AdminPC.Ru

Заметки системного администратора, чтобы не забыть

План приведения промышленного предприятия к требованиям законодательства по ИБ

Шаг 1. Первичный аудит и организационные меры (1-й месяц)

Инвентаризация и оценка текущего состояния: Начните с полного аудита информационных систем и данных. Выявите все ИТ-активы предприятия: серверы, рабочие станции, сетевое оборудование, системы управления технологическими процессами (АСУ ТП), базы данных и приложения (включая ERP и систему зарплаты/кадров). Особое внимание уделите системам, связанным с производством, так как горнодобывающее предприятие относится к сфере критической информационной инфраструктуры (КИИ). Оцените, какие из этих активов не защищены или не регламентированы за последние 15 лет.

Назначение ответственных лиц: Издайте приказы о назначении ответственных за безопасность информации. Необходимо официально утвердить должностное лицо, отвечающее за организацию защиты информации в компании (например, ответственный за обеспечение ИБ или руководитель службы ИБ). Также отдельным приказом назначьте ответственного за организацию обработки персональных данных (как того требует 152-ФЗ) – часто эту роль исполняет сотрудник службы ИБ или юрист. Если предприятие подпадает под 187-ФЗ (субъект КИИ), назначьте ответственное должностное лицо за безопасность КИИ. Все назначения оформите приказами по организации .( + требования Указа Президента 250)

  • Пример приказов:
    • Приказ о создании рабочей группы (комиссии) по информационной безопасности и приведению системы ИБ в соответствие требованиям.
    • Приказ о назначении ответственного за безопасность критической(С профильным образованием согласно требованиям пункта 12 Приказа ФСТЭК России №235) информационной инфраструктуры (например, главного инженера или ИТ-директора, курирующего защиту систем производства).
    • Приказ о назначении ответственного за обработку и защиту персональных данных [l3] (например, начальника отдела кадров или ИБ-специалиста) в соответствии с ч.1 ст.22 152-ФЗ.

Разработка политики и плана работ: Параллельно начните подготовку проектов основных организационно-распорядительных документов (ОРД). Составьте Политику информационной безопасности предприятия [l4] – в ней определите цели и принципы ИБ, область применения (защита коммерческой тайны, персональных данных, обеспечение бесперебойной работы систем и т.д.), общие меры защиты и ответственность сотрудников. Также подготовьте отдельное Положение об обработке персональных данных (политику в отношении ПДн) – этот документ обязателен по 152-ФЗ и должен быть опубликован или доступен субъектам ПДн. На данном этапе достаточно черновых версий – окончательно утвердить их можно после проведения анализа рисков и требований.

Примерные сроки: Аудит и назначения можно выполнить за 2–4 недели. К концу первого месяца должны быть изданы ключевые приказы о назначении ответственных и создании комиссии, а также составлен поэтапный план работ (дорожная карта) по приведению в соответствие. Эти шаги создают организационную основу, без которой дальнейшие меры не смогут быть реализованы.

Шаг 2. Категорирование объектов КИИ (2–3-й месяц)

Если предприятие относится к субъектам КИИ (горнодобывающая промышленность включена в 12 отраслей, указанных в 187-ФЗ), необходимо провести категорирование объектов критической информационной инфраструктуры. Это обязательное требование Федерального закона №187-ФЗ. Последовательно выполните следующие подзадачи:

  • Идентификация критичных процессов: Выявите процессы предприятия, от бесперебойной работы которых зависит безопасность людей, существенный экономический ущерб либо иные последствия, указанные в критериях значимости. Например, для бокситового рудника критическими могут быть системы управления добычей и обогащением, электро- и водоснабжение рудника, система промышленной безопасности и оповещения. Отталкивайтесь от Постановления Правительства РФ №127 от 08.02.2018, которое утвердило Правила категорирования объектов КИИ РФ и перечень показателей критериев значимости. На основе этих правил определите, к каким показателям (масштаб ущерба, количество обслуживаемых потребителей, влияние на отрасль и т.д.) относятся ваши процессы.
  • Выделение объектов КИИ: Для каждого критичного процесса определите связанные с ним информационные системы, сети и АСУ ТП. Например, АСУ ТП горного оборудования, сервер управления технологическим процессом, локальная сеть диспетчерской и т.п. Сформируйте перечень объектов КИИ, подлежащих категорированию. Включите в перечень название объекта (системы), краткое описание функции и ответственное подразделение. Этот перечень потребуется направить во ФСТЭК России. Согласно требованиям 187-ФЗ, субъекты КИИ должны были предоставить такой перечень ранее (до 1 сентября 2019 г. для государственных организаций, для коммерческих – рекомендовано). Несмотря на пропущенные сроки, необходимо сделать это как можно скорее, чтобы при проверке у предприятия были документы о выполненном категорировании.
  • Присвоение категорий значимости: Создайте комиссию по категорированию (если не сделано приказом ранее) и проведите анализ последствий нарушения работы каждого объекта из перечня. На основании критериев значимости (уровень ущерба жизни и здоровью, экологического вреда, экономического ущерба, социально-политических последствий и пр., определенных ПП РФ №127) присвойте каждому объекту категорию значимости: I (наивысшая), II, III или решите, что объект не подлежит категорированию (то есть незначим для КИИ). Результаты оформите актом (протоколом) категорирования. В акте укажите: оцененные показатели, расчет или обоснование категории по каждому, состав комиссии и решение. Помните, что согласно закону:
    • если объекту присвоена категория I, II или III, он считается значимым объектом КИИ (ЗОКИИ);
    • если ни одна категория не присваивается (т.е. объект ниже пороговых значений по всем критериям), это также фиксируется (отсутствие необходимости присвоения категории).
  • Уведомление регулятора: На основании проведенного категорирования подготовьте официальное уведомление во ФСТЭК о результатах. Форма и порядок направления сведений установлены приказом ФСТЭК №236 от 22.12.2017 (форма перечня объектов и сведения о присвоении категории. В уведомлении перечислите все объекты из перечня и указанные им категории либо отсутствие категории. Это письмо следует отправить в адрес территориального органа ФСТЭК. Выполнение этого шага продемонстрирует надзорным органам, что предприятие идентифицировало свои критические системы и официально исполнило ст.6 187-ФЗ по категорированию.

