Geekly articles weekly

Revisão da legislação russa para proteger a infraestrutura de informações críticas

Amigos, em uma publicação anterior , examinamos a proteção de dados pessoais do ponto de vista da legislação russa e internacional. No entanto, há outro tópico urgente em relação a um grande número de empresas e organizações russas - estamos falando sobre a proteção de infraestrutura de informações críticas. A segurança e a resiliência dos sistemas de TI de grandes empresas individuais e de setores inteiros em condições modernas desempenham um papel decisivo. Em todo o mundo, estão sendo feitas tentativas para realizar ataques cibernéticos direcionados e sofisticados à infraestrutura, e seria míope ignorar esses fatos. A criação do GosSOPKA (sistema estadual de detecção, prevenção e eliminação das conseqüências de ataques de computador aos recursos de informação da Federação Russa), bem como a assinatura da Lei Federal de 26 de julho de 2017, nº 187- “Sobre a Segurança da Infraestrutura de Informação Crítica da Federação Russa” e o desenvolvimento de estatutos relevantes atendidos resposta lógica aos desafios das realidades atuais.

Considere esse aspecto da segurança da informação em mais detalhes. Vá em frente!

imagem

Pontos-chave


O início dos trabalhos para proteger a infraestrutura de informação em escala nacional foi assinado com o Decreto do Presidente da Federação Russa, datado de 15 de janeiro de 2013, nº 31c “Sobre a criação de um sistema estadual para detectar, prevenir e eliminar as conseqüências de ataques de computador aos recursos de informação da Federação Russa”. Além disso, em julho de 2017, foi assinada a Lei Federal de 26 de julho de 2017 nº 187-FZ “Sobre a segurança da infraestrutura de informações críticas da Federação Russa”, que entrou em vigor em 1º de janeiro de 2018. Infra-estrutura crítica de informações (doravante denominada KII) refere-se a sistemas de informação, redes de informação e telecomunicações, sistemas de controle automatizado de indivíduos KII, bem como redes de telecomunicações usadas para organizar sua interação. Os sujeitos do KII são empresas que operam em áreas estrategicamente importantes para o estado, como saúde, ciência, transporte, comunicações, energia, bancos, complexo de combustíveis e energia, nas áreas de energia nuclear, defesa, foguete e espaço, mineração, indústrias metalúrgicas e químicas , bem como organizações que garantem a interação de sistemas ou redes de KII. Um ataque de computador é definido como um efeito malicioso direcionado nos objetos do KII para violar ou interromper seu funcionamento e um incidente no computador - como o fato de uma violação ou encerramento da operação do KII e / ou violação de segurança das informações processadas pelo objeto.

Também é importante notar que para empresas do complexo de combustível e energia existem normas definidas pela Lei Federal de 21 de julho de 2011 nº 256- “Sobre a segurança de instalações de complexos de combustível e energia”, que também determinam a necessidade de garantir a segurança dos sistemas de informação das instalações de combustível e energia complexo energético, criando sistemas de proteção de informações e redes de informações e telecomunicações contra acesso, destruição, modificação, bloqueio de informações e outros serviços ilegais. ações, bem como a necessidade de garantir o funcionamento de tais sistemas.

O FSTEC da Rússia foi nomeado pelo órgão executivo federal autorizado no campo da segurança da infraestrutura de informações críticas da Federação Russa. O FSB da Federação Russa foi encarregado das funções do órgão executivo federal autorizado a garantir o funcionamento do sistema estadual de detecção, prevenção e eliminação das consequências de ataques de computador aos recursos de informação da Federação Russa (doravante denominada SOPKA do Estado). Além disso, por ordem do Serviço de Segurança Federal da Federação Russa em 2018, foi criado o Centro Nacional de Coordenação de Incidentes de Computador (NCCTC), que coordena as atividades dos sujeitos do KII e é parte integrante das forças projetadas para detectar, prevenir e eliminar as conseqüências de ataques de computador e responder a incidentes de computador, e as técnicas A infraestrutura NCCCI é usada para o funcionamento do sistema SSSOPKA. Em palavras simples, o NCCTC é o CERT (Time Computer Response Response Team) do estado, e o SOPCA do Estado é o "grande SIEM" na escala da Federação Russa. Funciona da seguinte forma: informações sobre um incidente informático que ocorreu no montante correspondente às disposições da Ordem do Serviço Federal de Segurança da Federação Russa no 367 (data, hora, detalhes técnicos e consequências do incidente e sua conexão com outros incidentes, a localização do objeto KII, a presença de uma conexão entre o ataque identificado e o incidente), deve ser transferido pelo sujeito da KII para o sistema State SOPKA o mais tardar 24 horas após a descoberta de um incidente no computador. Ao mesmo tempo, há uma tendência para uma transição para o envio automatizado de dados.

