Защита КИИ. Как выполнить требования и не попасть на скамью подсудимых.

359 просмотры
0 Лайки
0 0
С 1 января 2018 года вступил в действие 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
Закон распространяется на организации, которым принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности.
Это организации, которые работают в указанных сферах, так и компании предоставляющие им информационные системы, услуги связи, системы АСУ в аренду, по подписке и другим облачным моделям. Они теперь субъекты КИИ.
За нарушение требований 187-ФЗ и подзаконных актов 194-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации и статью 151 Уголовно-процессуального кодекса Российской Федерации в связи с принятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» предусмотрена уголовная ответственность для должностных лиц субъектов КИИ на срок до 10 лет лишения свободы.
В процессе принятия 12 подзаконных нормативных актов (3 постановления правительства РФ, 5 приказов ФСТЭК, 4 приказа ФСБ), требования которых необходимо соблюдать.
Шаги по выполнению требований закона - внедрение процессов непрерывного обеспечения информационной безопасности, проведение категорирования всех информационных систем, внедрение средств защиты в соответствие с требованиями Приказов ФСТЭК.
Выделяем два самых важных первых шага по реализации требований закона:
• проведение аудита информационной безопасности ИТ инфраструктуры и АСУ ТП с последующим устранением выявленных уязвимостей, ведущих к нарушению работоспособности ИТ систем, АСУ ТП или доступу к конфиденциальной информации;
• разработка и внедрение процессов обнаружения и устранения уязвимостей, обнаружения и предотвращения компьютерных атак, предотвращения, расследования и устранения последствий компьютерных инцидентов, взаимодействия с ГосСОПКА.

Поделиться в социальных сетях

Поделиться Ссылкой

Use permanent link to share in social media

Поделиться с другом

Пожалуйста Логин послать это presentation по электронной почте!

Встроить в свой сайт

Выберите страницу, чтобы начать с

6. Взаимодействие регуляторов 6

7. Надзорная деятельность 7

12. 12 Фундамент для дальнейших практических шагов

2. Кто попадает под 187 ФЗ. Объекты и субъекты КИИ 2 Согласно п. 7 и 8 Ст. 2 187 ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»

4. Категории объектов КИИ 4 Проект Постановления Правительство Российской Федерации "Об утверждении показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, а также порядка и сроков осуществления их категорирования"

14. 14 ОБЯЗАННОСТИ СУБЪЕКТОВ КИИ Предотвращение неправомерного доступа к информации, уничтожения и модифицирования, блокирования, копирования, предоставления и распространения, а также иных неправомерных действий Недопущение воздействия на технические средства обработки информации, в результате которого может быть нарушено и/или прекращено функционирование объекта КИИ Восстановление функционирования объекта КИИ, обеспечиваемого в том числе за счет создания и хранения резервных копий необходимой для этого информации Непрерывное взаимодействие с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (для значимых)

9. Планы по разработке подзаконных актов Постановление Правительства РФ «Об утверждении порядка подготовки и использования ресурсов единой сети электросвязи для обеспечения функционирования значимых объектов критической информационной инфраструктуры РФ» ФСТЭК ФСБ Минкомсвязь + 1 - 6 месяца Постановление Правительства РФ «Об утверждении порядка осуществления Государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры РФ» Постановление Правительства РФ «Об утверждении показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, а также порядка и сроков осуществления их категорирования»

10. Планы по разработке подзаконных актов Постановление Правительства РФ «Об утверждении порядка подготовки и использования ресурсов единой сети электросвязи для обеспечения функционирования значимых объектов критической информационной инфраструктуры РФ» ФСТЭК ФСБ Минкомсвязь + 1 - 6 месяца Постановление Правительства РФ «Об утверждении порядка осуществления Государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры РФ» Постановление Правительства РФ «Об утверждении показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, а также порядка и сроков осуществления их категорирования»

11. 11 Планы по разработке подзаконных актов Приказ «Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий» Приказ «Об утверждении формы реестра объектов критической информационной инфраструктуры РФ и правил его ведения» ФСТЭК 1 - 6 месяцев Приказ «Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры РФ» Приказ «Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры РФ и обеспечению их функционирования»

3. Принципы обеспечения безопасности КИИ 3 1) законность; 2) непрерывность и комплексность обеспечения безопасности критической информационной инфраструктуры, достигаемые в том числе за счет взаимодействия уполномоченных федеральных органов исполнительной власти и субъектов критической информационной инфраструктуры; 3) приоритет предотвращения компьютерных атак .

