Чуть больше трех лет назад "Медиа Холдинга ТВК" решил пройти процедуру категорирования объектов критической информационной инфраструктуры. Тогда, взвешивая все "за" и "против", мы исходили из того, что рано или поздно это все равно станет обязательным, а вопрос информационной безопасности в текущих реалиях — жизненно важен. Но, забегая вперед, могу сказать: то, как мы понимали и реализовывали этот процесс вначале, сильно отличалось от того, что пришлось переделывать потом.
Бюрократические лабиринты и интерпретации
Информации о КИИ, приказов и постановлений — огромное количество, но как применять их на практике — никто в нашей компании толком не знал. Технический директор вместе с юристом перечитывали законы, пытаясь добиться разъяснений от регулирующих органов. В ответ, как правило, слышали: "Читайте приказы, там все изложено". Но проблема в том, что эти приказы местами противоречат друг другу, а формулировки настолько двояки, что даже сами сотрудники управлений не уверены в их трактовке.
Возьмем, к примеру, определение субъектов КИИ: "государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи...".
Возникает вопрос: речь идет о субъектах, функционирующих в конкретной сфере, или только об информационных системах в этой сфере? Некоторые, в угоду себе, трактуют как информационные системы, но это ошибочное мнение. Благо, наш техдиректор когда-то учился на учителя русского и литературы. Это позволило ему разобраться в хитросплетениях формулировок.
Переосмысление и усиленная подготовка
Поняв, что имеющихся у нас знания явно недостаточно, было принято решение отправиться на обучение-переподготовку в Новосибирский государственном техническом университете (НГТУ).
В НГТУ предусмотрено две программы: для руководителя — 706-часовой курс профессиональной переподготовки по программе "Обеспечение информационной безопасности", и для технических специалистов — объемом 43 часа. Это позволило получить фундаментальные знания и практические навыки, необходимые для приведения наших систем в соответствие с требованиями законодательства.
Именно тогда пришло осознание — все, что было сделано нами ранее, покрывает лишь 20% от требуемого объема.
Спустя два с половиной года с момента начала работ, к нам пришло уведомление о грядущей проверке.
За настройку безопасности сети мы были спокойны, так как всегда подходили к этому вопросу со всей ответственностью. Но подготовка регламентирующей документации заняла восемь месяцев напряженной работы. Первым шагом стало привлечение в штат сотрудника с профильным высшим образованием. Нам повезло найти будущего выпускника прямо перед защитой диплома. Собеседование, защита — и вот он в нашей команде. Также мы консультировались со всеми, кто имел хоть какое-то отношение к этой теме. Было потрачено немало денег, сил и времени.
Модель угроз — основа защиты
Результатом этой титанической работы стало успешное прохождение проверки. Она заняла всего четыре дня из отведенных пяти, и мы получили лишь небольшие замечания. А обратная связь от проверяющих была лестной: "Так хорошо еще никто не готовился".
Самым сложным оказалась разработка модели угроз. На нее ушло два с половиной—три месяца, и она заняла около 150 страниц. Но это — фундамент, на котором строится вся система безопасности: детальное описание всей сетевой инфраструктуры и возможных вариантов негативного воздействия в зависимости от типа нарушителя, со всеми вытекающими угрозами безопасности. Только отталкиваясь от этого документа, можно четко понять, что, как, чем и от кого защищать.
Рекомендация коллегам: не откладывайте вопрос категорирования КИИ в долгий ящик. Подготовиться к проверке за один—два месяца будет стоить невероятного количества ресурсов и нервов. Опыт нашей компании показывает, что заблаговременная и глубокая работа — залог не только успешного прохождения проверок, но и надежной защиты ваших информационных систем.
Об авторе
- Войдите или зарегистрируйтесь, чтобы оставлять комментарии
