что такое ключевая система
Аудит СКЗИ и криптоключей
С точки зрения информационной безопасности криптографические ключи являются критически важными данными. Если раньше, чтобы обокрасть компанию, злоумышленникам приходилось проникать на ее территорию, вскрывать помещения и сейфы, то теперь достаточно похитить токен с криптографическим ключом и сделать перевод через систему Интернет Клиент-Банк. Фундаментом обеспечения безопасности с помощью систем криптографической защиты информации (СКЗИ) является поддержание конфиденциальности криптографических ключей.
А как обеспечить конфиденциальность того, о существования чего вы не догадываетесь? Чтобы убрать токен с ключом в сейф, надо знать о существовании токена и сейфа. Как это не парадоксально звучит, очень мало компаний обладают представлением о точном количестве ключевых документов, которыми они пользуются. Это может происходить по целому ряду причин, например, недооценка угроз информационной безопасности, отсутствие налаженных бизнес-процессов, недостаточная квалификация персонала в вопросах безопасности и т.д. Вспоминают про данную задачу обычно уже после инцидентов, таких как например этот.
В данной статье будет описан первый шаг на пути совершенствования защиты информации с помощью криптосредств, а если точнее, то рассмотрим один из подходов к проведению аудита СКЗИ и криптоключей. Повествование будет вестись от лица специалиста по информационной безопасности, при этом будем считать, что работы проводятся с нуля.
Термины и определения
В начале статьи, дабы не пугать неподготовленного читателя сложными определениями, мы широко использовали термины криптографический ключ или криптоключ, теперь настало время усовершенствовать наш понятийный аппарат и привести его в соответствие действующему законодательству. Это очень важный шаг, поскольку он позволит эффективно структурировать информацию, полученную по результатам аудита.
Методика аудита и ожидаемые результаты
Основными особенностями предлагаемой в данной статье методике аудита являются постулаты о том, что:
Приведем основные зависимости, которые нам в этом помогут:
По каждому элементу перечня фиксируем следующие данные:
По каждому элементу перечня фиксируем следующие данные:
По каждому элементу перечня фиксируем следующие данные:
План аудита
Ключевые системы: что это и зачем оно нужно
Возможно, именно по этой причине государственные органы нашей страны довольно нехотя встречают уже не очень новые информационные технологии, однако постепенно они всё-таки внедряются. Ярким примером этого «внедрения» может послужить применение видеокамер для наблюдения за ходом голосования во время президентских выборов. Видеопоток, получаемый в процессе голосования, является ценной и конфиденциальной информацией, которая в соответствии с документом, принятым ещё семь лет назад, называется критически важным объектам.
Вообще к такому типу объектов относятся те объекты или технологические процессы, которые оказывают значительное воздействие на национальную безопасность государства, нарушение работы которого неизбежно ведёт к возникновению чрезвычайной ситуации (ЧС) или другим существенным отрицательным следствиям в отношении экономики, политики, обороны страны, международных отношений и любых других важнейших сфер жизни населения. Ключевая система является управляющей или телекоммуникационной системой, которая регулирует деятельность критически важного объекта или процесса, а также управляет информационным обеспечением и контролирует информирование населения. Вследствие деструктивного воздействия информационного характера на ключевую систему может возникнуть ЧС или нарушения функционирования системы управления.
Основным критерием отнесения объекта к типу критически важного является присутствие на нём социально значимого объекта или опасного для экологии производства, нарушения в работе которых вызвали бы масштабные последствия государственного уровня. Определённые регулирующие документы предусматривают список мер, принятие которых приведёт государство к обеспечению защиты ключевой системы.
Защита ключевых систем информационной инфраструктуры
Защита ключевых систем информационной инфраструктуры
Защита ключевых систем информационной инфраструктуры
Что такое КСИИ?
Согласно официальному определению, ключевой системой информационной инфраструктуры является информационно-управляющая или информационно-телекоммуникационная система, которая осуществляет управление (или информационное обеспечение управления) критически важным объектом (процессом), в результате деструктивных воздействий на которую может сложиться чрезвычайная ситуация или будут нарушены выполняемые системой функции управления со значительными негативными последствиями. Критически важными являются объекты, прекращение или нарушение функционирования которых может привести к тяжелым последствиям для региона или государства в целом, в том числе и к человеческим жертвам.
Таким образом, к КСИИ в первую очередь относятся автоматизированные системы управления технологическими процессами (АСУ ТП) объектов атомной промышленности, топливно-энергетического комплекса, транспортной отрасли и т.д.
Регламентирующие документы
Подходы к обеспечению информационной безопасности и технические требования защиты КСИИ регламентируются комплектом документов, выпущенных ФСТЭК России, включающим общие требования по обеспечению безопасности информации, рекомендации по ее обеспечению, базовую модель угроз и методику определения актуальных угроз безопасности информации.
