С ростом числа и сложности киберугроз государство и регуляторы уделяют все больше внимания защите объектов критической информационной инфраструктуры (КИИ). Один из удобных инструментов для оценки уровня защищенности — методика, разработанная Федеральной службой по техническому и экспортному контролю (ФСТЭК России). О ее применении на практике рассказывает Егор Сергеев, руководитель проектов департамента кибербезопасности IBS.
В 2024 году ФСТЭК России разработала и утвердила «Методику оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов КИИ РФ». На данный момент документ носит рекомендательный характер, но нельзя исключать, что в перспективе его применение может стать обязательным.
Методика решает две основные задачи. Во-первых, позволяет проводить мониторинг текущего состояния защиты информации на объекте КИИ, а во-вторых, оценивать эффективность деятельности должностных лиц, ответственных за информационную безопасность (ИБ). Согласно Указу Президента РФ от 1 мая 2022 года №250, такие должностные лица должны быть назначены в каждом субъекте КИИ.
Методика ФСТЭК включает 17 показателей безопасности, которые разделены на четыре группы. Каждой группе и каждому показателю присвоен весовой коэффициент.
Для групп показателей установлены следующие значения коэффициентов:
Для достижения минимального уровня защиты информации (КЗИ=1) необходимо выполнить требования всех 17 показателей.
Эта группа включает показатели, связанные с возложением полномочий по обеспечению ИБ, а также определением функций структурных подразделений или отдельных сотрудников, ответственных за ИБ. Выполнение этих требований подтверждается документально — наличием приказов, должностных инструкций, положения о структурном подразделении и т. п.
Еще один показатель этой группы — установление требований по ИБ к подрядным организациям, имеющим привилегированный доступ к значимым объектам КИИ. Речь идет, например, о представителях вендора с правами администратора. Свидетельством реализации этого требования могут быть договоры с подрядчиками, включающие разделы по ИБ, либо дополнительные соглашения к ним.
Подразделение по ИБ должно разработать и внедрить парольную политику для всех учетных записей, имеющих отношение к значимым объектам КИИ. Подтвердить выполнение этого показателя можно соответствующим документом, а также скриншотами настроек паролей на уровне системы. Если соблюсти требования к сложности паролей технически невозможно, должен быть документ, описывающий компенсирующие меры: можно сократить срок действия паролей либо ограничить число неудачных попыток ввода.
Следующий показатель — наличие многофакторной аутентификации (MFA) как минимум у половины привилегированных пользователей. Подтверждением этого могут служить скриншоты настроек политик безопасности, отражающие включение MFA, а также документы, доказывающие невозможность ее внедрения для определенных систем или учетных записей.
Необходимо также обеспечить контроль за отсутствием технологических учетных записей с паролями по умолчанию. Они могут остаться после внедрения новой информационной системы. Задача подразделения по ИБ — выявить их и обеспечить смену паролей в соответствии с установленной парольной политикой. В организации должен быть внутренний регламент или инструкция, описывающая порядок управления такими учетными записями. Факт смены пароля могут подтвердить скриншоты, логи или отчеты.
Еще один показатель этой группы связан с деактивацией учетных записей уволенных работников, а также работников подрядных организаций. Несмотря на кажущуюся простоту, это требование предполагает наличие зрелого процесса управления логическим доступом. В случае увольнения сотрудника в адрес администратора системы должно направляться официальное уведомление (например, служебная записка) с поручением о блокировке учетной записи. Подразделение по ИБ, в свою очередь, контролирует выполнение этой процедуры. Свидетельства реализации этого критерия — политика управления учетными записями пользователей, скриншоты заблокированных записей, уведомления о необходимости блокировки на основании приказа об увольнении и т. п.
Защита информационных систем обеспечивается в первую очередь за счет применения межсетевого экранирования на уровнях L3 и L4 для интерфейсов, имеющих доступ в интернет. Если объект КИИ не подключен к нему, показателю присваивается значение по умолчанию. При наличии подключения подтвердить реализацию мер защиты может схема сети, отражающая размещение межсетевых экранов на периметре, а также документация, описывающая правила фильтрации трафика.
Следующие показатели этой группы — отсутствие критических уязвимостей на устройствах и интерфейсах с доступом в интернет, а также на серверах и пользовательских устройствах в целом. Для этого необходимо утвердить положение по управлению уязвимостями и регулярно проводить сканирование. Оно может выполняться силами собственного ИБ-подразделения либо с привлечением подрядной организации. Если в ходе проверки выявлены критические уязвимости, нужно составить и реализовать план их устранения. После этого следует провести повторное сканирование, чтобы убедиться, что уязвимости действительно устранены, и подготовить итоговый отчет.
