Применение результатов реализации 187-ФЗ для совершенствования кибербезопасности субъекта КИИ

Федеральный закон от 26.07.2017 г. № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" и его подзаконные акты устанавливают необходимость реализации субъектами, подпадающими под его область действия, ряда комплексных мероприятий. При этом, даже несмотря на хороший уровень детализации шагов по выполнению требований данного закона в его подзаконных актах, существуют дополнительные возможности использования информации, получаемой субъектом при категорировании своих объектов критической информационной инфраструктуры (КИИ), для совершенствования собственной кибербезопасности.

Для субъекта КИИ подп. а, б и п. 5 постановления Правительства РФ от 08.02.2018 г. № 127 определяют необходимость проведения анализа процессов, связанных с его деятельностью. Эти шаги могут быть выполнены с разной степенью детализации, так как требования к такой детализации именно этого этапа в явном виде отсутствуют. Зачастую результаты выполнения этих мероприятий используются исключительно для дальнейшего проведения работ по выполнению требований законодательства. Однако в этих сведениях можно найти дополнительную ценность, если взглянуть на них под другим углом.

Преимущества приложения дополнительных усилий на ранних этапах категорирования

При формальном подходе субъекту КИИ достаточно заглянуть в свой устав и иные учредительные документы, ОКВЭД, ЕГРЮЛ/ЕГРИП, на основании данной информации составить перечень процессов, которые осуществляет организация, и двинуться дальше к выполнению следующих требований установленной процедуры. Но уже на этом этапе мы, подразделения кибербезопасности, можем копнуть немного глубже и увидеть свою организацию в новом свете. В настоящий момент для ряда отраслей уже опубликованы разработанные отраслевыми регуляторами методики категорирования, содержащие в том числе как наборы типовых и при этом достаточно детализированных процессов, так и ссылки на источники, в которых можно почерпнуть знания для реализации этого этапа. Для того чтобы понять, кто и чем занимается внутри организации, можно обратиться к положениям о подразделениях, в которых с разным уровнем детализации описаны процессы, которые они обеспечивают. Хочется отметить, что выстраивание связей процессов, которые могут быть одними и теми же, но называться по-разному из-за отсутствия единого классификатора, будет очень трудоемким процессом. Но инвестиция усилий сейчас, на дистанции, даст хорошие дивиденды. Выбрав более детальный подход к реализации этого этапа категорирования, мы получаем следующие преимущества.

Главное, конечно, – это четкое понимание течения процессов через будущие объекты КИИ. Не просто "система N относится к процессу M потому, что у них названия одинаковые", а "система N обеспечивает течение процессов 1–3, запускает процесс 5 и заканчивает процесс 25".

Таким образом, мы получаем схемы процессов и у нас появляется возможность фиксации распределения нескольких систем на разные этапы процесса, что послужит отличным подспорьем для будущего применения мер защиты или анализа и совершенствования текущих процессов обеспечения защиты.

При этом из множества систем организации, которые, конечно же, все нуждаются в защите, можно явно выделить те, которые являются более важными и в обеспечение защиты которых бизнес сам готов вложиться. И даже не из-под палки. Немаловажно еще и то, что самостоятельно обеспечить выполнение данного ФЗ подразделениям кибербезопасности крайне затруднительно, и стремиться к этому нет никакой необходимости. Нельзя упускать возможность выйти на диалог с бизнесом в лице владельцев процессов, так как именно в диалоге, а не в позициях "безопасность – надсмотрщик" или "бизнес – поднадзорные" содержится ключ к гармоничному развитию и повышению уровня защищенности субъекта КИИ.

Кроме того, именно владельцы процесса могут обладать специфическими знаниями о течении своих процессов и их узких местах, в том числе связанных с обеспечением безопасности, которые не видны извне и не очевидны из документации, формализующей процесс. Данные сведения могут оказаться решающим фактором, имеющим сильное влияние на эффективность внедряемой меры защиты и контроля данного процесса.

Косвенным бенефициаром процесса реализации требований ФЗ может стать не только подразделение безопасности

Еще одним преимуществом федерального закона № 187-ФЗ можно считать то, что он даст импульс для стратегических подразделений субъекта оценить свою работу, так как инвентаризация процессов организации рано или поздно потребуется любой организации, которая хочет развиваться. И если они будут на каком-то уровне испытывать сопротивление или недостаток аргументации, то явные требования по необходимости формирования перечня процессов организации, содержащиеся в данном законе, – отличный и веский довод, который может предложить подразделение кибербезопасности. И то, что безопасность предоставит такой инструмент, о котором невовлеченные подразделения могут даже не знать, будет очередным плюсом в выстраивании доверительных отношений внутри субъекта КИИ. Не стоит также забывать и о том, что сформированная внутри субъекта комиссия по категорированию объектов КИИ – дополнительная площадка для диалога бизнес-подразделений с подразделением кибербезопасности и возможность найти больше общих точек контакта по вопросам, которые зачастую тяжело донести друг до друга (особенно вопросов обеспечения безопасности).

Уроки, которые мы извлекаем по итогам проделанной работы

Исследуя процессы организации, мы получаем следующие значимые сведения, которые в дальнейшем можем использовать в работе:

• схема процесса – ценное знание, позволяющее отслеживать его состояние не только в рамках бизнес-метрик, но и при имплементации мер защиты;
• владелец процесса – источник информации о его узких местах, которые могут не быть видны безопасности, смотрящей на процесс "извне";
• метрики процесса, полученные в рамках его анализа (входные, выходные данные (объем, количество, тип, время), скорость его исполнения и т.п.) – подспорье во внедрении более точных мер контроля (как ручных, так и автоматизированных).