Em seguida, foi assinado o Decreto do Governo da Federação Russa, datado de 8 de fevereiro de 2018, nº 127, “Aprovação das regras para categorização de objetos de infraestrutura de informações críticas da Federação Russa, bem como a Lista de indicadores de critérios para a importância dos objetos de infraestrutura de informações críticas da Federação Russa e seus valores”, que impõem requisitos específicos para sujeitos da CII na categorização de objetos KII em sua área de responsabilidade e também contém uma lista de critérios para a significância dos objetos KII - quantitativos por azateley para a escolha correta do significado da categoria. A categoria de significância do objeto de KII pode assumir um dos três valores (onde a categoria mais alta é a primeira, a mais baixa é o terceiro) e depende de indicadores quantitativos da importância desse objeto nas esferas social, política, econômica e de defesa. Por exemplo, se um incidente de computador na instalação KII pode resultar em danos à vida e à saúde de mais de 500 cidadãos, a instalação recebe a primeira categoria máxima e, se os serviços de transporte resultantes do incidente ficarem indisponíveis para 2 mil a 1 milhão de cidadãos, a instalação será atribuída terceira categoria mínima.

Portanto, os objetos de KII devem ser categorizados. Isso é realizado por uma comissão interna permanente para categorizar o assunto do KII, que também produz e documenta as seguintes ações:

  • identifica objetos da CII que fornecem processos gerenciais, tecnológicos, de produção, financeiros e econômicos e (ou) outros processos (os chamaremos de “os principais processos dos sujeitos da CII”) no âmbito das atividades do sujeito da CII;
  • identifica processos críticos cuja violação ou rescisão pode levar a consequências negativas nas esferas social, política, econômica e de defesa;
  • estabelece objetos KII que processam informações para os processos descritos acima e / ou realizam gerenciamento, controle ou monitoramento de processos críticos (os chamaremos de "objetos auxiliares KII");
  • cria modelos de violadores e ameaças, enquanto a comissão deve considerar os piores cenários de ataque com o máximo de consequências negativas;
  • avalia possíveis consequências, levando em consideração as interconexões entre objetos e dependências entre eles;
  • atribui a cada objeto uma das três categorias de significância ou toma uma decisão fundamentada de não atribuir essa categoria, com a preparação de um ato de categorizar o objeto da CII ou de um ato na ausência da necessidade de atribuir uma categoria de significância a ele.

Os resultados da categorização são enviados para o FSTEC da Rússia, onde são verificadas a exatidão do procedimento de categorização e a atribuição da categoria de significância e, na ausência de comentários, as informações recebidas são inseridas no registro de objetos KII. É fornecida uma revisão periódica (1 vez em 5 anos) e planejada (ao alterar indicadores de critérios de significância) das categorias de significância estabelecidas.

Meias do estado


De acordo com o documento nº 149/2 / 7-200, de 24 de dezembro de 2016, “Recomendações metódicas para a criação de centros departamentais e corporativos do sistema estadual para detectar, prevenir e eliminar as conseqüências de ataques de computador aos recursos de informação da Federação Russa”, desenvolvidos pelo Serviço de Segurança Federal da Federação Russa, funções do Estado SOPKA são:

  • inventário de recursos de informação;
  • identificar vulnerabilidades em recursos de informação;
  • análise de ameaças à segurança da informação;
  • treinamento avançado de pessoal de recursos de informação;
  • receber mensagens sobre possíveis incidentes de pessoal e usuários de recursos de informação;
  • detecção de ataques de computador;
  • análise de dados de eventos de segurança;
  • registro de incidentes;
  • resposta a incidentes e resposta;
  • estabelecer as causas dos incidentes;
  • análise dos resultados da eliminação das consequências de incidentes.

Os centros de sistema GosSOPKA são divididos em departamentos e corporativos:

  • os centros departamentais realizam atividades licenciadas para proteger os recursos de informação no interesse das autoridades públicas;
  • Os Centros Corporativos realizam atividades licenciadas para proteger os recursos de informação em seus próprios interesses e também têm o direito de fornecer serviços para a prevenção, detecção e eliminação das consequências de ataques de computador.

Se podemos exagerar o próprio sistema SOSOPKA como um "grande SIEM" em todo o país, os Centros SOSOPKA serão comparados corretamente com os Centros de Monitoramento de Segurança da Informação (Security Operations Center, SOC).

Portanto, o assunto do KII relacionado à autoridade do estado, de acordo com os padrões legislativos atuais, deve se conectar ao Centro departamental relevante do Sistema Estadual de Proteção e Certificação Social. O sujeito da KII, que não é uma autoridade pública, tem a oportunidade de se conectar de forma independente ao sistema GosSOPKA, de criar seu próprio Centro GosSOPKA corporativo ou de se conectar ao Centro já criado que fornece serviços para se conectar ao sistema GOSSOPKA.

