Организационные и технические меры защиты значимых объектов критической информационной инфраструктуры (КИИ)

1. Автор: Алексей Лукацкий, Cisco
http://lukatsky.blogspot.com
Карта основных требований
приказа ФСТЭК №239
239-й приказ ФСТЭК
Область действия
Значимые объекты
ИС
ИТС
АСУ
ИСПДн + 21-й приказ
ГИС + 17-й приказ
Незначимые объекты (по решение
субъекта КИИ)
Общие положения
Цель обеспечения безопасности
Обеспечение устойчивого
функционирования ОЗКИИ в условиях
реализации против него угроз
Задачи обеспечение
безопасности
Предотвращение неправомерного
доступа, уничтожения,
модификации, блокирования,
копирования, предоставления и
распространения информации, а
также иных неправомерных
действий в ее отношении
Недопущение воздействия на ПО и
железо, в результате которых может
быть нарушение и(или) прекращение
функционирования ЗОКИИ
Обеспечение функционирования ОЗКИИ в
проектных режимах работы в условиях
воздействия на него угроз
Обеспечение возможности
восстановления
функционирования ОЗКИИ
Объекты защиты
В ИС
Обрабатываемая информация
ПО
Железо (машинные носители,
АРМ, сервера,
телекомуникационное
оборудование, линии связи,
средства обработки графической
и речевой информации)
СрЗИ
Архитектура и конфигурация
В ИТС
Передаваемая по линиям связи информация
Телекоммуникационное
оборудование, включая ПО и
систему управления
СрЗИ
Архитектура и информация
В АСУ
Информация о параметрах
управляемого процесса (объекта)
Управляющая информация
Контрольно-измерительная
информация
ПО
Железо (АРМ, сервера, линии
связи, телекоммуникационное
оборудование, контроллеры,
исполнительные устройства)
СрЗИ
Архитектура и конфигурация
ПО и железо, включая СрЗИ
Должны обладать гарантийной
и(или) технической поддержкой
Требуется учитывать наличие
ограничений на возможность
применения субъектом КИИ на
любом из своих ЗОКИИ
На ЗОКИИ не допускается
Наличие удаленного доступа напрямую к ПО и
железу, включая СрЗИ, для обновления и
управления лицами, не являющимися
работниками субъекта КИИ
Наличие локального бесконтрольного доступа к
ПО и железу, включая СрЗИ, для обновления и
управления лицами, не являющимися
работниками субъекта КИИ
Передача информации,
разработчику (производителю)
ПО и железа , включая СрЗИ, или
иным лицам без контроля со
стороны субъекта КИИ
Размещение ПО и железа за
пределами России (для 1
категории значимости)
Исключая зарубежные филиалы и
представительства
Исключая случаи, установленные
законодательством
Установление требований к обеспечению безопасности
Устанавливаются субъектом или
застройщиком (в рамках капстроя)
В соответствие с категорией
значимости ЗОКИИ
Включаются в ТЗ на ЗОКИИ или
подсистему ИБ ЗОКИИ
Цель и задачи обеспечения
безопасности ЗОКИИ
Категория значимости ЗОКИИ
Перечень НПА и стандартов, которым
должен соответствовать ЗОКИИ
Перечень типов объектов защиты ЗОКИИ
Технические и оргмеры
безопасности ЗОКИИ
Стадии создания подсистемы
безопасности ЗОКИИ
Требования к ПО и железу,
включая СрЗИ
Требования к защите средств и
систем, обеспечивающих
функционирование ЗОКИИ
Требования к информационному
взаимодействию ЗОКИИ с иными
ОКИИ, ИС, АСУ и ИТС
Требования к составу и
содержанию документов
Разработка технических и оргмер
Анализ угроз
Источники анализа - БДУ ФСТЭК и иные
каталоги угроз и уязвимостей
Выявление источников угроз
Оценка потенциала внешних и
внутренних нарушителей
Анализ возможных уязвимостей ЗОКИИ
Определение возможных
сценариев реализации угроз
Оценка возможных последствий
от реализации угроз
Разработка модели угроз
Краткое описание архитектуры ЗОКИИ
Характеристика источников угроз
