Сергей Борисов, УЦСБ: Что делать компаниям, которые подпадают под 187-ФЗ
В России достаточно много организаций, которые затронул 187-ФЗ. Чаще всего они не владеют значимыми объектами КИИ, но в силу своих размеров или отсутствия квалифицированных ИБ-сотрудников не могут выполнить категорирование своими силами. О том, почему не стоит затягивать с исполнением требований регулирующих организаций и как в этом могут помочь облака, в интервью CNews рассказали Сергей Борисов, заместитель руководителя по информационной безопасности «Уральского центра систем безопасности» (УЦСБ), и Роман Касьянов, руководитель направления автоматизации процессов ИБ в УЦСБ.
CNews: Расскажите, какова сейчас, на ваш взгляд, ситуация с защитой объектов КИИ в России? Насколько полно реализуются планы государства в этом направлении?
Сергей Борисов: Можно констатировать, что требования российского законодательства по этому вопросу только совсем недавно стали полными. С одной стороны, серьезную работу проводили регулирующие организации, постоянно обновляя требования и регламенты. С другой — подключились компании, которые определяли, есть ли у них объекты КИИ, проводили категорирование и начинали создавать системы безопасности. Но даже первый этап прошли не более 10% организаций. Остальные 90% еще не дали никакой обратной связи ФСТЭК России. И есть большая вероятность, что находящаяся в их распоряжении критическая инфраструктура не защищена и требования законодательства РФ не выполнены.
CNews: А почему они не занимаются этим вопросом?
Сергей Борисов: Есть целая группа причин. Некоторые компании в принципе не знают, что у них появились какие-то новые обязанности. Другие вступили на этот путь, но столкнулись с нехваткой бюджетов и теперь ждут, когда у них появится финансирование. Есть, к сожалению, и такие организации, которые видят, что жестких административных наказаний за несоблюдение законодательства в этой части пока нет, поэтому они заняли выжидательную позицию. Следствием этого стало ужесточение позиций регулирующих организаций, которые в 2019 году начали вводить ответственность за несоблюдение условий, касающихся категорирования объектов КИИ и не уведомления об инцидентах.
Выделю еще одну причину: предприятия, которые привыкли работать только с персональными данными, просто не знают, с чего им начинать защиту КИИ. Да, регламентирующие документы утверждены, но они рассчитаны на экспертов, а исчерпывающих и популярных разъяснений от регулирующих организаций нет, и это вызывает сложности.
CNews: Какие современные типы угроз актуальны для объектов КИИ?
Сергей Борисов: Все. Это связано с тем, что с критической инфраструктурой работает очень большой пласт организаций. Если говорить про владельцев значимых объектов КИИ, то наибольшую опасность для них несут целевые атаки.
CNews: С какими сложностями чаще всего сталкиваются организации, перед которыми встает вопрос категорирования объектов? Какие ошибки они допускают?
Сергей Борисов: Стоит подчеркнуть, что крупные компании, гиганты рынка из условного топ-20, достаточно активно проводят категорирование и получают обратную связь от регулирующих организаций. Ошибки на этом пути возникали, но не были критичными благодаря наличию оперативной обратной связи от регулирующих организаций. Сейчас эти корпорации уже строят системы защиты. Основные проблемы связаны с тем, что самих нормативных актов бывает недостаточно, нужны какие-то дополнительные комментарии, разъяснения, методики заполнения.
Есть более концептуальные проблемы. Например, они возникают, когда компании силами только одного специалиста ИБ-департамента пытаются выполнить всю работу. И в какой-то момент оказывается, что это невозможно сделать без привлечения представителей ключевых бизнес-подразделений. Только в этом случае можно оценить, какой ущерб от нарушения функционирования элементов инфраструктуры будет нанесен организации. Это касается и территориально распределенных компаний, у которых работа идеально проводится на уровне головного офиса, но потом возникают сложности в проведении той же работы для десятка филиалов.
Поэтому основным технологическим трендом, связанным с категорированием, стала автоматизация этого процесса.
CNews: Расскажите, какие технологии и решения, представленные на российском рынке, могут помочь компаниям в исполнении требований государства?