Com conexão independente ao Centro do Estado SOPKA, o sujeito do KII terá que resolver as seguintes tarefas:

  • a criação de seu próprio Centro de Monitoramento de Segurança da Informação, levando em conta os requisitos dos documentos regulamentares do Serviço Federal de Segurança da Federação Russa, FSTEC da Rússia, outros atos legais regulamentares;
  • implementação e suporte de ferramentas e soluções técnicas que cumpram as recomendações metodológicas do Serviço Federal de Segurança da Federação Russa sobre a criação de centros departamentais e corporativos do sistema estadual para detectar, prevenir e eliminar as conseqüências de ataques de computador aos recursos de informação da Federação Russa;
  • implementação e suporte de ferramentas e soluções técnicas que atendem aos requisitos do licenciado FSTEC da Rússia para monitorar a segurança das informações de ferramentas e sistemas de monitoramento;
  • Obtenção de uma licença do FSTEC da Rússia para proteção técnica de informações confidenciais (TZKI) referente à lista de obras e serviços para monitorar a segurança das informações de ferramentas e sistemas de monitoramento (no caso de prestação de serviços comerciais a outras organizações ou ao trabalhar como parte de uma estrutura de holding);
  • obtenção de uma licença do Serviço de Segurança Federal da Federação Russa para o desenvolvimento, produção, distribuição de meios de criptografia (criptográficos), sistemas de informação e sistemas de telecomunicações protegidos usando meios de criptografia (criptográficos), executando trabalhos, prestando serviços no campo de criptografia de informações, manutenção de meios de criptografia (criptográficos) , sistemas de informação e sistemas de telecomunicações protegidos por meio de criptografia (criptográfica) (se houver serviços mmercheskih a outras organizações, ou trabalhando como parte da estrutura de exploração);
  • interação com o NCCSC de acordo com as regras de interação entre as unidades FSB da Federação Russa e os sujeitos GosSOPKA na implementação do intercâmbio de informações no campo da detecção, prevenção e eliminação das consequências de ataques de computador;
  • atração, treinamento e retenção de funcionários do Centro de Monitoramento de Segurança da Informação;
  • desenvolvimento e atualização contínua de cenários de ataque e monitoramento;
  • análise de eventos e incidentes, criação de relatórios.

A conexão ao centro externo (comercial) do GosSOPKA, que fornece serviços relevantes, permite transferir a maioria das tarefas acima para uma organização especializada. Tudo o que é necessário para o cliente é conectar as fontes de eventos ao centro comercial GosSOPKA, concordar com o formato e as regras de interação e notificar em tempo hábil as alterações em sua infraestrutura de TI. Além disso, usando os serviços de um centro externo da GosSOPKA, a organização transfere para o executor os riscos de não conformidade com a legislação da Federação Russa no campo dos negócios ilegais (artigo 171 do Código Penal da Federação Russa) em termos de realização de atividades sem as licenças correspondentes do Serviço de Segurança Federal da Federação Russa e / ou FSTEC da Rússia.

Sistema de controle de processo


Vamos seguir para os princípios de proteção de sistemas de controle automatizados para processos tecnológicos e de produção. Despacho do FSTEC da Rússia datado de 14 de março de 2014, nº 31 “Sobre a aprovação de requisitos para a proteção de informações em sistemas de controle automatizados para processos tecnológicos e de produção em instalações críticas, instalações potencialmente perigosas, bem como instalações que representam um perigo aumentado para a vida e saúde humana e para ambiente ambiental ”(conforme emendado pela Portaria do FSTEC da Rússia de 9 de agosto de 2018, nº 138) estabelece requisitos legislativos no campo de garantir a segurança de sistemas de controle automatizados para fabricação processos únicos e tecnológicos (doravante - o sistema de controle de processo). Apesar da presença de duas áreas aparentemente duplicadas de proteção do KII (187- no KII com estatutos e da Ordem No. 31 nos sistemas de controle de processo), atualmente, os reguladores estaduais aderem ao seguinte ponto de vista: se o objeto do KII for reconhecido como significativo (ou seja, é atribuído uma das três categorias de significância), então a Ordem FSTEC de 25 de dezembro de 2017, nº 239, “Aprovando os requisitos para garantir a segurança de objetos significativos da infraestrutura de informações críticas da Federação Russa”, é usada e se o objeto KII for reconhecido como reconhecível (ou seja, a categoria de significância não foi atribuída), então, pela decisão do sujeito de KII, é possível aplicar o Pedido nº 31 para sistemas de controle de processo e o Pedido nº 239 para o KII.