Примерные сроки: Сбор данных и анализ значимости потребуют до 1 месяца, еще пару недель заложите на оформление документов и их утверждение руководством. К концу 3-го месяца план должно быть подготовлено решение о категориях и отправлены сведения во ФСТЭК. При проверке вам понадобятся: приказ о комиссии по категорированию, перечень объектов КИИ, акт (приказ) о присвоении категорий и копия письма/уведомления во ФСТЭК (с отметкой или исходящим номером).

Шаг 3. Обеспечение безопасности значимых объектов КИИ (3–6-й месяцы)

Если по результатам категорирования выявлены значимые объекты КИИ, необходимо создать систему их защиты в соответствии с 187-ФЗ и подзаконными актами. На этом этапе основной ориентир – приказы ФСТЭК России №235 и №239, изданные в конце 2017 г. для реализации 187-ФЗ. В целом, работа включает разработку организационно-технических мер защиты, их внедрение и документирование:

  • Проектирование системы защиты: Согласно приказу ФСТЭК №235 от 21.12.2017, субъект КИИ обязан создать систему безопасности для каждого значимого объекта КИИ. Начните с моделирования угроз: актуализируйте угрозы для ваших значимых систем (учтите возможные компьютерные атаки, отказ оборудования, инсайдеров и пр.). ФСТЭК выпустила методические рекомендации по моделированию угроз ЗОКИИ (например, информационное сообщение №240/22/2339 от 04.05.2018 и Методика от 05.02.2021), их стоит использовать. На базе модели угроз определите требуемый комплекс мер защиты. Приказ ФСТЭК №239 от 25.12.2017 утвердил Требования по обеспечению безопасности значимых объектов КИИ – фактически перечень обязательных мер. Сопоставьте эти требования с каждым объектом и составьте план реализации мер: например, организация резервирования и отказоустойчивости, ограничение доступа к системам КИИ, установка систем обнаружения вторжений, контроль целостности, журналирование событий безопасности и т.д.
  • Реализация технических мер: Внедрите средства защиты информации [l7] согласно плану. Убедитесь, что средства защиты удовлетворяют требованиям регуляторов: для значимых объектов КИИ необходимо использовать сертифицированные ФСТЭК/ФСБ средства защиты информации там, где это прямо предусмотрено (например, межсетевые экраны, системы обнаружения вторжений, средства криптографической защиты для каналов связи). Проведите настройку систем так, чтобы они соответствовали приказу ФСТЭК №239 (он содержит подробный состав организационно-технических мер). Ключевые меры: разграничение доступа и аутентификация пользователей, защита от несанкционированного доступа (НСД), журналы безопасности и мониторинг событий, антивирусная защита, резервное копирование критичных данных, регулярное обновление ПО, физическая безопасность серверных помещений и др. Помимо технических средств, реализуйте организационные меры: режимный контроль доступа в критические зоны, проверка подрядчиков, дополнительные проверки персонала, имеющего доступ к ЗОКИИ. Дополнительно учесть требования по использованию исключительно доверенных ПАК согласно требованиям ПП 1912
  • Разработка документов по защите ЗОКИИ: Оформите результаты внедрения мер в виде внутренних документов. Например, разработайте Положение (стандарт) по обеспечению безопасности значимых объектов КИИ – в нем опишите архитектуру защиты, ответственных администраторов безопасности, процедуры управления конфигурациями, резервного копирования, реагирования на инциденты на этих объектах. Составьте отдельные инструкции для администраторов и пользователей значимых систем (например, инструкция по эксплуатации средств защиты на АСУ ТП). Каждая мера, требуемая приказом №239, должна найти отражение либо в настройках систем, либо в регламентирующем документе. Для наглядности можно сформировать матрицу соответствия: в одной колонке требования законодательства (№239), в другой – реализация на предприятии (конкретное решение, ссылка на документ или настройку). Эта матрица поможет продемонстрировать проверяющим, что ничего не упущено.
  • Согласование подключения к сети Интернет[l8] : Если значимые объекты КИИ соединены или планируются к подключению к сетям общего пользования (например, выходят в Интернет), необходимо согласовать это с ФСТЭК. 187-ФЗ (ст.6 п.8) устанавливает, что подключение ЗОКИИ к интернету допускается только при условии уведомления ФСТЭК и выполнения всех заданных ими условий безопасности. Информирование ФСТЭК о наличии подключения к сетям общего пользования осуществляется на этапе подачи сведений по категорированию.
  • В соответствии с изменениями в Приказ ФСТЭК России № 239 обеспечение доступности из сети «Интернет» интерфейсов и сервисов информационной системы, подлежащих защите от атак, направленных на отказ в обслуживании, по согласованию со структурным подразделением, специалистами по защите информации после принятия мер по контролю и фильтрации исходящего и входящего сетевого трафика в соответствии с матрицей коммуникаций информационной системы с сетью «Интернет»Примерные сроки: Разработка модели угроз и плана защиты – 1–2 месяца, реализация основных мер защиты – 2–3 месяца (может потребоваться больше, если нужны закупки оборудования и ПО). К концу ~6-го месяца [l9] вы должны иметь в наличии функционирующую систему защиты для всех значимых объектов: настроенные СЗИ, обученный персонал, актуальные инструкции. Документально должны быть оформлены: модель угроз (аналитическая выписка), перечень мер (план защиты) и приказы/акты о вводе в действие новых систем защиты. Эти документы и фактическое наличие средств защиты позволят успешно пройти возможную проверку от ФСТЭК.

