Категорирование объектов критической информационной инфраструктуры — процедура, которую обязаны провести все субъекты КИИ, согласно требованиям Федерального закона №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». На примере платформы R-Vision SGRC рассмотрим, как можно автоматизировать централизованный учет субъектов КИИ, проводить оценку критичности процессов организации, выявлять связанные с ними объекты КИИ, рассчитывать категорию значимости каждого объекта и формировать необходимый пакет документов.
- Введение
- Этапы категорирования
- Описание субъекта КИИ
- Формирование перечня критических процессов
- Состав информационных систем субъекта КИИ
- Формирование перечня объектов КИИ
- Категорирование объектов КИИ
- 7.1. Расчет категории значимости
- 7.2. Внесение сведений о программных и программно-аппаратных средствах, используемых на объекте КИИ
- 7.3. Моделирование угроз
- 7.4. Применяемые меры безопасности
- Аудит по Приказу ФСТЭК России №239
- Отчетность
- Выводы
Введение
С момента вступления в силу Федерального закона №187-ФЗ — 1 января 2018 года — каждая организация, являющаяся субъектом критической информационной инфраструктуры, обязана провести процедуру категорирования объектов, находящихся в ее ведении, и подать данные во ФСТЭК России. Это — весьма кропотливая и ресурсоемкая работа, которая подразумевает инвентаризацию всех информационных систем, автоматизированных систем управления и сетей, используемых организацией в критических процессах, а также определение категории значимости для каждого такого объекта на основании утвержденных правил категорирования. Для определения категории значимости объекта КИИ потребуется оценить ущерб, который повлечет за собой нарушение или прекращение его работы, причем правила категорирования предписывают учитывать взаимосвязь таких объектов и сценария комбинированной атаки. У одного субъекта КИИ таких систем могут быть сотни и тысячи, и далеко не всегда можно однозначно оценить возможные негативные последствия; поэтому категорирование — очень непростой процесс, требующий понимания всех технологических и бизнес-процессов субъекта КИИ.
На прошедшем 19-20 ноября 2019 года в Москве «SOC-Форуме» представители ФСТЭК России сообщили, что за 2019 год количество объектов КИИ увеличилось до 45 тысяч — их стало почти вдвое больше, чем годом ранее. Число организаций, признавших себя субъектами КИИ, существенно возросло, однако многие из них еще не завершили процедуру категорирования. Елена Торбенко, заместитель начальника управления ФСТЭК России, отметила тот факт, что более 20% сведений, поступающих в заявках, возвращаются на доработку из-за серьезных замечаний: неправильной оценки категории значимости объекта и невнимательного прочтения требований нормативно-правовых актов.
Категорирование — сложный и длительный процесс, поэтому имеет смысл задуматься об использовании возможностей автоматизации определенных задач, а также о централизации хранения и обработки всех данных и документов по КИИ. Использование единой автоматизированной системы существенно упрощает и в разы ускоряет процедуру категорирования, что особенно значимо в тех случаях, когда в ведении субъекта КИИ находятся сотни и тысячи объектов критической инфраструктуры.
R-Vision SGRC представляет собой платформу для централизованного администрирования информационной безопасности, управления рисками и контроля соблюдения требований ИБ. В новых версиях системы пользователям стала доступна возможность вести централизованный учет субъектов КИИ, проводить оценку критичности процессов организации, выявлять связанные с ними объекты КИИ, рассчитывать категорию значимости, формировать необходимый пакет документов для предоставления во ФСТЭК России, а также проводить аудит на соответствие требованиям законодательства к значимым объектам КИИ.
Рассмотрим, как можно автоматизировать выполнение ряда этапов при категорировании объектов КИИ и выполнить набор других требований Федерального закона №187-ФЗ с помощью платформы R-Vision SGRC.
Этапы категорирования
Процесс категорирования в общем случае состоит из ряда этапов, которые представлены на рисунке 1. На подготовительном этапе необходимо осуществить планирование, чтобы определить спектр задач, привлечь необходимые ресурсы и организовать совместную работу ответственных подразделений.
