Кажется, провайдеры и операторы связи стали забывать про требования законодательства.
Впервые про термин КИИ в России услышали с выходом Федерального закона № 187 ФЗ, который создал правовую базу для присвоения информационным системам, информационно-телекоммуникационным системам, автоматизированным системам управления - «критического» статуса.
Это значило лишь то, что любая компания, работающая в стратегических сферах экономики, будь это наука, здравоохранение, транспорт, энергетика, банковская сфера, связь, топливно-энергетический комплекс, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, а также организации, которые налаживают и обеспечивают взаимодействие информационных систем или сетей для перечисленных структур – становятся субъектами критической информационной инфраструктуры.
На различных производствах построены сети, в которых есть автоматизированные системы управления (или же, АСУ) – такие информационные системы, в рамках закона, и называются объектами критической информационной инфраструктуры, которая непременно должна защищаться различными средствами защиты информации, иначе, в случае компьютерного инцидента, который, впоследствии выведет такие системы из строя, могут быть человеческие жертвы и серьезный урон экологии.
Итак, мы с вами разобрались, что такое КИИ и кого мы можем называть субъектом критической информационной инфраструктурой. Но что насчет ответственности и требований по информационной безопасности?
В начале я оставил слова про провайдеров, потому что в информационном мире бывают своеобразные поставщики услуг, и по схеме взаимодействия объектов КИИ они становятся посредником, который тоже становится КИИ, но с условием. Звучит это, немного странно, но по правилам, предусмотренным законом N 187- ФЗ, отнесение любого ИП, российского юридического лица, государственного учреждения и государственного органа к субъектам КИИ осуществляется по:
Имея в наличии даже один из этих критериев субъекта КИИ, предоставляя услуги по виду деятельности или сфере деятельности, указанных в ФЗ 187, провайдер сразу становится субъектом КИИ, а его инфраструктура – объектом КИИ.
Существуют категории КИИ, которые делятся, непосредственно, на три категории:
Несмотря на наличие каких-либо объектов КИИ, эти объекты не всегда бывают значимыми. Для любого оператора связи «критическим» приговором может стать предоставление своих услуг определенному числу абонентов – от 3000 человек. От этого числа провайдер получает свою категорию значимости – третью, согласно таблице с критериями в ПП РФ №127
Даже если провайдер не имеет значимых объектов критической информационной инфраструктуры, он обязан провести инвентаризацию следующих систем:
Параллельно, необходимо выявить те самые критические события: сбои, остановка работы каналов связи, которые приведут к негативным социальным, политическим и экономическим последствиям.
Операторам связи, оказывающим услуги для государственных органов власти, необходимо рассмотреть негативные последствия в виде возникновения ущерба бюджетам РФ (федерального, субъекта РФ, внебюджетных фондов) и нарушение или прекращение функционирования органа власти в возложенного на его функции.
Операторы связи живут в своей сфере, принимая трафик по брасам, иногда перебирают агрегацию сети.
Информационная безопасность тоже требует внимания. В любой организации должны быть свои SOC (Security Operation Center), хотя бы один человек, который будет согласно политикам и/или регламентам следить за порядком в сети и искать отклонения в миллионе логов, аккуратно сосредоточенных в предназначенных для этого системах.
В информационно-правильной системе должен быть «бумажный» специалист по безопасности, который следит за всеми регламентами, следит и отвечает за порядком их исполнения. Как правило, этот ИБ-шник не сидит перед экраном в интерфейсе EDR, SIEM, NTA-системами и не знает как с ними работать. Его задача – грамотно написать «программу» по планированию, проектированию, подбору, внедрению и сопровождению перечисленных ранее систем.
И есть тот самый офицер информационной безопасности, который знает как работает вся инфраструктура и через сколько фильтров проходит трафик, прежде чем выйти в глобальную сеть и наоборот. В каких-то организациях этот человек один – он занимается мониторингом и устранением уязвимости или инцидентами безопасности. Но, по феншую офицер безопасности как система SOAR – он тот самый начальник, который дает рядовым инженерам по обязанности, и, так он налаживает процессы в одной глобальной задаче – обеспечивать информационную безопасность в компании.
