Рассматривать особенности мониторинга в ГИС лучше в сравнении с особенностями мониторинга других типов информационных систем. Наиболее близким к ГИС, на наш взгляд, можно считать объекты КИИ (критической информационной инфраструктуры) потому что:
- ГИС может являться объектом КИИ;
- требования по обеспечению информационной безопасности ГИС регламентированы нормативно-правовыми актами (например, приказы ФСТЭК);
- ГИС функционирует в государственных организациях, и КИИ может функционировать в государственных организациях.
- состав контролируемых объектов;
- режим работы и время реагирования;
- необходимость взаимодействия с ГосСОПКА;
- состав работ центра мониторинга.
Состав контролируемых объектов
Начнем с общего состава контролируемых ресурсов. Чаще всего под контроль берется исключительно аттестованная информационная система (ГИС), в которую входят АРМ и серверы, участвующие в обработке защищаемой информации.Также мониторинг может реализовываться за счет контроля системы обнаружения вторжения (СОВ) уровня сети, которая внедряется и используется для реализации соответствующих мер 17 приказа ФСТЭК России. В этом случае СОВ может анализировать трафик не только узлов, входящих в состав ГИС, но и смежных локальных сетей, что в свою очередь дает большее покрытие инфраструктуры. Такой подход к организации процесса мониторинга вполне жизнеспособен и имеет неплохой результат.
Однако для обеспечения комплексной защиты покрытие должно быть полным, так как неконтролируемые узлы сети могут и чаще всего взаимодействуют с узлами ГИС, и в случае негативного воздействия на первые риск компрометации вторых будет значительно выше. То есть если злоумышленник смог провести атаку на неконтролируемый узел сети, получить к нему доступ и при этом остаться незамеченным, то развить атаку на узлы ГИС ему будет легче, чем если бы его действия были зафиксированы на ранних этапах атаки, и команда ИТ и ИБ совместно с SOC активно препятствовали ему.
По аналогии с ГИС в КИИ чаще всего контролируется именно КИИ. Такой подход зачастую связан с требованиями 239 приказа ФСТЭК России, который распространяет свое действие в отношении только значимых объектов КИИ, и 187-ФЗ, который регламентирует оповещение НКЦКИ (национальный координационный центр по компьютерным инцидентам) в случае выявления инцидентов ИБ на ОКИИ без привязки к категориям. Соответственно, остальные узлы инфраструктуры, не относящиеся к ОКИИ, чаще всего не контролируются.
Отдельно можно отметить нюанс, связанный с составом объектов КИИ. В соответствии с 187-ФЗ, объектом КИИ должны являться все информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, принадлежащие субъектам КИИ. Но на деле чаще всего выделяют отдельные объекты и контроль осуществляют только для них.
Также в отличие от ГИС ОКИИ может функционировать «сам по себе», то есть работать без подключения к локальной сети и портов ввода информации, а также без возможности установки дополнительного ПО, которое бы позволяло отслеживать изменения в журналах такой системы.
В итоге мониторинг информационной безопасности объектов КИИ оказывается невозможен классическими методами. Стоит отметить, что и реализация многих компьютерных атак и инцидентов ИБ также невозможна по причине особенностей самого объекта.
Режим работы и время реагирования
Режим работы центра мониторинга напрямую зависит от заданного времени реагирования. В случае с ГИС требований со стороны регулятора ко времени реагирования на инциденты ИБ нет, поэтому оператор ГИС может определить его самостоятельно.Чаще всего центр мониторинга при контроле ГИС функционирует 8х5 в ручном режиме, так как организации в госсекторе работают по этому графику. Следовательно, в случае подозрения на инцидент ИБ ответственное лицо может оперативно среагировать только в рабочее время.
Бывают и исключения. Например, если оператор ГИС организует контроль в рабочие дни своими силами, а контроль со стороны центра мониторинга необходим во внерабочие часы, то мониторинг может осуществляться 24х7: в виде поддержки и консультаций для ГИС и мониторинга в остальные часы. Время реагирования при таком режиме может оставаться таким же, как при режиме 8х5, так как во внерабочее время у ответственного лица не всегда есть возможность отработать инцидент ИБ.
Взаимодействие с ГосСОПКА
Операторы ГИС могут передавать информацию об инцидентах ИБ в ГосСОПКА, и на сегодня эта возможность добровольная. Однако для субъектов КИИ, которым присвоена категория значимости, время реагирования на инцидент ИБ и последующее уведомление НКЦКИ строго регламентировано.Состав работ центра мониторинга
Операторы ГИС могут самостоятельно формировать состав услуг центра мониторинга и реагирования на инциденты ИБ.Зачастую в состав услуг центра входит не только мониторинг и реагирование на инциденты ИБ, но и периодические мероприятия по актуализации информации об инфраструктуре и оценке защищенности, более глубокое и детальное расследование инцидентов и прочее.
Например, субъектам КИИ, у которых по результатам категорирования были выявлены значимые объекты КИИ, необходимо выполнять требования 239 приказа ФСТЭК. В рамках этих требований субъект КИИ должен определить для себя наиболее оптимальную периодичность и выполнять работы по проведению инвентаризации, анализу уязвимостей прикладного и системного ПО, оценке защищенности с помощью тестирования на проникновение. Помимо этих работ в приказе регламентированы и другие, однако чаще всего в составе предоставляемых услуг центров мониторинга фигурируют вышеперечисленные.
Операторы ГИС также могут проводить данные работы. Главное отличие — целью будет не столько выполнение требований регулятора, сколько повышение уровня защищенности.
Таким образом, мониторинг инфраструктуры операторов ГИС достаточно специфичен. В ходе сравнения его с мониторингом инфраструктуры объектов КИИ мы определили, что оба типа информационных систем требуют особого подхода. Но несмотря на дополнительный объем особенностей, операторы ГИС выбирают более широкий спектр работ центра мониторинга с целью повышения уровня защищенности и противодействия актуальным кибератакам.