Обзор системы автоматизации документационного обеспечения КИИ-процессов «НОТА КУПОЛ. Документы»
Нелегка участь субъектов критической информационной инфраструктуры (КИИ). Им необходимо строго соблюдать все требования нормативно-правовых актов, включая:
- Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
- Постановление Правительства Российской Федерации от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений».
- Приказ ФСТЭК России от 21 декабря 2017 г. № 235 «Об утверждении требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования».
- Приказ ФСТЭК России от 22 декабря 2017 г. № 236 (ред. от 21.03.2019) «Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий».
- Приказ ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
А также создать комиссию по категорированию, определить перечень значимых систем (ИС, ИТКС, АСУТП) и провести категорирование, внедрить недостающие меры защиты. Затем, что крайне важно, отправить во ФСТЭК России сведения о результатах категорирования своих объектов критической информационной инфраструктуры и следить за актуальностью этих сведений.
Невыполнение этих требований или нарушение сроков подачи документов могут привести к крупным административным штрафам (КоАП РФ Статья 13.12.1). Любая крупная информационная система постоянно меняется. Все изменения необходимо отслеживать и фиксировать, так как некоторые из них могут привести к изменению категории значимости, перечня угроз или применимых мер защиты. Даже при условии, что процесс отслеживания изменений объектов КИИ налажен, необходимо грамотно и кропотливо менять документацию. Заполнение документов вручную может привести к опечаткам, неправильному указанию данных или пропуску необходимых сведений.
Отсюда рождается потребность автоматизировать оба процесса: и отслеживания изменений объектов КИИ, и формирования документации. Это позволит избежать ошибок и упущений при заполнении документов, значительно упростит и ускорит актуализацию документов.
Первую задачу частично можно выполнять с использованием сканеров уязвимости/средств инвентаризации. При этом нужно дополнительно вручную соотносить изменение параметров технических средств с конкретной информационной системой (и далее с теми объектами КИИ, в которых используется эта система).
Вторую задачу (автоматизацию формирования документации) можно попробовать решить макросами текстовых редакторов. Но поддержка таких самописных решений может быть трудозатратной. К тому же нужно будет самостоятельно следить за изменениями законодательства, чтобы вовремя поменять шаблоны и макросы.
Поэтому на рынке ИБ должны были появиться и появились корпоративные решения, закрывающие потребности в автоматизации compliance субъектов КИИ. Представитель класса таких решений – «НОТА КУПОЛ. Документы» – рассматривается в этом обзоре.
Основные функции
Что умеет «НОТА КУПОЛ. Документы»?
- Ведение информации о субъекте (субъектах) КИИ и их работниках, объектах КИИ (ОКИИ)
В карточке субъекта КИИ заполняются реквизиты, контактные данные и сфера деятельности. Всё это будет отмечаться в отчётных документах для ФСТЭК России.
В «НОТА КУПОЛ. Документы» есть возможность хранить и обрабатывать информацию для нескольких субъектов КИИ одновременно. Таким образом, продукт может использоваться как субъектами КИИ для собственных нужд, так и организациями, предоставляющими услуги по категорированию.
Для каждого субъекта ведётся перечень сотрудников, которых затем можно включить в состав комиссии по категорированию или назначить ответственными; и перечень имеющихся ОКИИ.
- Автоматический расчёт значимости объекта КИИ, необходимых мер защиты ОКИИ
Для каждого ОКИИ можно заполнить показатели значимости, установленные ПП-127, с указанием обоснования и ответственного лица. Можно и отметить, что показатель неприменим.
После этого по указанным значениям показателей «НОТА КУПОЛ. Документы» автоматически рассчитывает категорию значимости ОКИИ и отображает требуемые меры защиты (согласно приказу ФСТЭК России №239). Затем для каждой меры можно установить статус (обеспечена или нет) и конкретное техническое средство защиты этого ОКИИ.
- Автоматический учет информационных систем объектов КИИ
«НОТА КУПОЛ. Документы» позволяет настроить состав объектов КИИ (систем и составляющего оборудования) и их связи между собой. При этом можно указать функционал систем, вид их взаимодействия (родитель-потомок-смежная система) и тип канала связи.