Шаг 4. Защита персональных данных и выполнение 152-ФЗ (2–4-й месяцы)

Одновременно с мероприятиями по КИИ приведите в соответствие обработку персональных данных (ПДн) на предприятии согласно Федеральному закону №152-ФЗ и связанным актам. Неисполнение требований по ПДн контролируется Роскомнадзором, и спустя 15 лет бездействия важно закрыть пробелы как можно скорее. План действий по ПДн:

  • Аудит потоков ПДн: Проанализируйте, какие персональные данные(Оптимально начинать с формирования/анализа перечня бизнес-процессов в которых задействована обработана ПДн) [l10] и чьи именно обрабатывает предприятие. Очевидные источники – система 1С:ЗУП (данные сотрудников: ФИО, паспортные, ИНН, сведения о зарплате, возможно медицинские справки, контакты родственников для страховки и т.п.), ERP-система (может содержать данные контрагентов-физлиц, контактные данные клиентов или поставщиков), системы видеонаблюдения (биометрические данные – изображение лиц . Важное уточнение, что при автоматизированной обработке таких сведений следует их рассматривать в этой категории только в случае если используются в целях идентификации или аутентификации субъекта) и журналы регистрации посетителей. Опишите все процессы обработки ПДн: кадровый учет, начисление зарплаты, охрана и пропускной режим, и т.д. Убедитесь, что на каждую категорию данных есть законное основание обработки (трудовой договор для данных сотрудников, согласия для видеофиксации, договорные отношения для контрагентов и пр.). При необходимости получите недостающие согласия от сотрудников/субъектов ПДн (например, на обработку специальных категорий данных, на передачу данных третьим лицам – в медицинскую страховую компанию и т.д.).
  • Классификация ИСПДн и определение уровня защиты: На базе Постановления Правительства №1119 от 01.11.2012 определите, какие уровни защищенности применимы к вашим информационным системам персональных данных (ИСПДн). PP №1119 устанавливает 4 уровня защищенности ПДн, в зависимости от категорий данных, количества субъектов и типа актуальных угроз. Выполните следующий анализ:
    • Категории обрабатываемых ПДн: вероятно, у предприятия есть персональные данные работников (трудовые отношения) и, возможно, данные других физических лиц (если есть, к примеру, клиенты-физлица или индивидуальные предприниматели-поставщики). Работники – это одна категория отношений, посторонние субъекты – другая Также определите, присутствуют ли специальные категории ПДн (данные о здоровье, биометрия  и т.п.); скорее всего, медицинские справки и данные о больничных листах относятся к данным о здоровье (спецкатегория), а Фото на пропуске сотрудника будет являться биометрическими ПДн только в случае его применения в целях идентификации и аутентификации при этом важно отметить, что физическое сравнение сотрудником КПП предъявителя пропуска с фото на пропуске будет являться неавтоматизированной обработкой ПДн и особых дополнительных требований по защите не предъявляется. Автоматизированной обработкой биометрических ПДн, фото будет являться только в случае автоматической (СКУД) идентификации/аутентификации. В иных целях отличных от идентификации или аутентификации фото будет являться иной категорией ПДн обрабатываемых в ИС.
    • Количество субъектов ПДн: оцените общее число физических лиц, чьи данные хранятся. Если это только работники предприятия, вероятно счет идет на сотни, что попадает в категорию «менее 100 000 субъектов».
    • Типы актуальных угроз для ИСПДн: определите, какие классы угроз актуальны. Например, используется ли зарубежное или нестандартизированное ПО, содержащее недекларированные возможности (НДВ)? Для 1С и распространенного системного ПО обычно угрозы НДВ относят к 3-му типу (нет известных НДВ) либо максимум 2-му типу. Если предприятие использует только лицензионное ПО от надежных поставщиков, можно обосновать актуальность только 3-го типа угроз (отсутствие НДВ).
    • Сопоставив категорию ПДн, число субъектов и тип угроз, определите требуемый уровень защищенности (1-й – самый высокий, 4-й – низший). Например, если обрабатываются специальные категории ПДн сотрудников, количество субъектов <100k и угрозы только 3-го типа, вероятно это 3-й уровень защищенности. Точное определение сделайте по таблице в Постановлении №1119. Оформите акт (справку) классификации ИСПДн с указанием присвоенного уровня для каждой системы (или группы систем) ПДн.
  • Реализация мер защиты ПДн: Внедрите меры, соответствующие определенному уровню защищенности (требования приведены в приложении к ПП №1119). Основные меры во многом аналогичны общим мерам ИБ, но должны учитывать актуальные угрозы ПДн. Воспользуйтесь приказом ФСТЭК №21 от 18.02.2013 (в последней ред. 2020 г.) – он описывает состав организационных и технических мер по защите ПДн для каждого уровня. К таким мерам относятся:
    • Идентификация и аутентификация пользователей ИСПДн (персонифицированные учетные записи для сотрудников, сложные пароли или использование токенов, разграничение прав доступа).
    • Ограничение доступа – настройка прав в 1С и других системах так, чтобы каждый сотрудник имел доступ только к необходимым данным (принцип минимальных привилегий). Регулярно пересматривайте права при увольнении или переводе сотрудников.
