Журнал "Information Security/ Информационная безопасность" #6, 2022

Непрерывное взаимодей- ствие с ГосСОПКА для нас является крайне актуаль- ным: помимо получения информации о критичных уязвимостях, мы своевре- менно отрабатываем сообщения о выявляемых угрозах, а также планируе- мых атаках. Для выстраивания рабо- тающей системы управле- ния ИБ и закрытия многих актуальных киберрисков можно воспользоваться применением процессного подхода, рекомендаций производителей и лучших практик, используя штат- ные возможности систем для отключения избыточно- го и не требующегося для выполнения бизнес-задач функционала ИТ-систем. С марта 2023 г. опера- тор ПДн обязан осуществ- лять взаимодействие с Гос- СОПКА для передачи информации о компьютер- ных инцидентах, повлекших неправомерную передачу ПДн, а также обязан уведо- мить Роскомнадзор. мационной системы. Для уязви- мостей различных уровней кри- тичности в документе рекомен- дуется использовать различные временные метрики (от 24 часов до 4 месяцев), а способы устра- нения уязвимостей могут заклю- чаться как в установке обнов- лений, так и в принятии ком- пенсирующих организационных и технических мер. Причем перед установкой обновлений безопасности их следует про- верить в соответствии с поло- жениями методического доку- мента "Методика тестирования обновлений безопасности про- граммных, программно-аппа- ратных средств", утвержденного ФСТЭК России 28.10.2022 г. Непрерывное взаимодействие с ГосСОПКА для нас является крайне актуальным: помимо получения информации о кри- тичных уязвимостях, мы свое- временно отрабатываем сообще- ния о выявляемых угрозах, а также планируемых атаках. – Можете ли дать реко- мендации коллегам по выстраиванию процессов ИБ на объектах КИИ? Ярослав Головин: Построение системы управ- ления информационной без- опасностью на объектах КИИ принципиально ничем не отли- чается от обеспечения кибер- безопасности в иных секторах, за исключением более полной и строгой нормативно-правовой базы, которая включает в себя выполнение обязательных про- цедур, таких как категорирова- ние объектов КИИ и отчетность об инцидентах. Необходимые организационные и технические меры перечислены в приказах ФСТЭК России № 31 от 14.03.2014 г. и № 239 от 25.12.2017 г., которые соответ- ствуют базовым процессам обеспечения ИБ. ФСТЭК Рос- сии также активно совершен- ствует свои методические реко- мендации и каналы информи- рования. В текущих условиях, когда остро стоит вопрос перехода ИТ-инфраструктуры на отече- ственные платформы, а обнов- ления и лицензии на зарубеж- ное ПО стали недоступны, можно порекомендовать "хар- денинг" инфраструктуры в качестве компенсирующей меры. Необходимо пересмот- реть настройки ОС, ПО, СЗИ, сетевого оборудования на предмет настроек, не соответ- ствующих лучшим практикам и рекомендациям вендоров, для обеспечения защищенной работы. Если в решениях пред- усмотрены встроенные функ- ции безопасности, то до момен- та перехода на отечественные продукты будет логично вклю- чить дополнительный защит- ный функционал, если он не требует дополнительной лицен- зии или подписки. Данные мероприятия можно провести без существенных бюджетных трат, по сути используя только навыки и экспертизу команд ИТ и ИБ. В целом для выстраивания работающей системы управ- ления ИБ и закрытия многих актуальных киберрисков можно воспользоваться при- менением процессного подхо- да, рекомендаций производи- телей и лучших практик, используя штатные возможно- сти систем для отключения избыточного и не требующе- гося для выполнения бизнес- задач функционала ИТ-систем, сегментирования сети, разде- ления и минимизации полно- мочий, контроля учетных запи- сей, хранения и аудита журна- лов безопасности. Многие задачи можно решить и клас- сическими организационными мерами, актуализировав про- грамму повышения осведом- ленности в области ИБ, пере- смотрев процедуры предостав- ления прав доступа пользова- телям, критически взглянув на устоявшиеся правила сетевого взаимодействия как внутри сети, так с внешними ресурса- ми. Следует, возможно, пере- смотреть правила и процедуры взаимодействия с контраген- тами (поставщиками, подряд- чиками, аутсорсерами) для минимизации киберрисков атак на цепочки поставок. Для компаний, которые ведут собственную разработку ПО или используют Open-Source- компоненты, будут актуальны вопросы проведения статиче- ского, динамического, интер- активного анализа кода, а также внедрение практик DevSecOps. Для повышения управляемо- сти инфраструктуры следует обратить внимание на процес- сы управления ИТ-активами, уязвимостями, конфигурация- ми. Для повышения видимости состояния инфраструктуры и своевременного реагирования на киберинциденты стоит нала- дить оперативное взаимодей- ствие с департаментами ИТ, с системными и сетевыми администраторами, включив данные сетевого и ИТ-монито- ринга в перечень источников данных для SIEM-системы или даже предложив создание кон- вергентной (ИТ + ИБ) системы мониторинга киберустойчиво- сти. Следует также учесть, что в текущей ситуации время реа- гирования на киберинциденты должно быть значительно сокращено, поскольку разру- шительные действия, приводя- щие к существенному ущербу для компаний, начинаются прак- тически сразу после первичного попадания атакующих в инфра- структуру. Время реагирования на подобные кибератаки долж- но быть максимально сокраще- но, и для минимизации значе- ний показателей MTTD (Mean Time to Detect, среднее время обнаружения киберинцидента) и MTTR (Mean Time to Respond, среднее время реагирования на киберинцидент) должны приме- няться системы автоматизации реагирования на киберинциден- ты – IRP-/SOAR-решения. Отмечу, что время реагиро- вания на киберинциденты зако- нодательно определено и для субъектов КИИ, и операторов ПДн. Так, информация по про- изошедшему компьютерному инциденту должна быть пере- дана субъектом КИИ в Гос- СОПКА в срок не позднее 3 часов с момента обнаруже- ния инцидента на значимом объекте КИИ и не позднее 24 часов на иных объектах КИИ. С марта 2023 г. оператор ПДн обязан осуществлять взаимодействие с ГосСОПКА для передачи информации о компьютерных инцидентах, повлекших неправомерную передачу ПДн, а также обязан уведомить Роскомнадзор о выявленном инциденте в обла- сти ПДн в течение 24 часов (уведомление о произошедшем инциденте) и в течение 72 часов (уведомление о результатах внутреннего рас- следования инцидента). Для соблюдения указанных норма- тивов можно также применять решения класса IRP/SOAR, в которых реализован соот- ветствующий функционал сбора информации, формиро- вания и отправки карточки инцидента в соответствии с требованиями регуляторов. 12 • В ФОКУСЕ