De acordo com a Ordem No. 31, os objetos de proteção no sistema de controle de processo são informações sobre os parâmetros ou condições do objeto ou processo gerenciado, bem como todos os meios técnicos relacionados (estações de trabalho, servidores, canais de comunicação, controladores), software e equipamentos de proteção. Este documento indica que as medidas organizacionais e técnicas adotadas para proteger o sistema de controle de processo devem, em primeiro lugar, garantir a acessibilidade e a integridade das informações processadas no sistema de controle de processo e garantir que a confidencialidade seja logicamente colocada em segundo lugar. Além disso, indica-se que as medidas adotadas devem ser harmonizadas com medidas para garantir outros tipos de segurança, por exemplo, industrial, incêndio, ambiental e não devem afetar adversamente o funcionamento regular do sistema de controle de processo. Os requisitos também são impostos ao sistema de proteção de informações no sistema de controle de processos - eles devem passar por uma avaliação de conformidade.

O documento descreve as etapas organizacionais para proteger as informações (doravante - ZI) no sistema de controle de processo: a formação de requisitos para o sistema de controle de processo, o desenvolvimento e a implementação do sistema de controle do sistema de controle de processo, o fornecimento do sistema de controle de processo durante a operação do sistema de controle de processo e durante seu descomissionamento. É no estágio de formação de requisitos que um importante trabalho é realizado na classificação dos sistemas de controle de processo: uma das três classes de segurança é estabelecida (onde a classe mais baixa é a terceira, a mais alta é a primeira) e a classe de segurança é determinada dependendo do nível de significância das informações que estão sendo processadas, ou seja. a extensão de possíveis danos resultantes da violação de suas propriedades de segurança (integridade, disponibilidade e, se aplicável, confidencialidade). O grau de dano pode ser alto (estado de emergência em escala federal ou inter-regional), médio (estado de emergência em escala regional ou inter-municipal) ou baixo (o incidente é de natureza local).

Além da classificação dos sistemas de controle de processo, no estágio de formação dos requisitos, as ameaças à segurança do controle de processo são determinadas pela compilação de um modelo de ameaça: as fontes de ameaças são identificadas, as capacidades dos violadores são avaliadas (ou seja, o modelo de um violador é criado), as vulnerabilidades dos sistemas utilizados são analisadas, as possíveis formas de implementar ameaças e suas consequências são determinadas, enquanto deve ser usado FDTC FSTEC Rússia. A importância de criar um modelo de intruso nesta fase também reside no fato de que as medidas de proteção aplicadas em um sistema de controle industrial da 1ª classe de segurança devem neutralizar as ações de um intruso com alto potencial, em um sistema de controle automático de uma segunda classe de segurança - um intruso com potencial não inferior à média, em um sistema de controle automático 3ª classe de segurança - um invasor com baixo potencial (o potencial dos violadores é definido na página do BDU).

Além disso, a Ordem nº 31 oferece um algoritmo para a seleção e aplicação de medidas para garantir a segurança, já conhecidas das Ordens do FSTEC da Rússia nº 21 (PDN) e nº 17 (GIS): primeiro, um conjunto básico de medidas é selecionado com base na lista proposta e, em seguida, o básico selecionado é adaptado um conjunto de medidas, que supõe a exclusão de medidas básicas irrelevantes, dependendo das características dos sistemas e tecnologias de informação utilizadas, o conjunto básico de medidas adaptado é especificado para neutralizar as ameaças atuais não selecionadas anteriormente erami, e, finalmente, a adição é levada a cabo um conjunto de medidas centesimal adaptados estabelecidas por outros documentos legais aplicáveis. Ao mesmo tempo, o Despacho nº 31 enfatiza a importância da continuidade dos processos tecnológicos:medidas de proteção compensatórias podem ser aplicadas no caso de um impacto negativo previsto na operação regular do sistema de controle de processo.

No pedido nº 31, são indicados os seguintes grupos de medidas para garantir a segurança do sistema de controle, que devem ser aplicados dependendo da classe de proteção necessária do sistema de controle:

  • identificação e autenticação;
  • controle de acesso;
  • restrição de ambiente de software;
  • proteção de mídia de armazenamento de computador;
  • auditoria de segurança;
  • proteção antivírus;
  • prevenção de intrusões (ataques de computador);
  • garantir integridade;
  • acessibilidade;
  • proteção de hardware e sistemas;
  • proteção do sistema de informação (automatizado) e seus componentes;
  • resposta a incidentes com computadores;
  • gerenciamento de configuração;
  • gerenciamento de atualização de software;
  • planejamento de segurança;
  • prestação de ações em situações de emergência;
  • informação e treinamento de pessoal.