    • Регистрация и учет событий безопасности – включите журналы регистрации доступа к персональным данным (кто заходил в систему, какие действия выполнял). Логи должны храниться и анализироваться на предмет инцидентов (например, множественных попыток доступа).
    • Антивирусная защита рабочих станций и серверов, использующих ПДн . Обновления сигнатур должны происходить автоматически.
    • Защита периметра – если базы ПДн находятся в корпоративной сети, обеспечьте их защиту брандмауэром/МЭ, фильтрацией трафика. При удаленном доступе кадровиков к 1С обязательно использование VPN с шифрованием.
    • Обнаружение вторжений – для более высоких уровней (1 и 2) обязателен IDS/IPS для сети ИСПДн. Для 3-го уровня – рекомендовано.
    • Сохранность и целостность данных – реализуйте регулярное резервное копирование баз ПДн, хранение резервов в защищенном виде. Контролируйте целостность файлов (хэш-контроль, Журналирование изменений в БД).
    • Обеспечение доступности – продумайте аварийное восстановление: для критичных систем ПДн (например, кадровой) подготовьте план резервного подключения (cold standby сервер или хотя бы резервные копии на внешних носителях).
    • Криптографическая защита каналов и данных (СКЗИ) – если актуальны угрозы перехвата или требуется шифрование ПДн (особенно для 1–2 уровней). На практике: используйте сертифицированные ФСБ средства шифрования для VPN-соединений между филиалами, для шифрования ноутбуков с ПДн и т.п. (в соответствии с приказом ФСБ №378, если применяется шифрование в ИСПДн).
    • Прочие меры: ограничение программной среды (никакого постороннего ПО на компьютерах с базами ПДн), защита технических носителей (шифрование или запирание в сейфе резервных дисков). Полный перечень мер приведен в приказе ФСТЭК №21 – убедитесь, что для вашего уровня все пункты либо реализованы, либо документально обосновано, почему не применимо.
  • Документирование и внутренние политики: Разработайте Политику в отношении обработки персональных данных (если не сделали в Шаге 1) и утвердите ее приказом руководителя. В ней опишите цели обработки ПДн, перечни ПДн по каждой категории субъектов, порядок сбора, хранения, передачи и уничтожения ПДн, а также меры по их защите. Этот документ необходимо опубликовать на официальном сайте или довести до всех субъектов ПДн (например, выдать сотрудникам под подпись ). Кроме политики, подготовьте комплект внутренних инструкций:
    • Инструкция для сотрудников, непосредственно работающих с ПДн (кадровики, бухгалтерия): как безопасно обращаться с данными, запрет на передачу ПДн коллегам без санкции, порядок использования USB-носителей, ответственность за нарушение.
    • Должностная инструкция(В том числе потребуется корректировка всех должностных инструкций работников обрабатывающих ПДн в части ответственности) или положение для ответственного за ПДн: в ней пропишите его обязанности (следить за обновлением политики, проводить обучение персонала, готовить ответы на запросы субъектов, взаимодействовать с Роскомнадзором).
    • Форма согласия на обработку ПДн и журнал учета выданных согласий (если требуются для каких-либо данных).
    • Журнал учета обращений субъектов ПДн (например, если сотрудник запросит копию своих данных или потребует их исправить – фиксировать такие события).
    • Акт категорирования (классификации) уровня защищенности ПДн  ИСПДн и модель угроз (прилагать к политике или хранить отдельно для обоснования выбранных мер).
  • Обучение персонала: Проведите инструктаж или обучающий семинар для работников, которые имеют доступ к персональным данным. Объясните основные положения политики ПДн, запреты (например, не отправлять документы с персональными данными через незащищенную почту[l19] (за пределы контролируемой зоны по открытым каналам связи), не обсуждать ПДн в присутствии посторонних и т.д.), порядок действий при обнаружении утечки или инцидента. Зафиксируйте проведенное обучение (ведомость, подписи участников) – при проверке Роскомнадзор часто спрашивает про ознакомление сотрудников с политикой и обучение.
  • Уведомление Роскомнадзора: Проверьте, подавалось ли в прошлом уведомление об обработке персональных данных в Роскомнадзор. По закону (ст.22 152-ФЗ) оператор ПДн обязан уведомлять Роскомнадзор до начала обработки, за исключением случаев, перечисленных в ч.2 ст.22 (например, обработка только в рамках трудовых отношений; однако даже в этом случае лучше перестраховаться ). Если вы не уверены, что старое руководство подавало уведомление 15 лет назад, рекомендуется направить его сейчас. Уведомление подается по установленной форме (приложение к ПП РФ №687) и содержит сведения об операторе, целях обработки, категориях ПДн, мерах защиты и ответственном лице. Подача уведомления сейчас покажет проактивность и может смягчить претензии, даже если формально вы уже давно должны были это сделать. По статистике, с 2006 года около 400 000 операторов подали такие уведомления, ваше предприятие тоже должно быть в реестре. Подайте уведомление в течение 1-го – 2-го месяцев проекта, не откладывая (регистрация уведомления занимает несколько недель). После регистрации получите свидетельство или расписку – храните ее.

