Опыт эксперта в обеспечении информационной безопасности в стратегически важных отраслях.
Новые приоритеты хакеров
За последний год количество кибератак на информационные ресурсы России сильно возросло. Особую привлекательность в глазах злоумышленников приобрели субъекты критической информационной инфраструктуры (далее – КИИ). По данным ФСБ РФ с начала 2022 года было зафиксировано более пяти тысяч хакерских атак на критическую информационную инфраструктуру.Подобный скачок вывел актуальность выполнения требований, изложенных в Федеральном законе №187 на новый уровень. Все больше специалистов интересуется мерами защиты КИИ и тем, как их эффективно реализовать, независимо от того, существует ли ответственность за несоблюдение этих требований. Поэтому здесь мы постараемся рассмотреть этот вопрос со всех основных сторон.
Злоумышленники нацеливаются преимущественно на важные государственные организации, работающие в таких областях, как:

Таким образом, несложно догадаться, какие именно системы становятся объектами таких атак. Это системы, чье нарушение или прекращение функционирования может негативно отразиться на различных аспектах общественной жизни, включая социальные, политические, экономические и экологические последствия, а также на безопасности страны и обеспечении правопорядка.
Примерами таких систем могут быть:
- Автоматизированные системы управления медицинским оборудованием. Негативные последствия — причинение ущерба жизни и здоровью людей (некорректный диагноз, увеличение дозировки, остановка системы жизнеобеспечения);
- Системы управления транспортом. Это могут быть: интеллектуальные транспортные системы, системы управления светосигнальным оборудованием, системы продажи билетов и т.п. Негативные последствия — прекращение или нарушение функционирования объектов транспортной инфраструктуры;
- Автоматизированные системы управления технологическими процессами (АСУ ТП). Примерами таких систем могут быть АСУ ТП: электростанций, производств, нефтеперерабатывающих установок и т.п. В первую очередь хакеров интересуют именно такие системы, поскольку успешная компьютерная атака на них может привести к нарушению или прекращению функционирования объектов обеспечения жизнедеятельности населения или снижению показателей государственного оборонного заказа.
Меры противодействия
Все вышеописанные факторы требуют большего внимания к вопросу информационной безопасности объектов КИИ.Для определения «степени» такого внимания потребовалось классифицировать системы и установить требования к таким классам (именуемые как «категории значимости»), для чего и было разработано Постановление Правительства Российской Федерации № 127 в целях определения категорий значимости, приказы ФСТЭК России №235, 239 в целях установления требований к обеспечению информационной безопасности для разных категорий значимости.
По итогу процесс защиты КИИ включает в себя три основных этапа:
- Категорирование;
- Обеспечение безопасности значимых объектов;
- Передача информации о компьютерных инцидентах.
Более подробно процедуру категорирования разобрали наши коллеги на вебинаре “Категорирование объектов КИИ”
Реализация защиты КИИ
Если с первым этапом все более-менее разобрались, то со вторым и третьим возникает больше вопросов.Защита объектов КИИ включает в себя множество этапов, основной задачей которых является выбор, установка и настройка средств защиты информации (СЗИ).
В процессе категорирования выявляются системы, включая те, на которые установка СЗИ стала решением определенных проблем. Обычно это автоматизированные системы управления, которые работают на устаревших версиях операционных систем или ограничены в доступе изначально заводом-изготовителем.
Для обеспечения безопасности систем, в составе которых функционирует актуальная версия ОС применяется средства:
- Защиты от несанкционированного доступа;
- Антивирусной защиты;
- Межсетевого экранирования;
- Криптографической защиты информации;
- Анализа защищенности;
- Доверенной загрузки;
- Обнаружения вторжений;
- Защиты среды виртуализации;
- Резервного копирования информации;
- Управления инцидентами.
Для систем, которые не взаимодействуют с внешними сетями, включая интернет, основной акцент делается на обеспечении физической безопасности. Порты входов/выходов информации запечатываются, доступ в помещения переходит под контроль системы управления доступом, а также ведется учет доступа в помещения, где расположены технические средства.
Если доступ к программно-аппаратным средствам осуществляется сотрудниками обслуживающих организаций, создаются отдельные автоматизированные рабочие места с установленными СЗИ. Это средства антивирусной защиты, которые проверяют файлы обновлений, предназначенные для установки. Порядок проведения такой проверки описывается в соответствующей организационно-распорядительной документации.
При подключении таких объектов к общедоступным сетям связи возникает дополнительный потенциальный вектор атаки. Для обеспечения безопасности в точке соединения устанавливаются специальные программно-аппаратные комплексы. Они выполняют функции межсетевого экранирования, криптографической защиты информации и обнаружения вторжений.
Контроль КИИ
Передача информации о компьютерных инцидентах и функционирование SOC-центров также играют важную роль в обеспечении безопасности объектов критической информационной инфраструктуры (КИИ). SOC-центры (Security Operations Center) — специализированные структуры, ответственные за мониторинг, анализ и реагирование на компьютерные инциденты.При возникновении инцидента, например, попытки несанкционированного доступа или атаки на систему КИИ, SOC-центр принимает информацию о происшествии, анализирует ее и предпринимает соответствующие меры для предотвращения угрозы и минимизации ущерба. Он обеспечивает непрерывное мониторинговое покрытие, а также осуществляет оперативное реагирование на инциденты с целью предотвращения их распространения и негативных последствий.
Передача информации о компьютерных инцидентах в SOC-центр позволяет своевременно обнаруживать, анализировать и реагировать на угрозы, а также обмениваться информацией с другими организациями и инстанциями, способствуя координации действий по защите критической информационной инфраструктуры. Немаловажной частью в контексте мониторинга выполняют и MSSP-компании. MSSP (Managed Security Services Provider) — это подход, при котором организация выступает в роли провайдера управляемых услуг безопасности. MSSP предоставляет комплексные услуги по мониторингу, обнаружению и предотвращению угроз информационной безопасности, а также управлению инцидентами для своих клиентов.
Что такое центр мониторинга, какие технологии обязательно применяются в SOC и в чем его отличие от MSSP - обо всем этом рассказал наш коллега Кислов Кирилл в своей статье.
Заключение
Обеспечение информационной безопасности объектов КИИ представляет собой сложный и трудоемкий процесс. Для успешной реализации этой задачи необходимо обладать соответствующими практическими и теоретическими знаниями, а также часто применять творческий подход.В связи с этим, важно обращаться к профессионалам в сфере ИБ, которые смогут провести анализ уязвимостей и категорирование, определить потенциальные угрозы и разработать соответствующие меры по обеспечению безопасности объектов КИИ. Данный подход позволит обеспечить надежную защиту информационных систем от внешних атак, несанкционированного доступа и утечки данных. Кроме того, такой подход обеспечивает соблюдение требований законодательства и стандартов в области ИБ.
Автор: Нефедов Андрей, Руководитель группы обеспечения безопасности КИИ “Астрал.Безопасность”