Документы ФСТЭК регламентируют не только технические требования к средствам защиты информации в КСИИ, но и требования к организации процессов управления информационной безопасностью КСИИ. Например, разработка плана действия в чрезвычайных ситуациях и регламента управления инцидентами также являются неотъемлемой частью обеспечения информационной безопасности КСИИ. В целом комплект документов по КСИИ представляет собой хорошо структурированный перечень требований и рекомендаций, построенных на основе анализа угроз и степени критичности защищаемой системы, отнесенной к КСИИ. Документами предусмотрена классификация систем по назначению и уровням важности, от этого зависят требования к их защите.
Хочется отметить, что вопросы защиты АСУ ТП важных инфраструктурных объектов являются очень актуальными не только в нашей стране. Подтверждением тому является большое количество новых стандартов и лучших практик по информационной безопасности АСУТП, выпущенных международными институтами по стандартизации, отраслевыми или государственными организациями. Причинами подобной активности является высокая степень риска террористической угрозы в современном мире и уязвимость систем АСУ ТП перед современными кибератаками.
С сожалением приходится признать, что текущая ситуация в России с обеспечением информационной безопасности в технологических сетях АСУ ТП тоже не вызывает оптимизма. Уязвимостей в технологических сетях наших предприятий и организаций более чем достаточно. На некоторых объектах технологические сети являются частью единой офисной сети с подключением к сетям общего пользования. При этом оборудование систем АСУ ТП не имеет практически никаких средств защиты, и обновления операционных систем проводятся крайне редко (либо вообще не проводятся). Очевидно, что подобные технологические сети АСУ ТП являются довольно легкой мишенью для атак.
Причины проблем
Проблемы в области информационной безопасности технологических сетей АСУ ТП как наиболее важных КСИИ вызваны как объективными, так и субъективными причинами. К объективным можно отнести проблемы, связанные с возможным влиянием средств защиты информации на задержки и время реакции систем АСУТП. Многообразие систем АСУ ТП, использование уникальных отечественных разработок, созданных ранее с применением технологий файлового обмена, действительно иногда не позволяет задействовать средства защиты на серверном оборудовании АСУТП. Несмотря на подобные факты, большинство систем АСУ ТП не конфликтует со средствами защиты при правильной их установке и конфигурации. К сожалению, отечественные разработчики систем АСУ ТП не проводят тестирований на совместимость со средствами защиты. Поэтому тестирование совместимости систем АСУ ТП и средств защиты ложится на плечи системного интегратора, который внедряет систему обеспечения информационной безопасности КСИИ. Чтобы обеспечить уверенность в успешном внедрении средств защиты, проводится предварительная отработка применяемых технических решений на полигоне и организация предварительной приемки с приглашением представителей заказчика.
Защита КСИИ
Ключевая система информационной инфраструктуры (КСИИ) – это информационно-управляющая или информационно-телекоммуникационная система, которая осуществляет управление критически важным объектом (процессом), или информационное обеспечение управления таким объектом (процессом), или официальное информирование граждан, и в результате деструктивных информационных воздействий на которую может сложиться чрезвычайная ситуация, или будут нарушены выполняемые системой функции управления со значительными негативными последствиями.
Технологии
Другими словами, КСИИ – это информационная система, расположенная на критически важных объектах, и работа которой может повлиять на их функционирование и вызвать техногенную, экологическую или финансовую катастрофу. Перечень таких объектов был утвержден постановлением Правительства РФ от 23.03.2006 №411-рс (Гриф секретно) и включает в себя более 2000 объектов следующих категорий:
Несмотря на то, что в 2016 году было уделено особое внимание вопросам информационной безопасности и были приняты новые федеральные законы, регламентирующие защиту КИИ, с точки зрения реализации средств защиты основополагающими являются следующие документы (ДСП):
Решение позволяет
При выполнении работ по обеспечению защиты ключевой системы информационной инфраструктуры мы руководствуемся приказами ФСТЭК, а также внутренними отраслевыми и внешними (IEC 62443) стандартами.
Компания Digital Design оказывает как комплексные проекты по защите КСИИ, так и отдельные виды работ и услуг, направленные на обеспечение безопасности КСИИ, которые могут включать:
Преимущества Digital Design
Специалисты Digital Design имеют уникальный опыт выполнения комплексных проектов по защите КСИИ для крупных энергогенерирующих предприятий, включая поставку и монтаж оборудования, и готовы оказать весь перечень услуг по информационной и технической поддержке.
Дать определение ключевой системе информационной инфраструктуры (КСИИ). Какие существуют уровни важности КСИИ.
