Обзор Security Vision КИИ — программного комплекса по автоматизации учёта и категорирования

Программный комплекс Security Vision КИИ от Группы компаний «Интеллектуальная безопасность» (бренд Security Vision) предназначен для автоматизации процессов категорирования и обеспечения безопасности объектов критической информационной инфраструктуры (КИИ). Он обеспечивает хранение и учёт объектов КИИ на протяжении всего их жизненного цикла, а также автоматизацию формирования отчётности и других процедур, предусмотренных законодательными и нормативными документами в области киберзащиты КИИ РФ.

Сертификат AM Test Lab

Номер сертификата: 286

Дата выдачи: 26.05.2020

Срок действия: 26.05.2025

Реестр сертифицированных продуктов »

1. Введение
2. Архитектура платформы Security Vision
3. Системные требования
4. Функциональные возможности

5. Работа с Security Vision КИИ

     1. 5.1. Основные сведения
     2. 5.2. Ролевая модель
     3. 5.3. Работа с базой активов
     4. 5.4. Работа с объектами КИИ
     5. 5.5. Просмотр информации о системе
     6. 5.6. Взаимодействие с НКЦКИ (ГосСОПКА)

6. Лицензирование
7. Выводы

Введение

1 января 2018 года вступил в силу Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее — «187-ФЗ»). Потребность в законе, который регулировал бы отношения, возникающие при обеспечении устойчивого функционирования КИИ РФ в условиях проведения компьютерных атак на неё, ощущалась задолго до его выхода в свет. По этой причине появление данного законодательного акта было воспринято профессиональным сообществом с оптимизмом.

На сегодняшний день в дополнение к 187-ФЗ выпущено большое число подзаконных актов, методических рекомендаций, разъяснений по концептуальным вопросам обеспечения безопасности КИИ и проблемам частного характера, затрагивающим специфику отдельных отраслей производства. Между тем, вопреки ожиданиям, проблематика практической реализации действующего законодательства ни в малейшей степени не утратила своей актуальности: животрепещущие темы из этой области обсуждаются на конференциях по информационной безопасности и вебинарах, в колонках профильных журналов и специализированных группах в социальных сетях. В одном только телеграм-чате «КИИ 187-ФЗ» в отдельные дни завязываются жаркие дискуссии из сотен сообщений. При этом они берут начало в самых невинных вопросах, трактовка которых, казалось бы, не должна вызывать каких-либо разночтений.

Сложившаяся на первый взгляд парадоксальная ситуация имеет простое объяснение, включающее несколько взаимосвязанных аспектов:

1. В целом законодательство в области обеспечения безопасности КИИ крайне объёмно. Даже не принимая во внимание высокоуровневые документы, напрямую не связанные с предметной областью, специалисту по информационной безопасности приходится учитывать содержание ни много ни мало трёх федеральных законов, восьми указов президента, пяти постановлений правительства, полутора десятков приказов регуляторов, а также плохо поддающихся учёту информационных сообщений, методических рекомендаций, регламентов, временных порядков и прочих информационных документов.
2. Весьма трудоёмок уже начальный этап выполнения требований законодательства — инвентаризации систем и определения объектов КИИ. На фоне двусмысленных формулировок действующего законодательства, допускающих различные толкования даже на уровне определения базовых терминов, а также с учётом наличия в инфраструктурах потенциальных субъектов КИИ огромного числа подсистем, требующих обследования, уже задача выявления объектов защиты выглядит непосильной. Например, на практике отнюдь не редки ситуации, когда собственные трудозатраты на обследование и категорирование объектов КИИ даже сравнительно небольшого предприятия, состоящего из центрального офиса и нескольких территориально распределённых площадок, оцениваются величиной порядка одного человеко-года. Пренебречь же качественным выполнением начального этапа никак нельзя, поскольку допущенная халатность может дорого обойтись на последующих этапах или вовсе обессмыслить их реализацию.
3. Нехватка на предприятиях — субъектах КИИ квалифицированных кадров. Данная проблема уже давно стала притчей во языцех, но от этого не утратила актуальности. Программы по информационной безопасности в подавляющем большинстве учебных заведений безнадёжно устарели и не соответствуют современным требованиям, а квалифицированных преподавателей с практическим опытом тоже не хватает. Показательный пример: высшие учебные заведения практически не готовят юристов в области защиты информации или специалистов по защите аппаратного обеспечения — а именно такого рода профессионалы крайне востребованны во всех отраслях промышленности.

