Введение 0:03 Приветствие участников и проверка связи. Объяснение работы чата и кнопки для вопросов. Представление модератора Виталия Си Янова.
План мероприятия 1:01 Объяснение темы мероприятия: критическая инфраструктура. Разделение выступления на две части: разъяснение КИ и построение системы безопасности значимых объектов КИ.
Предыстория 2:59 Упоминание федерального закона №187 и постановлений правительства. Описание четырёх стадий реакции компаний на требования закона.
Стадии реакции компаний 3:56 Отрицание: компании пытались избежать требований. Гнев: осознание необходимости идентификации. Торг: попытки найти способы избежать категорирования. Депрессия: осознание неотвратимости процедуры категорирования.
Переход к практике 5:56 Обсуждение методологических вопросов категорирования. Передача слова для дальнейшего обсуждения.
Определение субъектов КИ 6:52 Объяснение, как определить, является ли компания субъектом КИ. Роль регуляторов: ФСТЭК и ФСБ. Возможность проверок со стороны прокуратуры.
Определение объектов КИ 9:48 Процесс выявления активов, являющихся объектами КИ. Использование технической документации для определения систем. Фильтрация систем по ОКВЭДам и требованиям закона.
Оценка критичности процессов 10:47 Определение критичности процессов на основе собственных критериев. Пример оценки критичности: нарушение доступности и экономические убытки. Создание таблицы для наглядного представления критичности систем.
Группировка объектов КИ 13:38 Два подхода к группировке систем: по этапам бизнес- или технологического процесса и по оценочной категории значимости. Преимущества и недостатки каждого подхода. Смешанный подход как наиболее эффективный.
Концепция системы информационной безопасности 15:36 Важность понимания концепции будущей системы информационной безопасности. Нерегламентированность группировки систем. Возможность группировки всех систем в один объект.
Категорирование объектов КИИ 16:30 Объекты КИИ направляются в Стек в двух экземплярах: бумажном и электронном. После направления формы у вас есть год на проведение категорирования. Обновлённую форму можно отправить в Стек, но есть нюанс: Стек может запросить пояснения по причинам отсутствия объектов КИИ.
Принципы категорирования 17:28 Категорирование проводится в соответствии с постановлением правительства №120-мм. Рассматриваются наихудшие сценарии компьютерных инцидентов. Не учитываются средства защиты информации и противоречия в защите автоматизированных систем управления.
Причинение ущерба жизни и здоровью 19:24 Оценивается возможность инцидента привести к ущербу жизни и здоровью людей. Учитываются механические клапаны и операторы как возможные факторы риска. Примеры: реактор и газотурбинная подстанция.
Прекращение функционирования объектов жизнедеятельности 21:18 Оценивается влияние инцидентов на виды деятельности, указанные в федеральном законе №108-ФЗ. Примеры: подстанции, обеспечивающие подачу электроэнергии. Пищевая промышленность и водоканал не учитываются как субъекты КИИ по определённым причинам.
Транспортная инфраструктура 23:14 Оцениваются системы, оказывающие услуги в сфере транспорта, например, системы продажи билетов или управления стрелками на поездах. Рассматривается возможность воздействия на распределённые системы. Оценивается территория, на которой предоставляется услуга.
Системы связи и государственные услуги 24:11 Оценивается количество абонентов у компаний связи. Рассматривается доступность государственных услуг и время их недоступности. Запрашиваются регламенты для оценки работы систем.
Экономические показатели 27:09 Прогнозируется общий объём доходов федерального бюджета. Рассчитывается налог на прибыль по ставке, которая может быть понижена или повышена. Оценивается максимальное время нарушения доступности системы. Рассчитываются отчисления за сутки или час и максимально возможные потери.
Оценка ущерба субъектам критической информационной инфраструктуры 31:03 Оценивается доход компании за сутки или час. Перемножаются доход компании и максимально возможные потери. Потери делятся на доход компании и умножаются на 100%.