Примерные сроки: Большинство мер по ПДн можно реализовать за 2–3 месяца параллельно с мерами по КИИ. К концу ~4-го месяца должны быть: актуальная политика по ПДн, назначено ответственное лицо, выполнена классификация ИСПДн с определением уровня защиты, внедрены технические средства (по крайней мере, настроены права доступа, резервное копирование, антивирусы, шифрование каналов в зависимости от уровня ), проведены обучения сотрудников и отправлено уведомление в Роскомнадзор. Для проверки Роскомнадзора подготовьте папку документов по ПДн: политика, приказы о назначении, журнал инструктажа, перечень информационных систем с уровнями, описание мер защиты, образцы согласий, договоры с подрядчиками о конфиденциальности  + договора на поручения в случае передачи ПДн для обработки (если ПДн передаются, например, в аутсорсинг бухгалтерии).

Шаг 5. Реагирование на инциденты и интеграция с ГосСОПКА (5–7-й месяцы)

Обязательным элементом соответствия современным требованиям ИБ является готовность к компьютерным инцидентам. Для субъектов КИИ это критически важно: согласно 187-ФЗ, все значимые объекты КИИ должны быть подключены (Приказ ФСТЭК России № 187 говорит о «непрерывном взаимодействии» на сегодняшний день оно может быть организовано посредством сообщения об инцидентах через личный кабинет ГосСОПКА) к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) или иметь собственные средства обнаружения атак. Предприятие должно сделать следующее:

  • Создание системы мониторинга событий безопасности: Если у вас есть значимые объекты КИИ, разверните средства для мониторинга и обнаружения сетевых атак. Минимум – настроить журналы Windows/1С и сетевого оборудования на отправку сообщений о важных событиях (авторизации, сбоях, попытках доступа) на центральный сервер и регулярно их анализировать. Оптимально – внедрить систему обнаружения вторжений (IDS) или систему управления событиями безопасности (SIEM). Можно использовать коммерческие решения или открытые при условии их эффективной настройки. Помните, что для значимых объектов КИИ приказом ФСТЭК №239 требуются меры по обнаружению атак и предупреждению инцидентов. Если собственными силами это сложно, закон позволяет подключиться к аккредитованному коммерческому центру ГосСОПКА. Такие центры (обычно при крупных ИБ-компаниях) будут получать от вас данные и осуществлять круглосуточный мониторинг. Заключение договора с центром ГосСОПКА может быть быстрым путем к соответствию приказам ФСБ №196 и №281 (они регламентируют создание систем обнаружения и аккредитацию центров мониторинга). Выберите подходящий вариант и реализуйте его: либо собственный мониторинг (потребует обученного персонала и лицензированных средств), либо аутсорсинг мониторинга.
  • Разработка плана реагирования на инциденты: Составьте внутренний План реагирования на инциденты и ликвидации последствий атак. Этот документ необходим по требованиям 187-ФЗ. В нем пропишите: критерии классификации инцидентов (утечка данных, сбой системы, обнаружение вируса и т.д.), порядок действий дежурного персонала или ответственного при каждом типе инцидента, контакты внешних экстренных служб (например, если атака вывела из строя технологическую систему – как оперативно оповестить руководство, ФСТЭК и т.д.). Отдельно включите процедуру форензики и восстановления – как сохранять логи, кому сообщать, как взаимодействовать с ИТ-подразделением для восстановления работы. Назначьте комиссию по расследованию инцидентов (можно той же приказом, что и общая комиссия ИБ). План реагирования утвердите приказом и доведите до ответственных лиц. Проведите учебную тревогу (тестовый инцидент) – зафиксируйте актом, что отработали сценарий, например, обнаружение вируса-шифровальщика и восстановление из бэкапов. Это продемонстрирует готовность на практике.
  • Взаимодействие с НКЦКИ (ГосСОПКА): Установите контакт с Национальным координационным центром по компьютерным инцидентам (НКЦКИ, подразделение ФСБ, координирующее ГосСОПКА). Согласно приказу ФСБ №367 от 24.07.2018, организации – субъекты КИИ обязаны предоставлять в ГосСОПКА определенную информацию и соблюдать порядок обмена данными при кибератаках. В частности, НКЦКИ нужно сообщить контактные данные ответственных за связь с центром, информацию о ваших значимых объектах, о средствах защиты и т.д., а при серьезных инцидентах – направлять установленный Перечень информации о них в определенные сроки. Рекомендуется оформить письмо в НКЦКИ: указать, что ваше предприятие является субъектом КИИ, перечислить значимые объекты (с категориями), назначенных ответственных лиц (ФИО, должности, контакты), канал для экстренной связи. Далее вы получите методические указания и реквизиты для подключения к их платформе обмена (как правило, это закрытый портал ГосСОПКА). Не пренебрегайте этой обязанностью: несообщение о серьезном инциденте или утаивание информации считается нарушением. Настройте процесс уведомления НКЦКИ о каждом инциденте, значимом по критериям ФСБ. Также, если вы подключены к коммерческому центру ГосСОПКА, уточните с ним распределение обязанностей: возможно, центр будет уведомлять НКЦКИ от вашего имени, но ответственность все равно несете вы, поэтому контролируйте, что информация предоставляется своевременно.
  • Учёт и отчетность по инцидентам: Внутри компании ведите журнал инцидентов ИБ: фиксируйте дату, описание, категорию, принятые меры, воздействие. Это пригодится и для анализа тенденций, и для отчетности перед проверяющими. Согласно приказу ФСБ № 282 (упоминается в методических материалах ФСБ), о наиболее значимых инцидентах нужно незамедлительно сообщать в НКЦКИ– пропишите в инструкции, какие инциденты подлежат немедленному сообщению (например, массированная вирусная атака, успешная хакерская атака на значимый объект, утечка персональных данных более N записей и т.п.). Установите внутренний SLA: например, ответственное лицо по ИБ сообщает в НКЦКИ не позднее 24 часов с момента обнаружения инцидента, параллельно информирует руководство предприятия.

Примерные сроки: Разработка плана реагирования и настройка мониторинга – около 2 месяцев (5–6-й месяцы). К концу ~7-го месяца вы должны: либо подключиться к внешнему центру мониторинга, либо иметь развёрнутые средства обнаружения атак; подписать регламент взаимодействия с НКЦКИ (или хотя бы отправить им необходимую информацию); иметь утвержденный план реагирования и обученный персонал (проведено учебное занятие по реагированию). Эти шаги готовят предприятие к быстрому обнаружению и сдерживанию компьютерных атак, что будет большим плюсом при проверке (наличие интеграции с ГосСОПКА и плана реагирования обязательно проверят у субъекта КИИ).

Шаг 6. Аттестация системы защиты и проверка готовности (8–12-й месяцы)

После реализации всех запланированных мер стоит провести аттестацию объектов информатизации на соответствие требованиям защиты информации. Аттестация – это процедура официальной оценки и подтверждения, что ваши системы и меры соответствуют нормативам (по аналогии с сертификацией). Для государственных систем аттестация обязательна, а для коммерческих – Необходимо проводить оценку эффективности,[l24]  особенно если вы субъект КИИ или оператор значимых объемов ПДн. ФСТЭК России в 2021 году утвердила Порядок проведения аттестации (приказ №77 от 29.04.2021), распространяющийся на информационные системы, содержащие информацию ограниченного доступа (в т.ч. коммерческую тайну, персональные данные, сведения КИИ, не отнесенные к гостайне). Ваше предприятие подпадает под эти критерии, поэтому аттестация будет логичным завершающим этапом.

