Проверка ФСТЭК это не поиск нарушений ради наказания. Это формализованный аудит, цель которого определить, является ли ваша система безопасности действующим механизмом или просто набором документов и оборудования. Инспектор последовательно проверяет три слоя вашей защиты. Сначала он изучает заявленную на бумаге архитектуру. Затем он сверяет ее с фактической технической реализацией. В конце он оценивает способность персонала эту архитектуру поддерживать. Провал на любом из уровней ставит под сомнение всю систему.
Документальная реальность
Инспектор начинает с документов по одной причине. Они определяют границы и логику всей системы безопасности. Любой документ для него это не формальность, а обещание, которое вы даете регулятору. Он проверяет, выполняете ли вы его.
Акт категорирования и сведения, поданные во ФСТЭК. Это точка отсчета. Инспектор внимательно сопоставляет эти два документа. Любое расхождение, например, изменение состава объекта КИИ, которое не отражено в новых сведениях, немедленно вызовет вопросы. Он хочет увидеть, что вы управляете конфигурацией своих критических систем.
Модель угроз безопасности информации. Это карта всего аудита. Инспектор использует модель угроз, чтобы понять ваш образ мышления. Он не ищет соответствия некоему шаблону. Он проверяет логическую связку: вот угроза, вот ее источник, вот возможные последствия. А затем он будет искать, какие технические и организационные меры вы реализовали для нейтрализации именно этой, заявленной вами угрозы. Слабая, общая модель угроз обесценивает всю дальнейшую демонстрацию средств защиты.
План мероприятий по обеспечению безопасности. Этот документ инспектор читает как дорожную карту. Он смотрит на сроки. Он ищет пункты, которые должны были быть выполнены, но по какой-то причине не реализованы. Будьте готовы объяснить каждое отклонение. Уважительной причиной может быть перенос из-за бюджетного цикла, но не простое забвение.
Организационно-распорядительная документация. Здесь фокус смещается на персонализацию. Приказ о назначении ответственных должен содержать не только фамилии, но и конкретные объекты КИИ, за которые эти люди отвечают. В должностных инструкциях инспектор ищет прямые указания на обязанности по выполнению требований 187-ФЗ. Он проверяет, знает ли назначенный вами сотрудник о своей роли официально.
Журналы учета. Отсутствие или формальное ведение журналов это плохой знак. Он говорит инспектору, что процессы существуют только на бумаге. Особое внимание журналу инцидентов. Пустой журнал на протяжении года вызывает больше подозрений, чем журнал с записями. Отсутствие инцидентов невозможно. Их отсутствие скорее говорит о неработающем процессе мониторинга.
Техническое воплощение
На этом этапе инспектор сверяет ваши бумажные обещания с реальностью.
Анализ сетевой топологии. Схема сети из документов накладывается на фактические настройки оборудования. Ключевая точка проверки это шлюз между корпоративным и технологическим сегментами. Вас попросят продемонстрировать правила межсетевого экрана. Будьте готовы обосновать каждое открытое правило. Почему этот хост может обращаться к АСУ ТП по этому порту? Кто инициатор соединения? Как логируется это взаимодействие?
Управление конфигурациями и уязвимостями. Инспектор выберет несколько критичных серверов или рабочих станций и поинтересуется их состоянием. Какой состав ПО установлен? Как вы контролируете его неизменность? Когда в последний раз проводилось сканирование на уязвимости? Если найдены уязвимости, почему они не устранены? Ответ «ждем окна для обслуживания» приемлем. Ответ «мы не знали об этой уязвимости» говорит о провале всего процесса.
Система резервного копирования. Демонстрация настроенного задания на бэкап недостаточна. Вас могут попросить выполнить тестовое восстановление отдельного файла или конфигурации на тестовый стенд. Невозможность восстановить данные из резервной копии это один из самых серьезных технических недостатков.
Анализ журналов событий (логов). Это проверка глубины вашего контроля. Инспектор попросит показать, как вы собираете и анализируете события безопасности. Например, он может попросить: «Покажите все неудачные попытки входа на контроллер домена за последние сутки». Или: «Продемонстрируйте событие подключения USB-носителя к этой рабочей станции». Если вы не можете оперативно найти нужную информацию, ваша система мониторинга считается неэффективной.
Человеческий фактор
Инспектор понимает, что люди самая гибкая и одновременно самая уязвимая часть системы.
Осведомленность персонала. Аудитор может подойти к оператору технологической установки и задать простой вопрос: «Что вы сделаете, если заметите на экране своего компьютера странное сообщение об ошибке?». Правильный ответ содержит два элемента: прекратить работу и немедленно сообщить ответственному по ИБ по указанному номеру. Неправильный ответ: «Попробую перезагрузить» или «Позову коллегу».
Управление жизненным циклом доступа. Проверка процесса увольнения это классический тест. Инспектор назовет фамилию сотрудника, уволенного месяц назад, и попросит показать, когда и кем были заблокированы его учетные записи во всех ключевых системах. Задержка в блокировке даже на один день будет отмечена как недостаток.
Этот подход к анализу позволяет инспектору составить объективную картину. Ваша задача на проверке не удивить его сложными системами. Ваша задача продемонстрировать продуманный, работающий и контролируемый механизм обеспечения безопасности.
P.S. Ответы на комментарии к прошлой статье
Спасибо за живое обсуждение предыдущего материала. Некоторые вопросы заслуживают развернутого ответа.
"Как инженеру оценить убыток и подсчитать риски? Откуда брать цифры?"
Это отличный вопрос. Инженеру не нужно брать цифры с потолка. Расчет строится на совместной работе с другими отделами.
Расчет прямого убытка. Исходные данные запрашиваются у финансового и производственного отделов. Убыток от простоя складывается из:
Стоимости непроизведенной продукции за час/сутки.
Штрафов за срыв контрактов.
Затрат на аварийное восстановление (оплата сверхурочных, экстренная закупка оборудования). Финансисты и производственники владеют этими цифрами. Задача инженера инициировать этот расчет.
Оценка вероятности риска. Цифра в 95% это, конечно,
экспертнаяоценка. Она не берется из формулы. Она основывается на анализе. Вы говорите: «Сейчас у нас нет централизованной защиты конечных точек, антивирусные базы обновляются вручную, сегментация сети отсутствует. Вероятность успешной атаки шифровальщика в таких условиях стремится к 100% при первом же контакте». После внедрения современного EDR-решения, которое блокирует аномальную активность, и настройки политик, вероятность снижается кардинально.Про последствия за халатное отношение и бездействие это отдельный и очень стимулирующий пункт, который вы с легкостью найдете по запросу "Ответственность за нарушение 187 фз"
"Проблема нетрезвого экскаваторщика"
Требования по безопасности КИИ (в частности, Приказ ФСТЭК №239) включают в себя и подобного рода меры. Это и требования к защите периметра, и контроль доступа на территорию, и защита кабельных трасс.
Например:
12.2. абз.2 "Организационно-распорядительные документы по безопасности значимого объекта должны в том числе устанавливать правила безопасной работы работников, эксплуатирующих значимые объекты, и работников, обеспечивающих функционирование значимых объектов, а также действия работников при возникновении нештатных ситуаций, в том числе вызванных компьютерными инцидентами."
Или:
"12.3. При внедрении организационных мер по обеспечению безопасности значимого объекта осуществляются:
а) организация контроля физического доступа к программно-аппаратным средствам значимого объекта и его линиям связи;"