Безопасность объектов КИИ: обнаружение компьютерных инцидентов

В 2017 году Президентом Российской Федерации был подписан пакет Федеральных законов, направленных на обеспечение безопасности критической информационной инфраструктуры Российской Федерации, ключевым из которых является Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее – Федеральный закон № 187-ФЗ).

Федеральным законом № 187-ФЗ введены новые понятия в сфере информационной безопасности (ИБ), в частности, понятие объекта критической информационной инфраструктуры (КИИ) и понятие компьютерного инцидента. Согласно закону, объектами КИИ являются информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов КИИ, осуществляющих деятельность в сферах, перечисленных в законе. Компьютерным инцидентом является факт нарушения и (или) прекращения функционирования объекта КИИ, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки.

Вместе с тем, согласно статье 10 Федерального закона № 187-ФЗ субъект КИИ в соответствии с приказом ФСТЭК России от 21 декабря 2017 г. № 235 «Об утверждении требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования» создаёт систему безопасности для значимых объектов КИИ и обеспечивает её функционирование.

В рамках системы безопасности должны быть выполнены требования приказа ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации», в частности, из базового набора для соответствующей категории значимости объекта КИИ должны быть реализованы меры из группы «Аудит безопасности», связанные с регистрацией событий безопасности, защитой информации о событиях безопасности, мониторингом безопасности, а также анализом действий пользователей (данная мера предусмотрена для значимых объектов 1-й категории значимости). Помимо этого, в рамках приказа ФСТЭК России № 239 предусмотрена ещё одна группа мер – «Реагирование на компьютерные инциденты». Реализация мер из этой группы обязательна для значимых объектов КИИ, вне зависимости от установленной категории значимости. Данная группа включает такие меры, как регламентация правил и процедур реагирования на компьютерные инциденты, выявление и анализ компьютерных инцидентов, защита информации и информирование о компьютерных инцидентах, устранение их последствий и принятие мер по недопущению их повторного возникновения.

Одной из ключевых задач создания систем безопасности значимых объектов КИИ является реализация требований по обеспечению непрерывного взаимодействия субъекта КИИ с ФСБ России (Национальным координационным центром по компьютерным инцидентам – НКЦКИ) по вопросам информирования об обнаруженных компьютерных инцидентах на объектах КИИ, о реагировании на компьютерные инциденты и о принятых мерах по ликвидации последствий компьютерных атак.

Таким образом, субъекты КИИ при создании систем безопасности значимых объектов КИИ должны построить процесс управления событиями ИБ от источников ИТ-инфраструктуры таких объектов в целях обнаружения инцидентов ИБ. Перечисленные выше требования Федерального закона 187-ФЗ и его подзаконных актов в части компьютерных инцидентов относятся к сведениям об инцидентах ИБ, попадающих под классификацию компьютерных инцидентов согласно методическим документам от ФСБ России. Получить пакет данных методических документов можно в ответ на запрос, направленный в адрес ФСБ России. Контактная информация представлена на официальном портале cert.gov.ru.

Для выстраивания процесса автоматизированного обнаружения инцидентов ИБ необходимо выполнить настройку аудита безопасности источников событий ИБ из ИТ-инфраструктуры объекта КИИ и обеспечить централизованный сбор, обработку, хранение и анализ событий ИБ от этих источников.

В качестве платформы сбора и обработки событий ИБ может выступать SIEM-система (Security Information and Event Management). Обработка исходных событий ИБ в рамках SIEM-системы предполагает нормализацию их структуры полей и последующее распределение событий ИБ по соответствующим категориям в зависимости от значений их ключевых полей. Путем предварительной обработки исходных событий ИБ обеспечивается эффективная последующая аналитическая обработка.

Непосредственная аналитическая обработка осуществляется по заранее сформированным правилам корреляции обработанных событий ИБ, полученных от источников, полезных с точки зрения обнаружения определённых инцидентов ИБ. Результатами срабатывания правил корреляции событий ИБ ИТ-инфраструктуры объектов КИИ являются инциденты ИБ, каждый из которых в отдельности должен рассматриваться в качестве подозрения на компьютерный инцидент.

Работа по обнаружению инцидентов ИБ в инфраструктуре объектов КИИ должна быть организована сотрудниками подразделения субъекта КИИ, назначенными ответственными за обеспечение безопасности значимых объектов КИИ в соответствии с требованиями приказ ФСТЭК России № 235.

К мероприятиям оценки обнаруженного в ИТ-инфраструктуре объекта КИИ инцидента ИБ могут быть привлечены подразделения субъекта КИИ, эксплуатирующие значимые объекты КИИ, а также подразделения, обеспечивающие функционирование (сопровождение, обслуживание и ремонт) значимых объектов КИИ. Оценка обнаруженного инцидента ИБ выполняется в целях установления факта наличия/отсутствия компьютерного инцидента.

Результаты оценки документируются соответствующим образом и подлежат хранению. В случае установления факта наличия компьютерного инцидента в ИТ-инфраструктуре значимого объекта КИИ выполняется информирование руководства субъекта КИИ, а также, в соответствии с приказом ФСБ России от 19 июня 2019 года № 282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации», в течении 3 часов осуществляется отправка соответствующих сведений в НКЦКИ ФСБ России.

Одновременно с этим реализуются мероприятия реагирования на компьютерный инцидент по заранее согласованным с ФСБ России Планам, а также мероприятия принятия мер по ликвидации последствий компьютерных атак. О результатах мероприятий по реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак субъект КИИ информирует НКЦКИ ФСБ России в срок не позднее 48 часов после завершения таких мероприятий в соответствии с приказом ФСБ России № 282.

Таким образом, для оперативного обнаружения компьютерных инцидентов в ИТ-инфраструктуре объектов КИИ субъекту КИИ необходимо, в первую очередь, наладить процессы взаимодействия между ключевыми подразделениями в рамках объектов КИИ, после чего в рамках создания систем безопасности значимых объектов КИИ обеспечить настройку аудита безопасности источников событий ИБ, централизованный автоматизированный сбор, обработку, хранение и анализ событий ИБ в целях обнаружения инцидентов ИБ средствами SIEM-системы.

Вопросами реализации комплекса работ, связанных с обеспечением безопасности КИИ крупных технологических объектов «Газинформсервис» занимается более года. Все решения формируются в плотной связке с заказчиками компании и регулирующими государственными органами, что обеспечивает соответствие требованиям законодательства, требуемый уровень безопасности и снижает риски нанесения ущерба в следствие реализации угроз ИБ.

Петр Нагернюк, ио начальника отдела систем мониторинга

Антон Аверкин, руководитель группы интегрированных систем операционного контроля и анализа