Еще один показатель касается организации учета пользовательских устройств, серверов и сетевого оборудования. Такой учет может вестись в документальной форме (например, в виде таблиц Excel) и с использованием автоматизированных систем. Выбор зависит от масштаба инфраструктуры и финансовых возможностей. Подтверждающие свидетельства — утвержденная политика учета, реестры устройств и серверов, паспорта оборудования, скриншоты из CMDB-систем, демонстрирующие фактический учет.
Два показателя этой группы связаны с защитой систем от вредоносного ПО. Первый касается антивирусной проверки электронной почты. Реализация этого требования подтверждается наличием политики защиты от вредоносного кода, скриншотами настроек антивирусного ПО на почтовом сервере и пользовательских устройствах, логами с обнаружением вредоносных вложений, протоколами проверок. Второй показатель касается централизованного управления средствами антивирусной защиты. Антивирусное ПО должно быть установлено на всех рабочих станциях и серверах, входящих в состав значимого объекта КИИ, с обеспечением централизованного администрирования. В качестве подтверждения могут использоваться лицензии на антивирусное ПО, а также скриншоты из панели управления, где зафиксировано количество подключенных агентов, расписание проверок и периодичность обновления антивирусных баз.
Последний показатель этой группы — очистка входящего трафика из сети интернет от аномалий, в том числе DDoS-атак. Реализуется через дополнение договора с поставщиком услуг соответствующим пунктом.
Показатели этой группы направлены на формализацию мониторинга ИБ и реагирования на компьютерные инциденты.
Методика предлагает как минимум реализовать централизованный сбор событий безопасности и оповещение о неудачных попытках входа для привилегированных учетных записей. Для этого могут использоваться SIEM-системы. Как только система видит попытку подбора пароля, она должна отправлять сообщение об этом. Неудачная попытка входа может быть связана с тем, что администратор банально забыл пароль, но выяснять обстоятельства случившегося в любом случае нужно. Подтвердить работу организации в этом направлении может наличие положения о регистрации событий безопасности, скриншоты настроек сбора событий и правил оповещения о неудачных попытках входа, а также примеры таких оповещений.
Аналогичным образом нужно организовать централизованный сбор и анализ событий безопасности на устройствах, которые взаимодействуют с сетью интернет. Какие именно события будут отслеживаться, зависит от специфики объекта КИИ и определяется подразделением по ИБ. Свидетельства реализации — список устройств, скриншоты настроек сбора событий и правил корреляции, примеры оповещений об аномалиях.
Еще одно требование этой группы показателей — наличие утвержденного документа, определяющего порядок реагирования на компьютерные инциденты. Он должен включать этапы реагирования с указанием ответственных лиц и описанием их действий.
Рассмотрим первую группу показателей — «Организация и управление».
В сумме получается 1. Это значение нужно умножить на весовой коэффициент группы (0,1). Получаем итоговое значение — 0,1. Аналогичные расчеты выполняются для остальных групп, их результаты суммируются.
При выполнении всех 17 критериев общий показатель защищенности (КЗИ) будет равен 1. Это минимальный базовый уровень. При 0,75 < КЗИ < 1 уровень защищенности оценивается как низкий, имеются предпосылки для реализации актуальных угроз ИБ. Если КЗИ⩽0,75, уровень определяется как критический, в этом случае существует высокая вероятность реализации угроз ИБ.
Если в ходе оценки не достигнут базовый уровень (КЗИ=1), необходимо разработать план повышения уровня защищенности и реализовать предусмотренные им мероприятия.
Ответственность за выполнение плана несет подразделение по ИБ, а все мероприятия должны быть завершены до следующей оценки, которая проводится раз в полгода.
Если в течение календарного года после первой оценки не устранены недостатки хотя бы по одному показателю, вся эта группа обнуляется и уровень защищенности снижается до критического. Такая ситуация свидетельствует о неэффективности действий ответственного за ИБ.
Требования к защите информации становятся все жестче, послаблений ожидать не стоит, поэтому лучше заблаговременно оценить состояние защищенности организации и принять необходимые меры. Хорошим подспорьем в этом вопросе, как мы убедились, может стать методика ФСТЭК.