Стоит понимать, что данный подход подводит нас к необходимости формализации таких направлений и задач, как:

• организация процессов периодической инвентаризации информационной инфраструктуры со стороны ИТ и ИБ;
• наличие актуальных схем процессов организации (особенно тех, что попали, в понимании федерального закона № 187-ФЗ, в категорию критических);
• формирование понимания обоюдной потребности в диалоге между безопасностью и владельцами процессов;
• желание смены роли подразделений безопасности от "продавцов страха" к тем, кто реально обеспечивает потребности бизнеса в части безопасности.

Проделав такой объем работы по анализу, созданию схем процессов, выстраиванию диалога внутри субъекта, что мы получим?

Возможность погрузиться в бизнес-составляющую организации и контролировать защищенность не только на периметре и "извне", смотря на процессы и вовлеченные информационные системы как на черные ящики, но и обнаруживая возможность внедрения новых мер защиты, опираясь на полученные метрики течения процессов. Такая эволюция является важным шагом в развитии подразделений кибербезопасности и позволит:

• развивать и масштабировать собственную структуру, так как рост количества внедряемых информационных систем и усложнение бизнес-процессов будет требовать пропорционального роста численности службы или внедрения дополнительных автоматизированных инструментов;
• профилировать работников под конкретные направления, не только основываясь на базовых сферах ИТ и доменах ИБ, но и в разрезе бизнес-процессов;
• при достижении определенного масштаба организации полученные сведения станут отличным фундаментом для построения центров мониторинга, которые будут получать в работу гораздо более конкретные события, сформированные средствами защиты и контроля, которые настроены с учетом процессов конкретной организации, а не "в среднем по рынку".

Кроме того, необходимо помнить, что полная реализация мероприятий по категорированию у субъекта может занимать до года с момента отправки перечня объектов КИИ до предоставления сведений о категорировании во ФСТЭК России. Если по итогам категорирования у субъекта будут выявлены значимые объекты КИИ, то на него начнут распространятся дополнительные подзаконные акты, связанные с обеспечением их безопасности, формированием обособленных подразделений или выделением отдельных ответственных работников для обеспечения безопасности объектов КИИ, а также подключения к Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской федерации ФСБ России. Фундаментом для выполнения этих требований также будут именно результаты более детального анализа процессов организации на ранних этапах категорирования, описанные ранее.

Одновременно появится возможность оценить, как подразделение кибербезопасности распределяет собственные ресурсы. Если для бизнеса "система N" является объективно важной, а мы инвестируем больше ресурсов в защиту "системы М", которую мы как подразделение кибербезопасности считаем более важной, то, возможно, следует дополнительно пересмотреть подходы, используемые для принятия решений по выстраиванию обеспечения кибербезопасности организации. и даже если "система N" не получила категорию значимости и по требованиям законодательства к обеспечению ее защиты в рамках 187-ФЗ нет дополнительных требований, она определенно должна попасть в поле нашего внимания как значимая для бизнес-подразделений.

Работа подразделения кибербезопасности на будущее

Фундаментальная подготовка, анализ и планирование являются основой эволюции подразделений кибербезопасности и, как следствие, раскрывают возможности развития в направлении построения центров мониторинга. Кроме того, чем больше в нашем распоряжении будет объективной информации о собственной деятельности, тем проще будет оценивать потребность в кадровом и материальном ресурсном обеспечении, что позволит больше внимания уделять непосредственно построению системы безопасности организации и меньше – поискам ресурсов для решения этой задачи. и описанный подход к детализации процессов и внедрению мер защиты и контроля на основании их метрик – один из провайдеров объективной и измеримой информации.

Для кого может быть применима данная стратегия?

Работа по анализу и пересмотру процессов организации – это инструмент, доступный не только тем организациям, которые попали под область действия федерального закона от 26.07.2017 г. № 187-ФЗ. Любая организация на разных этапах развития и совершенствования своей системы защиты информации может помимо традиционных инструментов, таких как модели угроз и нарушителей, анализ инфраструктуры и доступных средств защиты, обогащать входные данные еще и результатами анализа процессов организации.

Необязательно сразу переключаться с одного подхода на другой. Неплохим решением будет выделение одного процесса, его детальный анализ, оценка полученных результатов и принятие решения о том, стоит ли тиражировать такой подход дальше по всем процессам или в настоящий момент ресурса на такие мероприятия нет.

При оценке рекомендую учитывать следующие вопросы и, отвечая на них, двигаться к цели:

• есть ли в распоряжении подразделения кибербезопасности в настоящий момент (или в ближайшее время появятся) инструменты, которые можно внедрить в анализируемый процесс без внесения изменений в его течение для бизнеса;
• есть ли ресурсное обеспечение для решения данной задачи;
• есть ли понимание того, зачем происходит процесс внедрения процессов обеспечения безопасности глубже в бизнес-процессы.
  

Данные критерии не являются обязательными и являются подсказкой о том, в каком направлении стоит смотреть, не забывая о том, что у каждой организации есть своя индивидуальная специфика.

Опубликовано в журнале "Системы безопасности" №5/2021