деятельности предприятия или организации.
- Сбор исходных данных для категорирования объектов КИИ
Исходные данные, сбор которых осуществляется посредством заочного обследования (опросные листы) и очного обследования субъекта КИИ – интервьюирование специалистов РГ, должны позволить сформировать отчет об обследовании, содержащий:
- перечень всех типов процессов основных видов деятельности предприятия;
- перечень и характеристику критических процессов (КП), нарушение или прекращение которых может привести к негативным последствиям в областях значимости КИИ;
- определение объектов КИИ (ИС, ИТКС, АСУ, АСУТП), которые обрабатывают информацию (с привязкой информационных активов к объектам КИИ), необходимую для выполнения КП и осуществляют управление, контроль или мониторинг этих процессов;
- формирование перечня объектов КИИ, подлежащих категорированию;
- описание объектов КИИ:
- назначение объекта и решаемые им функциональные задачи;
- архитектура объекта КИИ;
- состав и характеристики комплекса используемых технических средств: сервера, АРМ, сетевое оборудование;
- состав и структура комплекса используемых программных средств объекта КИИ;
- наличие и характеристики доступа к сетям связи;
- организационно-нормативные документы процессов обеспечения ИБ и состояние документирования этих процессов;
- применяемые средства защиты информации объекта КИИ;
- инженерное обеспечение серверных помещений с оборудованием объекта КИИ.
По результатам анализа собранных данных формируется реестр объектов КИИ, подлежащих категорированию, представляемый субъектом КИИ во ФСТЭК РФ.
- Формирование модели угроз и нарушителя безопасности объектов КИИ
Используя информацию предыдущих этапов работы, выявляются возможные уязвимости объектов КИИ с оценкой их критичности для возможных нарушений безопасности КП и последствий использования уязвимостей.
- Выявление и анализ уязвимостей осуществляется:
- на организационном уровне;
- на уровне прикладных программных систем и комплексов;
- на уровне сетевой инфраструктуры;
- на уровне общесистемного и специального ПО.
- Формируется перечень актуальных угроз безопасности объектов КИИ
- Разрабатывается модель угроз и нарушителя безопасности объектов КИИ
- Категорирование объектов КИИ
Объекту КИИ присваивается категория значимости от III (самая низкая) до I (самая высокая) на основании оценки последствий (ущерба), который может быть нанесен в результате нарушения безопасности объекта КИИ, по областям значимости и установленным постановление Правительства РФ показателям значимости («Об утверждении показателей критериев значимости объектов КИИ РФ и их значений, а также порядка и сроков осуществления их категорирования»).
Формируется акт категорирования объектов КИИ, в котором представляются в систематизированном виде сведения об объектах КИИ, позволяющие уполномоченному федеральному органу (ФСТЭК) оценить обоснованность присвоения или не присвоения объекту КИИ категории значимости.
- Формирование дорожной карты внедрения организационно-технических мер и средств безопасности объектов КИИ.
Разрабатываются и согласуются с заказчиком технические задания на системы защиты значимых объектов КИИ.
На основании ТЗ осуществляется проектирование СЗ значимых объектов КИИ с бюджетной оценкой стоимости подлежащих внедрению организационных и технических мер и средств обеспечения безопасности.
Определяются увязанные по времени сроки внедрения предлагаемых решений безопасности.
Работы по ТЗ и проектированию СЗ ведутся согласно рекомендациям и требованиям, содержащимся в руководящих документах ФСТЭК: приказ №239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры РФ», в приложениях к этому приказу «Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости»; приказ №209 «Требования к организационным и техническим мерам, принимаемым для обеспечения безопасности значимых объектов КИИ».
Проектирование центра оперативного управления информационной безопасности
Назначение ЦОИБ — своевременное обнаружение и предупреждение инцидентов ИБ и компьютерных атак.
Создание такого центра требуется для субъектов КИИ, владеющих значимыми объектами КИИ, и сопряжено с немалыми затратами на технические средства ИБ и содержание высококвалифицированных специалистов, имеющих знания и навыки по распознаванию и парированию компьютерных атак на информационную инфраструктуру.
На первом этапе проектирования осуществляется выбор класса А/Б/В корпоративного ЦОИБ в зависимости от установленной значимости 1/2/3 объектов КИИ, соответственно. Класс А реализует полномасштабный функционал мер и средств ИБ: от установления постоянной связи 24×7 с НКЦКИ — уполномоченным органом ФСБ по ГосСОПКА, для обмена информацией о состоянии ИБ предприятия, до расследования причин возникновения компьютерных инцидентов.
Для класса А ЦОИБ, выбор которого согласуется с НКЦКИ, содержание проектирования представляется следующим образом:
- Разработка набора документов (положение о ЦОИБ, регламент его деятельности, штатное расписание Центра) для представления и согласования различных вопросов по ЦОИБ во ФСТЭК и ФСБ
- Проектирование архитектуры центра в составе подсистем:
- обнаружение компьютерных атак;
- предупреждение компьютерных атак;
- ликвидация последствий компьютерных атак и реагирование на компьютерные инциденты;
- поиск признаков компьютерных атак в сетях обеспечивающих взаимодействия объектов КИИ организации;
- обмен информацией с НКЦКИ;
- криптографическая защита каналов связи.
- Проектирование средств автоматизации процессов центра (инвентаризация ИС, анализ угроз и рисков, выявление уязвимостей и т.д.).
- Определение и выбор технических средств для реализации функционала центра и проектирование подключений к центру ИТ-инфраструктуры предприятия.
- Формирование плана-программы работ по реализации центра в виде портфеля проектов, ранжированных по времени реализации на срочные и среднесрочные, перспективные, с учетом состояния кадрового состава центра.
Кроме рассмотренного возможны другие варианты реализации корпоративного ЦОИБ: гибридный ЦОИБ — передача части функций на аутсорсинг; коммерческий лицензированный НКЦКИ ЦОИБ — исполнение всего требуемого функционала; ведомственный ЦОИБ — исполнение всего требуемого функционала. Для всех вариантов требуется согласование с НКЦКИ.
Ознакомьтесь с другими решениями и услугами, предоставляемыми «ИНЛАЙН ГРУП» в рамках направления.