Федеральный закон от 26.07.2017 г. № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" и его подзаконные акты устанавливают необходимость реализации субъектами, подпадающими под его область действия, ряда комплексных мероприятий. При этом, даже несмотря на хороший уровень детализации шагов по выполнению требований данного закона в его подзаконных актах, существуют дополнительные возможности использования информации, получаемой субъектом при категорировании своих объектов критической информационной инфраструктуры (КИИ), для совершенствования собственной кибербезопасности.
Для субъекта КИИ подп. а, б и п. 5 постановления Правительства РФ от 08.02.2018 г. № 127 определяют необходимость проведения анализа процессов, связанных с его деятельностью. Эти шаги могут быть выполнены с разной степенью детализации, так как требования к такой детализации именно этого этапа в явном виде отсутствуют. Зачастую результаты выполнения этих мероприятий используются исключительно для дальнейшего проведения работ по выполнению требований законодательства. Однако в этих сведениях можно найти дополнительную ценность, если взглянуть на них под другим углом.
При формальном подходе субъекту КИИ достаточно заглянуть в свой устав и иные учредительные документы, ОКВЭД, ЕГРЮЛ/ЕГРИП, на основании данной информации составить перечень процессов, которые осуществляет организация, и двинуться дальше к выполнению следующих требований установленной процедуры. Но уже на этом этапе мы, подразделения кибербезопасности, можем копнуть немного глубже и увидеть свою организацию в новом свете. В настоящий момент для ряда отраслей уже опубликованы разработанные отраслевыми регуляторами методики категорирования, содержащие в том числе как наборы типовых и при этом достаточно детализированных процессов, так и ссылки на источники, в которых можно почерпнуть знания для реализации этого этапа. Для того чтобы понять, кто и чем занимается внутри организации, можно обратиться к положениям о подразделениях, в которых с разным уровнем детализации описаны процессы, которые они обеспечивают. Хочется отметить, что выстраивание связей процессов, которые могут быть одними и теми же, но называться по-разному из-за отсутствия единого классификатора, будет очень трудоемким процессом. Но инвестиция усилий сейчас, на дистанции, даст хорошие дивиденды. Выбрав более детальный подход к реализации этого этапа категорирования, мы получаем следующие преимущества.
Главное, конечно, – это четкое понимание течения процессов через будущие объекты КИИ. Не просто "система N относится к процессу M потому, что у них названия одинаковые", а "система N обеспечивает течение процессов 1–3, запускает процесс 5 и заканчивает процесс 25".
Таким образом, мы получаем схемы процессов и у нас появляется возможность фиксации распределения нескольких систем на разные этапы процесса, что послужит отличным подспорьем для будущего применения мер защиты или анализа и совершенствования текущих процессов обеспечения защиты.
При этом из множества систем организации, которые, конечно же, все нуждаются в защите, можно явно выделить те, которые являются более важными и в обеспечение защиты которых бизнес сам готов вложиться. И даже не из-под палки. Немаловажно еще и то, что самостоятельно обеспечить выполнение данного ФЗ подразделениям кибербезопасности крайне затруднительно, и стремиться к этому нет никакой необходимости. Нельзя упускать возможность выйти на диалог с бизнесом в лице владельцев процессов, так как именно в диалоге, а не в позициях "безопасность – надсмотрщик" или "бизнес – поднадзорные" содержится ключ к гармоничному развитию и повышению уровня защищенности субъекта КИИ.
Кроме того, именно владельцы процесса могут обладать специфическими знаниями о течении своих процессов и их узких местах, в том числе связанных с обеспечением безопасности, которые не видны извне и не очевидны из документации, формализующей процесс. Данные сведения могут оказаться решающим фактором, имеющим сильное влияние на эффективность внедряемой меры защиты и контроля данного процесса.
