НОТА КУПОЛ. Документы: как сделать процесс категорирования прозрачным и быстрым

Такая смена подходов вызвана несколькими факторами:

• Повышение цен на консалтинг, спровоцированное ростом зарплат в сфере ИБ, делает непредсказуемой стоимость услуг подрядчиков, проводящих категорирование.
• Компании из enterprise-сегмента видят все более серьезные риски безопасности при передаче критически важной информации подрядчикам.
• Бизнес не уверен, что при аутсорсе будет создана необходимая ИТ-среда, а у членов внешней команды в реальности будут достаточные компетенции.

Интерес к специализированному ПО есть и у среднего бизнеса — в первую очередь оно актуально для компаний, которые проводят категорирование своими силами, используя для этого электронные таблицы и иные инструменты, вместе с тем до 90% работ проводятся вручную. Это влечет риски ошибок и дополнительных проверок со стороны регулятора.

Компании, которые планируют решать задачу категорирования собственными силами, делают ставку на ИТ-решения, соответствующие требованиям регуляторов. Эти инструменты дают возможность проводить экспертную оценку сценариев реализации атак, определять фактический уровень покрытия требований имеющимися средствами защиты информации (СЗИ) и формировать полный пакет документов по категорированию и модели угроз.

Вендор НОТА (Холдинг Т1) создал автоматизированную систему для категорирования объектов КИИ, включая сбор сведений о сетевых активах и инвентаризации информационных систем — НОТА КУПОЛ. Документы». Решение подойдет для предприятий атомной, горнодобывающей, металлургической и химической промышленности, в организациях банковской сферы, топливно-энергетического и военно-промышленного комплексов. Система будет эффективна в учреждениях здравоохранения, науки, транспорта и связи. Ее задача — обеспечивать безопасность и бесперебойную работу важнейших элементов цифровой инфраструктуры, в соответствии с актуальными регуляторными требованиями.

Кроме того, инструмент может быть эффективно использован компаниями-интеграторами. С его помощью специалисты, оказывающие услуги категорирования могут вести единую базу по различным субъектам КИИ и формировать отчетность для заказчиков в установленном формате.

Сложности самостоятельного категорирования объектов КИИ

В соответствии с Указом Президента № 250 от 01.05.2022 г. все субъекты КИИ должны перейти на использование сертифицированного отечественного оборудования и ПО, а также пройти процедуру категорирования в соответствии с приказом № 127 ФСТЭК России и получить комплексную оценку по ряду показателей, которые определяются набором мер по обеспечению безопасности объекта КИИ.

Процедура строго регламентирована. Организации необходимо сформировать комиссию по категорированию, подготовить и согласовать с регулирующим органом перечень объектов КИИ (сегодня в этой работе участвуют представители семи профильных министерств), уведомить ФСТЭК России в соответствии с установленной законом процедурой и провести обследование. По итогам этой работы должен быть сформирован отчет с оценкой потенциальных угроз информационной безопасности (ИБ), а также установлена категория значимости объектов. Результаты требуется передать во ФСТЭК России.

Компании, планирующие самостоятельно провести категорирование, сталкиваются со следующими задачами:

• провести инвентаризацию активов и СЗИ;
• учесть все потенциальные уязвимости и требуемые меры защиты в соответствии с категорией значимости объекта;
• сформировать документы для аудита и категорирования;
• учесть специализированные или отраслевые требования, а также требования в соответствии с категорией значимости объекта;
• аккумулировать всю информацию в одном месте и систематически ее актуализировать;
• обеспечить оперативное прохождение проверок или повторное категорирование при замене оборудования или ПО.

Преимущества НОТА КУПОЛ. Документы

НОТА КУПОЛ. Документы — это единое рабочее пространство для учета сведений о субъектах КИИ и относящихся к нему объектов (ОКИИ). Система обеспечивает полный контроль и прозрачность процесса категорирования за счет агрегации всей информации об объектах КИИ, о лице, эксплуатирующем объекты, о взаимодействии ОКИИ и сетей электросвязи, о программных и программно-аппаратных средствах.

Категорирование проводится в полном соответствии с требованиями 187-ФЗ. Система автоматизирует все этапы — от создания комиссии до отправки отчета в ФСТЭК России.

С помощью НОТА КУПОЛ. Документы в автоматизированном режиме можно провести инвентаризацию сетевых активов, собрать и обработать информацию по оборудованию и ПО, используемому субъектом КИИ, а также актуализировать имеющиеся данные. В состав системы включен специальный инструмент — Сканер, который собирает данные обо всех сетевых узлах организации, включая сервисы и приложениях. Когда необходимо провести инвентаризацию в изолированном сегменте сети, сканер может работать, как Standalone-решение.

Продукт помогает провести категорирование объектов КИИ, согласно требованиям регулятора и отраслевых министерств. Для этого экспертная группа описывает информационную систему и формирует модель угроз для нее в автоматизированном режиме. Это служит основой для определения требований по безопасности и уровню покрытия СЗИ. Следующим этапом заполняются показатели значимости объекта КИИ, после чего этого объекту автоматически присваивается категория. В дополнение в автоматическом режиме система формирует перечень необходимых мер защиты в отношении объекта КИИ.

В системе предусмотрена возможность генерации отчетных документов, в соответствии с актуальными рекомендациями регулятора.

Категорирование с помощью НОТА КУПОЛ. Документы позволяет организациям:

• провести инвентаризацию информационной инфраструктуры;
• сформировать перечень объектов информатизации, таких как информационные системы, телекоммуникационные системы и АСУ ТП, а также определить их связи, зависимости и иерархию;
• описать сложные системы распределенного вида;
• указать всех пользователей систем, используемые устройства и ПО;
• на основании экспертной оценки, в автоматизированном режиме создать перечень угроз и сформировать модель угроз, что позволит сформировать список СЗИ необходимых для дальнейшей закупки.

Категорирование и отчетность перед регулятором — не единственная задача, в которой может помочь НОТА КУПОЛ. Документы.

Система позволяет управлять инфраструктурой и проводить мониторинг состояния субъектов КИИ, детально описывать отраслевые объекты и проводить аудит сетевых узлов на соответствие практикам комплаенс. Сканер автоматически проверяет конфигурации сетевых узлов требований безопасности и наличие межсетевых экранов.

Внедрение и использование решения

НОТА КУПОЛ. Документы — довольно простой во внедрении продукт, даже на больших предприятиях процесс занимает не более 7 дней. Решение работает на отечественных операционных системах, сертифицированных ФСТЭК России, и на российских решениях виртуализации, легко интегрируется с ALD FreeIPA и с Active Directory.

С помощью системы НОТА КУПОЛ. Документы процедура категорирования занимает в несколько раз меньше времени, чем при ручном режиме и позволяет избежать ошибок или недостоверных сведений при присвоении категории объектам КИИ.

Экономический эффект от внедрения системы НОТА КУПОЛ. Документы напрямую зависит от субъекта и прямо пропорционален его масштабу. Так, на предприятии отрасли электроэнергетики в одном из 12 филиалов (отдельных юридических лиц), обладающем 34 тыс. активов, 700 объектами КИИ и 3,5 тыс. информационных систем, категорированием занималось 8 человек, каждый — в среднем, по 2 месяца. Всего в процедуре было задействовано порядка 90, а общие трудозатраты составили 180 человеко-месяцев. После внедрения системы на первичное категорирование было затрачено 10 человеко-месяцев.