CC BY
7УДК 004.056
Зайка В.М.
студент кафедры информационной безопасности Севастопольский государственный университет (г. Севастополь, Россия)
ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ОБЪЕКТА КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ
Аннотация: данная статья посвящена рассмотрению вопросов обеспечения безопасности объекта критической информационной инфраструктуры. В статье рассматриваются основные мероприятия по обеспечению информационной безопасности критической информационной инфраструктуры в соответствии с законодательством Российской Федерации.
Ключевые слова: критическая инфраструктура, субъект инфраструктуры, объект инфраструктуры, категорирование объектов.
В современном мире информационные технологии проникли во все сферы деятельности, включая критическую информационную инфраструктуру. Под критической информационной инфраструктурой понимаются такие объекты, как информационные системы, телекоммуникационные сети, автоматизированные системы управления и каналы связи, которые обеспечивают взаимодействие между ними.
В данной статье акцентируется внимание на задачах обеспечения безопасности объектов критической информационной инфраструктуры. Надежность этих систем должна быть на высочайшем уровне, так как от них зависит безопасность государства с учетом глобализации и интеграции информационных технологий в государственное управление, экономику, финансы и промышленность. Тем не менее, такие системы остаются под постоянной угрозой, исходящей
от киберпреступников, террористических группировок и других злоумышленников.
Для обеспечения устойчивого функционирования критической информационной инфраструктуры в 2018 году вступил в силу федеральный закон [1], который определяет основные принципы обеспечения безопасности объектов критической информационной инфраструктуры, полномочия государственных органов в области обеспечения безопасности критической информационной инфраструктуры, а также права, обязанности и ответственность субъектов критической информационной инфраструктуры. В соответствии с данным законом субъекты критической информационной инфраструктуры делятся на два вида - владельцы объектов критической информационной инфраструктуры и координаторы взаимодействия этих объектов. Это деление позволяет более четко распределить обязанности и зоны ответственности между участниками процесса обеспечения безопасности. Закон также вводит классификацию объектов критической информационной инфраструктуры на значимые и незначимые. Значимые объекты, в свою очередь, делятся на три категории: первую, вторую и третью. Если объект не соответствует ни одному из установленных критериев, ему категория не присваивается.
Перед тем, как приступить к обеспечению информационной безопасности на объекте критической информационной инфраструктуры, необходимо определить его категорию значимости. Процесс категорирования объектов критической информационной инфраструктуры помогает определить приоритетные направления защиты, оценить потенциальные риски и выбрать соответствующие средства защиты.
Для этого был разработан нормативно-правовой акт, который определяет порядок и сроки категорирования объектов - постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости
объектов критической информационной инфраструктуры Российской Федерации и их значений»[2].
Данный документ содержит подробные указания по процедуре категорирования, включая критерии, на основании которых объект может быть отнесён к одной из категорий значимости. Эти критерии включают оценку влияния объекта на важные государственные функции, на экономическую стабильность, обороноспособность, общественный порядок и безопасность населения.
В зависимости от этих факторов, объекту присваивается первая, вторая или третья категория значимости, что, в свою очередь, определяет степень защиты, которую необходимо обеспечить для предотвращения компьютерных атак и других угроз.
Процедура категорирования объектов критической информационной инфраструктуры включает несколько этапов:
1. Создание постоянно действующей комиссии по категорированию.
2. Выявление критических процессов в рамках выполнения функций (полномочий) или осуществления видов деятельности субъекта критической информационной инфраструктуры.
3. Определение объектов критической информационной инфраструктуры, которые обрабатывают информацию, необходимую для обеспечения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов.
4. Анализ угроз безопасности и возможных действий нарушителей, которые могут возникнуть в отношении объектов критической информационной инфраструктуры. В процессе анализа учитываются как внутренние, так и внешние угрозы, например, хакерские атаки, вирусы, неправомерный доступ к системам,
а также человеческий фактор.
5. Оценка последствий инцидентов. На этом этапе проводится оценка в соответствии с перечнем показателей критериев значимости масштаба
возможных последствий в случае возникновения компьютерных инцидентов на объектах критической информационной инфраструктуры.
6. Присвоение каждому из объектов критической информационной инфраструктуры одной из категорий значимости либо принятие решения об отсутствии необходимости присвоения им одной из таких категорий.
7. Оформление итоговых документов по результатам категорирования. Заключительный этап категорирования включает в себя утверждение акта категорирования объектов критической информационной инфраструктуры и направление сведений о результатах присвоения объектам критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения им одной из таких категорий в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации - ФСТЭК России.
В целом алгоритм категорирования объектов критической информационной инфраструктуры можно представить следующим образом (рис. 1).
^^^^^^ННИЯ^^^^^^В BoiapiT саад» или в п«я~пии*ьвьш
Н» шц 10 дагя ял устр1Вйш иртвгсшм
Рис. 1. Алгоритм категорирования объектов критической информационной инфраструктуры.
После присвоения объектам критической информационной инфраструктуры категорий значимости субъекту критической информационной инфраструктуры необходимо создать систему безопасности значимых объектов критической информационной инфраструктуры, иными словами, необходимо определить силы обеспечения безопасности значимых объектов критической информационной инфраструктуры и используемые ими средства обеспечения безопасности значимых объектов критической информационной инфраструктуры. Целью создания и функционирования системы безопасности является обеспечение устойчивого функционирования значимых объектов критической информационной инфраструктуры при проведении в отношении них компьютерных атак.
Создание системы безопасности значимых объектов критической информационной инфраструктуры состоит из следующих этапов: планирование, реализация, мониторинг и контроль, совершенствование.
