Клуб любителей КИИ. Реагирование на компьютерные инциденты с ЗОКИИ. Часть 1.

212 full reads
390 story viewsUnique page visitors
212 read the story to the endThat's 54% of the total page views
3,5 minutes — average reading time
Определяем исполнителей для процессов реагирования на компьютерные инциденты
Определяем исполнителей для процессов реагирования на компьютерные инциденты
Определяем исполнителей для процессов реагирования на компьютерные инциденты

Введение.

В этой заметке обсудим подбор и подготовку исполнителей процессов реагирования на компьютерные инциденты с ЗОКИИ субъектов КИИ.

Приказ ФСТЭК России от 21.12.2017 № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования»

Структурное подразделение по безопасности, специалисты по безопасности должны осуществлять следующие функции:

- обеспечивать реализацию требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры, установленных в соответствии со статьей 11 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации" (реализацию выполнения мер ИНЦ из 239 приказа ФСТЭК).

- осуществлять реагирование на компьютерные инциденты в порядке, установленном в соответствии с пунктом 6 части 4 статьи 6 Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» (выполнение 282 приказа ФСБ).

13. Не допускается возложение на структурное подразделение по безопасности, специалистов по безопасности функций, не связанных с обеспечением безопасности значимых объектов критической информационной инфраструктуры или обеспечением информационной безопасности субъекта критической информационной инфраструктуры в целом.

Обязанности, возлагаемые на работников структурного подразделения по безопасности, специалистов по безопасности, должны быть определены в их должностных регламентах (инструкциях).

14. По решению субъекта критической информационной инфраструктуры в подразделениях, эксплуатирующих значимые объекты критической информационной инфраструктуры, могут также назначаться работники, на которых возлагаются отдельные функции по обеспечению безопасности значимых объектов критической информационной инфраструктуры. Обязанности, возлагаемые на работников, должны быть определены в их должностных регламентах (инструкциях).

Координацию и контроль деятельности указанных работников по вопросам обеспечения безопасности значимых объектов критической информационной инфраструктуры должны осуществлять структурное подразделение по безопасности, специалисты по безопасности.

26. Организационно-распорядительные документы по безопасности значимых объектов утверждаются руководителем субъекта критической информационной инфраструктуры (уполномоченным лицом).

Итог: имеется возможность назначения ответственного за реагирование на КИ из числа обычных работников, эксплуатирующих конкретный ЗОКИИ. Не по всем ЗОКИИ, а только тем, к которым он имеет отношение. Оптимальным видится назначение на каждый ЗОКИИ своего ответственного работника. Координацию их работы и взаимодействие с НКЦКИ от лица субъекта КИИ выполняет специалист по безопасности.

При этом, на таких работников, эксплуатирующих ЗОКИИ, не распространяются требования п. 12 приказа ФСТЭК №235 по квалификации и опыту работы.

ГОСТ рекомендует:

Специалисты подразделения по управлению компьютерными инцидентами должны обладать как минимум следующими знаниями и навыками:

- знание актуальных проблем безопасности сетей электросвязи, включая тактики и техники проведения компьютерных атак; - знание практик обеспечения безопасности системного администрирования, такие как, управление обновлениями, безопасная настройка, резервное копирование и аварийное восстановление;

- знание основ криптографической ЗИ (алгоритмы шифрования), цифровые подписи, сетевые протоколы, такие как SSL/TLS;

- знание общих сетевых протоколов, таких как Ethernet (IEEE 802.3), WiFi (IEEE 802.11) IPv4, IPv6, ICMP, UDP, TCP;

- знание общих протоколов сетевых приложений, таких как DNS, SMTP, HTTP (S);

- навыки сбора информации о компьютерных инцидентах (цифровых свидетельств), обратного инжиниринга;

- навыки реагирования на компьютерные инциденты;

- знания в области разработки безопасного ПО (в частности, в соответствии с ГОСТ Р 56939-2016 Защита информации. Разработка безопасного программного обеспечения. Общие требования и иными стандартами в указанной области), функционального и объектно-ориентированного программирования, системной архитектуры средств вычислительной техники».