  • Подготовка к аттестации: Соберите весь комплект документации, разработанный на предыдущих этапах: политики, модели угроз, перечни мер, акты категорирования, приказы и журналы. Проверьте, что меры реально внедрены[l25] : например, журнал аудита безопасности включен, антивирус обновляется, бэкапы делаются по расписанию, сотрудники знают процедуры. Перечень документации предъявляемый в орган по аттестации приведен в Приказе ФСТЭК России № 77. Проводится проверка реализованных мер согласно утвержденному техническому заданию на подсистему безопасности ЗОКИИ и техническим решениямПредварительно проведите внутренний аудит соответствия – как бы «репетицию» проверки. Можно привлечь независимого консультанта (лицензированную организацию по техзащите информации) для аудита соответствия требованиям 152-ФЗ, 187-ФЗ. Это поможет выявить слабые места, которые вы могли пропустить. Устраните все выявленные несоответствия до начала аттестации.
  • Проведение аттестации: Заключите договор с аккредитованной испытательной лаборатории (Испытательная лаборатория нужна при проведении сертификации или оценки влияния. Для аттестационных испытаний привлекается организация с лицензией ТЗКИ с пунктом «Г»). Предоставьте ей необходимые сведения. Лаборатория проведет испытания: проверит настройки систем, соответствие средств защиты заявленным требованиям, проведет сканирование уязвимостей, анализ документации. По результатам будет составлен аттестационный акт  с выводами о соответствии (или несоответствии) ваших объектов заданным требованиям. Если все хорошо, вам выдадут Аттестат соответствия на каждый аттестуемый объект (например, на ИСПДн – в рамках 152-ФЗ, на систему АСУ ТП – в рамках 187-ФЗ). В приказе ФСТЭК №77 регламентирован состав этих работ и требования к оформлению документов. Обратите внимание: аттестация не разовая акция – обычно аттестат действителен несколько лет (3 года). В рамках действующего аттестата должен проводится периодический контроль эффективности (не реже одного раза в 2 года). В случае развития проводится повторная аттестация
  • Действия по итогам: Если по итогам аттестации получены замечания (несоответствия), немедленно разработайте и реализуйте корректирующие мероприятия. Например, лаборатория может выявить, что не все компоненты имеют актуальные сертификаты, или политика ИБ не полностью покрывает требования. Исправьте эти недостатки и повторно согласуйте с аттестующей организацией. Цель – получить официальные документы, подтверждающие, что предприятие защищает информацию должным образом. Это большое подспорье при проверках: наличие аттестатов часто снимает многие вопросы проверяющих, так как независимая лицензированная сторона уже всё оценила.
  • Финальная самопроверка: Перед тем, как ожидать визита инспекции (Роскомнадзора или ФСТЭК), проверьте еще раз комплект документации. Сформируйте папки (или электронные реестры) отдельно для КИИ и для ПДн. Убедитесь, что каждая ссылка в политиках или приказах подтверждена – например, если политика требует смены паролей раз в 3 месяца, покажите журнал или настройку доменной политики, подтверждающую это. Если политика ПДн предусматривает уничтожение персональных данных уволенных через 3 года – убедитесь, что есть акты уничтожения или обезличивания таких данных. Такая тщательность поможет успешно пройти проверку без критических замечаний.

Примерные сроки: Аттестация – процесс длительный: на подготовку и выбор аттестующей организации отведите 1–2 месяца (8–9-й месяцы), сами испытания и оформление документов – еще 1–2 месяца. К концу года (10–12-й месяцы) вы рассчитываете получить аттестаты соответствия и полностью закрыть все выявленные внутренним аудитом пробелы. Таким образом, приблизительно через 12 месяцев с начала проекта предприятие будет готово к внешней проверке и в значительной степени обезопасит себя от инцидентов.

Основные документы, необходимые для проверки

Для удобства приведем перечень обязательных документов, которые должны быть разработаны и предъявлены при проверке (разделены на группы):

