Для повышения удобства работы и хранения данных веб-сайт aktiv-company.ru использует файлы COOKIE. Продолжая работу с веб-сайтом, Вы даете свое согласие на работу с этими файлами.

С какими трудностями может столкнуться субъект КИИ при проектировании системы обеспечения информационной безопасности (СОИБ) для значимых ОКИИ?

Эксперт направления AKTIV.CONSULTING Ольга Зобнина рассказала в авторской колонке на портале CyberMedia о возникающих трудностях и способах их решения при создании системы обеспечения информационной безопасности (СОИБ). Далее копируем статью по ссылке начиная с подзаголовка Актуализируем данные об активах.

С какими трудностями может столкнуться субъект КИИ при проектировании системы обеспечения информационной безопасности (СОИБ) для значимых ОКИИ?

С какими трудностями может столкнуться субъект КИИ при проектировании системы обеспечения информационной безопасности (СОИБ) для значимых ОКИИ?

Многие субъекты КИИ уже присвоили своим объектам КИИ (ОКИИ) категории значимости. Однако некоторые еще не приступили к созданию системы обеспечения информационной безопасности (СОИБ), т. к. сталкиваются с трудностями и непониманием, как же спроектировать СОИБ так, чтобы она корректно функционировала, но при этом не оказывала негативного влияния на технологический процесс.

Детально проектирование СОИБ описано в приказах ФСТЭК России 235, 239, но зачастую субъектам КИИ сложно разобраться в многочисленных требованиях регулятора и применить их к конкретной конфигурации значимых ОКИИ. О возникающих трудностях и способах их решения мы планируем подготовить цикл статей, первую из которых предлагаем вашему вниманию. Будем исходить из собственного опыта реализации проектов по построению СОИБ прежде всего на промышленных предприятиях. Однако данный опыт может быть полезен и другим отраслям.

Актуализируем данные об активах

Первые сложности начинаются с того, что субъекты КИИ до конца не понимают, с чего необходимо начать построение СОИБ, т. к. данные с момента проведения категорирования могли значительно измениться. Зачастую все данные, касающиеся динамичной производственной или ИТ- среды, к примеру, ПО, ПАК и иного оборудования, могут быть разрознены, неактуальны и даже недостоверны (особенно в ситуации географически распределенного объекта). Также отдельные средства защиты информации (СрЗИ) все равно могут быть внедрены в ОКИИ, и могут послужить источником сведений об инфраструктуре.

В таком случае мы рекомендуем начинать с постановки процесса инвентаризации активов, а также с приведения в надлежащий вид проектной документации на объект. Рекомендуем несколько простых и действенных инструментов для проведения инвентаризации:

Ведение опросных листов

Такие листы сотрудники отделов, цехов и рабочих участков обновляют на регулярной основе. Эти опросные листы можно вести и в электронных таблицах (Excel). Главное, чтобы данные в них регулярно актуализировались. Чтобы иметь исчерпывающие сведения об объектах защиты в составе ОКИИ достаточно располагать следующей информацией:

  1. Сведения об ОКИИ, информация из каких подсистем состоит ОКИИ, для чего он предназначен, какие бизнес-, производственные-, технологические-, физические-, химические- процессы в нем протекают.
  2. Сведения о серверном оборудовании и СХД, информация обо всех серверах, СХД, их IP-адресах, местах размещения, аппаратных платформах, ОС, используемых СрЗИ, а также о прочем установленном ПО, необходимом для функционирования ОКИИ и т. д.
  3. Сведения об автоматизированных рабочих местах (АРМ), сведения обо всех АРМ, инженерных рабочих станциях, в том числе терминалах и панельных компьютеров, HMI, их IP-адресах, местах размещения, аппаратных платформах, ОС, составе прикладного ПО, используемых СрЗИ и т. д.
  4. Сведения о сетевом оборудовании, информация о производителях, моделях и сетевых именах сетевого оборудования, IoT-шлюзов, их IP-адресов, местах разрешения, свободных портах, используемых межсетевых экранах и т. д.
  5. Сведения о программируемых логических контроллерах (ПЛК), сведения о производителях, моделях и сетевых именах ПЛК, их IP-адресах, местах размещения и т. д.
  6. Сведения о сетевых взаимодействиях, информация об исходящих соединениях ОКИИ и входящих сетевых соединениях, по каким сетевым протоколам происходят эти взаимодействия и какой тип информации передается, в т. ч. промышленных сетях и полевых шинах.

После разработки и заполнения опросных листов ИБ-специалист получает представление, как выглядит инфраструктура, которую ему придется защищать, как осуществляется взаимодействие между ОКИИ, внешними информационными системами и т. д.

Более оперативно проводить сбор информации об ИТ-ландшафте ОКИИ позволяет применение различных автоматизированных средств инвентаризации, данные которых могут быть обогащены дополнительно. Автоматизация процесса инвентаризации позволит не только существенно сократить время заполнения сотрудниками опросных листов, но и облегчит задачи по отслеживанию изменений ИТ-активов.

Создание структурных схем

Такие схемы могут включать схемы подключения оборудования у архитектурных эскизов, перечень элементов и т. д.

Благодаря созданию комплекта проектной документации у проектировщика СОИБ формируется представление об инфраструктуре, а именно о том, в каких именно серверных стойках располагается то или иное оборудование, насколько «забиты» данные стойки, какие порты свободны на сетевом оборудовании, как организована связь между оборудованием, что позволит сократить срок реализации проекта по построению СОИБ.

Периодическое интервьюирование сотрудников

Опрашивает нужно особенно тех ключевых специалистов, которые знают, как именно устроен технологический процесс, чтобы документально закрепить техническое описание.

Бывает такое, что сотрудники переходят работать на другие участки или увольняются, унося с собой знание о том, как протекает технологический процесс, и как «ведет» себя оборудование. После их ухода возникают проблемы с тем, чтобы отследить все изменения, которые произошли за время их работы в инфраструктуре с момента последней фиксации базовой конфигурации в проектной или эксплуатационной документации.

Своевременное интервьюирование сотрудников поможет избежать данной проблемы и решит задачу по сбору актуальной информации о том, как протекает технологический процесс, как он был изменен с момента проектирования самого объекта КИИ, что в дальнейшем, например, может способствовать отслеживанию взаимосвязей между ОКИИ и предотвращению нежелательных. Это, конечно, не столько обязанность ИБ, сколько основных эксплуатирующих подразделений, но для того, чтобы собранные данные были достоверны и актуальны — ИБ следует, как минимум, контролировать данный процесс.

Таким образом, инвентаризация это хороший инструмент, который позволяет:

  • контролировать актуальность реализованных требований по обеспечению ИБ с помощью поддержания достоверности сведений в опросных листах;
  • помогает отслеживать необходимость модернизации оборудования на ОКИИ;
  • способствует обновлению сведений о том, как у вас устроен технологический процесс.

Для того, чтобы инвентаризация активов приносила пользу вашему технологическому процессу, она должна проводиться на регулярной основе.

О других трудностях, с которыми сталкиваются специалисты по ИБ при построении СОИБ для ЗОКИИ, мы расскажем в следующей статье.