На этапе планирования определяются требования, которые необходимо выполнить для обеспечения безопасности каждого значимого объекта критической информационной инфраструктуры и формируется план мероприятий. Требования
к созданию системы безопасности значимых объектов критической информационной инфраструктуры и ее функционированию [3], а также требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры [4] в соответствии с пунктом 4 части 3 статьи 6 Федерального закона от 26 июля 2017 г. № 187-ФЗ устанавливаются ФСТЭК России.
На этапе реализации осуществляется внедрение организационных и технических мер, таких как: идентификация и аутентификация, управление доступом, ограничение программной среды, защита машинных носителей информации, аудит безопасности, антивирусная защита, предотвращение вторжений, обеспечение целостности и доступности, защита технических средств и систем, защита информационной (автоматизированной) системы и ее
компонентов, планирование мероприятий по обеспечению безопасности, управление конфигурацией, управление обновлениями программного обеспечения, реагирование на инциденты информационной безопасности, обеспечение действий в нештатных ситуациях и информирование и обучение персонала. Эти меры позволяют создать комплексную и многоуровневую систему защиты, которая охватывает все аспекты работы объектов критической информационной инфраструктуры. Реализация каждой из этих мер требует как технических средств, так и организационной работы, что позволяет эффективно противостоять угрозам и обеспечить стабильную и безопасную работу систем.
Этап мониторинга и контроля подразумевает проведение аудита информационной безопасности значимых объектов критической информационной инфраструктуры. В ходе проведения контроля проверяется выполнение требований нормативных правовых актов в области обеспечения безопасности критической информационной инфраструктуры, а также организационно-распорядительных документов по безопасности значимых объектов критической информационной инфраструктуры. Кроме того, осуществляется анализ и устранение уязвимостей и иных недостатков в функционировании системы безопасности.
В целях повышения уровня безопасности значимых объектов критической информационной инфраструктуры проводится всесторонний анализ эффективности текущей системы защиты и оценки состояния безопасности этих объектов. На основе полученных данных формируются предложения по модернизации системы защиты, а также разрабатываются конкретные меры для улучшения безопасности и предотвращения возможных угроз.
Все эти действия должны выполняться комплексно и согласованно, что позволит минимизировать риски возникновения инцидентов, связанных с нарушением работы объектов или утечкой информации. Такой подход обеспечивает целостность и устойчивость критической инфраструктуры к любым потенциальным угрозам и чрезвычайным ситуациям.
Ответственность за безопасность объектов критической информационной инфраструктуры лежит на его владельце. Руководитель субъекта критической информационной инфраструктуры должен обеспечить адекватный уровень защиты своих информационных ресурсов, включая технические, организационные и правовые меры. В рамках выполнения данных обязанностей руководитель должен делегировать полномочия своему заместителю, назначив его ответственным за вопросы информационной безопасности. В круг обязанностей заместителя входит организация процесса обнаружения, предупреждения и ликвидации последствий компьютерных атак, а также минимизация возможных ущербов от компьютерных инцидентов. Более того, для эффективного управления рисками и обеспечения защиты от компьютерных атак, в организации должно быть создано структурное подразделение, отвечающее за информационную безопасность. Это подразделение должно заниматься как мониторингом текущих угроз, так и реагированием на инциденты в режиме реального времени. Если создание отдельного подразделения невозможно, данные функции могут быть возложены на уже существующие отделы в соответствии с организационной структурой компании. Это предписывается указом Президента Российской Федерации от 1 мая 2022 г. № 250 ««О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» [5]. Следует отметить, что выполнение данных требований помогает создать надёжную систему защиты, основанную на координации усилий всех уровней управления и технического персонала, что особенно важно в условиях роста компьютерных атак и их сложности.
Таким образом, на сегодняшний день объекты критической информационной инфраструктуры сталкиваются с возрастающими рисками, обусловленными стремительным развитием технологий и эскалацией числа компьютерных атак. Злоумышленники всё активнее используют уязвимости информационных систем для проведения атак, направленных на взлом систем управления, вымогательство, кражу конфиденциальных данных и прочие противоправные действия. Такие атаки могут привести к серьезным
последствиям: от сбоев в электроснабжении и остановки транспортных систем до финансовых потерь и угроз национальной безопасности. В связи с этим вопрос защиты критической информационной инфраструктуры приобретает первостепенную важность и требует незамедлительных решений.
СПИСОК ЛИТЕРАТУРЫ:
1. Российская Федерация. Законы. О безопасности критической информационной инфраструктуры Российской Федерации: Федеральный закон № 187-ФЗ: [принят Государственной Думой 12 июля 2017 г.: одобрен Советом Федерации 19 июля 2017 г.] // СПС Консультант Плюс;
2. Российская Федерация. Постановление Правительства. Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений от 08.02.2018 №127 [Текст]: // СПС Консультант Плюс;
3. Приказ ФСТЭК России. Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования от 21.12.2017 № 235 [Текст]: // СПС Консультант Плюс;
4. Приказ ФСТЭК России. Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации от 25.12.2017 №239 [Текст]: // СПС Консультант Плюс;
5. Российская Федерация. Указ Президента. О дополнительных мерах по обеспечению информационной безопасности Российской Федерации от 1 мая 2022 г. № 250 [Текст]: // СПС Консультант Плюс.
Zayka V.M.
Sevastopol State University (Sevastopol, Russia)
ENSURING SECURITY OF OBJECT OF CRITICAL INFORMATION INFRASTRUCTURE
Abstract: article is devoted to the consideration of issues of ensuring the security of a critical information infrastructure facility. The article discusses the main measures to ensure the information security of critical information infrastructure in accordance with the legislation of the Russian Federation.
Keywords: information infrastructure, subject infrastructure, object infrastructure, objects categorization.