Ao mesmo tempo, o documento enfatiza que, ao implementar meios técnicos de proteção de informações, é necessário, em primeiro lugar, usar a funcionalidade de proteção padrão dos sistemas usados ​​no sistema de controle de processos e, em seguida, o SZI sobreposto, que também possui certos requisitos: se SZI certificado for usado para proteger informações no sistema de controle de processos, é necessário orientar-se pelos requisitos de suas classes, bem como pelas classes CBT e níveis de controle da ausência de NDV, descritos no parágrafo 24 da Ordem no 31.

Segurança de objetos CII significativos


Vamos agora considerar um dos principais estatutos sobre a proteção de objetos KII, a saber, a Ordem do FSTEC da Rússia de 25 de dezembro de 2017, nº 239, “Aprovação dos requisitos para garantir a segurança de objetos significativos da infraestrutura de informações críticas da Federação Russa”.

Os requisitos estabelecidos na Ordem do FSTEC da Rússia nº 239 são apresentados aos sistemas de informação, sistemas de controle automatizado e redes de informação e telecomunicações de objetos KII significativos. Os critérios para classificar os objetos KII como significativos são descritos na Decisão Governamental No. 127, descrita acima. O cumprimento dos requisitos da ordem considerada pressupõe que a categorização dos objetos KII já tenha sido realizada anteriormente, novamente de acordo com os padrões do PP-127. Além de objetos significativos, de acordo com a decisão do sujeito de KII, as normas do documento em questão podem ser aplicadas a objetos insignificantes, bem como os requisitos da Ordem No. 31. No pedido nº 239, é indicado separadamente que os objetos KII que processam PDs também estão sujeitos aos padrões de proteção de PD e se o objeto KII for GISIS,então as normas da Ordem do FSTEC da Rússia nº 17 para a proteção de SIG são aplicadas e a certificação de um objeto significativo de KII é realizada.

A ordem 239 indica que o desenvolvimento de medidas de ZI de uma instalação significativa de CII deve incluir uma análise de ameaças à segurança e o desenvolvimento de um modelo de ameaça, e as medidas de proteção implementadas não devem afetar adversamente a operação da própria instalação. Como na Ordem nº 31, uma análise de ameaças deve incluir a identificação das fontes de ameaças, a avaliação das capacidades dos infratores (ou seja, a criação de um modelo do violador), a análise das vulnerabilidades dos sistemas utilizados (incluindo o teste de penetração - pentest), a identificação de possíveis maneiras de implementar ameaças e suas conseqüências, neste caso, o FSTEC Rússia deve ser usado.

O pedido nº 239 estipula especificamente que, no caso de desenvolvimento de novo software como parte do subsistema de segurança de um objeto KII significativo, devem ser aplicados padrões para o desenvolvimento seguro de software. Ao usar o SZI, é dada prioridade à funcionalidade de proteção padrão e, ao responder a incidentes com computadores, é necessário enviar informações sobre eles ao sistema SOPKA do Estado.

A lista de medidas organizacionais e técnicas previstas nas disposições desta ordem, dependendo da categoria de significância do objeto de KII e ameaças à segurança da informação, indica itens semelhantes aos da Ordem No. 31:

  • identificação e autenticação;
  • controle de acesso;
  • restrição de ambiente de software;
  • proteção de mídia de armazenamento de computador;
  • auditoria de segurança;
  • proteção antivírus;
  • prevenção de intrusões (ataques de computador);
  • ;
  • ;
  • ;
  • () ;
  • ;
  • ;
  • ;
  • ;
  • ;
  • .