Итог закономерен. Ещё в 2019 году были внесены изменения в нормативные правовые акты, касающиеся задания сроков работ по инвентаризации и категорированию объектов КИИ. На сегодняшний день установленные сроки истекли, однако очень многие организации даже не приступали к категорированию и направляют свои усилия на изыскание возможностей, позволяющих отложить выполнение соответствующих процедур на неопределённый срок.

Следует констатировать, что большинству организаций действительно сложно самостоятельно с чистого листа выполнить все требования законодательства о безопасности КИИ в силу нехватки ресурсов. С одной стороны, выход видится в обращении к услугам сторонних коммерческих компаний, благо недостатка в предложениях на рынке на сегодняшний день нет. Но при этом субъекту КИИ всегда приходится держать в уме, что большой объём предложений неизбежно свидетельствует и о наличии высокого процента недобросовестных поставщиков услуг, стимулируемых тем обстоятельством, что всю юридическую ответственность за итоговый результат работ несёт не кто иной, как сам субъект КИИ.

В сложившихся условиях для крупных промышленных предприятий, оперирующих значительным числом объектов КИИ, разумным выходом может стать автоматизация рутинных процедур, связанных с обеспечением безопасности этих объектов. С одной стороны, это позволит снизить собственные трудозатраты; с другой — минимизировать объём стороннего участия во внутренних процессах предприятия или вовсе воздержаться от привлечения третьих лиц.

Производимый Группой компаний «Интеллектуальная безопасность» программный комплекс Security Vision КИИ, который является предметом рассмотрения в настоящем обзоре, заявлен как средство, позволяющее максимально автоматизировать процесс категорирования и контроля обеспечения безопасности объектов КИИ в соответствии с актуальными законодательными и нормативными требованиями.

Security Vision КИИ является одним из продуктов полномасштабной платформы Security Vision, предназначенной для автоматизации различных процессов управления информационной безопасностью и являющейся единой точкой мониторинга и принятия решений. Некоторое время назад мы проводили обзор данной платформы, но на тот момент продукт Security Vision КИИ ещё не успел пополнить её состав. Пора познакомиться с этим интересным продуктом и рассмотреть подробнее, каким образом и за счёт каких механизмов Security Vision КИИ позволяет добиться заявленных целей.

Архитектура платформы Security Vision

Для тех, кто пока не знаком с комплексным решением Security Vision, может быть полезно иметь в виду, что платформа поставляется в нескольких «коробочных» комплектациях:

• Security Vision SOC (Security Operations Center) — предназначена для построения ситуационного центра информационной безопасности. Обладает полной функциональностью для построения и визуализации системы ИБ в режиме реального времени на масштабируемой карте мира / здания / помещения с целью повысить управляемость процессов защиты.
• Security Vision IRP / SOAR (Incident Response Platform) — предназначена для автоматизации действий по реагированию на инциденты в сфере кибербезопасности. Используется для построения системы управления ИБ и обработки соответствующих происшествий в организации.
• Security Vision CRS (Cyber Risk System) — предназначена для автоматизации процессов управления киберрисками. Обеспечивает оперативное принятие решений в режиме реального времени по стратегическим вопросам деятельности организации, ИТ- и ИБ-проектам.
• Security Vision SGRC (Security Governance, Risk management and Compliance) — предназначена для построения полноценной системы управления информационной безопасностью в организации с оцифрованными данными, позволяющими оперативно принимать управленческие решения на основе объективных сведений. Использует результаты работы продукта Security Vision CRS.
• Security Vision КИИ — предмет нашего внимания.

Продукты объединены общей предметной областью и возможностью использования данных, полученных из других компонентов платформы. Работа осуществляется с помощью встроенных модулей.