В организации должен вестись реестр, который будет отражать текущие знания, навыки и умения специалистов, которые могут быть привлечены к деятельности по реагированию на компьютерные инциденты. В реестре должна содержаться следующая информация:

а. какие специалисты могут быть привлечены к реагированию на компьютерные инциденты;

б. какими знаниями, навыками и умениями обладают эти специалисты;

в. являются ли эти специалисты внутренними или внешними по отношению к организации;

г. как привлечь к сотрудничеству специалиста, обладающего определенными знаниями, навыками и умениями;

д. насколько эти знания, навыки и умения являются актуальными (или ее косвенный показатель, когда они использовались в последний раз);

е. как часто эти знания, навыки и умения требовались в последнее время.

Распределение функций и задач между специалистом безопасности и специалистами, эксплуатирующих ЗОКИИ при реагировании на КИ необходимо описать в регламенте реагирования на КИ и учесть в Плане реагирования на КИ.

Пример распределения задач по подразделениям приведен в ГОСТ (см. таблицу 1)

Клуб любителей КИИ. Реагирование на компьютерные инциденты с ЗОКИИ. Часть 1.

Для специалистов подразделения по управлению компьютерными инцидентами, сотрудников подразделений по обеспечению безопасности организации и администраторов безопасности, а также других специалистов, привлекаемых к реагированию на компьютерные инциденты должен быть разработан отдельный план обучения.

Прежде чем план реагирования компьютерными инцидентами вступит в силу, организация должна обеспечить, чтобы весь соответствующий персонал был знаком с процедурами, связанными с обнаружением и информированием о компьютерных инцидентах, а отдельные сотрудники были хорошо осведомлены о последующих действиях. Это должно сопровождаться регулярными инструктажами.
Обучение должно сопровождаться конкретными упражнениями
и тестированием для специалистов подразделения по управлению компьютерными инцидентами, сотрудников подразделений, привлекаемых к реагированию на компьютерные инциденты, сотрудников подразделений по обеспечению безопасности организации и администраторов безопасности.

Итог:

1. Составляем и утверждаем Реестр работников, привлекаемых к реагированию на компьютерные инциденты. Требует плотного взаимодействия с кадровыми и правовыми подразделениями субъекта КИИ (изучение личных дел работников, запрос характеристик у непосредственных руководителей, анализ документации по ликвидации технических аварий на ЗОКИИ, анализ отчетов ИТ-службы по инцидентам на ЗОКИИ и т.д). Для небольших субъектов КИИ проблем меньше, в силу ограниченности выбора среди своих работников.

Шаблон Реестра работников, привлекаемых к реагированию на КИ
Шаблон Реестра работников, привлекаемых к реагированию на КИ
Шаблон Реестра работников, привлекаемых к реагированию на КИ

Данный Реестр важен для оперативного принятия мер на конкретном ЗОКИИ в определенный момент времени. Формировать его "для галочки" бессмысленно. Это шпаргалка для руководителя, ответственного за реагирование на КИ, в части резерва сил. Что бы не тратить время на поиск людей в момент компьютерной атаки на ЗОКИИ.

2. Вносим соответствующие изменения в должностные инструкции и трудовые договора работников из Реестра.

3. Разрабатываем обучающий курс (инструктаж) по реагированию на компьютерные инциденты. Обязательно итоговое тестирование.

Мы определились с исполнителями, в следующей шпаргалке поговорим об организации их действий. Продолжение следует.

P.S. Существует отдельный методический документ НКЦКИ "ТРЕБОВАНИЯ к подразделениям и должностным лицам субъектов государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации" (ДСП),но его выполнение -это высший уровень готовности подразделений. И сомневаюсь, что субъектам КИИ, приступившим к его реализации, будут интересны шпаргалки по базовому уровню реагирования на компьютерные инциденты. Получить методические документы НКЦКИ можно по письменному запросу от организации (подробности запроса, только теперь директор НКЦКИ - Скрябин Олег Валерьевич).

* Более подробно эти вопросы рассмотрены в материалах блога "Рупор бумажной безопасности" и телеграм-канале

** Подборка методических и вспомогательных материалов для субъектов КИИ - https://dzen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-bagaj-znanii-5e1e20f5e4fff000adc2aebf

*** Если вы не хотите быть субъектом КИИ - https://dzen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-protivnikam-chlenstva-v-klube-posviascaetsia-5e23304fc05c7100ae88019