O algoritmo para selecionar e aplicar medidas de proteção descritas no Pedido nº 239 é essencialmente semelhante ao algoritmo do Pedido nº 31 (bem como nos Pedidos nº 17 e nº 21 para a proteção de GIS e PD, respectivamente), exceto que o estágio de refino do conjunto básico de medidas adaptado está incluído no próprio estágio de adaptação do conjunto básico. Portanto, primeiro é feita a escolha de um conjunto básico de medidas para a categoria de significância correspondente do objeto CII, com base na lista proposta na Ordem. Em seguida, o conjunto básico de medidas selecionado é adaptado, o que implica a exclusão de medidas básicas irrelevantes, dependendo das tecnologias utilizadas e das características do objeto KII, bem como a inclusão no conjunto de outras medidas necessárias para neutralizar as ameaças atuais. Por fim, o conjunto adaptado é complementado por medidas estabelecidas por outros documentos legais regulamentares aplicáveis, por exemplo,sobre proteção de informações em GIS, ISPDn, proteção de informações criptográficas, etc. O documento também afirma que, se já forem aplicadas medidas de segurança industrial, funcional ou física nas instalações da KII para neutralizar as ameaças atuais à segurança da informação, medidas de proteção adicionais poderão não ser aplicadas. Além disso, por analogia com a Ordem No. 31, enfatizam-se a importância da continuidade da operação da instalação da CII e a ausência de impacto negativo nas medidas aplicadas: o sujeito da CII pode aplicar medidas compensatórias mais apropriadas em vez das básicas, que bloquearão as ameaças à segurança relevantes para o objeto da CII. Além disso, medidas compensatórias devem ser aplicadas ao usar novas soluções de TI e identificar novas ameaças que não são levadas em consideração pelos desenvolvedores do Pedido.proteção criptográfica de informações, etc. O documento também afirma que, se já forem aplicadas medidas de segurança industrial, funcional ou física nas instalações da KII para neutralizar as ameaças atuais à segurança da informação, medidas de proteção adicionais poderão não ser aplicadas. Além disso, por analogia com a Ordem No. 31, enfatizam-se a importância da continuidade da operação da instalação da CII e a ausência de impacto negativo nas medidas aplicadas: o sujeito da CII pode aplicar medidas compensatórias mais apropriadas, em vez das básicas, que bloquearão as ameaças à segurança relevantes para o objeto da CII. Além disso, medidas compensatórias devem ser aplicadas ao usar novas soluções de TI e identificar novas ameaças que não são levadas em consideração pelos desenvolvedores do Pedido.proteção criptográfica de informações, etc. O documento também afirma que, se já forem aplicadas medidas de segurança industrial, funcional ou física nas instalações da KII para neutralizar as ameaças atuais à segurança da informação, medidas de proteção adicionais poderão não ser aplicadas. Além disso, por analogia com a Ordem No. 31, enfatizam-se a importância da continuidade da operação do objeto CII e a ausência de impacto negativo nas medidas aplicadas: o sujeito da CII pode aplicar medidas compensatórias mais apropriadas, em vez das básicas, que bloquearão as ameaças à segurança relevantes para o objeto CII. Além disso, medidas compensatórias devem ser aplicadas ao usar novas soluções de TI e identificar novas ameaças que não são levadas em consideração pelos desenvolvedores do Pedido.que, se já forem aplicadas medidas de segurança industrial, funcional ou física nas instalações da KII para neutralizar as ameaças atuais à segurança da informação, medidas de proteção adicionais poderão não ser aplicadas. Além disso, por analogia com a Ordem No. 31, enfatizam-se a importância da continuidade da operação da instalação da CII e a ausência de impacto negativo nas medidas aplicadas: o sujeito da CII pode aplicar medidas compensatórias mais apropriadas em vez das básicas, que bloquearão as ameaças à segurança relevantes para o objeto da CII. Além disso, medidas compensatórias devem ser aplicadas ao usar novas soluções de TI e identificar novas ameaças que não são levadas em consideração pelos desenvolvedores do Pedido.que, se já forem aplicadas medidas de segurança industrial, funcional ou física nas instalações da KII para neutralizar as ameaças atuais à segurança da informação, medidas de proteção adicionais poderão não ser aplicadas. Além disso, por analogia com a Ordem No. 31, enfatizam-se a importância da continuidade da operação da instalação da CII e a ausência de impacto negativo nas medidas aplicadas: o sujeito da CII pode aplicar medidas compensatórias mais apropriadas em vez das básicas, que bloquearão as ameaças à segurança relevantes para o objeto da CII. Além disso, medidas compensatórias devem ser aplicadas ao usar novas soluções de TI e identificar novas ameaças que não são levadas em consideração pelos desenvolvedores do Pedido.suficiente para neutralizar as ameaças atuais à segurança da informação, medidas de proteção adicionais podem não ser aplicadas. Além disso, por analogia com a Ordem No. 31, enfatizam-se a importância da continuidade da operação da instalação da CII e a ausência de impacto negativo nas medidas aplicadas: o sujeito da CII pode aplicar medidas compensatórias mais apropriadas em vez das básicas, que bloquearão as ameaças à segurança relevantes para o objeto da CII. Além disso, medidas compensatórias devem ser aplicadas ao usar novas soluções de TI e identificar novas ameaças que não são levadas em consideração pelos desenvolvedores do Pedido.suficiente para neutralizar as ameaças atuais à segurança da informação, medidas de proteção adicionais podem não ser aplicadas. Além disso, por analogia com a Ordem No. 31, enfatizam-se a importância da continuidade da operação da instalação da CII e a ausência de impacto negativo nas medidas aplicadas: o sujeito da CII pode aplicar medidas compensatórias mais apropriadas em vez das básicas, que bloquearão as ameaças à segurança relevantes para o objeto da CII. Além disso, medidas compensatórias devem ser aplicadas ao usar novas soluções de TI e identificar novas ameaças que não são levadas em consideração pelos desenvolvedores do Pedido.enfatizam a importância da continuidade da operação do objeto CII e a ausência de impacto negativo pelas medidas aplicadas: o sujeito da CII pode aplicar medidas compensatórias mais apropriadas, em vez das básicas, que bloquearão as ameaças à segurança relevantes para o objeto da CII. Além disso, medidas compensatórias devem ser aplicadas ao usar novas soluções de TI e identificar novas ameaças que não são levadas em consideração pelos desenvolvedores do Pedido.enfatizam a importância da continuidade da operação do objeto CII e a ausência de impacto negativo pelas medidas aplicadas: o sujeito da CII pode aplicar medidas compensatórias mais apropriadas, em vez das básicas, que bloquearão as ameaças à segurança relevantes para o objeto da CII. Além disso, medidas compensatórias devem ser aplicadas ao usar novas soluções de TI e identificar novas ameaças que não são levadas em consideração pelos desenvolvedores do Pedido.

