Принятие закона о безопасности КИИ и связанных с ним нормативно-правовых актах о безопасности вызывают много вопросов у специалистов. Многие не до конца понимают роль и место ФСБ и ФСТЭК в вопросах реагирования на инциденты компьютерной безопасности на объектах критической информационной инфраструктуры, — их удивляет якобы «бездействие» регуляторов в ответ на сообщение о кибератаке на тот или иной объект и слишком размытые нормы в приказах и положениях по КИИ. Так ли это на самом деле?
Инцидент с нарушением безопасности информационной системы может быть связан как с внешней атакой на ИС при подключении к внешним сетям, так и с несанкционированным проникновением изнутри. Конечно, никто не застрахован от уязвимостей нулевого дня, однако при использовании рекомендованных средств информационной безопасности для объекта КИИ, регулярном обновлении антивирусов и ПО, контроле уязвимостей и периодическом пентестинге можно обеспечить нормальное функционирование объекта инфраструктуры в штатных условиях.
Статья по теме: Проверка защищенности ИБ с помощью пентестов
Какова основная функция ФСТЭК?
Служба разрабатывает и утверждает те самые рекомендации, которые при штатной работе обеспечивают безопасности объектов критической информационной инфраструктуры. Речь идёт о приказах №№ 235 и 239, которые определяют необходимые меры и основные требования к организации безопасности объекта КИИ.
Если внимательно изучить содержание данных приказов, можно сразу заметить, что мерам реагирования на компьютерные инциденты уделено мало внимания. Гораздо детальнее и обширнее описаны меры по правильной и полной оценке актуальных угроз и уязвимостей и предотвращению таковых с помощью программных и технических средств. Инциденты, произошедшие на объекте КИИ — повод скорректировать модель угроз и оптимизировать защиту системы.
Итак, ФСТЭК рекомендует заниматься профилактикой, информирует субъекты КИИ о существующих угрозах и ведёт свою базу уязвимостей, которую нужно учитывать при реализации систем безопасности для конкретной информационной системы.
Место и роль ФСБ в вопросах безопасности КИИ
Чтобы правильно оценить угрозы и своевременно скорректировать меры обеспечения безопасности, информация о внештатных ситуациях (компьютерных инцидентах и уязвимостях) должна накапливаться, анализироваться и обобщаться специалистами. Это уже задача ФСБ.
В области обеспечения безопасности КИИ ФСБ выполняет роль аналитика. Основные задачи:
- выявление общих характеристик кибератак, причиняемый вред, методы и источники распространения и действия внутри ИС;
- создание методов обнаружения и профилактики кибератак, а также мер по ликвидации их последствий для объекта КИИ;
- обобщение и анализ информации о компьютерных атаках как на информационных объекты критической инфраструктуры РФ, так и на ИС в других странах, с которыми взаимодействуют субъекты КИИ (в том числе, в рамках обмена информацией с аналогичными органами безопасности государств);
- быстрое реагирование на сообщения о компьютерных атаках и инцидентах безопасности на объектах КИИ, устранение их последствий в информационных ресурсах РФ.
Итак, ФСБ не занимается единичными инцидентами в отдельной информационной системе. Задача Службы — анализировать эффективность профилактических мер, выявлять источники компьютерных атак, способы борьбы и предупреждения инцидентов и т. д. Для этого создан Национальный координационный центр по компьютерным инцидентам, куда субъекты КИИ обязаны сообщать обо всех кибератаках и прочих нештатных ситуациях, связанных с несанкционированным доступом в информационную систему. Роль ФСБ в этом случае сводится к обнаружению хакеров, реализовавших атаку, а также к сообщению сведений о компьютерных инцидентах в ФСТЭК.
ФСТЭК, получив информацию, может уставить:
- требования Приказов 235 и 239 соблюдены, инцидент стал следствием халатности сотрудников субъекта КИИ;
- требования Приказов нуждаются в доработке с учётом новой информации о компьютерном инциденте, так как существующие меры защиты не способны предотвратить атаку.
Таким образом, роль ФСБ и основная функция ФСТЭК заключается в том, чтобы помочь субъектам КИИ выстроить систему защиты от компьютерных атак и инцидентов, поддерживать информацию об уязвимостях в актуальном состоянии и вовремя корректировать рекомендации по предотвращению хакерских атак и уязвимостей на объектах КИИ. Проблемами защищённости конкретной компьютерной системы занимаются специалисты-безопасники объекта-владельца ИС.
Нужна помощь в реализации защищённой системы при получении лицензии ФСТЭК или реализации мер защиты объекта КИИ? Звоните!