Безопасность КИИ: как перейти от нормативов к практическим внедрениям
Безопасность ИТ в госсекторе
23.11.2020, Пн, 11:10, Мск , Текст: Роман Жуков, директор центра компетенций «Гарда Технологии»
В 2020 г. пришло время переходить от обсуждений к практическим действиям в реализации требований безопасности КИИ. Комплексная система защиты значимых объектов КИИ минимизирует риски остановки производства из-за киберинцидентов и чрезвычайных ситуаций, а также позволяет обеспечить требования нормативно-правовых актов и избежать санкций от надзорных органов. О том, как обеспечить безопасность объектов КИИ и выполнить все требования законодательства, в своей статье для CNews рассказал Роман Жуков, директор центра компетенций «Гарда Технологии».
Текущая ситуация в области законодательства о БКИИ
Структура БКИИ (безопасности критической информационной инфраструктуры) — это три основных федеральных закона (187-ФЗ, 193-ФЗ и 194-ФЗ), приказы ФСТЭК (№227, 229, 235, 236, 239), приказы и рекомендации ФСБ (№366, 367, 358, 196, 281 и 282), а также ведомственные приказы и рекомендации Минпромсвязи, Минпромэнерго и Центрального банка.
Согласно письму ФСТЭК, на первом этапе госсектор должен был к 1 сентября 2020 г. завершить процедуру категорирования. Алгоритм действий данного этапа предполагает инвентаризацию (описание систем и процессов, привязку к объектам КИИ, оценку состояния ИБ и набора СЗИ), выбор способа защиты (оценка типовых объектов и процессов, влияющих на КИИ), категорирование (указание отраслевой специфики, проведение комиссии и составление актов), а также подачу перечня объектов во ФСТЭК.
Второй этап предполагает составление требований и апробацию решений для обеспечения ИБ, проектирование (проектные решения на продукты и решения, а также документация), внедрение решений и составление всей документации с оценкой эффективности последующей эксплуатации. Результатом второго этапа становится комплексное обеспечение БКИИ.
Комплексная система защиты значимых объектов КИИ минимизирует риски остановки производства из-за киберинцидентов и чрезвычайных ситуаций. Источник: ru.depositphotos.com
Говоря о законодательстве, нельзя не упомянуть о разработке нового ГОСТ по ГосСОПКА для субъектов КИИ. Он полезен тем, что в нем предусмотрена визуализация терминов и концепция процессов, структурированы данные для обучения, а также приведены в соответствие различные документы. В случае принятия нового ГОСТ можно будет обосновывать собственные проекты по построению SOC субъектов КИИ.
Помимо этого, достоянием общественности стал проект приказа ФСТЭК о подключении 30 объектов КИИ к интернету. Он будет действовать только для вновь создаваемых объектов и потребует согласования подключения объектов КИИ к сети связи общего пользования путем направления во ФСТЭК копии модели угроз, в том числе схемы организации связи, номеров сертификатов или протоколов оценки испытаний.
Кроме того, на рассмотрении находится проект изменений в КоАП РФ, согласно которым предусмотрено дополнительное регулирование по объектам КИИ. В кодекс добавятся две статьи: «Нарушение требований в области КИИ по созданию, обеспечению безопасности, информированию об инцидентах и обмену данными об инцидентах» и «О непредоставлении сведений по КИИ во ФСТЭК и ФСБ». За несоблюдение требований каждой из статей предусмотрен штраф до 50 тыс. руб. для должностных лиц и до 500 тыс. руб. для юридических лиц.
Судебная практика в области обеспечения безопасности КИИ
Еще до выхода новых статей КоАП РФ появились судебные дела по нарушениям защиты КИИ, касающиеся действующего законодательства.