Непосредственно категорирование начинается с формирования комиссии, в которую входят руководитель субъекта КИИ или уполномоченное лицо, специалисты по эксплуатации, информационным технологиям, информационной и технологической безопасности, специалисты в области деятельности субъекта КИИ, а также иные эксперты (по решению руководителя субъекта КИИ). После этого можно переходить к сбору исходных данных для категорирования и к описанию субъекта КИИ.
Рисунок 1. Этапы процесса категорирования
Описание субъекта КИИ
Субъект КИИ — организация, владеющая информационной системой, которая обеспечивает надлежащую работу в одной из 13 сфер, определенных Федеральным законом №187-ФЗ. Признание себя субъектом КИИ — шаг, возлагающий на организацию обязанности по категорированию объектов КИИ.
Признав себя субъектом КИИ, организация должна определить, какое структурное подразделение и какие лица будут отвечать за безопасность объектов КИИ. Эти и другие сведения в отношении субъекта следует хранить централизованно, что полезно не только с формальной точки зрения (удобство формирования «Сведений о присвоении категории объекту КИИ»), но и с позиций доступности важной контактной информации.
В R-Vision SGRC данные о субъекте КИИ заполняются в рамках внесения общих сведений об организации. Оно осуществляется на вкладке «Настройки» в разделе «Организации». Достаточно заполнить эти сведения один раз, и далее они будут автоматически проставляться в формируемых отчетных документах, а также в карточках процессов и объектов.
Описание субъекта КИИ состоит из общих сведений об организации, а также дополнительной информации, которая будет необходима для предоставления во ФСТЭК России — данных о сотрудниках и подразделениях, ответственных за безопасность объектов КИИ.
Рисунок 2. Описание субъекта КИИ
В этом же разделе нужно выбрать из общего списка показатели критериев значимости, применимые к данному субъекту КИИ, а для прочих указать обоснование неприменимости. Это упростит работу на этапах определения критических процессов и расчета категории значимости для каждого объекта КИИ, поскольку неприменимые критерии будут автоматически исключены из списка, а в соответствующие поля таблицы расчета категории значимости будет внесено обоснование их неприменимости. Заполненное один раз для каждого критерия обоснование неприменимости будет автоматически проставляться в соответствующих полях в отчетности.
Рисунок 3. Характеристика субъекта КИИ
Формирование перечня критических процессов
Согласно Постановлению Правительства РФ от 08.02.2018 г. №127, для начала категорирования субъекты должны определить все процессы, выполняемые в рамках своей деятельности, а затем вычленить критические — то есть те, нарушение которых приведёт к негативным социальным, политическим, экономическим, экологическим последствиям или последствиям для обеспечения обороны страны, безопасности государства и правопорядка. Данный этап впоследствии ляжет в основу формирования перечня объектов КИИ.
Учет всех процессов организации ведется в системе R-Vision SGRC в разделе «Бизнес-процессы» на вкладке «Активы».
Рисунок 4. Раздел «Бизнес-процессы» на вкладке «Активы» в системе R-Vision SGRC
Если список потенциальных критических процессов с точки зрения КИИ не пересекается со списком бизнес-процессов организации, система позволит вести его в отдельном иерархическом дереве.
Выявление критических процессов упрощено благодаря специальной форме, позволяющей структурировать информацию о негативных последствиях в результате нарушения / прерывания процесса. При внесении информации о том или ином процессе нужно указать, применимы ли в его отношении показатели критериев значимости, и выбрать, какие именно. В случае наличия таких критериев процесс автоматически отметится как критический, система обнаружит связанные с ним группы ИТ-активов и предложит автоматически промаркировать их как объекты КИИ. Здесь мы немного забегаем вперед, поскольку определение состава ИТ-инфраструктуры и перечня объектов КИИ рассматривается на следующих шагах.
Рисунок 5. Оценка критичности процесса
Показатели, неприменимые к связанным с объектом КИИ процессам, будут исключены из списка при проведении категорирования.
В случае если информация о критических процессах уже имеется в какой-то внешней системе или базе данных, ее можно импортировать в R-Vision SGRC.
Состав информационных систем субъекта КИИ
Следующий шаг — сбор информации об оборудовании и информационных системах, которыми владеет субъект КИИ. R-Vision SGRC обладает собственным безагентским механизмом инвентаризации ИТ-инфраструктуры, позволяя собирать и обновлять в автоматическом режиме сведения об активном сетевом оборудовании, о программных и программно-аппаратных средствах, которые используются в информационных системах. Собранная информация автоматически вносится в карточку актива; состав ее полей является настраиваемым.
