Сейчас тема безопасности КИИ в России регулируется государством. Это ставит перед организациями непростую задачу — нужно не только нейтрализовать возможности злоумышленников, но и соответствовать законодательству. О способах решения этой задачи рассказали специалисты Positive Technologies на примере готового продукта для компаний, работающих с информационными системами.
В 2013 году президент РФ Владимир Путин поручил создать
систему обнаружения, предупреждения и ликвидации последствий компьютерных атак
на ИТ-ресурсы. Позже был принят закон N 187-ФЗ «О безопасности критической
информационной инфраструктуры Российской Федерации». Он предназначен для
регулирования деятельности по обеспечению безопасности объектов информационной
инфраструктуры РФ, функционирование которых критически важно для стабильного
развития государства.
Такие объекты в законе называются объектами критической информационной инфраструктуры (КИИ). К объектам КИИ могут быть отнесены информационные системы и сети, а также автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, банковском секторе и других сферах.
Эксперты по информационной безопасности из компании Positive Technologies разработали план мероприятий по соответствию 187-ФЗ, чтобы максимально упростить для любого субъекта КИИ весь процесс выполнения требований по защите КИИ. Как улучшить домашний Wi-Fi
Если коротко, то для выполнения требований закона субъектам КИИ, у которых есть значимые объекты, необходимо создать систему безопасности и взаимодействовать с Национальным координационным центром по компьютерным инцидентам (НКЦКИ).
Состав технических и организационных мер по
обеспечению безопасности значимого объекта КИИ определен в приказе ФСТЭК России
№239. Согласно ему, в частности, субъектам КИИ необходимо проводить аудит
безопасности, обеспечивать антивирусную защиту, предотвращать вторжения,
реагировать на инциденты ИБ.
Для реализации требований используются средства информационной безопасности (ИБ) различных
классов: начиная со средств защиты от несанкционированного доступа и
антивирусов и заканчивая решениями, позволяющими осуществлять мониторинг,
выявлять инциденты и реагировать на них.
От кого защищаемся?
По данным Positive Technologies, во втором квартале 2018 года государственные учреждения занимали второе место среди наиболее атакуемых объектов. Эксперты компании утверждают, что такие организации продолжают оставаться излюбленной мишенью для киберпреступников.
Злоумышленников в первую очередь интересует коммерческая тайна целевых организаций, однако специалисты компании заметили учащение случаев атак на сотрудников и слежки за ними. Так, например, в процессе атаки, злоумышленники от лица молодых девушек в социальных сетях убеждали жертв установить зараженный мессенджер Dardesh из Google Play. После этого киберпреступники могли тайно следить за жертвами, в том числе записывать аудио и копировать данные.
Решение «Пять в одном»
«Чтобы система безопасности объекта КИИ на практике
эффективно выполняла свою задачу, требуется интеграция средств защиты и
мониторинга и максимальная автоматизация процессов информационной безопасности.
Это позволит службе ИБ сконцентрироваться на главном: выявлять атаки до того,
как они нанесут серьезный ущерб, и постоянно повышать уровень защищенности
системы», — поясняют в Positive Technologies.
Требования к системе безопасности позволяют определить набор необходимых средств защиты, которые могут обеспечить выполнение основных задач в области ИБ, в том числе аудит, антивирусную защиту, обнаружение вторжений, анализ сетевого трафика, выявление инцидентов и реагирование на них. Эксперты компании сформировали полноценную технологическую платформу — PT Platform 187, которая позволит реализовать основные функции безопасности значимых объектов КИИ.
Ядром платформы является система управления событиями ИБ и
выявления инцидентов в режиме реального времени MaxPatrol SIEM. Она в том числе
получает информацию из других технических средств, развернутых на платформе:
системы контроля защищенности и соответствия стандартам безопасности MaxPatrol
8, системы многоуровневой защиты от вредоносного программного обеспечения PT
MultiScanner, решения для выявления следов компрометации в сетевом трафике PT
Network Attack Discovery.
Для автоматизированного взаимодействия с НКЦКИ и управления
инцидентами в состав платформы включен продукт «ПТ Ведомственный центр». Все
эти продукты разработаны на единой платформе и интегрированы между собой. Это
максимально снижает ручное вмешательство администратора безопасности.
Использование PT Platform 187 позволило КГ НИЦ за месяц запустить центр безопасности и начать выполнение требований законодательства. К решению были подключены информационные системы министерств в сферах науки, здравоохранения, промышленности. Теперь КГ НИЦ отслеживает события ИБ в подключенных системах и выявляет атаки.
Для кого это решение?
PT Platform 187 подходит организациям с небольшой инфраструктурой и территориальным подразделениям крупных организаций. Поскольку платформа — это один сервер, на котором развернуты пять продуктов, есть и ряд технических ограничений. Главное из них — количество сетевых устройств, включаемых в мониторинг ИБ: их должно быть не более 250. В случае крупной распределенной инфраструктуры, можно выделить в ней сегменты с объектами КИИ, подходящими под критерий, и использовать PT Platform 187 в определенных границах.
Если в организации более 250 сетевых устройств, относящихся
к объекту КИИ, и объектов КИИ больше одного, правильнее создавать систему
защиты на enterprise-версиях продуктов, которые позволяют выстроить
распределенную систему защиты и консолидировать все данные об инфраструктуре в
одном месте для централизации контроля.