13. 13 ОБЯЗАННОСТИ СУБЪЕКТА КИИ Незамедлительно информировать о компьютерных инцидентах ФСБ РФ, а также ЦР РФ (для банковской сферы и иных сфер финансового рынка) Оказывать содействие должностным лицам ФСБ РФ, в обнаружении, предупреждении и ликвидации последствий компьютерных атак, установлении причин и условий возникновения компьютерных инцидентов В случае установки на объектах КИИ средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, обеспечивать выполнение порядка, технических условий установки и эксплуатации таких средств, их сохранность .

1. 08 ФЕВРАЛЯ 2018 УФА #CODEIB АЛЕКСАНДР ОВОДОВ Директор, эксперт по информационной безопасности ТЕЛЕФОН : +7 ( 347 ) 246 - 58 - 00 EMAIL : OAM@IT - ENIGMA - UFA.RU ЗАЩИТА КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ В 2018 ГОДУ

15. Уведомление НКЦКИ о инциденте – не позднее 24 часов 15 Значимые – в рамках информационного взаимодействия. Финансовые организации - FinCERT Не значимые – через портал gov - cert.ru

19. Шаг 1. Составление плана действий 1. Открыть 187 - ФЗ и признать что мы относимся к субъектам КИИ 2. Провести рекогносцировку и определить план действий по защите КИИ. Первая мера – внешний аудит информационной безопасности (смотри шаг 2) 3. Донести до руководства важность обеспечения ИБ в части защиты КИИ и выборе – защита КИИ или свобода 4. Утвердить план действий у руководителя 19

24. 24 О компании Компания «ИТ Энигма Уфа» - ведущий на Южном Урале системный интегратор решений в области обеспечения информационной безопасности, работающий на рынке информационных технологий с 2001 года . ИТ Энигма с 2003 г . входит в координационно - методический совет организаций - лицензиатов ФСТЭК и ФСБ России в Уральском Федеральном округе, что гарантирует высокую надежность внедряемых компанией решений .

25. Поддержка и помощь от нас В данный момент совместно с компаниями Positive Technologies , Kaspersky, ИнфоТеКС , Код Безопасности создается центр компетенций по защите КИИ. В рамках центра компетенций будут развернуты решения, позволяющие построить комплексную защиту объектов КИИ. Услуги нашего центра: 1. Аудит информационной безопасности 2. Проведение полного комплекса работ по категорированию, согласованию актов категорирования со ФСТЭК 3. Проведение периодического анализа защищенности 4. Информирование о уязвимостях, патчинг уязвимостей, моделирование угроз, принятие компенсирующих мер 5. Разработка ОРД и внедрение процессов непрерывного обеспечения ИБ 6. Внедрение средств защиты информации и средств автоматизации и управления ИБ 7. Повышение осведомленности персонала в области ИБ 8. Сопровождение средств защиты информации 25

21. Шаг 2. Аудит информационной безопасности Сделать обратную рекогносцировку (аудит безопасности) – оценить как нас видим вероятный противник: • Внешний – тестирование на проникновение, аудит периметра сети; • Попавший внутрь периметра (в помещения, на ПК, сервер) – какую информацию можно получить и что можно сделать обладая минимальными правами доступа в нашей ИС, АСУ; По результатам аудита дополняем план мероприятий и утверждаем его у руководителя!!! 21

