Консультант по
информационной безопасности AKTIV.CONSULTING
Многие субъекты КИИ уже присвоили своим объектам КИИ (ОКИИ) категории значимости. Однако некоторые еще не приступили к созданию системы обеспечения информационной безопасности (СОИБ), т.к. сталкиваются с трудностями и непониманием, как же спроектировать СОИБ так, чтобы она корректно функционировала, но при этом не оказывала негативного влияния на технологический процесс.
Детально проектирование СОИБ описано в приказах ФСТЭК России 235, 239, но зачастую субъектам КИИ сложно разобраться в многочисленных требованиях регулятора и применить их к конкретной конфигурации значимых ОКИИ. О возникающих трудностях и способах их решения мы планируем подготовить цикл статей, первую из которых предлагаем вашему вниманию. Будем исходить из собственного опыта реализации проектов по построению СОИБ прежде всего на промышленных предприятиях. Однако данный опыт может быть полезен и другим отраслям.
Первые сложности начинаются с того, что субъекты КИИ до конца не понимают, с чего необходимо начать построение СОИБ, т.к. данные с момента проведения категорирования могли значительно измениться. Зачастую все данные, касающиеся динамичной производственной или ИТ- среды, к примеру, ПО, ПАК и иного оборудования, могут быть разрознены, неактуальны и даже недостоверны (особенно в ситуации географически распределенного объекта). Также отдельные средства защиты информации (СрЗИ) все равно могут быть внедрены в ОКИИ, и могут послужить источником сведений об инфраструктуре.
В таком случае мы рекомендуем начинать с постановки процесса инвентаризации активов, а также с приведения в надлежащий вид проектной документации на объект. Рекомендуем несколько простых и действенных инструментов для проведения инвентаризации:
Такие листы сотрудники отделов, цехов и рабочих участков обновляют на регулярной основе. Эти опросные листы можно вести и в электронных таблицах (Excel). Главное, чтобы данные в них регулярно актуализировались. Чтобы иметь исчерпывающие сведения об объектах защиты в составе ОКИИ достаточно располагать следующей информацией:
После разработки и заполнения опросных листов ИБ-специалист получает представление, как выглядит инфраструктура, которую ему придется защищать, как осуществляется взаимодействие между ОКИИ, внешними информационными системами и т.д.
Более оперативно проводить сбор информации об ИТ-ландшафте ОКИИ позволяет применение различных автоматизированных средств инвентаризации, данные которых могут быть обогащены дополнительно. Автоматизация процесса инвентаризации позволит не только существенно сократить время заполнения сотрудниками опросных листов, но и облегчит задачи по отслеживанию изменений ИТ-активов.
Такие схемы могут содержать перечень элементов, архитектурные эскизы, схемы подключения оборудования, и т.д.
Благодаря созданию комплекта проектной документации у проектировщика СОИБ формируется представление об инфраструктуре, а именно о том, в каких именно серверных стойках располагается то или иное оборудование, насколько «забиты» данные стойки, какие порты свободны на сетевом оборудовании, как организована связь между оборудованием, что позволит сократить срок реализации проекта по построению СОИБ.
Спрашивать нужно особенно тех ключевых специалистов, которые знают, как именно устроен технологический процесс, чтобы документально закрепить техническое описание.
Бывает такое, что сотрудники переходят работать на другие участки или увольняются, унося с собой знание о том, как протекает технологический процесс, и как «ведет» себя оборудование. После их ухода возникают проблемы с тем, чтобы отследить все изменения, которые произошли за время их работы в инфраструктуре с момента последней фиксации базовой конфигурации в проектной или эксплуатационной документации.
Своевременное интервьюирование сотрудников поможет избежать данной проблемы и решит задачу по сбору актуальной информации о том, как протекает технологический процесс, как он был изменен с момента проектирования самого объекта КИИ, что в дальнейшем, например, может способствовать отслеживанию взаимосвязей между ОКИИ и предотвращению нежелательных. Это, конечно, не столько обязанность ИБ, сколько основных эксплуатирующих подразделений, но для того, чтобы собранные данные были достоверны и актуальны — ИБ следует, как минимум, контролировать данный процесс.
Таким образом, инвентаризация это хороший инструмент, который позволяет:
Для того, чтобы инвентаризация активов приносила пользу вашему технологическому процессу, она должна проводиться на регулярной основе.
О других трудностях, с которыми сталкиваются специалисты по ИБ при построении СОИБ для ЗОКИИ, мы расскажем в следующей статье.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.
Зарегистрироваться