В состав платформы Security Vision входят следующие функциональные модули:

• Управление активами. Модуль предназначен для оцифровки информационных активов компании и автоматизации работы с ними. В качестве активов могут выступать информация, информационные системы, технические сервисы, программное или аппаратное обеспечение.
• Конструктор рабочих процессов. Реализован с помощью специально разработанного графического «движка», где по принципу блок-схемы для каждого процесса можно описать сценарий действий.
• Конструктор отчётов и панелей мониторинга («дашбордов»). Предоставляет инструментарий для визуализации данных.
• Географическая карта. На карте отображаются активы компании, изменение их характеристик в отношении информационной безопасности, а также взаимосвязи и активное взаимодействие.
• Коннекторы к источникам данных. В рамках платформы Security Vision используется универсальный коннектор, поддерживающий работу с базами данных (СУБД Microsoft SQL, PostgreSQL, Oracle Database, MySQL), файлами любого формата, электронной почтой, REST, SOAP, Syslog. В качестве источников могут выступать сетевые устройства, средства защиты информации, средства виртуализации, рабочие станции и серверы на базе различных ОС, а также прочие специализированные приложения и системы. Универсальный коннектор данных позволяет подключить до 99% IP-ориентированных ИТ-систем компании.
• Управление соответствием КИИ. Модуль автоматизирует ряд процедур, которые способствуют исполнению требований ФЗ-187. Подробнее соответствующие возможности будут рассмотрены в настоящем обзоре.
• Модуль взаимодействия с ФинЦЕРТ. Позволяет осуществлять оперативный двусторонний обмен информацией об инцидентах и угрозах безопасности. Модуль разработан с учётом стандарта Банка России СТО БР БФБО-1.5-2018.
• Модуль взаимодействия с НКЦКИ (ГосСОПКА). Обеспечивает оперативный двусторонний обмен информацией об инцидентах и угрозах безопасности; разработан с учётом регламентов НКЦКИ.

Заметим, что список модулей, приведённый здесь, не является исчерпывающим. Подробные перечни и детализированные описания были бы избыточными для целей обзора, поэтому мы ограничились несколькими иллюстрациями.

Системные требования

Платформа Security Vision поставляется в виде программного обеспечения, которое функционирует на базе предустановленных ОС Microsoft Windows Server 2012 R2 и СУБД Microsoft SQL Server Standard 2014 (указаны минимальные версии программного обеспечения среды функционирования). Дополнительно анонсируется возможность поставки платформы на базе ОС Linux и СУБД PostgreSQL начиная с IV квартала 2020 года.

Функциональные возможности

Security Vision КИИ позволяет автоматизировать следующие подпроцессы в рамках обеспечения безопасности объектов КИИ:

• формирование единой карточки объекта КИИ с учётом выстроенных связей с ИТ-активами различных типов;
• разработка частных моделей угроз безопасности информации на объектах КИИ;
• формирование контрольных списков (чек-листов);
• обработка чек-листов, заполняемых экспертами от структурных подразделений;
• присвоение категорий значимости объектов КИИ (подготовка обоснований об отсутствии необходимости присваивать категорию значимости);
• разработка планов по реализации мероприятий по обеспечению безопасности объектов КИИ;
• формирование содержательной части сведений по результатам категорирования по установленной регулятором форме;
• формирование содержательной части актов категорирования;
• формирование состава и структуры систем безопасности значимых объектов КИИ;
• взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).

Работа с Security Vision КИИ

Основные сведения

Управление инфраструктурой со стороны ответственного персонала производится через веб-интерфейс.

Взаимодействие пользователя с Security Vision КИИ подразумевает работу со следующими группами данных:

• Аналитика и отчётность — содержит дашборд, предоставляющий общую информацию о системе в виде, удобном для зрительного наблюдения и анализа (графики, диаграммы).
• Активы — содержит базу ИТ-активов разных типов, на основе которых заполняется информация об объектах КИИ.
• Заявки — содержит перечень карточек объектов КИИ, т. е. записей в базе данных, содержащих сводку сведений об объектах (в том числе — о входящих в состав активов).
• Коннекторы данных — содержит базу средств, необходимых для автоматического наполнения и систематической актуализации информации об активах.

Рисунок 1. Основное меню Security Vision КИИ

Ролевая модель

Типовой сценарий работы с ПО предполагает наличие трёх функциональных ролей: владелец активов, предоставляющий сведения о них; оператор, создающий и наполняющий карточки объектов; специалист ИБ, оценивающий угрозы безопасности и предпринимаемые меры для их нивелирования. При этом программа предоставляет возможность максимально гибкой настройки ролевой модели для соответствия ожидаемому разделению обязанностей в организации заказчика.