17. Детальнее по 194 - ФЗ Компьютерная информация – информация, находящаяся в памяти компьютера, на машинных или иных носителях в форме, доступной восприятию ЭВМ, или передающаяся по каналам связи («Соглашение о сотрудничестве государств - участников Содружества Независимых Государств в борьбе с преступлениями в сфере компьютерной информации», ратифицированного 164 - ФЗ от 01.10.2008г.) ; Охраняемая компьютерная информация: - Информация ограниченного доступа в терминах 149 - ФЗ (ПДн, банковская тайна, коммерческая тайна, тайна связи, врачебная тайна и т.д.); ₋ Сведения о архитектуре ИС, ИТС, АСУ, сетях электросвязи субъекта КИИ; ₋ Сведения о системе защиты объекта КИИ и ее состоянии (содержание МУ, ТЗ, ТП, результаты анализа защищенности и ежегодного контроля состояния безопасности объекта КИИ и т.д.); ₋ Сведения о настройках безопасности программного и аппаратного обеспечения, средств защиты информации; ₋ Информация о информационных потоках объекта КИИ и его взаимодействию с другими ИС/ИТС/АСУ; ₋ Сведения о имеющихся уязвимостях в объекте КИИ; ₋ Технологическая информации АСУ ТП; ₋ Сведения раскрывающие информацию о объектах КИИ (используемое аппаратное и программное обеспечение, средства защиты информации); 17

22. Шаг 3. Принятие экстренных мер В зависимости от результатов шагов 1 и 2 принимаем меры по патчингу , настройке используемого программного и аппаратного обеспечения, средств защиты информации, закупаем, ставим, настраиваем жизненно необходимые средства защиты информации – начиная с уровня «гигиены» ИБ. К примеру, для принятия компенсирующих мер по уязвимости в Intel Management Engine ФСТЭК рекомендует установить и настроить межсетевой экран класса «А» и систему обнаружения вторжений уровня сети и уровня узла. После гигиены - средство анализа защищенности и контроля соответствиям политикам безопасности – MaxPatrol . Для АСУ ТП – систем управления инцидентами кибербезопасности АСУ ТП. А еще что - то надо делать с уязвимостями Meltdown и Spectre ... 22

23. Шаг 4. Принятие плановых мер Блок 1. Проектирование и внедрение системы защиты информации 1. Составление перечня объектов КИИ 2. Моделирование угроз для объектов КИИ 3. Категорирование объектов КИИ 4. Проектирование системы защиты информации 5. Тестирование, макетирование системы защиты информации 6. Внедрение системы защиты информации 7. Анализ защищенности Блок 2. Построение процессов ИБ в соответствие с ИСО 27001, ИСО 9001, ИСО 22301 Разработка и внедрение организационно - распорядительной документации, регламентирующей в том числе: • Выявление уязвимостей, патчинга , оценки угроз, принятия компенсирующих мер; • Предотвращения и обнаружения компьютерных атак; • Выявления и реагирования на инциденты ИБ, с учетом ГосСОПКА ; • Информирования и обучения персонала; • Обеспечение непрерывности бизнеса. 23

16. 194 ФЗ. Ответственность Деяние Наказание Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в КИИ, или ИТ, ИТС, АСУ, сетей электросвязи, относящихся к критической информационной инфраструктуре Российской Федерации, либо правил доступа к ним если оно повлекло причинение вреда КИИ До 6 - ти лет лишения свободы и лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 - х лет То же совершенное группой лиц по предварительному сговору или организованной группой, или лицом с использованием своего служебного положения До 8 - ти лет лишения свободы и лишением права на срок до 3 - х лет Те же деяния если они повлекли тяжкие последствия до 10 лет лишения свободы с лишением права на срок до 5 - ти лет Статья 274.1. УК РФ Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации Ответственность для тех кто обслуживает и защищает 16

26. 26 08 ФЕВРАЛЯ 2018 УФА #CODEIB АЛЕКСАНДР ОВОДОВ Эксперт в области информационной безопасности, директор ООО «ИТ Энигма Уфа» ТЕЛЕФОН : +7 ( 347 ) 246 - 58 - 00 EMAIL : OAM@IT - ENIGMA - UFA.RU САЙТ : www.it - enigma - ufa.ru ВКонтакте : vk.com/ vseproib Instagram : @ itenigmaufa

8. Оценка безопасности 8 Косвенная форма надзора • Проводит ФСБ • Исходные данные o Сведения, поступающие от технических средств ГосСОПКА o Сведения из реестра значимых объектов КИИ o Сведения, предоставляемые субъектами o Иные сведения • На выходе o Прогнозирование угроз o Сведения о недостатках (нарушения при категорировании, невыполнение требований), относящихся к компетенции ФСТЭК • ФСБ информирует ФСТЭК о результатах оценки безопасности