Os requisitos também são impostos ao próprio SZI: você pode usar as ferramentas que foram avaliadas quanto à conformidade com os requisitos de segurança na forma de testes, aceitação ou certificação obrigatória. Os testes e a aceitação são realizados pelos sujeitos do KII de forma independente ou com a ajuda de licenciados do FSTEC da Rússia. Ao usar o SPI certificado, os requisitos para eles são os seguintes: nas instalações da 1ª categoria de significância, é necessário usar a SPI pelo menos na 4ª classe de proteção, nas instalações da 2ª categoria - SPI pelo menos na 5ª classe e nas instalações da 3ª categoria - SZI não inferior a 6ª série; ao mesmo tempo, em objetos significativos de todas as categorias, é necessário o uso de SVT de pelo menos a 5ª série.

Também é interessante que na Ordem nº 239 os requisitos também sejam dados aos níveis de confiança da SZI. Os níveis de confiança (doravante - UD) são determinados de acordo com a Ordem do FSTEC da Rússia nº 131, de 30 de julho de 2018, na qual são estabelecidas seis UDs (a mais baixa é a 6a, a mais alta é a 1ª). Assim, em objetos da 1ª categoria de significância, deve ser aplicado o SZI correspondente à 4ª ou mais alta UD, em objetos da 2ª categoria - SZI correspondente à 5ª ou mais alta UD e em objetos da 3ª categoria - SZI, correspondente ao 6º ou superior UD. Observe que os pontos sobre os níveis de confiança do SIS aplicado foram introduzidos em março de 2019 após o lançamento da versão inicial da Ordem: anteriormente, os requisitos eram impostos ao nível de controle da ausência de capacidades não declaradas (nos objetos das 1ª e 2ª categorias, era necessário usar o SIS que passou no teste em NDV do 4º nível),mas com o lançamento do Pedido No. 131 mencionado acima, que entrou em vigor em junho de 2019, os requisitos do documento de orientação NDV praticamente deixaram de existir.

Além disso, o Pedido nº 239 enfatiza que, nas instalações da 1ª categoria de importância, os dispositivos certificados para conformidade com os requisitos de segurança da informação devem ser usados ​​como roteadores de borda e, se não puderem ser usados, as funções de segurança dos roteadores de borda comuns devem ser avaliadas na aceitação ou testes de objetos significativos de KII.

Além do mencionado anteriormente, o Pedido indica a importância do uso do SZI, que é fornecido com garantia e / ou suporte técnico, bem como possíveis restrições ao uso de software / hardware ou SZI (aparentemente, os riscos das sanções são). Também é indicado que em uma instalação KII significativa, é necessário proibir o acesso descontrolado remoto e local para atualizar ou gerenciar pessoas que não são funcionários do sujeito da KII, bem como proibir a transferência descontrolada de informações da instalação KII para o fabricante ou outras pessoas. Além disso, todo o software e hardware das instalações KII da 1ª categoria de significância devem estar localizados no território da Federação Russa (com exceção dos casos especificados por lei).

Como podemos ver, a Ordem no 239, apesar de uma estrutura semelhante à de outras ordens do FSTEC da Rússia, tem várias inovações: são requisitos para a conformidade do ISA com níveis de confiança e menção de riscos de sanções e maior atenção para garantir a segurança da interação da rede. Deve-se notar que essa ordem é fundamental para atender aos requisitos de proteção dos objetos KII, portanto, os sujeitos da KII devem estudar suas disposições com atenção especial.

Responsabilidade


A responsabilidade por influência ilegal nos KII da Federação Russa está prevista no artigo 274.1 do Código Penal. Este artigo foi introduzido pela Lei Federal nº 194, de 26 de julho de 2017, com vigência a partir de 01.01.2018. De acordo com este artigo, são puníveis os seguintes:

  • , ;
  • ;
  • , , ;
  • , , , ;
  • , (.. 1 ); , 10 .

