Сегодня информация является не просто ценным, но и дорогим ресурсом. Более того, информация, обрабатываемая субъектами КИИ, является «лакомым кусочком» для злоумышленников, и охота на данные в этом сегменте не прекращается никогда. Именно поэтому атаки на промышленные организации зачастую направлены на то, чтобы похитить информацию, а после неплохо на ней заработать, а иногда и вовсе остановить производственные процессы.
Где же сегодня искать лучшие практики в ИБ? Что защищать, а что нет? Как лучше подойти к построению системы защиты предприятия?
Набор мер по информационной безопасности обширен и в зависимости от специфики организации и построенной инфраструктуры может существенно различаться. Однако в первую очередь для построения эффективной системы безопасности нужно привести ИТ-инфраструктуру и внутренние процессы в надлежащее состояние.
Для этого проводят аудит. Благодаря этому этапу будет составлена полная картина всех компонентов инфраструктуры. Рекомендуется проводить инвентаризацию на периодической основе, однако даже разовая процедура даст ощутимый эффект для построения подсистемы безопасности.
Также первичными мерами могут являться:
— внедрение политик безопасности и контроль их исполнения;
— внедрение не только самих средств контроля безопасности, но и процессов мониторинга и реагирования на инциденты безопасности для раннего обнаружения возможных атак;
— регулярные программы обучения и повышения осведомленности сотрудников в области информационной безопасности.
Помимо первичных мер также имеют место быть постоянные «непрерывные» мероприятия такие как: управление уязвимостями, своевременное принятие мер при условии изменяющихся НПА, поддержка работоспособности ПО + СЗИ и оборудования и т.д.
Что касается объектов КИИ, подобные меры защиты расширяются. Со стороны регуляторов для поддержания защиты выставляются дополнительные требования, и, как показывает практика, именно при выполнении этих самых требований у компаний нередко возникают вопросы и сложности, связанные с особенностями производственных объектов, технологических процессов и систем, которые их обеспечивают.
Начальный этап реализации мер при обеспечении непрерывной безопасности на объектах КИИ расширяется категорированием. Именно на нем субъект КИИ определяет, какие у него есть объекты КИИ, а также являются они значимыми или нет.
При этом, помимо требований по обеспечению безопасности, действующее законодательство предусматривает права и обязанности субъектов КИИ (владельцев как значимых, так и незначимых объектов КИИ). А за несоблюдение требований законодательства предусматриваются административная и уголовная ответственность. Так, в 2024 году ФСТЭК по результатам госконтроля объектов критической информационной инфраструктуры (КИИ) обнаружила свыше 500 нарушений, возбудила больше 150 административных дел.
Этап внедрения средств защиты зачастую осложняется следующими моментами:
— отсутствие сертификатов соответствия;
— отсутствие совместимости с защищаемыми объектами;
— недостатки многофункциональности решений;
— сложности импортозамещения.
Именно поэтому при проектировании необходимо производить сравнительный анализ СЗИ, а также стендирование и пилотирование. В результате этих действий уже можно будет выбрать наиболее подходящий вариант технического решения, которое соответствует требованиям создаваемой системы безопасности объекта КИИ и имеет наилучшее сочетание стоимостных и функциональных характеристик.
Этап по внедрению процесса мониторинга и реагирования на инциденты безопасности также расширяется взаимодействием с ГосСОПКА. Причем сроки уведомления НКЦКИ для незначимого объекта КИИ составляют 24 часа с момента обнаружения, а для значимого объекта – 3 часа.
«Непрерывные» мероприятия также не теряют своей значимости. Это связано с постоянным развитием методов атак злоумышленников и, соответственно, с необходимостью быстрой адаптации организаций для защиты от них.
Итак, обеспечивать непрерывную безопасность на объектах КИИ можно, если регулярно проводить соответствующие мероприятия. Аудит, категорирование, управление уязвимостями, внедрение средств защиты, взаимодействие с ГосСОПКА — эти и другие меры позволят защитить организацию от потерь, следовательно, поддерживать работоспособность технологических процессов и бизнес-процессов.
