905 subscribers

«Клуб любителей КИИ». Нештатные ситуации.

224 full reads
«Клуб любителей КИИ». Нештатные ситуации.
«Клуб любителей КИИ». Нештатные ситуации.

#КИИ #187-ФЗ

В Приказе ФСТЭК России от 25.12.2017 № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» указан базовый набор для всех категорий значимости:

XVI. Обеспечение действий в нештатных ситуациях (ДНС)

Субъекту КИИ необходимо провести Регламентацию правил и процедур обеспечения действий персонала в нештатных ситуациях.

И для этого необходимо первоначально определится с самим термином "нештатная ситуация".

Под «нештатной ситуацией» обычно в документах понимается «событие, процессы и явления, создающие угрозу или приводящие к факту нарушения и (или) прекращения функционирования ЗОКИИ в штатном режиме».

При этом, очень часто (практически всегда) в проектах регламентов по действиям в нештатных ситуациях описываются процедуры реагирования на компьютерные инциденты. То есть, происходит дублирование документов, направленных на выполнение требований XII. Реагирование на компьютерные инциденты (ИНЦ) и Приказа ФСБ России от 19.06.2019 № 282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации».

Причина такой путаницы кроется в несовершенстве используемой в законодательстве страны терминологии.

Для ЗОКИИ вышеупомянутое определение нештатной ситуации подпадает под определение «Компьютерный инцидент» в ст.2 187-ФЗ

компьютерный инцидент - факт нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки.

Таким образом, компьютерный инцидент можно считать частным случаем нештатной ситуации, действия персонала по которому регламентированы отдельно.

Что не охватывает "компьютерный инцидент"? В него не входит "угроза нарушения". Что то пошло не так, но работа ЗОКИИ еще не нарушена.

Пример №1:

Отключение основного ввода электроснабжения ЗОКИИ. Сработал ИБП. Перешли на резервный ввод энергоснабжения, но дизель-генератор не запустился. Работа ЗОКИИ не нарушена, пока "тянут" аккумуляторы ИБП.

Ситуация нештатная, даже не смотря на то, что работа ЗОКИИ еще не нарушена (компьютерного инцидента нет). Но уже потенциально опасная для функционирования ЗОКИИ. И она требует немедленных действий персонала - снижение потребления электроэнергии (отключение второстепенных потребителей от аккумуляторов), поиск резервного генератора внутри организации или у внешних поставщиков, прокладку временного кабеля электроснабжения, сохранение обрабатываемой информации, оповещение пользователей, переход на резервную площадку (при наличии)отключение оборудования штатным способом и т.д.

На мой взгляд, идти надо от другого подхода, который уже широко реализован в промышленности и энергетике, банковской сфере.

"...Нештатная ситуация - состояние вычислительных и информационных ресурсов ЭИС Банка России, не предусмотренное документацией на ЭИС Банка России и приводящее к сбоям и отказам системы, отсутствию предоставляемого пользователям ЭИС Банка России сервиса и требующее вмешательства для восстановления штатного функционирования системы...

Положение об Электронной информационной системе Банка России" (утв. Банком России 04.08.2005 N 274-П)

"Нештатная ситуация - сочетание условий и обстоятельств при эксплуатации технических систем, отличающихся от предусмотренных проектами, нормами и регламентами и ведущих к возникновению опасных состояний в технических системах.

В число нештатных ситуаций входят ситуации с отклонением от нормальных (штатных) условий эксплуатации, проектные и запроектные аварийные ситуации." (МЧС, 2010 г.)

Ключевое здесь – не предусмотренное документацией на ЗОКИИ.

А в приказе ФСТЭК России от 14 марта 2014 г. N 31 "ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ К ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ УПРАВЛЕНИЯ ПРОИЗВОДСТВЕННЫМИ И ТЕХНОЛОГИЧЕСКИМИ ПРОЦЕССАМИ НА КРИТИЧЕСКИ ВАЖНЫХ ОБЪЕКТАХ, ПОТЕНЦИАЛЬНО ОПАСНЫХ ОБЪЕКТАХ, А ТАКЖЕ ОБЪЕКТАХ, ПРЕДСТАВЛЯЮЩИХ ПОВЫШЕННУЮ ОПАСНОСТЬ ДЛЯ ЖИЗНИ И ЗДОРОВЬЯ ЛЮДЕЙ И ДЛЯ ОКРУЖАЮЩЕЙ ПРИРОДНОЙ СРЕДЫ" указано важное уточнение:

16.2. В ходе обеспечения действий в нештатных (непредвиденных) ситуациях при эксплуатации автоматизированной системы управления осуществляются:...

Пример № 2:

1. Вирусная атака пресечена штатным антивирусом. Работоспособность ЗОКИИ не нарушена.

2. Вирусная атака преодолела штатный антивирус. Работа ЗОКИИ нарушена. Провели плановые мероприятия по реагированию на компьютерный инцидент. Работа ЗОКИИ восстановлена.

3. Вирусная атака преодолела штатный антивирус. Работа ЗОКИИ нарушена. Провели плановые мероприятия по реагированию на компьютерный инцидент. Не помогло. Работа ЗОКИИ не восстановлена.

Вот п.3 и есть нештатная ситуация. Персонал выполнил все действия, описанные в соответствующих ОРД, но результат отрицательный.

Придерживаюсь позиции, что необходимо разделять режимы функционирования ЗОКИИ:

Нормальные условия эксплуатации - соответствуют проектным режимам функционирования ЗОКИИ, предусмотренным эксплуатационной документацией.