  • Приказы и распоряжения:
    • Приказ о назначении ответственного за обеспечение информационной безопасности организации (с указанием ФИО, должности, обязанностей).
    • Приказ о назначении ответственного за организацию обработки персональных данных (152-ФЗ требует наличия такого ответственного).
    • Приказ о создании комиссии по информационной безопасности / приказ о создании комиссии по категорированию объектов КИИ (при наличии КИИ).
    • Приказ об итогах категорирования объектов КИИ  (По итогам категорирования формируется Акт) и направлении сведений во ФСТЭК.
    • Приказ об утверждении политики информационной безопасности предприятия.
    • Приказ об утверждении положения (политики) об обработке персональных данных.
    • Приказ об утверждении перечня мер по обеспечению безопасности значимых объектов КИИ (например, план защиты ЗОКИИ или стандарта защиты).
    • Приказ о введении в действие плана реагирования на инциденты и назначении ответственных за реагирование.
    • Приказы о допуске сотрудников к работе с информацией ограниченного доступа (например, к ПДн особых категорий или коммерческой тайне, если требуется).
    • Приказ о проведении аттестации объектов информатизации (по завершении работ) и признании результатов (если получены аттестаты).
  • Политики, положения, стандарты:
    • Политика информационной безопасности (единый высокий документ, описывающий цели, задачи, область и основные принципы защиты информации в организации).
    • Положение об обеспечении безопасности персональных данных (политика в отношении ПДн) – содержит сведения, требуемые ст.18.1 152-ФЗ: цели обработки, перечни ПДн, категории субъектов, описание мер защиты и прочее.
    • (При наличии ЗОКИИ) Политика / стандарт по безопасности критической информационной инфраструктуры – документ, описывающий особый режим и меры защиты значимых объектов, порядок их эксплуатации, требования к персоналу, взаимодействие с ГосСОПКА и т.д. (может быть частью общей политики ИБ либо отдельным).
    • Политики/правила по отдельным направлениям ИБ: например, Политика управления паролями (если не включена в общую), Политика резервного копирования и восстановления, Правила использования корпоративной электронной почты и Интернета, Политика управления носителями информации. Эти документы не строго обязательны по названию, но наличие их показывает системность подхода. Их отсутствие не штрафуется напрямую, однако многие меры из приказов ФСТЭК проще описать отдельным регламентом.
  • Акты, отчеты, перечни:
    • Перечень объектов КИИ, подлежащих категорированию (составлен по ПП №127).
    • Акт (отчет) о результатах категорирования объектов КИИ – с указанием присвоенных категорий значимости или об отсутствии таковых.
    • Копия уведомления во ФСТЭК о результатах категорирования (исходящее письмо с регистрационным номером).
    • Модель угроз для значимых объектов КИИ – документ с анализом актуальных угроз и нарушителей, на основе которого построена защита.
    • Модель угроз для ИСПДн – при наличии требований ФСТЭК (Объединять ИСПДн допустимо только при использовании одинаковых технологий. В ином случае для верных технических решений необходимо рассмотреть угрозы в отношении каждой системы).
    • Акт определения уровня защищенности ИСПДн (класс ИСПДн в старой терминологии) – по результатам классификации по ПП №1119.
    • Отчет о выполнении требований к защите ПДн (приказы №21 ФСТЭК и №378 ФСБ) – документ в свободной форме или таблица, где перечислены требуемые меры и отмечено их выполнение (например, пункт 11 приказа №21 – реализовано таким-то средством, пункт 15 – не актуально, так как нет виртуализации, и т.д.). Это не прямо обязательный документ, но проверяющим очень нравится, когда оператор сам провел такую самооценку.
    • Аттестаты соответствия и аттестационные испытания (если проводилась аттестация по Шагу 6): аттестат на ИСПДн, на каждый ЗОКИИ, и протоколы (отчеты) испытаний, выданные лабораторией. Аттестаты не обязательны по закону для коммерческих организаций, но если они есть – приложите, это сильное доказательство соблюдения требований.
  • Журналы, инструктажи, договоры:
    • Журнал ознакомления сотрудников с документами по ИБ и ПДн. Все сотрудники, имеющие доступ к информации, должны быть под расписку ознакомлены с соответствующими политиками и инструкциями (это требование ч.7 ст.19 152-ФЗ – обучать лиц, допущенных к ПДн, мерам защиты). Предъявите журнал или акты о проведении обучения персонала по ИБ.
    • Журнал регистрации инцидентов безопасности (учета сбоев, вирусных атак, нарушений политики). Проверяющие могут спросить: “Были ли у вас инциденты?”. Желательно показать, что вы ведете учет и каждый инцидент анализируется и закрывается мерами.
    • Договора с аутсорсерами, связанные с защитой информации: например, договор с центром ГосСОПКА (если заключен), договор с обслуживающей ИТ-фирмой с пунктами о конфиденциальности данных, соглашение о неразглашении (NDA) с ключевыми сотрудниками, допущенными к чувствительной информации. Роскомнадзор, например, проверяет договоры, если передаются ПДн третьим лицам – в них должны быть условия о соблюдении 152-ФЗ.
  • Материалы взаимодействия с регуляторами:
    • Копия уведомления в Роскомнадзор об обработке ПДн (или распечатка реестра операторов ПДн с вашим записом) – подтверждает, что вы выполнили обязанность по ст.22 152-ФЗ.
    • Переписка с ФСТЭК по вопросам КИИ: копия письма о перечне объектов КИИ, ответ (если был) от ФСТЭК, письма о подключении к ГосСОПКА.
    • Переписка с НКЦКИ/ФСБ: уведомления об инцидентах (если направлялись), письмо с информацией о контактных лицах.
    • Документы, подтверждающие аккредитации или сертификаты средств защиты: например, сертификаты ФСТЭК/ФСБ на используемые продукты (межсетевые экраны, СЗИ от НСД, криптосредства). Проверяющие могут запросить доказательства, что средства сертифицированы, – такие сертификаты желательно иметь в досье.

Наличие вышеперечисленных документов  практически гарантирует успешное прохождение проверки. Все перечисленные ОРД и материалы должны быть актуальными (с действующими датами, не истекшим сроком, правильными ссылками на нормы права). Особое внимание – на подписи руководства там, где это требуется, и на соответствие фактической ситуации: регуляторы нередко задают вопросы сотрудникам или смотрят настройки техники, чтобы убедиться, что документы не фиктивны.

Типичные ошибки и как их избежать

Ниже перечислены распространенные ошибки при приведении системы безопасности в соответствие требованиям – избегайте их в процессе работы:

  • Отсутствие реальных действий за документами: Одна из главных ошибок – ограничиться формальным созданием политики и приказов, но не внедрить практические меры. Проверяющие будут смотреть не только бумажную политику, но и ее исполнение. Например, если политика требует смены пароля каждые 90 дней, инспектор попросит показать настройки системы или журналы смены паролей. Совет: каждое требование из документов подкрепляйте технической настройкой или регламентом в действии. Документы должны отражать реальные процессы.
  • Затягивание или пропуск обязательных процедур: Многие требования закона носили дедлайны (категорирование КИИ было требовано выполнить к 2018–2020 гг.). Даже если сроки прошли, выполните их сейчас. Хуже, чем просрочить – только не сделать вовсе. При проверке лучше показать “да, поздно, но мы провели категорирование и внедрили защиту”, чем не иметь этих результатов. Также критично вовремя подавать уведомления: не уведомить Роскомнадзор о начале обработки ПДн или не сообщить во ФСТЭК/НКЦКИ о значимых объектах – это сразу нарушение. Избежать этого просто: регулярно отслеживать обязанности по законам и не откладывать на потом.
  • Неправильное определение категорий/уровней: Частая ошибка – неверно определить категорию значимости КИИ или уровень защищенности ПДн, обычно в сторону занижения, чтобы “уменьшить требования”. Например, могут попытаться не отнести критичную систему к объектам КИИ, чтобы не тратить ресурсы на ее защиту. Это рискованно: в случае инцидента или проверки вскроется, что система фактически критична (например, сбой привёл к аварии) – тогда предприятие обвинят в уклонении от требований, что грозит серьезными санкциями, вплоть до уголовной ответственности для должностных лиц. Совет: категорируйте и классифицируйте добросовестно, опираясь на методики. При сомнениях – лучше присвоить более высокий статус и применить дополнительные меры, чем недооценить риски.
  • Неутвержденность и неподписанность документов: Документы без подписей, без дат или пометки “Черновик” не имеют силы. Иногда организации готовят политики, но забывают их официально утвердить. В результате, по документам нет ответственных исполнителей, и проверяющие могут посчитать требование не выполненным. Совет: убедитесь, что все ключевые документы утверждены приказом или подписью руководителя, проставлены печати (если требуется) и документы хранятся в актуальной редакции. Старые архивные версии могут запутать – при проверке предъявляйте только актуальные.
  • Отсутствие доказательств практического выполнения: Например, политика гласит о необходимости обучения сотрудников – а в реальности нет никаких записей о проведенных обучениях. Или написано о резервном копировании, но не предоставлено ни одного акта или журнала о создании резервных копий. Совет: для каждого процесса, указанного в документах, имейте подтверждение. Делайте акты уничтожения данных, акты тестирования резервного восстановления, журналы техобслуживания средств защиты. Эти мелочи показывают, что система ИБ реально функционирует.
  • Использование несертифицированных средств там, где требуются сертифицированные: Российские требования (особенно для ЗОКИИ и для 1–2 уровней ПДн ) предписывают использовать сертифицированные средства защиты информации (СЗИ) для нейтрализации актуальных угроз. Ошибкой будет, скажем, поставить бесплатный иностранный антивирус на сервер, обрабатывающий персональные данные особых категорий, или использовать самописный шифровальный модуль вместо сертифицированного. При проверке запросится подтверждение сертификации, и в случае отсутствия такового мероприятие защиты не зачтут. Совет: заранее составьте перечень используемых СЗИ и сверьте с реестром сертифицированных. Все ключевые средства (МЭ, СОВ, СЗИ от НСД, антивирусы для высоких требований, СКЗИ) замените на прошедшие сертификацию в ФСТЭК/ФСБ, либо обоснуйте документально, почему используемый продукт допускается (например, для 3–4 уровня ПДн использование несертифицированного антивируса допускается, если угрозы 3-го типа ).
  • Пренебрежение контролем контрагентов: Часто забывают, что подрядчики и внешние организации, которым передаются данные или доступ к системам, тоже должны подпадать под соглашения о безопасности. Например, ИТ-аутсорсер обслуживает ваш сервер с ПДн – а с ним нет соглашения о соблюдении 152-ФЗ и не проверены его сотрудники. Это риск утечки и штрафа. Совет: включайте в договора с контрагентами разделы о конфиденциальности, о соблюдении требований ИБ, проверяйте наличие у них лицензий (если они выполняют работы по защите для вас).
  • Игнорирование требований НКЦКИ о сообщении инцидентов: Некоторые организации, даже подключившись к ГосСОПКА, боятся репутационных потерь и пытаются скрыть произошедший инцидент. Однако приказ №367 ФСБ обязывает предоставлять информацию о кибератаках и инцидентах по регламенту. Если инцидент всплывет (например, через СМИ или жалобы), факт несообщения усугубит ситуацию и может повлечь административное наказание. Совет: придерживайтесь принципа прозрачности с регуляторами – вовремя информируйте об инцидентах, это лучше, чем если о проблеме узнают сторонние источники.
  • Недостаточное тестирование плана восстановления: Бывает, что резервные копии существуют, но никогда не пробовали их разворачивать; или план реагирования написан, но люди не знают, что делать. В критический момент это приводит к хаосу. Совет: регулярно (не реже 1 раза в год) проводите тестирование планов аварийного восстановления и реагирования на инциденты. Результаты оформляйте актом, включайте выявленные проблемы и пути их устранения. Тогда в реальном инциденте шансов на успех больше, а проверяющие увидят вашу проактивность.
  • Отсутствие регистрации в required реестрах: Уже упоминалось, но подчеркнем: если Роскомнадзор обнаружит, что вы не в реестре операторов ПДн, а должны быть – вас привлечет к ответственности. Аналогично, ФСТЭК ожидает, что все ЗОКИИ учтены в их данных. Совет: проверьте себя – реестр операторов ПДн открыт на сайте Роскомнадзора, убедитесь, что ваша организация там есть (и сведения актуальны). Если нет – немедленно исправьте ситуацию.

Наконец, ключевой совет: поддерживайте систему безопасности в актуальном состоянии постоянно, а не только разово перед проверкой. Законодательство и угрозы меняются, выходят новые приказы (ФСТЭК регулярно обновляет требования, ФСБ – регламенты по кибербезопасности). Выделите ежегодно время и ресурсы на пересмотр своих политик и мер. Также отслеживайте официальные разъяснения: например, ФСТЭК выпускает методические рекомендации, ФСБ – информационные письма. Это поможет не допускать ошибок незнания.

Выполнив все шаги и избегая перечисленных ошибок, предприятие сможет не только успешно пройти проверку регуляторов (ФСТЭК, Роскомнадзор, НКЦКИ), но и существенно повысить общий уровень защищенности своих информационных ресурсов. Помните, что невыполнение требований может привести к штрафам (до 300 тыс. руб. по КоАП за нарушение ПДн, миллионам рублей за нарушения в области КИИ) и даже уголовной ответственности руководства в случае серьезных инцидентов. Поэтому внедрение данных мер – это не формальность, а вклад в устойчивость и законную работу вашего предприятия. При надлежащем подходе информационная безопасность станет не источником проблем, а вашим конкурентным преимуществом и залогом доверия со стороны партнеров и государства.

 .

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

TAGS:

cryptopro network windows zakupki МФУ СУФД

Latest Posts