Сергей Борисов: Если говорить о категорировании, то на российском рынке представлен общий класс решений в виде систем управления процессами информационной безопасности (SGRC), которые были адаптированы под задачу категорирования объектов КИИ. Они помогают бизнесу оценить риски и требования к безопасности, спланировать работу в части снижения рисков и выполнения требований законодательства. На российском рынке есть несколько решений, предназначенных для этой задачи, представляемых различными производителями.
Здесь важно понимать, что западные управленческие системы подобного рода плохо адаптированы под требования российских нормативно-правовых актов. Поэтому акцент на рынке делается на отечественные разработки.
CNews: Что делать компаниям, у которых нет полноценных ИБ-департаментов либо они развиты слабо? Можно ли получить сервис для категорирования объектов извне?
Сергей Борисов: Не все могут внедрять себе полноценные коробочные решения. Существуют онлайн-сервисы, но их совсем немного. Поэтому спрос на них достаточно высок. При этом пандемия немного повысила привлекательность облачных сервисов и уровень доверия к ним в целом.
CNews: А эти коробочные решения намного дороже онлайн-вариантов?
Сергей Борисов: Да, класс SGRC-систем вообще рассчитан на крупные компании, поэтому все подобные решения — достаточно дорогие. Облачные варианты в каком-то смысле расширяют нишу с точки зрения ценового предложения. «Уральский центр систем безопасности» тоже когда-то тоже начинал с крупных корпоративных клиентов и коробочных вариантов. Но потом мы увидели большой рынок малых и средних организаций, которым нужны более дешевые решения с более быстрым развертыванием, для которых не нужно покупать серверы. Зато — можно практически моментально запустить процедуру категорирования, узнать, что в организации нет значимых объектов, отчитаться регулирующим организациям и забыть о проблеме. Такие сценарии тоже очень стали актуальны.
Поэтому было принято решение использовать наш большой опыт в качестве преимущества. Мы уже реализовали значительное количество проектов в сфере защиты критической информационной инфраструктуры, в том числе связанных с категорированием. Так появилось наше решение на базе ePlat4m.
CNews: Роман, можете подробнее рассказать об этом решении? Как оно реализовано с технологической точки зрения? В чем принцип его работы?
Роман Касьянов: В течение 5 лет мы реализуем проекты по автоматизации процессов ИБ на базе sGRC-платформы ePlat4m. Мы реализовали порядка 10 универсальных модулей для разных ИБ-процессов. В их числе — управление активами, управление инцидентами, управление требованиями и так далее. В 2018 году, ожидая большой интерес заказчиков к безопасности объектов КИИ, мы разработали модуль, который позволяет выполнить требования регулирующих организаций по категорированию без существенных затрат сил и времени. Фактически, модуль ePlat4m.КИИ обеспечивает формирование пакета документов для направления во ФСТЭК России на основе существующих данных об инфраструктуре. Данное решение мы успешно внедряли для крупных заказчиков по традиционной схеме, в которой локально разворачивается сервер, устанавливается наше приложение, и заказчик его использует на своей инфраструктуре. Почти всегда это сопровождалось еще и внедрением дополнительных модулей.
Сегодня на рынке существует много компаний, которые попадают под действие 187-ФЗ, но при этом не обладают необходимыми внутренними компетенциями и ресурсами. В основном, это малый и средний бизнес. Мы адаптировали наше решение таким образом, чтобы его можно было использовать как онлайн-сервис, развернув в облаке. Теперь наши заказчики имеют возможность по подписке получить доступ к этому модулю, а дополнительно мы предоставляем еще и нашу экспертизу, которая просто позволяет разобраться с вопросами категорирования объектов. Я думаю, что это достаточно эффективный формат предоставления услуг.
CNews: Сколько времени вы разрабатывали это решение?
Роман Касьянов: Сама платформа разрабатывается достаточно давно, порядка пяти лет. Модуль для категорирования мы начали реализовывать 2-3 года назад. Сейчас идут постоянные эволюционные доработки под различные требования заказчиков.
CNews: В чем разница между онлайн-версией и развертыванием в инфраструктуре заказчика?
Роман Касьянов: Мы предполагаем, что инфраструктурный вариант интереснее более крупным заказчикам, у которых сформированы процессы по информационной безопасности. Тем более, они вряд ли ограничатся одним лишь модулем.