Модель нарушителя
Описание всех актуальных угроз
Источников угрозы
Уязвимости, способствующие
возникновению или реализации угрозы
Возможные сценарии реализации угрозы
Возможные последствия
реализации угрозы
Проектирование подсистемы
безопасности ОКИИ
Определение субъектов и
объектов доступа
Определение политик доступа
Обоснование технических и оргмер
Определение типов и видов СрЗИ,
обеспечивающих реализацию техмер
Выбор СрЗИ и (или) их
разработка
Применение стандартов на
безопасную разработку
Разработка архитектуры
подсистемы безопасности
ЗОКИИ, включая состав, места
установки и взаимосвязи СрЗИ
Определение требований к
параметрам настройки ПО и
железа, включая СрЗИ
Определение мер безопасности при
взаимодействии ЗОКИИ с иными ОКИИ
Тестирование подсистемы
безопасности ЗОКИИ направлено на
Обеспечение работоспособности
и совместимости выбранных
СрЗИ с ПО и железом ЗОКИИ
Практическая отработка
выполнения СрЗИ функций
безопасности
Исключение влияния подсистемы
безопасности на
функционирование ЗОКИИ
Макетирование тестовой среды
С помощью средств
моделирования
С помощью технологий
виртуализации
Уточнение категории значимости
Разработка документации на
ОКИИ (в части безопасности)
Описание архитектуры
подсистемы безопасности ЗОКИИ
Порядок и параметры настройки
ПО и железа, включая и СрЗИ
Правила эксплуатации ПО и
железа, включая и СрЗИ
Учёт взаимодействия ОКИИ с
иными ОКИИ
Внедрение технических и оргмер
Установка и настройка ПО и
железа, включая и СрЗИ
В соответствие с
эксплуатационной документацией
на ЗОКИИ, СрЗИ
Выполнение ограничений на
эксплуатацию
Документирование правил и
процедур обеспечения
безопасности ЗОКИИ
Определение правил и процедур
реализации отдельных
технических и оргмер
Состав и формы определяются
субъектом КИИ
Правила безопасной работы
работников, эксплуатирующих и
обеспечивающих
функционирование ЗОКИИ
Действия работников при
возникновении нештатных ситуаций
Внедрение оргмер по
обеспечению безопасности ЗОКИИ
Организация контроля
физического доступа к железу и
линиям связи ЗОКИИ
Реализация правил
разграничения доступа субъектов
к объектам доступа
Проверка полносты и детальности
описания в документации
действий пользователей и
администраторов ЗОКИИ
Определение администратора
безопасности
Отработка действий
пользователей и
администраторов по реализации
мер по обеспечению
безопасности значимого объекта
Предварительные испытания
ЗОКИИ и его подсистемы
безопасности
Проверка работоспособности
подсистемы безопасности ЗОКИИ
и отдельных СрЗИ
Оценка влияния подсистемы
безопасности на
функционирование ЗОКИИ при
проектных режимах работы
Принятие решение о
возможности опытной
эксплуатации ЗОКИИ и его
подсистемы безопасности
В соответствие с программой и
методикой испытаний
Опытная эксплуатация ЗОКИИ и
его подсистемы безопасности
Проверка функционирования
подсистемы безопасности ЗОКИИ
Проверка реализованных
технических и оргмер
Проверка знаний и умений
пользователей и
администраторов
В соответствие с программой и
методикой опытной эксплуатации
Анализ уязвимостей ЗОКИИ и
принятие мер по их устранению
Анализ
Кода
Конфигурации
Архитектуры
Способы выявления уязвимостей
Анализ проектной, эксплуатационной
документации и документации по
безопасности ЗОКИИ
Анализ настроек ПО и железа, в т.ч. СрЗИ
Анализ состава установленного
ПО и обновлений безопасности
Применение средств контроля
защищенности
Тестирование на проникновение,
в соответствие с моделью угроз
Анализ может проводиться на
макете ЗОКИИ
Анализ проводится до ввода
ЗОКИИ в эксплуатацию
Должно быть подтверждено
