В последнее время на рынке информационной безопасности Российской Федерации часто упоминается термин «ключевые системы информационной инфраструктуры», или сокращенно КСИИ. Для многих остается непонятным назначение этого термина, а также принципов, согласно которым информационные системы предприятий и организаций относятся к ключевым системам информационной инфраструктуры.
Исходя из официального определения, ключевая система информационной инфраструктуры — это информационно-управляющая или информационно-телекоммуникационная система, которая осуществляет управление критически важным объектом (процессом), или информационное обеспечение управления таким объектом (процессом), или официальное информирование граждан. В результате деструктивных воздействий на эту систему может сложиться чрезвычайная ситуация или будут нарушены выполняемые системой функции управления со значительными негативными последствиями. Как можно заметить, термин «ключевые системы информационной инфраструктуры» неразрывно связан с другим термином «критически важный объект». Критически важными объектами называют структуры, прекращение или нарушение функционирования которых приводит к чрезвычайной ситуации или значительным негативным последствиям для инфраструктуры страны либо для жизнедеятельности населения.
Таким образом, к ключевым системам информационной инфраструктуры в первую очередь относятся автоматизированные системы управления технологическими процессами (АСУ ТП) объектов атомной промышленности, топливно-энергетического комплекса, транспортной отрасли и т. д. Любая система АСУ ТП, управляющая критически важным объектом или опасным в экологическом плане производством, относится к ключевым системам информационной инфраструктуры.
Кроме того, к ключевым системам информационной инфраструктуры относятся информационные системы государственных структур федерального или регионального масштабов. Например, система «АИС Налог» Федеральной налоговой службы и система электронных платежей Банка России также являются КСИИ, поскольку они непосредственно влияют на стабильность функционирования финансовой системы Российской Федерации.
Подходы к обеспечению информационной безопасности и технические требования защиты ключевых систем информационной инфраструктуры регламентируются комплектом документов, выпущенных Федеральной службой по техническому и экспортному контролю (ФСТЭК России). Комплект ФСТЭК по КСИИ включает в себя следующий перечень документов:
- общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры;
- рекомендации по обеспечению безопасности информации в ключевых системах информационной инфраструктуры;
- базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры;
- методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры.
В информационных системах некоторых организаций может сложиться неоднозначная ситуация. С одной стороны, в системе обрабатываются персональные данные, которые следует защищать в соответствии с Федеральным законом № 152‑ФЗ и приказом ФСТЭК № 58. А с другой стороны, информационная система относится к КСИИ, что обязывает ее владельца обеспечить информационную безопасность такой системы в соответствии с комплектом документов ФСТЭК по КСИИ. Разумеется, система обеспечения информационной безопасности такой организации должна быть единой, и принципы ее построения и средства защиты — соответствовать нормативным документам, как в части персональных данных, так и в части КСИИ.
Документы ФСТЭК регламентируют технические требования не только к средствам защиты информации, но и к организации процессов управления информационной безопасностью КСИИ. Например, разработка плана действия в чрезвычайных ситуациях и регламента управления инцидентами — также неотъемлемая часть обеспечения информационной безопасности КСИИ. В целом комплект документов по КСИИ представляет собой хорошо структурированный перечень требований и рекомендаций, построенных на основе анализа угроз и степени критичности защищаемой системы, отнесенной к КСИИ. Документы предусматривают классификацию систем по назначению и уровням важности. Требования к защите КСИИ предъявляются на основе отнесения ее к определенному уровню важности и типу. Классифицировать КСИИ надо на основании требований документа «Система признаков критически важных объектов и критериев отнесения функционирующих в их составе информационно-телекоммуникационных систем к числу защищаемых от деструктивных информационных воздействий», утвержденного секретарем Совета безопасности Российской Федерации.
Вопросы защиты автоматизированных систем управления технологическими процессами важных инфраструктурных объектов актуальны не только в нашей стране. Это подтверждается появлением множества новых стандартов и лучших практик по информационной безопасности АСУ ТП, выпущенных международными институтами по стандартизации, отраслевыми или государственными организациями. Причины подобной активности — высокая степень риска террористической угрозы в современном мире и уязвимость систем АСУ ТП перед современными кибератаками. В качестве примера уязвимости систем АСУ ТП можно привести широко обсуждаемый инцидент с атакой иранских ядерных объектов вирусом Stuxnet. Сетевой червь Stuxnet распространялся, используя уязвимости операционных систем Microsoft. При этом целью данного вредоносного кода были системы управления технологическими процессами производства компании Siemens.
Текущая ситуация в России с обеспечением информационной безопасности в технологических сетях АСУ ТП тоже не вызывает оптимизма. Уязвимостей в технологических сетях наших предприятий и организаций более чем достаточно. На некоторых объектах технологические сети являются частью единой офисной сети с подключением к сетям общего пользования. При этом оборудование систем АСУ ТП не имеет практически никаких средств защиты, и операционные системы обновляются крайне редко (либо вообще не обновляются). Все это делает комплексы АСУ ТП легкой мишенью для атак.
Проблемы в области информационной безопасности технологических сетей АСУ ТП как наиболее важных КСИИ вызваны как объективными, так и субъективными причинами. К объективным можно отнести проблемы, связанные с возможным влиянием средств защиты информации на задержки и время реакции систем АСУ ТП. Многообразие систем АСУ ТП, использование уникальных отечественных разработок, созданных ранее с использованием технологий файлового обмена, действительно иногда не позволяют применять средства защиты на серверном оборудовании АСУ ТП. Несмотря на подобные факты, большинство систем АСУ ТП не конфликтует со средствами защиты при правильной их установке и конфигурации. Упомянутые выше системы производства компании Siemens стабильно функционируют с установленными средствами антивирусной защиты.
Более того, компания Siemens проводит тестирование и выпускает документацию по установке и настройке средств защиты, совместимой с их продуктами АСУ ТП. К сожалению, отечественные разработчики систем АСУ ТП не тестируют их на совместимость со средствами защиты. Поэтому тестирование совместимости систем АСУ ТП и средств защиты ложится на плечи системного интегратора, который внедряет систему обеспечения информационной безопасности КСИИ. Чтобы обеспечить уверенность в успешном внедрении средств защиты, применяемые технические решения предварительно отрабатываются на полигоне. Организуется предварительная приемка с приглашением представителей заказчика. Главное требование внедрения средств информационной безопасности КСИИ — обеспечение доступности систем АСУ ТП, так как чаще всего технологическая информация не конфиденциальна. Поэтому сохранение уровня отказоустойчивости существующих систем АСУ ТП в технологических сетях и использование средств защиты в режиме «горячего резервирования» становится одним из приоритетов при создании системы обеспечения информационной безопасности. Сегментирование технологических и информационных сетей с учетом критичности управляемого технологического процесса, уровней важности систем и существующих технологий информационного обмена тоже относится к ключевым факторам построения надежной системы защиты.