Deve-se ter em mente que o efeito deste artigo se aplica a objetos significativos e insignificantes do KII. Além disso, essa norma não leva em conta qual era a categoria de significância do objeto atacado do KII, nem leva em consideração se foi ou não categorizada. O tamanho do dano causado é um sinal de avaliação e é determinado pelo tribunal. O departamento de investigação do FSB da Federação Russa investigará esses crimes, e a medida de restrição durante o período da investigação é a prisão em um centro de detenção antes do julgamento. Também é importante notar que o "progenitor" deste artigo é o artigo 274. — , ( 2013 ). 274.1 : , DDoS- , -, «» .

Além da responsabilidade criminal acima, os sujeitos e funcionários da KII também estão aguardando possíveis sanções administrativas: atualmente, são consideradas emendas ao Código de Ofensas Administrativas da Federação Russa, o que implica a introdução de dois novos artigos e multas monetárias significativas por sua violação:

  • O Artigo 13.12.1 “Violação dos requisitos no campo de garantir a segurança de KII da Federação Russa” fornecerá responsabilidade pela violação do procedimento de categorização de objetos KII, violação dos requisitos para a criação e manutenção de sistemas de segurança de objetos KII significativos, violação de requisitos para garantir a segurança de objetos KII significativos, bem como violação da ordem informar, responder e compartilhar informações sobre incidentes com computadores.
  • O artigo 19.7.15 "A falha em fornecer informações estipuladas pela legislação no campo de garantir a segurança dos KII da Federação Russa" assume a responsabilidade pela violação do procedimento de fornecimento de informações sobre a categorização dos objetos KII no FSTEC da Rússia, bem como pelo não cumprimento das normas de troca de informações com o Estado SOPKA.

Lista de documentos


Além dos atos normativos discutidos acima (187-, -127, Ordens do FSTEC da Rússia nº 31 e nº 239), atualmente os seguintes documentos são legalmente regulamentados pelas questões de proteção das KII:

  1. Decreto do Presidente da Federação Russa de 15 de janeiro de 2013 nº 31c “Sobre a criação de um sistema estadual de detecção, prevenção e eliminação das conseqüências de ataques de computador aos recursos de informação da Federação Russa”, que serviu de ponto de partida para a criação da Comissão Estadual de Proteção e Controle Social e do Centro Nacional de Proteção da Economia Nacional
  2. 22.12.2017 . № 620 « , », , , .
  3. , ( 12.12.2014 № 1274), , , .
  4. , 03.02.2012 . № 79 .
  5. 17.02.2018 № 162 « » 187- , , . , - . , .
  6. 06.12.2017 . № 227 « ».
  7. 21.12.2017 . № 235 « » , , - , - .
  8. 22.12.2017 . № 236 « ».
  9. 11.12.2017 . № 229 « , ».
  10. 24.07.2018 . № 366 « » , .
  11. 24.07.2018 . № 367 « , , , » , . , (, , , , ) 24 .
  12. 24.07.2018 . № 368 « , , , , , ». ( , №367), (, CERT') , . , (. Indicators Of Compromise, IOCs), (Tactics, Techniques and Procedures, TTPs).
  13. 06.05.2019 № 196 « , , » ( , , ) , , .
  14. 19.06.2019 № 281 « , , , , , , » «» , .
  15. 19.06.2019 № 282 « , , , » ( ) . , , . : 3 , — 24 . , 48 . : , .10 () .

Além do acima exposto, o FSB da Federação Russa também emitiu vários outros documentos sobre a proteção do KII, que, no entanto, atualmente não estão disponíveis para revisão gratuita:

  • Recomendações metodológicas do Serviço de Segurança Federal da Federação Russa sobre a criação de centros departamentais e corporativos do sistema estadual para detectar, prevenir e eliminar as conseqüências de ataques de computador aos recursos de informação da Federação Russa.
  • Recomendações metodológicas do FSB da Federação Russa sobre a detecção de ataques de computador aos recursos de informação da Federação Russa.
  • Recomendações metodológicas do FSB da Federação Russa para estabelecer as causas e eliminar as consequências de incidentes com computadores relacionados ao funcionamento dos recursos de informação da Federação Russa.
  • Recomendações metodológicas do NCCCC FSB da Federação Russa sobre medidas para avaliar o grau de proteção contra ataques de computador.
  • Requisitos para departamentos e funcionários dos assuntos do Estado SOPKA.
  • As regras de interação entre as unidades do FSB da Federação Russa e o GosSOPKA estão sujeitas à implementação do intercâmbio de informações no campo da detecção, prevenção e eliminação de ataques de computador.

Source: https://habr.com/ru/post/pt477812/

More articles:


All Articles