Ключевая система информационной инфраструктуры – это информационно-управляющая или информационно-телекоммуникационная система, которая осуществляет управление критически важным объектом (процессом), или информационное обеспечение управления таким объектом (процессом), или официальное информирование граждан, в результате деструктивных информационных воздействий на которую может сложиться чрезвычайная ситуация или будут нарушены выполняемые системой функции управления со значительными негативными последствиями.
Таким образом, понятие ключевой системы информационной инфраструктуры обобщает в себе множество различных классов информационных, автоматизированных систем и информационно-телекоммуникационных сетей. Например:
транспортная инфраструктура инфраструктура газонефтяного комплекса инфраструктура водоснабжения инфраструктура служб экстренной помощи инфраструктура органов власти банковская и финансовая инфраструктура инфраструктура электроэнергетики географические и навигационные системы
В настоящее время в области обеспечения безопасности информации в ключевых системах информационной инфраструктуры разработана и утверждена система методических документов, основными из которых являются:
а) Система признаков критически важных объектов и критериев отнесения функционирующих в их составе информационно-телекоммуникационных систем к числу защищаемых от деструктивных информационных воздействий
б) Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры
в) Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры
г) Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры
д) Рекомендации по обеспечению безопасности информации в ключевых системах информационной инфраструктуры
е) Положение о реестре ключевых систем информационной инфраструктуры
Существуют 3 уровня важности (1 – самый высший; 3 – самый низший) КСИИ, каждый из которых рассчитывается по системе 4-х показателей, оцениваемых по 10-ти бальной системе:
К1 – показатель влияния функционирования системы на информатизируемый процесс;
К2 – показатель величины возможного ущерба, вызванного нарушением функционирования системы;
К3 – показатель влияния открытости доступа к сетевым ресурсам на возможность нанесения ущерба;
К4 – показатель влияния топологии системы на возможность нанесения ущерба.
Если информатизируемый процесс полностью зависит от функционирования системы, то К1=10.
Если информатизируемый процесс лишь частично зависит от функционирования системы, то значения показателя К1 устанавливаются в зависимости от наличия следующих условий:
имеется альтернативная система, позволяющая осуществлять управление процессом или верификацию данных и снизить риск его прерывания или неконтролируемого развития – К1=2;
отсутствует альтернативная система, но имеется возможность управления процессом без средств автоматизации с риском его прерывания или неконтролируемого развития – К1=5;
отсутствует возможность управления процессом без средств автоматизации, имеется риск подмены данных и возможность блокирования неконтролируемого развития процесса – К1=8.
10 балл. – Федеральный уровень. Пострадало более 500 чел., нарушены условия жизнедеятельности более 1000 чел., материальный ущерб составил более 5 млн. МРОТ, зона ЧС вышла за пределы 2-х субъектов федерации.
8 балл. – Региональный уровень. Пострадало более 500 чел., нарушены условия жизнедеятельности от 500 до 1000 чел., материальный ущерб составил от 0,5 до 5 млн. МРОТ, зона ЧС в пределах 2-х субъектов федерации.
6 балл. – Территориальный уровень. Пострадало от 50 до 500 чел., нарушены условия жизнедеятельности от 300 до 500чел., материальный ущерб составил от 5 000 до 0,5 млн. МРОТ, зона ЧС в пределах субъекта федерации.
4 балл. – Местный уровень. Пострадало от 10 до 100 чел., нарушены условия жизнедеятельности от 100 до 300чел., материальный ущерб составил от 1 000 до 5 000. МРОТ, зона ЧС в пределах НП, города, района..
2 балл. – Объектовый (локальный) уровень. Пострадало до 10 чел., нарушены условия жизнедеятельности до 100чел., материальный ущерб составил до 1 000. МРОТ, зона ЧС в пределах территории производственного и социального назначения
10 балл. – Система подключена к сетям общего пользования;
5 балл. – Корпоративная система без подключения к сетям общего пользования и в ней для передачи информации используются выделенные каналы;
2 балл. – Многопользовательская ЛВС с доступом к общим сетевым ресурсам без подключения к сетям общего пользования.
10 балл. – Система построена по схеме «Шина» или «Многопоточное включение»
8 балл. – Система построена по схеме «Многопользовательская звезда»;
6 балл. – Система построена по схеме «Кольцо»;
4 балл. – Система построена по схеме «Звезда» (имеется центральный узел, соединенный с периферийными узлами);
2 балл. – ИТКС представляет собой полносвязную сеть;
1 балл. – Наличие альтернативной системы связи.
Определение уровня критически важных систем информ. инфраструктуры страны (Ккр.)
если Ккрит. =3000, то система относится к критически важной первого уровня важности
Механическое удерживание земляных масс: Механическое удерживание земляных масс на склоне обеспечивают контрфорсными сооружениями различных конструкций.
Поперечные профили набережных и береговой полосы: На городских территориях берегоукрепление проектируют с учетом технических и экономических требований, но особое значение придают эстетическим.