Рисунок 2. Состав ролей модуля в Security Vision КИИ

Настройки ролевой модели включают создание ролей и назначение им полномочий на чтение / запись в различных разделах и даже полях заполняемых форм.

Рисунок 3. Назначение полномочий в Security Vision КИИ

Работа с базой активов

В модуле предустановлены следующие типы активов: бизнес-процесс, информационная система, техническое средство и программное обеспечение.

Пример карточки актива типа «Информационная система» приведен на рис. 4.

Рисунок 4. Пример карточки актива типа «Информационная система» в Security Vision КИИ

На рис. 5 представлен пример карточки актива типа «Техническое средство».

Рисунок 5. Пример карточки актива типа «Техническое средство» в Security Vision КИИ

Для настройки под конкретную организацию возможно добавление, редактирование и удаление различных типов активов. Форма представления актива может быть изменена путём редактирования HTML-кода.

Для того чтобы рабочий процесс жизненного цикла объекта КИИ, который предустановлен в продукте, шёл корректно, необходимо осуществить наполнение активами с соблюдением иерархии связей, которая представлена на рис. 6.

Рисунок 6. Иерархия связей активов в Security Vision КИИ

Наполнение и систематическая актуализация информации по активам могут осуществляться следующими способами: ручное заполнение полей (свойств) карточки актива, импорт определённой структуры в формате CSV или автоматическое заполнение с использованием специализированных коннекторов в разделе «Коннекторы данных». Как правило, в качестве источников выступают следующие популярные решения:

• системы класса CMDB, ITSM (iTop, Microsoft SCCM, HPSM);
• сканеры уязвимостей (MaxPatrol 8, Nessus, RedCheck, nmap);
• SIEM-системы (MaxPatrol SIEM, ArcSight ESM);
• прочие СЗИ и базы данных (Kaspersky Security Center, Oracle, Microsoft SQL, MySQL).

Информация по активам может поступать единовременно из множества источников, проходя различные фильтры, правила заполнения и дедупликации; возможны обогащение и актуализация по заранее заданной логике, которую определяет организация.

Предусмотрена возможность устанавливать различные типы связей между активами (родитель / потомок, однонаправленная / двунаправленная) для определения потоков данных. Связи создаются в табличном виде основного меню раздела (рис. 7).

Рисунок 7. Создание связи активов в Security Vision КИИ (табличный вид)

Кроме того, эта же операция доступна на специализированной графической «Карте связей активов» (рис. 8).

Рисунок 8. Карта связей активов в Security Vision КИИ

Работа с объектами КИИ

В рамках составления перечня объектов КИИ пользователю необходимо создавать и наполнять общими сведениями карточки этих объектов. Заполнение полей карточки в Security Vision КИИ производится на основе информации об ИТ-активах и требуется для автоматического построения отчётов и актов категорирования.

Карточка объекта КИИ содержит следующую информацию (рис. 9):

• основные сведения об объекте;
• программно-аппаратные средства, входящие в состав объекта (активы);
• информация о категорировании объекта;
• частная модель угроз безопасности объекта КИИ, построенная на основе сведений о его категории;
• организационные и технические меры, применяемые для обеспечения безопасности объекта КИИ;
• результаты оценки соответствия перечню мер защиты;
• план устранения несоответствий;
• история изменений карточки.

Рисунок 9. Карточка объекта КИИ в Security Vision КИИ

Сведения, вносимые в карточку объекта, нужны в первую очередь для автоматического построения отчёта о результатах присвоения ему одной из категорий значимости либо об отсутствии необходимости такой операции (приказ ФСТЭК России № 236 от 22.12.2017).

Для начала работы необходимо добавить в карточку объекта информационную систему, имеющуюся в разделе «Активы». В результате автоматически заполнится часть полей в основных сведениях, а на вкладке с программно-аппаратными средствами будут добавлены все активы, иерархически связанные с информационной системой. Так как для некоторых полей есть наиболее часто используемые значения, для упрощения работы с карточкой объекта пользователь может задать значения по умолчанию, которые будут автоматически подставляться при её создании. На основе информации о связанных активах автоматически определяется необходимость категорирования объекта.