отсутствие уязвимостей из БДУ
ФСТЭК или отсутствие их влияния
на возникновение угроз
Приемочные испытания ЗОКИИ и
его подсистемы безопасности
Подтверждение соответствия
ЗОКИИ требованиям 239-го
приказа и требованиям ТЗ на
создание ЗОКИИ и(или)
подсистемы безопасности
Исходные данные для испытаний
Модель угроз
Акт категорирования
ТЗ на создание ЗОКИИ и(или)
подсистемы безопасности
Проектная и рабочая
документация
Организационно-
распорядительные документы по
безопасности ЗОКИИ
Результаты анализа уязвимостей
Материалы предварительных
испытаний и опытной
эксплуатации
Иные документы
В соответствие с программой и методикой
приемочных испытаний
Аттестация (для ГИС или в случае
принятия решения субъектом)
Обеспечение безопасности в ходе эксплуатации ЗОКИИ
Планирование мероприятий по
обеспечению безопасности ЗОКИИ
Определение лиц, ответственных за
планирование и контроль мероприятий
Разработка, утверждение и
актуализация плана мероприятий
Определение порядка контроля
выполнения мероприятий
Анализ угроз и последствий от их реализации
Анализ уязвимостей,
возникающих в ходе
эксплуатации
Анализ изменения угроз
Оценка возможных последствий
реализации угроз
Периодичность определяется
субъектом КИИ
Управление подсистемой
безопасности ЗОКИИ
Определение лиц, ответственных
за управление подсистемой
безопасности
Управление учетными записями и
поддержание в актуальном состоянии
правил разграничения доступа
Управление СрЗИ
Управление обновлениями ПО и
железа, включая СрЗИ
Централизованное управление
подсистемой бюезопасности (при
необходимости)
Мониторинг и анализ
зарегистрированных событий
безопасности
Сопровождение
функционирования подсистемы
безопасности в ходе ее
эксплуатации, включая ведение
эксплуатационной документации
Управление конфигурацией
ЗОКИИ и его подсистемой
безопасности
Определение лиц, которым разрешены
действия по внесению изменений в
конфигурацию и их полномочий
Определение компонентов,
подлежащих изменению в рамках
управления конфигурацией
Управление изменениями
Контроль действий по внесению изменений
В т.ч. и во время гарантийного и
технического обслуживания, в
том числе удаленного
Реагирование на компьютерные инциденты
Определение работников,
ответственных за выявление и
реагирование на инциденты,
включая их функции
Исполнение порядка,
установленного ФЗ-187
Обеспечение действий в
нештатных ситуациях
Планирование мероприятий на случай
возникновения нештатных ситуаций
Обучение и отработка действий
персонала в случае возникновения
нештатных ситуаций
Создание альтернативных мест
хранения и обработки информации на
случай возникновений нештатных
ситуаций
Резервирование ПО и железа, в
т.ч. СрЗИ, каналов связи на
случай нештатных ситуаций
Обеспечение возможности
восстановления ЗОКИИ в случае
возникновения нештатных ситуаций
Определение порядка анализа возникших
нештатных ситуаций и принятие мер по
недопущению их повторения
Информирование и обучение
персонала ЗОКИИ
Информирование персонала об
угрозах, о правилах безопасной
эксплуатации
Доведение до персонала
требований по обеспечению
безопасности
Обучение персонала правилам
эксплуатации отдельных СрЗИ, включая
проведение практических занятий с
персоналом
Контроль осведомленности
персонала об угрозах
безопасности информации и
уровня знаний персонала по
вопросам обеспечения
безопасности КИИ
Периодичность устанавливается
субъектом КИИ
Контроль за обеспечением
безопасности ЗОКИИ
Контроль защищенности
Анализ и оценка
функционирования, включая
анализ и устранение уязвимостей
Документирование процедур и
результатов контроля
Принятие решения по