18. Детальнее по 194 - ФЗ Средства хранения, обработки или передачи охраняемой компьютерной информации: Сервера, АРМ, Сетевое оборудование, средства защиты информации, общесистемное и прикладное программное обеспечение, сервисы по управлению, контролю или мониторингу объектов КИИ, СКЗИ Правила эксплуатации: • НПА по КИИ; • НПА (149 - ФЗ, 152 - ФЗ, ПП - 1119, Приказы ФСТЭК 17,21,31, Приказы ФСБ и 152 инструкция ФАПСИ, документы ЦБ РФ, Минкомсвязи и других ведомственных регуляторов, вышестоящих организаций); • организационно - распорядительных документов самой организации Правила доступа: • Соблюдение конфиденциальности; • Выполнение требований НПА (меры ИАФ, УПД, ЗНИ, ЗТС, ЗИС) 18

20. Рекогносцировка – что мы знаем о себе, как субъекте КИИ 20 1) Какие объекты КИИ (ИС, ИТС, АСУ, сети электросвязи) мы используем? 2) Какая информация о объектах КИИ у нас есть – техпаспорта, схемы сетей, описания техпроцессов, описание используемых протоколов взаимодействия и т.д.? 3) Выявляем мы уязвимости или нет? Как часто? В отношении всех используемых компонентов ИС, ИТС, АСУ? Что делаем с выявленными уязвимостями? Что делаем если нет патча или нет возможности пропатчить ? 4) Как часто мы проводим внешний аудит безопасности? 5) Как мы защищаем объекты КИИ, исходя из существующих НПА и лучших практик ( 149 - ФЗ, 152 - ФЗ, Приказы ФСТЭК, ФСБ, Стандарты Банка России, SANS TOP 20 и т.п.)? 6) Есть ли у нас документы подтверждающие защищенность ИС, ИТС, АСУ, сетей связи? 7) Как мы выявляем и предотвращаем компьютерные атаки, предотвращаем, расследуем, устраняем последствий компьютерных инцидентов? 8) Какие выводы мы делаем по результатам расследования компьютерных атак и инцидентов информационной безопасности? 9) Выстроен ли у нас процесс обеспечения ИБ согласно ИСО 27001? 10) Как часто мы обучаем персонал по ИБ? Как контролируем уровень знаний? Если вы не знаете ответа на вопрос или он «нет», «не делаем», «никак», «реже чем 1 раз в год» и все в таком роде - это ваши узкие места. Исправление их на «ДА!», «РЕГУЛЯРНО ДЕЛАЕМ», «ОСУЩЕСТВЛЯЕМ» и есть ваш план мероприятий на ближайший год!

5. Регуляторы 5 • Ведет реестр значимых объектов КИИ • Устанавливает требования по обеспечению безопасности значимых объектов КИИ • Контролирует выполнение требований по категорированию объектов КИИ и обеспечению безопасности значимых объектов • Главный центр ГосСОПКА • Устанавливает порядок информирования об объектах КИИ и инцидентах, определяет состав предоставляемой информации • Организует установку на объектах КИИ технических средств ГосСОПКА и устанавливает требования к ним • Проводит оценку безопасности объектов КИИ • Утверждает требования по обеспечению безопасности объектов КИИ для своей сферы регулирования • Утверждает порядок установки технических средств ГосСОПКА на объектах КИИ в своей сфере регулирования • Согласовывает требования по обеспечению безопасности объектов КИИ для своей сферы регулирования • Согласовывает порядок информирования и состав предоставляемых сведении для своей сферы регулирования • Согласовывает порядок установки технических средств ГосСОПКА на объектах КИИ в своей сфере регулирования • Является центром ГосСОПКА для своей сферы регулирования

Просмотры

  • 359 Всего просмотров
  • 244 Просмотров Веб-сайта
  • 115 Embedded Views

Действия

  • 0 Social Shares
  • 0 Лайки
  • 0 Дизлайки
  • 0 Комментарии

Поделиться счетчик

  • 0 Facebook
  • 0 Twitter
  • 0 LinkedIn
  • 0 Google+