Критерии для финансовых организаций 32:02 Обсуждение доходов от тайных систем и их использования. Анализ нарушений операций в кредитных организациях. Расчёт количества банковских операций за час и времени нарушения доступности.
Экологические показатели 33:58 Важность оценки возможности загрязнения при инцидентах информационной безопасности. Запрос программ мониторинга и экологического контроля. Оценка территории воздействия и количества людей в муниципальных образованиях.
Категорирование для оборонной сферы 36:55 Категоризация ситуационных центров и оборонных заказов. Расчёт снижения объёма продукции и времени восстановления производства. Определение времени недоступности информационной системы для оборонных объектов.
Заполнение формы 206 39:50 Описание видов сетей и технических средств на объекте КИ. Указание программного обеспечения и средств защиты информации. Направление формы 206 в двух экземплярах с сопроводительным письмом.
Ответственность за компьютерные инциденты 42:43 Обязанность сообщать о компьютерных инцидентах в ГосСОПКА. Определение компьютерного инцидента согласно ФЗ №108-ФЗ. Приведение объектов КИ в соответствие с требованиями законодательства.
Требования законодательства 44:41 Анализ приказов №235 и №239 ФСТЭК. Возможность закрытия требований организационно или средствами объекта КИ. Уголовная ответственность за невыполнение требований федерального закона.
Построение системы безопасности 47:35 Ориентирование на приказы №235 и №239 при построении системы безопасности. Детальное описание действий и требований в приказе №235.
Введение в систему безопасности 48:33 Система безопасности состоит из трёх блоков: люди, средства защиты и документация. Приказ 235 описывает обязанности сотрудников, а приказ 239 — необходимые средства защиты.
Роли в системе безопасности 49:29 Руководитель: запускает и контролирует систему безопасности, визирует развитие службы безопасности. Служба безопасности: создаёт и назначает сотрудников, отвечает за планирование и реализацию мер безопасности. Эксплуатирующие: взаимодействуют с объектом, например, операторы. Обеспечивающие функционирование: устанавливают новые версии ПО, патчи, например, IT-специалисты.
Квалификационные требования к службе безопасности 51:28 Руководитель службы безопасности должен иметь профильное образование или пройти переподготовку не менее 360 часов. Исполнители службы безопасности должны иметь минимум 72 часа профессиональной переподготовки или профильное образование.
Роль службы безопасности 53:23 Служба безопасности отвечает за планирование, контроль, взаимодействие с госорганами, реагирование на инциденты и минимизацию ущерба. Она также разрабатывает документацию для эксплуатирующих и обеспечивающих функционирование.
Организационно-распорядительная документация 56:16 Документация должна иметь иерархию: политики, регламенты, журналы, инструкции. Политики описывают цели и задачи, регламенты — детализируют процессы, инструкции — подробно описывают действия сотрудников. Все документы должны быть связаны и соответствовать требованиям приказов 235 и 239.
Безопасность как процесс 58:10 Безопасность — это непрерывный процесс, требующий постоянного внимания и обновления. Комиссия контролирует выполнение требований, служба безопасности отвечает за реализацию мероприятий. Процесс запускается после присвоения категории объекту и длится три года до первой проверки.
Жизненный цикл системы безопасности 1:01:05 Система безопасности включает планирование, реализацию, контроль и аудит. Служба безопасности участвует во всём цикле, включая развитие и реализацию мероприятий.
Средства защиты 1:03:00 Базовый набор средств защиты включает межсетевые экраны, антивирусную защиту, мониторинг и централизованное управление. Для разных категорий объектов требуются различные средства защиты, например, для больших предприятий необходим централизованный мониторинг. Важно учитывать применимость мер безопасности в зависимости от категории объекта.
Использование встроенных средств защиты 1:05:52 В первую очередь используйте встроенные средства защиты. Настройте встроенные средства, затем определите, чего не хватает согласно приказу №239. Обоснуйте необходимость дополнительных средств защиты.