Также у нас есть кейсы, когда модуль приобретался не конечным заказчиком, а интегратором, оказывающим услуги категорирования. В таких ситуациях мы выступаем как вендор программного обеспечения.
CNews: Каковы основные преимущества такого подхода перед наймом подрядчика или категорированием своими силами?
Роман Касьянов: Если сравнивать со сценарием с наймом подрядчика, то это просто дешевле. В полноценном проекте с привлечением внешней экспертизы смысл есть тогда, когда речь идет о крупных компаниях, которые владеют несколькими значимыми объектами КИИ, и в дальнейшем им нужно будет не только отчитаться перед регулирующими организациями, но и выполнить ряд технических мер. Такие кейсы у УЦСБ тоже есть.
Актуален сценарий использования модуля ePlat4m.КИИ, когда речь идет о территориально распределенной инфраструктуре, до которой физически не всегда бывает легко добраться. В этом случае можно применять наш модуль как средство совместной работы. Люди на местах могут по шаблонам собрать данные, и при этом им не обязательно даже разбираться в информационной безопасности. После этого данные через наш модуль отправляются в некий центр, в котором проходит категорирование, и там же профильные специалисты обрабатывают все данные и формируют итоговый отчет. Если в процессе у компании-заказчика возникают какие-то вопросы, то в рамках нашего сервиса можно получать все необходимые консультации.
Для малых и средних организаций в 99% случаев мы приходим к выводу, что значимых объектов КИИ у заказчика нет. Тогда автоматически формируется пакет документов, и заказчику остается их распечатать, подписать и направить во ФСТЭК России.
Если говорить о категорировании своими силами, то это вопрос наличия штатных специалистов. Когда компания не занимается целенаправленно информационной безопасностью, либо отдает все связанные процессы в отдел ИТ — у нее нет опыта. Такая организация столкнется со множеством проблем, в том числе и потому, что для правильной интерпретации законодательства в сфере ИБ необходимо обладать должным уровнем экспертизы.
У специалистов УЦСБ есть многолетний практический опыт, который мы, безусловно, транслируем в наш модуль и делимся с заказчиками в рамках сервиса. Плюс, мы регулярно сталкиваемся с регулирующими организациями, с их замечаниями, консультируемся со специалистами ФСТЭК России на предмет того, какой они видят процедуру категорирования. Поэтому мы готовы значительно упростить и ускорить процедуру, позволив заказчику избежать значительных замечаний.
CNews: Можете ли вы привести примеры кейсов, в которых был использован ваш сервис?
Роман Касьянов: Не называя заказчика, расскажу о нашем клиенте из сферы здравоохранения. У компании нет собственного отдела ИБ, а вопрос о категорировании встал в связи с достаточно жестким регулированием медицинской отрасли. Эта организация как раз стояла перед выбором: нанять подрядчика либо провести категорирование своими силами. В итоге было принято решение приобрести услуги онлайн-сервиса.
Как был организован процесс? Мы предоставили онлайн-доступ и провели демонстрацию-обучение для тех сотрудников, которые будут пользоваться сервисом. Вопросы возникали не столько в контексте использования ПО, сколько в плане правильного подхода к сбору данных, их интерпретации и внесения. После этого заказчик самостоятельно ввел все необходимые сведения. Кстати, если данные уже собраны в каком-нибудь программном обеспечении по инвентаризации или даже в Excel, их можно импортировать.
В итоге был сформирован перечень объектов КИИ. Мы обсудили его с заказчиком, после чего направили во ФСТЭК России. Затем началась процедура категорирования, на которую отводится один год. В нашем сервисе процесс сводится к тому, что специалисты заказчика, ответственные за эксплуатацию объектов КИИ заполняют опросные листы. По результатам ответов был сформирован акт и сведения о категорировании, которые были направлены во ФСТЭК России.
На всех этапах мы поддерживаем заказчика, обсуждаем с ним корректность заполнения, необходимость внесения исправлений и так далее. Итогом этой работы стал документ о том, что компания не владеет значимыми объектами КИИ.
Отмечу, что в тех случаях, когда какой-то объект все же попадает под категорию, мы готовы и дальше сопровождать заказчика, уже за рамками отдельного облачного модуля, и делиться с ним всей доступной нам экспертизой.