Раздел «Категорирование» заполняется сведениями, необходимыми для автоматического вычисления категории значимости объекта, и результатами категорирования. Здесь пользователь оценивает показатели критериев значимости объекта. При этом показатели и возможные значения соответствуют требованиям Постановления Правительства № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений». После заполнения по команде пользователя формируется акт категорирования.

Рисунок 10. Категорирование в Security Vision КИИ

Следующий этап работы — построение модели угроз — становится возможным только после выполнения категорирования. Критерием автоматического отбора релевантных угроз являются данные, которые указаны в поле «Технологии» карточки актива, относящегося к типу «Информационная система». Связь значений этого поля с угрозами установлена производителем продукта на основе собственной экспертизы. В качестве справочника используются все угрозы из БДУ ФСТЭК России, а также данные разработчика.

Рисунок 11. Формирование частной модели угроз в Security Vision КИИ

От пользователя требуется выбрать потенциальных нарушителей и — в случае если заполнение карточки актива и построение модели угроз выполняются разными сотрудниками — назначить исполнителя для задачи оценки угроз с установкой срока её решения.

Исполнителю понадобится оценить вероятность реализации, коэффициент опасности и актуальность каждой угрозы. В случае необходимости можно открыть свойства угрозы и внести изменения (нарушаемые свойства информации, описание и т. д.).

Рисунок 12. Выбор возможных последствий угроз в Security Vision КИИ

На вкладке «Меры» осуществляется управление мерами защиты. Здесь на основании результатов категорирования и требований приказов ФСТЭК России № 235 и № 239 автоматически формируется базовый набор мер. Пользователь вправе адаптировать, уточнять и дополнять полученный перечень, добавляя и удаляя угрозы. Для перечня мер также могут быть обозначены статус, исполнитель и срок выполнения задачи.

Исполнителю необходимо определить:

• способы реализации мер;
• статус меры;
• технологию реализации (управление доступом, антивирусная защита, идентификация / аутентификация, ограничение программной среды);
• класс средств защиты.

Рисунок 13. Обработка мер защиты в Security Vision КИИ

По результатам реализации мер автоматически будет произведён расчёт их соответствия мерам из приказов ФСТЭК России № 235 и № 239 в процентном отношении.

Рисунок 14. Результаты проверки соответствия в Security Vision КИИ

По результатам выполнения данных транзакций на вкладке «План устранения несоответствий» будут автоматически сформированы соответствующие задачи. Устранение несоответствий выполняется в том же порядке, что и реализация мер: создаётся задача для исполнителя, который должен реализовать оставшиеся меры, выполняется очередная проверка соответствия и в случае необходимости формируется новый план.

Обеспечив удовлетворительные значения показателей соответствия реализованным мерам, можно сформировать отчёт по форме приказа ФСТЭК России № 236. Если требуется редактирование отчёта, то изменения можно внести вручную после скачивания.

В случае необходимости может выполняться пересмотр категории значимости в той же последовательности.

Просмотр информации о системе

В Security Vision КИИ реализован дашборд, который содержит сводную информацию по объектам КИИ и состоит из следующих виджетов:

• объекты, подлежащие категорированию (отдельно — в разрезе типов);
• статусы процессов категорирования;
• присвоенные категории (в том числе — также отдельно в разрезе типов объектов).

Рисунок 15. Дашборд Security Vision КИИ

Изменение содержания виджетов выполняется с помощью соответствующих SQL-запросов.

Основная сводная информация по всем объектам КИИ может быть получена также с помощью встроенного отчёта «Реестр ОКИИ». Отчёт формируется по команде и по заданному расписанию. Как и прочая функциональность Security Vision КИИ, доступ к отчётам может быть ограничен для пользователей модуля.

Взаимодействие с НКЦКИ (ГосСОПКА)

Функциональность этого модуля позволяет отправлять информацию об инцидентах и угрозах безопасности, собранных указанными ранее коннекторами, в НКЦКИ. Порядок взаимодействия с НКЦКИ проработан с учётом соответствующих регламентов.