Требования к средствам защиты 1:06:50 Все средства защиты должны быть приобретены с технической поддержкой или гарантией вендора. Средства защиты должны быть сертифицированы или пройти испытания. Устаревшие или не обновлённые средства защиты могут вызвать вопросы.
Обсуждение отечественного ПО 1:08:45 Обсуждается необходимость использования отечественного ПО. Многие заказчики имеют зарубежное оборудование и не готовы отказаться от поддержки вендоров. Вопрос использования отечественного ПО остаётся сложным и требует дальнейшего обсуждения.
Выбор средств защиты 1:10:43 Зарубежные компании начинают использовать отечественные средства защиты. Выбор средств защиты индивидуален и зависит от потребностей компании. Специалисты могут помочь выбрать оптимальное решение.
Важность аудита 1:11:41 Аудит помогает понять текущее состояние системы и определить необходимые работы. Профессиональный аудит позволяет выявить слабые места и разработать план действий. Рекомендуется провести полный аудит значимых объектов и информационных систем.
Сроки реализации проектов 1:13:38 Для маленьких компаний сроки реализации проектов — полгода-год. Средние компании обычно занимают два года. Большие компании могут растянуть процесс на три года.
Категорирование процессов 1:15:36 Определите процессы, подлежащие категорированию, учитывая их важность. Разбейте сложные процессы на более мелкие для более детального анализа.
Оценка угроз 1:16:28 Оценивайте негативные последствия от инцидентов информационной безопасности. Рассмотрите несколько сценариев угроз и найдите наихудший. Используйте эмуляцию и виртуальные машины для тестирования сценариев.
Границы объектов КИИ 1:18:26 Границы объектов КИИ определяются владельцем и должны быть документально подтверждены. Документация должна включать описание границ систем и их группировку.
Подключение к СОП 1:20:18 Коммерческие организации могут мониторить и взаимодействовать с СОП. Для самостоятельного подключения к СОП рекомендуется ознакомиться со статьями от кампании «Против Технолоджис».
Субъекты КИИ 1:21:18 Организация становится субъектом КИИ через принадлежность систем и сетей, функционирующих в определённых сферах. Указания на сферы функционирования
Субъект без систем 1:22:16 Субъект не может существовать без систем, функционирующих в определённых сферах, указанных в федеральном законе №108. Отсутствие систем делает субъект нелогичным.
Оценка технологических процессов 1:23:16 Для оценки необходимо рассмотреть весь цикл технологического процесса, а не только отдельный объект. Важно понять, что получается на выходе процесса.
Глубина подачи материалов 1:24:15 При подаче документов регулятору необходимо предоставить информацию о процессах по требованию. Примеры описания процессов можно найти в интернете.
Модель угроз 1:26:11 Модель угроз является основополагающим документом для построения системы защиты. Модель угроз создаётся во время категорирования.
Системы мониторинга 1:27:09 Системы мониторинга критических процессов могут быть отнесены к значимым объектам. В большинстве случаев такие системы не выделяются отдельно при категорировании.
Взаимодействие с сетями электросвязи 1:29:06 Вопрос о взаимодействии с сетями электросвязи требует более детального рассмотрения. Компания, оказывающая услуги связи, должна провести категорирование, даже если у неё нет достаточного количества абонентов.
Группировка объектов 1:31:03 Объекты могут быть сгруппированы даже если они не связаны сетью или сигналами. Группировка обычно проводится по признакам, например, по подстанциям.
Присвоение категорий 1:32:54 Категории присваиваются исходя из возможного ущерба: человеческих жертв, экологического ущерба и т. д. Занижение категорий может привести к дополнительным обязательствам.
Завершение вебинара 1:34:52 Приглашение на другие вебинары компании «Инфосистемы Джет». Ссылка на YouTube-канал для просмотра вебинаров.