Проектная аварийная ситуация возникает при появлении исходных событий ведущих к компьютерным инцидентам, возможность которых предусмотрена при проектировании ЗОКИИ. При этом для таких случаев предусматриваются специализированные системы безопасности ЗОКИИ, рассчитанные на них.

Запроектная аварийная ситуация - компьютерные инциденты, вызванные не учтенными для проектных ситуаций исходными событиями. Для запроектных аварий не предусматриваются технологические меры обеспечения безопасности ЗОКИИ.

Штатные ситуации:

Нормальные условия описываются эксплуатационной документацией на оборудование ЗОКИИ, включая действия эксплуатирующего персонала при незначительных типовых неисправностях оборудования.

Проектные ситуации описываются инструкциями по антивирусной защите, по реагированию на компьютерные инциденты и т.д.

Нештатная ситуация:

Запроектные аварии. Действия персонала не регламентированы документами организации.

Важно: качественное проектирование системы безопасности ЗОКИИ минимизирует количество нештатных ситуаций! Действия персонала при различных сценариях событий прорабатываются и подготавливаются (обеспечиваются) заранее.

Важно: мы выполняем требования приказа ФСТЭК с четко обозначенными целями "1. Настоящие Требования разработаны в соответствии с Федеральным законом от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" и направлены на обеспечение устойчивого функционирования значимых объектов критической информационной инфраструктуры Российской Федерации (далее - значимые объекты, критическая информационная инфраструктура) при проведении в отношении них компьютерных атак.".

Для противопожарной, антитеррористической и других видов безопасности есть свои планы и требования. Наша задача - обеспечить защиту ЗОКИИ от компьютерных атак в нештатных ситуациях.

Чем опасен пример № 1 при такой точке зрения? А тем, что у нас могут средства защиты информации отключится раньше, чем средства обработки информации. У нас могут быть потеряны средства мониторинга событий ИБ и т.д. Или противоположная ситуация, когда после восстановления энергоснабжения, ЗОКИИ начал функционировать до восстановления работы подсистемы безопасности в незащищенном от компьютерных атак режиме.

Или чем опасен пожар как нештатная ситуация с точки зрения ИБ?
А тем, что мы теряем зону контролируемого доступа - все двери разблокированы пожарной сигнализацией, персонал покинул рабочие места, здание обесточено, в помещениях с ЗОКИИ находятся посторонние (спасатели, пожарные и т.д.). Значит нам нужно предусмотреть компенсирующие меры безопасности.

«Клуб любителей КИИ». Нештатные ситуации.
«Клуб любителей КИИ». Нештатные ситуации.

Попробуем составить типовой перечень нештатных ситуаций для ЗОКИИ:

1. Неудачная ликвидаций последствий компьютерных атак плановыми действиями персонала. Функционирование ЗОКИИ не восстановлено после выполнения мероприятий по реагированию на компьютерные инциденты.

2. Непрогнозируемое течение ИТ процессов. "Накатили" обновление прикладного или системного программного обеспечения ЗОКИИ по регламенту и что то пошло не так. "Откатится" не получается. Или запустили сканирование уязвимостей в ЗОКИИ и "уронили" систему.

3. Потеря энергоснабжения ЗОКИИ.

4. Потеря каналов связи.

5. Недоступность ключевого персонала. Запланировали работы по настройке/восстановлению оборудования или ПО - выключили ЗОКИИ, а штатный ключевой специалист физически не доступен (заболел, арестован, исчез..). Сюда же попадут эпидемии. Или массовое отравление дежурной смены в столовой и т.д. Автобус с заступающей сменой попал в ДТП. Забастовки.

6. Действия правоохранительных органов. Изъятие оборудования/ПО/документации ЗОКИИ для проведения компьютерно-технических экспертиз, проведение ОРМ на площадке субъекта КИИ в части компьютерных преступлений.

7. Воздействия внешней среды. Пожары, наводнения, ураганы, землетрясения, радиационные аварии и т.д.

8. Санкции, банкротства поставщиков услуг, лишение лицензий на ТЗКИ у подрядчиков, отзыв сертификатов на средства защиты информации и т.д.

9. Криминал, терроризм, война и режим чрезвычайной ситуации (ограничение передвижения граждан).

В следующей заметке рассмотрим требования к планированию действий персонала в нештатных ситуациях: https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-neshtatnye-situacii-chto-nado-sdelat-620578d0a64db977482cb531.

Требования НПА к планированию действий в нештатных ситуациях:

Прошу в комментариях к заметке дополнить или уточнить типовые нештатные ситуации с ЗОКИИ. Поддерживаете ли вы предложенный подход к выделению нештатных ситуаций через запроектные аварии?

Комментируйте, если не согласны с авторской позицией.

Лайкайте и распространяйте заметку, если поддерживаете такой подход в к планированию действий субъекта КИИ при реагировании на нештатные ситуации.

Совместными усилиями обеспечим безопасность КИИ РФ.

* Более подробно эти вопросы рассмотрены в материалах блога "Рупор бумажной безопасности" и телеграм-канале

** Подборка методических и вспомогательных материалов для субъектов КИИ - https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-bagaj-znanii-5e1e20f5e4fff000adc2aebf

*** Если вы не хотите быть субъектом КИИ - https://dzen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-protivnikam-chlenstva-v-klube-posviascaetsia-5e23304fc05c7100ae88019