Данные инвентаризации могут быть собраны или обогащены из внешних систем по API- или БД-интеграции. При поступлении данных о единице оборудования из нескольких источников они автоматически объединяются в одну максимально обогащенную карточку.
Используя универсальную интеграцию с базами данных и/или импорт из электронных таблиц, можно также внести или дополнить информацию об оборудовании, в случае если эти сведения невозможно получить средствами инвентаризации (например, реестр специфичных систем в изолированном сегменте АСУ ТП).
Проинвентаризированное оборудование привязывается к информационным системам — вручную либо в автоматическом режиме согласно заданным критериям.
Рисунок 6. Собранные сведения о программных и программно-аппаратных средствах субъекта КИИ
Формирование перечня объектов КИИ
Сформировав перечень процессов и информационных систем, относящихся к субъекту КИИ, организация может приступить к определению перечня объектов КИИ, по которому в дальнейшем будет происходить категорирование: она должна выделить те информационные системы, которые обрабатывают информацию, необходимую для обеспечения критических процессов, и/или осуществляют управление, контроль либо мониторинг.
Реестр всех информационных систем организации в R-Vision SGRC ведется в разделе «Группы ИТ-активов». На этой вкладке можно создать новую информационную систему, которая будет являться объектом КИИ, или же отметить атрибут «Объект КИИ» в отношении уже имеющихся в реестре систем.
Рисунок 7. Раздел «Группы ИТ-активов» в R-Vision SGRC
Отнесение группы ИТ-активов к объекту КИИ может происходить автоматически: через настройку политик назначения атрибутов или на основании оценки критичности связанных процессов. Оценка процессов описана в разделе 3. Для настройки политики необходимо выбрать ряд критериев, по которым R-Vision SGRC сможет отметить соответствующий атрибут. Дополнительно можно задать условия включения оборудования в группу ИТ-актива для наполнения карточки объекта КИИ данными о его составе.
Если перечень объектов КИИ уже был определен вне системы, он может быть внесен в нее из внешнего XLS-файла или внешней базы данных.
Перечень объектов КИИ необходимо направить во ФСТЭК России в течение 10 рабочих дней со дня его утверждения. Подробнее об автоматическом формировании этого документа в R-Vision SGRC рассказано в разделе «Отчетность».
Категорирование объектов КИИ
Расчет категории значимости
Категорирование проводится в отношении всех систем, включенных в утвержденный перечень объектов КИИ. В ходе категорирования оцениваются показатели критериев значимости, соответствующие 14 типам возможных негативных последствий в случае возникновения компьютерного инцидента на объекте КИИ. По результатам оценки объекту присваивается одна из трёх категорий значимости.
С точки зрения автоматизации в R-Vision SGRC процесс категорирования включает не только оценку показателей, но и заполнение карточки объекта КИИ: для групп ИТ-активов, являющихся объектами КИИ, в карточке доступна дополнительная вкладка описания, куда вносится вся информация, необходимая для формирования отчетных документов — «Акта категорирования» и «Сведений о результатах присвоения объекту КИИ одной из категорий значимости», в соответствии с формой, утвержденной Приказом ФСТЭК России от 22.12.2017 №236 «Об утверждении формы направления сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий».
Карточка объекта КИИ может быть заполнена из внешнего источника — реестра или базы данных — с помощью универсального коннектора. В таком случае в дальнейшем система предоставит возможность актуализировать карточки объекта вручную или автоматически на основе инвентаризации.
Для удобства пользователя поля в карточке «КИИ» разбиты на блоки, соответствующие основным разделам отчета. Информация о местонахождении объекта, сферах деятельности, назначении, архитектуре, взаимодействии с сетями электросвязи, актуальных типах инцидентов, а также сведения о лице, эксплуатирующем объект, вносятся в карточку вручную.