5 августа 2020 г. прокуратура Приморского края утвердила обвинительное заключение по уголовному делу в отношении 21-летнего местного жителя. Он обвиняется в совершении преступления, предусмотренного ч.2 ст. 274.1 УК РФ (неправомерный доступ к охраняемой компьютерной информации, относящейся к критической информационной инфраструктуре РФ, повлекшей причинение вреда информационной системе). При помощи двух подельников злоумышленник получал пароли доступа к личным кабинетам абонентов и активировал переадресацию входящих вызовов на свой номер. Это позволило ему получить доступ к аккаунтам соцсетей, к которым привязаны номера, чтобы в дальнейшем использовать страницы в корыстных целях. Персональные данные абонентов телекоммуникационной компании относятся к объектам КИИ.
Сотрудник отдела оператора связи отправил сведения расположения узлов связи (военных частей, ФСБ, УФСИН, МВД) на личный почтовый ящик. (ч.4 ст. 274.1 — с использованием служебного положения). Копия письма сохранилась на облачном узле компании Google, зарегистрированной в США. На этом основании причинен вред КИИ Российской Федерации.
Во Владивостоке вынесен приговор по делу в сфере компьютерной информации, согласно ч. 4 ст. 274.1 УК РФ. Сотрудница телекоммуникационной компании скопировала на флешку персональные данные абонентов и затем переслала их знакомому, тем самым причинив вред критической информационной инфраструктуре.
Группа мошенников незаконно осуществила неправомерный доступ к компьютерной информации компании «Восточная верфь», зашифровала данные и требовала выкуп за них в биткоинах. Это повлекло за собой нарушение производственного процесса и причинение имущественного вреда в размере 655 тыс. руб. Наказание для всех участников преступной группы последовало также по ч.4 ст. 274.1 УК РФ и составило 2 года лишения свободы условно и 2 года запрета доступа к объектам КИИ.
В институте вулканологии сотрудник сканировал в 2019 г. сайт Роскомнадзора на уязвимости. Его хотели привлечь по статье 274.1 УК РФ. Суд посчитал это незаконным доступом к КИИ, хотя категорирования еще не было.
Импортозамещение для объектов КИИ
Пока в приказах ФСТЭК нет четких требований о том, что все оборудование и ПО объектов КИИ должны быть исключительно российской разработки. Но на значимом объекте не допускается прямой удаленный доступ к программно-аппаратным средствам объектов КИИ, а также наличие локального бесконтрольного доступа. Средства должны быть размещены на территории РФ. Это не значит, что прямой доступ из-за рубежа запрещен, можно обойти. Поправки в приказ ФСТЭК № 239, касающиеся запрета доступа к объектам КИИ даже для технической поддержки из-за рубежа, не прошли, но можно сделать выводы о тенденциях в этом направлении и о намерениях регуляторов. Поэтому об импортозамещении стоит задуматься уже сейчас.
Практика защиты объектов КИИ
Законодательство о безопасности КИИ — один из первых шагов к внедрению процессного подхода. В приказе №235 и других есть такие понятия как «жизненный цикл информационной системы». Основной фокус делается на предотвращении неправомерного воздействия. Уголовная ответственность наступает за конкретные последствия или причиненный ущерб. В нормативных актах фигурирует обнаружение, реагирование и расследование инцидентов. В отличие от нормативных документов по ПДн, здесь подробно описан процессный подход. Этим можно пользоваться для внедрения практической безопасности. «Гарда Технологии» как вендор выступает за практическую безопасность, чтобы защитить бизнес от шифровальщиков, других реальных атак и внутренних злоумышленников.
Актуальность проблемы обеспечения информационной безопасности доказывает международный опыт 2020 г. Например, в апреле датский производитель насосов стал жертвой кибератаки, следствием чего стало отключение всех компьютерных систем предприятия. В июне взламывали серверы АЗС, чтобы использовать бесплатное топливо. Целевым атакам подверглась израильская компания SCADA — производитель систем водоснабжения. Кроме того, на 2020 г., по данным Shudan, в свободном доступе благодаря уязвимости Blue Keep находится более 80 тыс. RDP-протоколов.