Отправка и приём сообщений из центров ГосСОПКА выполняются в разделе заявок (инциденты являются одним из доступных типов заявки). Это позволяет на основании полученной информации автоматически сформировать новую сущность в виде задачи, заявки или инцидента — в зависимости от выстроенных внутренних процессов заказчика.

Рисунок 16. Сообщение об инциденте для НКЦКИ в интерфейсе Security Vision КИИ

Отправка электронных сообщений в центры ГосСОПКА может осуществляться как в автоматическом режиме, так и в полуавтоматическом. Полуавтоматический режим предполагает добавление отдельной функциональной кнопки в карточке инцидента, которая позволяет инициировать отправку сведений.

Лицензирование

При лицензировании Security Vision учитываются перечень выбранных функциональных модулей, общее количество активов, возможность использовать режим высокой доступности / многонодности, выбранный уровень технической поддержки, а также количество коннекторов к источникам данных и коннекторов реагирования, которые не входят в перечень предустановленных. 

Выводы

Обеспечение безопасности КИИ — сложный перманентный процесс, который должен стать составной частью технологических процессов промышленного предприятия. Даже процедура категорирования объекта КИИ не относится к числу разовых мероприятий, поскольку, во-первых, требует регулярного переосмысления, а во-вторых, подлежит внеочередному повторению при внесении изменений в показатели критериев значимости или конфигурацию объекта КИИ. С появлением на балансе промышленного предприятия новых объектов КИИ (и с совершенствованием систем защиты старых) работы по инвентаризации и категорированию тоже неизбежно должны быть воспроизведены.

Кроме того, процедуры, связанные с обеспечением безопасности КИИ, подразумевают выполнение множества мелких рутинных мероприятий, таких как формирование чек-листов, протоколирование решений в части присвоения категорий значимости объектов КИИ, формирование содержательной части актов категорирования и т. д. Необходимость подготовки значительного объёма документов особенно чувствительна для крупных компаний и представляет для них немалую трудность.

Облегчить жизнь крупной организации, обладающей десятком или более объектов КИИ, может использование средств автоматизации трудоёмких рутинных процедур. К числу таких средств относится Security Vision КИИ.

Security Vision КИИ полезен не только при самом категорировании объектов КИИ, но и после него — для поддержания актуальности данных о собственных корпоративных информационных системах и АСУ ТП организации, а также уровня их защиты. При необходимости пересмотра категории значимости КИИ владельцы объектов, предусмотрительно актуализирующие данные, всегда будут готовы предоставить сведения об изменениях в кратчайшие сроки.

Security Vision КИИ имеет ряд масштабных внедрений, среди которых можно отметить следующие:

• автоматизация и повышение эффективности процессов обеспечения безопасности объектов КИИ ПАО «Сбербанк»;
• обеспечение возможности взаимодействия с ГосСОПКА во ФГУП «Главный радиочастотный центр».

Преимущества:

• Универсальность, возможность использования в различных отраслях промышленности.
• Cертификат соответствия ФСТЭК № 4194 от 19.12.2019
• Использование графического конструктора рабочих процессов, который предоставляет заказчику возможность адаптировать базовые процедуры продукта под свои уникальные внутренние бизнес-процессы.
• Использование общей предметной области совместно с другими продуктами в составе платформы Security Vision.
• Автоматизация трудоёмкого процесса создания отчёта по форме приказа ФСТЭК России № 236 от 22.12.2017 и упрощение многократного использования одинаковых значений.
• Регулярные выпуски обновлений (примерно каждые две недели) для добавления новых возможностей, устранения недостатков и обеспечения соответствия актуальным требованиям законодательства.
• Поддержка множества сторонних продуктов в качестве коннекторов — источников данных об активах организации.

Недостатки:

• Сложное или непривычное представление элементов пользовательского интерфейса продукта требует времени для того, чтобы разобраться в них. Недостаток сглаживается наличием подробной эксплуатационной документации.
• Необходимость владения специальными знаниями (формирование SQL-запросов и редактирование HTML-кода) у пользователя Security Vision КИИ для самостоятельного изменения виджетов. Недостаток частично компенсируется готовностью производителя оказывать консультации и проводить обучение работе с продуктом.

Реестр сертифицированных продуктов »