Рисунок 8. Поле «Дополнительные сведения»
Расчет категории значимости объекта КИИ осуществляется в блоке «Основная информация». В R-Vision SGRC встроен калькулятор для автоматического расчета категории в соответствии с Постановлением Правительства РФ №127. Калькулятор представляет собой таблицу, в которой необходимо оценить показатели критериев значимости, выбрав нужное значение из выпадающего списка, при необходимости указать точное значение, а также добавить обоснование в соответствующих полях. На основании введенных оценок R-Vision SGRC рассчитает категорию значимости объекта КИИ. Дополнительно в карточке объекта КИИ сохранится дата последнего категорирования.
Если в описании субъекта КИИ и связанных с объектом критических процессов заранее были отмечены применимые критерии, то все остальные автоматически станут неактивными в таблице расчета категории.
В случае если объекту КИИ была присвоена одна из категорий значимости, он становится значимым объектом КИИ и попадает под действие Приказа ФСТЭК России от 25 декабря 2017 г. № 239.
Рисунок 9. Оценка категории значимости объекта КИИ
Внесение сведений о программных и программно-аппаратных средствах, используемых на объекте КИИ
Для внесения сведений о ПО и оборудовании, используемых на объекте КИИ, можно воспользоваться данными инвентаризации, о которой шла речь на третьем шаге. В этом случае вся необходимая информация будет автоматически внесена в карточку объекта КИИ и обновлена при изменении его состава.
В случае отсутствия результатов инвентаризации соответствующее поле можно заполнить вручную либо из внешнего реестра или базы данных.
Рисунок 10. Использование данных инвентаризации
Моделирование угроз
Согласно Постановлению Правительства РФ №127 результаты моделирования угроз должны учитываться при проведении категорирования объекта КИИ.
Для заполнения данных об актуальных нарушителях и угрозах безопасности информации можно воспользоваться функциональностью моделирования угроз, которая основана на проекте «Методики определения угроз безопасности информации в информационных системах» от 2015 г. с использованием Банка данных угроз безопасности информации ФСТЭК России.
Прежде всего потребуется настроить объект КИИ: выбрать для расчетов методику ФСТЭК, определить ценность, а также указать уровень защищенности и состав объекта на вкладках дополнительного описания — «ФСТЭК» и «Компоненты».
Рисунок 11. Вкладка «Компоненты»
Моделирование угроз осуществляется в разделе «Оценки» на вкладке «Риски». В отношении объекта КИИ создаётся оценка рисков типа «Оценка актуальности угроз ФСТЭК». Внутри нее указываются потенциальные цели нарушителей, возможность сговора и существующие предпосылки к реализации угроз. На основании введенных данных система предложит модель нарушителя, а также автоматически сформирует перечень применимых к активу угроз из БДУ ФСТЭК России, определив для каждой из них актуальность в соответствии с методикой.
Рисунок 12. Раздел «Оценка»
После завершения (фиксации) оценки данные по нарушителям и угрозам появятся в свойствах объекта КИИ на вкладке «КИИ». В случае если в организации используется другая методика моделирования угроз, результаты можно ввести в свободной форме в соответствующем поле.
Рисунок 13. Сведения об угрозах безопасности и категориях нарушителей
Применяемые меры безопасности
Последний шаг заполнения карточки объекта КИИ — внесение сведений об организационных и технических мерах, применяемых для обеспечения безопасности значимого объекта критической информационной инфраструктуры.
Для реализации этого шага необходимо перейти в раздел «Защитные меры» на вкладке «Система защиты». В этом разделе ведется реестр защитных мер (организационных и технических), внедряемых в отношении активов организации. Защитные меры выбираются из заранее настроенных каталогов. Для каждой меры можно дополнительно указать статус и стоимость внедрения.
Рисунок 14. Раздел «Защитные меры»
Для того чтобы наполнить карточку объекта КИИ сведениями о защитных мерах, необходимо выбирать последние из каталога «ПР. ФСТЭК № 239», сформированного на основе Приказа ФСТЭК России от 25 декабря 2017 г. № 239. Добавляемые меры автоматически появятся в соответствующем блоке на вкладке «КИИ» в виде сводной таблицы.
Рисунок 15. Применяемые меры безопасности
Аудит по Приказу ФСТЭК России №239
В отношении значимых объектов КИИ организациям необходимо выполнять требования Приказа ФСТЭК России от 25 декабря 2017 г. № 239. Применимый набор требований приказа определяется по результатам категорирования.