результатам контроля о
необходимости доработки
подсистемы безопасности
Обеспечение безопасности при выводе из эксплуатации ЗОКИИ
Архивирование информации,
содержащейся в ЗОКИИ
Уничтожение данных и остаточной
информации с машинных носителей
и(или) уничтожение машинных
носителей
Уничтожение или архивирование
данных об архитектуре и
конфигурации ЗОКИИ
Архивирование или уничтожение
эксплуатационной документации
на ЗОКИИ и его подсистему
безопасности и документации
Сроки хранения определяются
субъектом КИИ
Сброс настроек ПО и железа,
включая СрЗИ
Удаление информации о
субъектах и объектах доступа
Удаление учетных записей
пользователей
Удаление идентификационной и
аутентификационной информации
субъектов доступа
Технические и организационные меры
Реализуются субъектом КИИ или
лицензиатом ТЗКИ/ГТ
Уровни реализации
Аппаратный
Системный
Прикладной
Сетевой
Виртуализация
Лицо, реализующее меры
Субъект КИИ
Лицо, эксплуатирующее ЗОКИИ
Меры соотносятся с
Мерами по промышленной
безопасности
Мерами по функциональной
безопасности
Иными мерами по безопасности
Не должны оказывать
отрицательное влияние на
функционирование ЗОКИИ
Состав мер (зависит от категории значимости)
Идентификация и аутентификация
Управление доступом
Ограничение программной среды
Защита машинных носителей
информации
Аудит безопасности
Антивирусная защита
Предотвращение вторжений
(компьютерных атак)
Обеспечение целостности
Обеспечение доступности
Защите техсредств и систем
Защита ИС и ее компонентов
Планирование мероприятий по
обеспечению безопасности
Управление конфигурацией
Управление обновлениями ПО
Реагирование на инциденты
Обеспечение действий в
нештатных ситуациях
Информирование и обучение персонала
Выбор мер
Определение базового набора
На основании категории
значимости
Адаптация базового набора
Зависит от угроз
Зависит применяемых ИТ
Зависит от особенностей
функционирования ЗОКИИ
Исключение мер
При отсутствии определенных ИТ
При наличии/отсутствии
определенных характеристик ЗОКИИ
При отсутствии актуальных угроз
В случае достаточности мер
промышленной, функциональной
или физической безопасности
Требуется обоснование
достаточности мер
Дополнение адаптированного набора
Для выполнения иных
нормативных актов
Для реализации требований по защите ПДн
Для реализации требований по защите ГИС
Для реализации требований к СКЗИ
Компенсирующие меры
Применение когда
Отсутствует возможность
реализации мер
Меры негативно влияют на
функционирование ЗОКИИ
Требуется обоснование выбора
Требуется оценка достаточности и
адекватности (при приемочных испытаниях)
Технические меры
Средства защиты
Приоритет - встроенные
Наложенные программные или
программно-аппаратные
средства защиты информации
Эксплуатация в соответствие с
эксплуатационной документацией
Обязательная гарантийная и(или)
техническая поддержка
Оценка соответствия
Обязательная сертификация
1 категория значимости
СрЗИ не ниже 4-го класса
СВТ не ниже 5-го класса
Уровень доверия 4+
Сертифицированные
маршрутизаторы (при наличии
подключения к Интернет)Если таких, то и ладно, но надо обосновать
2 категория значимости
СрЗИ не ниже 5-го класса
СВТ не ниже 5-го класса
Уровень доверия 5+
3 категория значимости
СрЗИ не ниже 6-го класса
СВТ не ниже 5-го класса
Уровень доверия 6+
Испытания
Проводятся самостоятельно
В соответствие с программой и
методикой испытаний
Приемка
Проводятся с привлечением лицензиата
В соответствие с программой и
методикой приемки
Решение о выборе формы оценки
принимает субъект КИИ (если
иное не указано в
законодательстве)
Разное
Документирование результатов
всех мероприятий