Что происходит с важными системами в организации?
Основа для информационных систем и приложений — это базы данных как источник корпоративной и технологической информации. Кроме владельцев, этой информацией интересуется множество злоумышленников — инсайдеров, хакеров. Защитить базы данных (в том числе на объектах КИИ) позволяет специализированная система «Гарда БД».
Применение «Гарда БД» на объектах КИИ
- Аудит действий сетевых и БД администраторов КИИ;
- Защита критичных БД КИИ;
- Выявление «случайных» БД на объектах КИИ;
- Детектирование специфичных инцидентов;
- Фиксация и расследование инцидентов, связанных с доступом к КИИ.
В нормативных документах по КИИ и ГосСОПКа обозначено, что все факты об инцидентах должны фиксироваться и отправляться в ГосСОПКу. «Гарда БД» фиксирует все обращения к базам данных и веб-приложениям. Даже если инцидент пропустили, всю фактуру по нему можно собрать, скомпоновать и отправить в компетентные органы по запросу.
Что умеет система «Гарда БД»
- предотвращать выгрузки и продажи данных клиентов, включая персональные данные и данные кредитных карт;
- контролировать манипуляции с клиентскими базами, включая накрутку KPI (Key Performance Indicators ключевые показатели эффективности);
- проверять БД на обезличенность при их передаче;
- разграничивать доступ к СУБД для аттестации информационных систем;
- выявлять не оптимально настроенные конфигурации СУБД с точки зрения стандартов и лучших практик по ИБ;
- предотвращать мошенничество и прямые хищения денежных средств с использованием БД и бизнес-приложений компании;
- выявлять несанкционированное разворачивание теневых неучтенных баз данных со стороны администраторов.
На практике уже реализовано несколько кейсов применения «Гарда БД» в качестве наложенного средства защиты информации (СЗИ) при аттестации информационных систем. Особенно, когда применяются несертифицированные СУБД или уровень сертификации для организации недостаточен.
С помощью «Гарда БД» как сертифицированного отечественного решения удается закрыть требования к разграничению доступа к информации. Например, в комплексной информационной системе, где объединен бухгалтерский, кадровый учет, ERP и другие системы.
Решение «Гарда Монитор» отвечает на вопрос «что происходит в сети компании». С точки зрения защиты КИИ — это главный вопрос. Поэтому решение становится инструментом для ежедневной работы сотрудников компании — как офицеров безопасности, так и руководителей ИБ, ИТ-специалистов и аналитиков SOC.
Практика применения
Майнинг на рабочем месте
На объектах, относящимся к КИИ, выявляется майнинг на рабочих местах, который опсен тем, что нецелевым образом используются ресурсы и время сотрудников, в сети появляются вирусы под видом майнер-клиентов и майнеры-вредоносы. Такой ущерб крайне сложно доказать без прямых фактов, которые предоставляет «Гарда Монитор».
Нелегальный удаленный доступ
Опасен потерей контроля доступа при подключении из любых локаций, риском появления вирусной активности и сложностью при расследовании, когда нет ясности, откуда кто подключается и чем пользуется.
Защита от заражения вредоносным ПО и от внешних атак
Применение «Гарда Монитор» на объектах КИИ обеспечит запись и хранение всего сетевого трафика, детектирование специфических угроз для АСУ ТП, распределенную установку, позволяющую контролировать SOC, а также пассивное внедрение без влияния на сеть.
Отдельно стоит остановиться на теме обеспечения информационной безопасности в технологическом сегменте (АСУ ТП). Такие факты, как появление новых устройств, использование неучтенных накопителей, обнаружение нетипичного трафика, выявление ошибок разграничения доступа или непроизводственная активность на подключенных к сети устройствах — уже сами по себе — индикаторы нарушения безопасности АСУ ТП. Чем раньше об указанных инцидентах станет известно службе безопасности (а «Гарда Монитор» работает в режиме реального времени), тем больше будет шансов предотвратить негативное развитие событий, например: заражение устройств и захват управления, нарушение технологического процесса, несанкционированная передача данных за периметр безопасности, проникновение в другие сетевые сегменты.