В дополнение к категорированию объектов КИИ функциональность R-Vision SGRC позволяет также провести аудит объектов на соответствие требованиям Приказа ФСТЭК России от 25 декабря 2017 г. № 239.
Приказ представлен в системе в виде трёх опросных листов, соответствующих первой, второй и третьей категориям значимости объектов КИИ. Для подготовки к проведению проверки необходимо отметить требуемый опросный лист в свойствах группы ИТ-активов как применимый (иконка «Требования»). С помощью политик автоназначения атрибутов можно настроить правила автоматической связки объекта КИИ с подходящим блоком требований Приказа по результатам категорирования.
Рисунок 16. Настройка аудита объекта на соответствие требованиям Приказа ФСТЭК России от 25 декабря 2017 г. № 239
Аудит на соответствие приказу можно создать непосредственно из свойств объекта КИИ, щелкнув по нему правой кнопкой мыши. При создании дополнительно указываются ответственное лицо, плановые даты проведения проверки и период уведомления об их приближении.
В ходе аудита в отношении каждого требования приказа выставляется оценка степени его выполнения. При необходимости указываются рекомендации по реализации требований, а в случае выявления нарушений заводятся замечания.
Рисунок 17. Оценка степени выполнения аудита и выявление нарушений
Отчетность
Данные, вносимые в систему в ходе выполнения вышеописанных шагов, позволяют сгенерировать полный комплект документов, необходимых организациям, являющимся субъектами КИИ. К этим документам относятся:
- Перечень критических процессов КИИ;
- Перечень объектов КИИ;
- Акт о категорировании объекта КИИ;
- Сведения о присвоения категории объекту КИИ;
- Акт проверки объекта КИИ на основании проведенного аудита по Приказу ФСТЭК России №239.
Перечисленные документы доступны для создания на вкладке «Отчеты». При генерации можно выбрать область отчета (вся организация / некоторые подразделения / отдельные системы) или создать его в отношении конкретного объекта КИИ. Все отчеты генерируются в двух форматах — DOCX и PDF.
Рисунок 18. Перечисленные документы на вкладке «Отчеты»
Отчетные документы можно сгенерировать повторно после любых изменений по объекту КИИ и его категорированию, что экономит время при пересмотре категории или актуализации данных по объекту КИИ.
Выводы
В этой статье мы рассмотрели ту часть функциональных возможностей платформы R-Vision SGRC, которая позволяет автоматизировать ряд важных для субъектов КИИ задач, а именно:
- учет субъектов КИИ и критических процессов,
- формирование перечня объектов КИИ, подлежащих категорированию,
- сбор данных о составе компонентов объекта КИИ,
- инвентаризацию оборудования и ПО,
- моделирование угроз для объектов КИИ по требованиям ФСТЭК России,
- расчёт категории значимости для каждого объекта КИИ,
- автоматический учет примененных и необходимых мер защиты в отношении объекта КИИ,
- проведение аудита на соответствие требованиям Приказа ФСТЭК №239 для значимых объектов КИИ,
- формирование необходимого пакета документов.
Если в организации процесс категорирования уже идет, и достигнуты определенные результаты, зафиксированные в бумажном виде либо в виде файлов документов, то имеется возможность перенести их в систему R-Vision SGRC. Это позволит в дальнейшем централизованно хранить огромный объем данных и документов по объектам КИИ и работать с ним, а также автоматизировать следующие процессы:
- поддержание в актуальном виде результатов категорирования объектов КИИ;
- категорирование новых объектов КИИ;
- плановый пересмотр категорирования объектов КИИ.
Стоит отметить, что возможности платформы R-Vision SGRC не ограничиваются только тематикой КИИ: они значительно шире и включают автоматизацию таких процессов, как управление активами и уязвимостями, управление рисками, оценка соответствия требованиям (комплаенс-контроль), мониторинг состояния информационной безопасности, управление рабочими процессами, планирование и контроль задач.
Категорирование в целом позволяет субъекту КИИ провести оценку рисков и защищенности объектов ИТ-инфраструктуры, серьезно разобраться в информационно-технологических процессах и проанализировать последствия, которые могут наступить в результате целенаправленных действий злоумышленника. Следующий важный этап — обеспечить соответствующую защиту для значимых объектов и поддерживать ее на необходимом уровне.