Еще одним преимуществом федерального закона № 187-ФЗ можно считать то, что он даст импульс для стратегических подразделений субъекта оценить свою работу, так как инвентаризация процессов организации рано или поздно потребуется любой организации, которая хочет развиваться. И если они будут на каком-то уровне испытывать сопротивление или недостаток аргументации, то явные требования по необходимости формирования перечня процессов организации, содержащиеся в данном законе, – отличный и веский довод, который может предложить подразделение кибербезопасности. И то, что безопасность предоставит такой инструмент, о котором невовлеченные подразделения могут даже не знать, будет очередным плюсом в выстраивании доверительных отношений внутри субъекта КИИ. Не стоит также забывать и о том, что сформированная внутри субъекта комиссия по категорированию объектов КИИ – дополнительная площадка для диалога бизнес-подразделений с подразделением кибербезопасности и возможность найти больше общих точек контакта по вопросам, которые зачастую тяжело донести друг до друга (особенно вопросов обеспечения безопасности).
Исследуя процессы организации, мы получаем следующие значимые сведения, которые в дальнейшем можем использовать в работе:
Стоит понимать, что данный подход подводит нас к необходимости формализации таких направлений и задач, как:
Возможность погрузиться в бизнес-составляющую организации и контролировать защищенность не только на периметре и "извне", смотря на процессы и вовлеченные информационные системы как на черные ящики, но и обнаруживая возможность внедрения новых мер защиты, опираясь на полученные метрики течения процессов. Такая эволюция является важным шагом в развитии подразделений кибербезопасности и позволит:
Кроме того, необходимо помнить, что полная реализация мероприятий по категорированию у субъекта может занимать до года с момента отправки перечня объектов КИИ до предоставления сведений о категорировании во ФСТЭК России. Если по итогам категорирования у субъекта будут выявлены значимые объекты КИИ, то на него начнут распространятся дополнительные подзаконные акты, связанные с обеспечением их безопасности, формированием обособленных подразделений или выделением отдельных ответственных работников для обеспечения безопасности объектов КИИ, а также подключения к Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской федерации ФСБ России. Фундаментом для выполнения этих требований также будут именно результаты более детального анализа процессов организации на ранних этапах категорирования, описанные ранее.
Одновременно появится возможность оценить, как подразделение кибербезопасности распределяет собственные ресурсы. Если для бизнеса "система N" является объективно важной, а мы инвестируем больше ресурсов в защиту "системы М", которую мы как подразделение кибербезопасности считаем более важной, то, возможно, следует дополнительно пересмотреть подходы, используемые для принятия решений по выстраиванию обеспечения кибербезопасности организации. и даже если "система N" не получила категорию значимости и по требованиям законодательства к обеспечению ее защиты в рамках 187-ФЗ нет дополнительных требований, она определенно должна попасть в поле нашего внимания как значимая для бизнес-подразделений.
Фундаментальная подготовка, анализ и планирование являются основой эволюции подразделений кибербезопасности и, как следствие, раскрывают возможности развития в направлении построения центров мониторинга. Кроме того, чем больше в нашем распоряжении будет объективной информации о собственной деятельности, тем проще будет оценивать потребность в кадровом и материальном ресурсном обеспечении, что позволит больше внимания уделять непосредственно построению системы безопасности организации и меньше – поискам ресурсов для решения этой задачи. и описанный подход к детализации процессов и внедрению мер защиты и контроля на основании их метрик – один из провайдеров объективной и измеримой информации.
Работа по анализу и пересмотру процессов организации – это инструмент, доступный не только тем организациям, которые попали под область действия федерального закона от 26.07.2017 г. № 187-ФЗ. Любая организация на разных этапах развития и совершенствования своей системы защиты информации может помимо традиционных инструментов, таких как модели угроз и нарушителей, анализ инфраструктуры и доступных средств защиты, обогащать входные данные еще и результатами анализа процессов организации.
Необязательно сразу переключаться с одного подхода на другой. Неплохим решением будет выделение одного процесса, его детальный анализ, оценка полученных результатов и принятие решения о том, стоит ли тиражировать такой подход дальше по всем процессам или в настоящий момент ресурса на такие мероприятия нет.
При оценке рекомендую учитывать следующие вопросы и, отвечая на них, двигаться к цели:
Данные критерии не являются обязательными и являются подсказкой о том, в каком направлении стоит смотреть, не забывая о том, что у каждой организации есть своя индивидуальная специфика.
Опубликовано в журнале "Системы безопасности" №5/2021