Но что, если на данный момент оператор связи имеет свою привычную инфраструктуру из коммутаторов и маршрутизаторов, которые обеспечивают работу всего бизнеса, и, казалось бы, всё просто замечательно, а тут распределенная атака на отказ оборудования, брут внутренних административных ресурсов с клиентских ПК, сайт повис насмерть... ? Для компании перечисленные события как нечто противное и неприятное, когда кто-то другой копается в сети или пытается её уронить, но, в случае, если сеть оператора связи упадет – это потеря доходов и множество недовольных клиентов, которые в любой момент могут разорвать договор и уйти к конкуренту.
Скажем так, любой провайдер старается соблюдать законодательство, чтобы его не душили штрафами, взысканиями и проверками, а это – РКН, СОРМ, Яровая.
Теперь, каждый провайдер должен защищаться, и не просто от взысканий, а от угрозы безопасности, которая может реализоваться в любой момент. Это больше не "русская рулетка" с "пулями", а требование законодательства, потому что многие провайдеры являются связующими точками в большой информационной инфраструктуре Российской Федерации.
После проведенных мероприятий инвентаризации сети, уведомления в органы власти, разработки плана X – нужно действовать. Миллионы ACL на коммутаторах могут сделать супер-правильный строй трафика и защитить от «дурака», но не защитит от реальных атак. Поэтому, для начала, необходимо задуматься об шлюзе безопасности. Сейчас это называется NGFW - Next Generation FireWall, потому что это целый кухонный комбайн в сфере информационной безопасности, в нем есть защита от DDoS, правила межсетевого экрана, система обнаружений вторжений, потоковый антивирус, VPN, SSL-инспекция трафика, фильтрация контента и прочее.
Межсетевой экран должен стать стеной между глобальной сетью и корпоративными сегментами, чтобы весь сетевой трафик инспектировался и из него исключались несанкционированные действия на базе сигнатур известных атак, а также, чтобы обнаружить нарушения политики безопасности и фильтровать спам как снаружи, так и внутри.
Это очень важно для любой компании, межсетевые экраны должны стоять в любой инфраструктуре, а для провайдеров это особенная тема: когда каждый день кого-то атакуют, и эти атаки не заканчиваются одними DDoS’ами.
У каждой организации есть своё веб-лицо – сайт, на котором есть информация об деятельности компании, возможно есть авторизация и даже платежные механизмы. Всё это тоже требует наблюдения и постоянной защиты от злоумышленников, потому что, банально, есть атака до отказа на L7-уровне, который положит сайт и может серьезно нагрузить сервер.
Это решение класса Web Application Firewall – такой межсетевой экран работает на прикладном уровне и предназначен для защиты от атак HTTP-запросами к серверу, которые могут скрывать в себе серьезную угрозу, впоследствии открывающую дыру в защите инфраструктуры компании. Можно потратить время и привести в порядок все конфигурации сервера и сайта, защитив от 10-15% атак, но этого недостаточно - в подавляющем большинстве веб-ресурсов есть уязвимости, и, при необходимости, злоумышленник будет перебирать все способы. В конце концов, сервер сам себя не защитит от атак на логику ресурса, перебивания буфера бесконечным количеством HTTP-запросов.
Внутри инфраструктуры можно и нужно устранять лишний доступ, составлять политики доступа для группы лиц и не допускать неавторизованный доступ до каких-либо ресурсов или сегментов сети. От подобных угроз защищают различные NAC-продукты, завязанные на технологии Endpoint Security – это не защита эндпоинтов от конкретных атак, это защита «друг от друга». Кто-то пользовался Cisco ISE, но в текущих реалиях, пришло время импортозамещаться.
Также, помимо NAC, есть узконаправленные решения типа Access Manager, которые не дают пользователю доступ до корпоративной сети и выход в глобальную сеть, пока не будет выполнена двухэтапная аутентификация, и пользователь не будет авторизован.
Когда в сети уже очень много оборудования, отовсюду плывет много трафика, и при этом, необходимо отслеживать подозрительные активности – требуется концентрация логов в SIEM (Security Information and Event Management). Решение этого типа собирает в себя события из различных источников, которые можно интегрировать, например – IDS, DLP, APM, маршрутизаторы.