«Гарда Монитор» осуществляет контроль сетевых соединений на периметре (глубокий разбор содержимого пакетов и сигнатурный анализ) и позволяет обнаружить нелегитимный трафик (игровой, YouTube, BitTorent), несанкционированное подключение к SCADA-серверу из внешнего сегмента и изменение параметров работы технологического оборудования, сканирование хостов технологического сегмента сети, подбор паролей, эксплуатацию уязвимостей в ПО устройств, ошибки в настройках межсетевых экранов и маршрутизаторов.
Оценка ситуации на рабочих устройствах
Рассмотрим пример работы DLP-системы «Гарда Предприятие» в контроле информационных потоков на сети и через агентов рабочих мест. Система позволяет гибко управлять процессами передачи данных и анализировать все данные для определения инцидентов, особенно при мониторинге сотрудников на удаленке. Применение на объектах КИИ включает установку легких агентов (в том числе на старые ОС), тотальную запись всех действий на АРМ, запрет носителей и приложений, выявление «теневых» ИТ в условиях запретов на АСУ ТП, фиксацию юридически значимых фактов.
Применение решений «Гарда Технологии» обеспечивает практическую безопасность объектов критической информационной инфраструры. Все продукты поддерживают гео-распределенную кластерную инсталляцию с возможностью управления каждым из них в режиме одного окна. Это значит, что можно мониторить и защищать объекты КИИ в филиалах из единого центра с настройкой ролевых моделей, хранением и обработкой больших объемов данных.
Соответствие нормативным требованиям
При выстраивании процессов организации ИБ объектов КИИ нужно провести ревизию процессов, согласовать обмен с ГосСОПКА, не забывать про реальную безопасность, согласовать с другими НПА, использовать выпущенные ОРД в своих целях.
Решения «Гарда Технологии» помогают закрыть отдельные требования приказа №239 ФСТЭК России по обеспечению безопасности объектов КИИ. «Гарда Предприятие» — некоторые меры из групп ОПС, ЗНИ, АУД, ОЦЛ, ЗИС, ИНЦ. «Гарда БД» — некоторые меры из групп ИАФ, УПД, АУД, ОЦЛ, ЗИС, ИНЦ. «Гарда Монитор» — некоторые меры из групп УПД, АУД, СОВ, ЗИС, ИНЦ, УКФ.
В рамках выполнения требований к техническим средствам ГосСОПКА, согласно приказу №196 ФСБ России, в качестве средств по обнаружению и предупреждению атак, а также средств поиска компьютерных атак в сетях электросвязи могут выступать «Гарда БД», «Гарда Предприятие», «Гарда Монитор». При этом продукты способны выявлять более 80% категорий инцидентов из тех, которые нужно фиксировать для отправки в НКЦКИ. Среди них: заражение вредоносным программным обеспечением, распространение вредоносного программного обеспечения, нарушение или замедление работы контролируемого информационного ресурса, несанкционированный доступ в систему, попытки несанкционированного доступа в систему или к информации, сбор сведений с использование ИКТ, нарушение безопасности информации, распространение информации с неприемлемым содержимым, мошенничество с использованием ИКТ, уязвимости.
Нередко для обеспечения безопасности достаточно поставить антивирус, межсетевой экран и IDS (Intrusion Detection System, системы обнаружения вторжений), но этого недостаточно, чтобы снизить риски инцидентов, в частности, несанкционированного доступа к системе. Решения «Гарда Технологии» закрывают потребности в безопасности на всех информационных уровнях компании: на рабочих местах, в бизнес-приложениях, в сетевом трафике.
Полный текст статьи читайте на CNews