Все события с устройств создают накопленную статистику. Тем самым, SIEM может сгенерировать событие безопасности, если произошло что-то, выходящее за рамки привычных сценариев. Например, сотрудником с соответствующими правами отправляется чувствительная информация по адресу, который не должен получать эту информацию. Также, производители поставляют свою экспертизу с различными вариантами инцидентов.
Говоря об инцидентах, бывают совсем неочевидные события, которые вручную расследовать крайне сложно и долго. Для обнаружения факта события безопасности в ретроспективе, либо происходящего вторжения, придумано решения класса NTA (Network Traffic Analysis). NTA помогает найти в копии L2-L7 трафика следы атаки, работая с зашифрованным трафиком. Также, находит признаки нарушения регламентов ИБ (нелегальные протоколы, отправка информации в открытом виде), выявляет модифицированные ВПО.
Все перечисленные решения являются базой в современной парадигме информационной безопасности. Настоятельно рекомендую подумать, где в сети не хватает межсетевого экрана и переосмыслить отношение к безопасности собственной инфраструктуры.
Операторы связи должны обратить внимание на важность проблемы. Информационная безопасность – это безопасность вас самих. В любой организации должен быть офицер ИБ, который поддерживает соблюдение регламентов и тот, кто поддерживает работу СЗИ в инфраструктуре. Первым шагом в обеспечении безопасности является наведение порядка в информационном взаимодействии во внутренней и внешней сети и установка базовых средств защиты информации.
От этого не сбежишь, когда условия диктует государство.
Как мы вообще без всего этого работаем, Срочно закрываться и искать офицера нет лучше генерала ИБ.
Да, поле для продаж специализированного железа ИБ с КИИ знатно расширилось.
Т.е. у оператора с числом абонентов менее 3000 нет категорированных объектов КИИ по определению.
Точнее и не скажешь: основная "жопа" прилетает от законодателей.
Закон не обязывает оператора связи устанавливать специализированного железо, только оборудование ГосСОПКА и то ставится по моему для первой категории. Всё остальное это фантазии аффтора. Ну естественно сейчас появятся барыги которые будут пытаться продать супер бупер фаэрвол для кии.
@nickD Это все в итоге будет решаться в лично каждого терках с ФСТЭК, как это и происходит с 152-ФЗ, например. По практике это часто уж очень напоминает религиозный вопрос: тебя обвиняют в
ересинедостаточной проработанности модели угроз и системы защиты, и ты либо демонстрируешьжрецуинспектору ФСТЭКсимволы и обрядыN "внедрённых" коробок и процессов, либо в теологическом споре пытаешься доказать свою точку зренияжрецуинспектору (при наличииистинной верыглубокого понимания информационной безопасности).@jffulcrum Как оно будет мы увидим, но это не значит что надо бежать скупать ненужный софт и железо и верить низкопробным статейкам.
А то может оказаться что надо другой железо и софт покупать, а вместо офицера иб кого нибудь другого заводить ну или закрываться продаваться.
Вообще начнём с того что сейчас подготавливают закон где категории будет присваивать государство, а не сам оператор, минцифры опросники недавно уже отправляла, поэтому может и не присвоят ничего кому нибудь.
Честно говоря, со всеми этими СОРМами/Яровыми и прочими как у провайдеров прибыль то образовывается? Я всего думал, что это нивелируется за счет качества и экономии на архитектуре?
Как, как? Каком к верху! Окупаемость инвестиций 15-20 лет. Последние 2-3 года развитие идет в основном за счет монопольного доступа на объектах застройщиков, ну или как РТ - за счет бюджета.
Кого-то жирные контракты с юриками кормят, кто-то нахватал монопольного/полумонопольного положения во всяких коттеджных посёлках и "любит" абонов как чОрный властелин, кто-то превратил своё строительно-монтажное подразделение в подрядчика большой пятерки... Самые умные диверсифицировали бизнес, зарабатывают кто от чего - недвигу сдают там, сеть магазинов техники, даже промобьекты строят, знавал такого оператора, а операторство так, жалко бросить...