- Подготовка всех отчётных документов по форме регулятора для отправки во ФСТЭК России
Когда информация о субъекте и объектах КИИ заполнена, комиссия по категорированию назначена, а категорирование ОКИИ проведено, необходимо уведомить ФСТЭК России о проделанной работе. «НОТА КУПОЛ. Документы» позволяет автоматически сформировать и выгрузить следующие типы документов:
- приказ о создании комиссии по категорированию;
- перечень объектов КИИ;
- акт категорирования ОКИИ.
После выгрузки можно изменить документ с помощью текстового редактора.
В дальнейшем, по словам разработчиков, будет доступно формирование документов по пользовательскому шаблону, настраиваемому в интерфейсе «НОТА КУПОЛ. Документы».
- Автоматический контроль состояния оборудования и ПО ОКИИ
Чтобы легче было поддерживать информацию об ОКИИ в актуальном состоянии, разработчики «НОТА КУПОЛ. Документы» внедрили модуль сканирования подсетей и инвентаризации активов. С его помощью можно вручную или по расписанию обнаруживать узлы, находящиеся в определенных подсетях. А с известных активов (для которых в настройках указаны учётные записи подключения) собирать перечень оборудования и ПО.
Полученная таким образом информация затем будет автоматически использована при формировании документации по категорированию ОКИИ. Впрочем, оборудование и ПО можно добавить в ОКИИ и вручную.
- Формирование сведений об угрозах безопасности информации систем ОКИИ
Для каждой системы формируется реестр угроз по банку данных угроз безопасности информации ФСТЭК России. Каждой угрозе можно настроить статус – актуальна или нет – и оставить комментарий эксперта, почему эта угроза не актуальна / не применима к данной системе.
- Интеграция с системами AD (Active Directory) и ALD (Astra Linux Domain) для аутентификации собственных пользователей «НОТА КУПОЛ. Документы»
Аутентифицироваться в «НОТА КУПОЛ. Документы» можно, используя существующую доменную учетную запись, что упрощает добавление новых и удаление старых пользователей в системе. Из AD/ALD (а также из 1С или другой системы учёта персонала) можно загрузить ещё и «Сотрудников» для последующего указания их в комиссии по категорированию.
Основные списки/таблицы объектов в «НОТА КУПОЛ. Документы» можно выгрузить в форматы .xlsx и .csv.
Roadmap
В ближайших планах разработчиков, помимо уже упомянутых кастомизируемых шаблонов, создание:
- автоматизированного формирования модели угроз систем;
- модуля учета событий безопасности (инцидентов ИБ) с описанием деталей, связанных ОКИИ, систем и участников;
- модуля управления поручениями с назначением ответственных сотрудников и контролем исполнения.
Архитектура и установка
«НОТА КУПОЛ. Документы» – это классическое клиент-серверное приложение. Вся информация об объектах защиты, заполненных анкетах и сформированных документах хранится и обрабатывается на одном сервере. Клиенты (специалисты по информационной безопасности) подключаются к веб-интерфейсу «НОТА КУПОЛ. Документы» через обычный браузер по протоколу https.
Установка производится из deb-пакетов, предоставляемых производителем с помощью командной строки. Руководство по установке представлено в документе «Руководство администратора».
Требования к серверу, на который будет устанавливаться «НОТА КУПОЛ. Документы»:
| Процессор | двухъядерный |
| Жесткий диск 150 Гб | 150 Гб |
| ОЗУ | 8 Гб |
| ОС | Astra Linux, Debian |
Лицензия на каждую инсталляцию «НОТА КУПОЛ. Документы» формируется, исходя из:
- количества пользователей, которые будут работать с системой;
- количества сканеров, проводящих анализ инфраструктуры;
- наличия центрального ядра «НОТА КУПОЛ. Документы» (необходимого при нескольких отдельных филиалах).
Сертификация
«НОТА КУПОЛ. Документы» включен в Реестр отечественного ПО Минцифры (реестровая запись №18525). Также планируется получение сертификата ФСТЭК на контроль отсутствия НДВ и сертификация на совместимость с Astra Linux.
Заключение
Автоматизация работы по категорированию объектов КИИ позволяет сэкономить не только время, но и ресурсы ИБ-подразделения. Если делать это вручную, нужно довольно много времени на поиск и ввод необходимых данных, проверку правильности заполнения и подготовку документов к отправке.
С помощью «НОТА КУПОЛ. Документы» специалист по информационной безопасности может оперативно формировать акты и приказы, отслеживать изменения в архитектуре ОКИИ и отражать это в нужных разделах документации. Снимается часть забот, связанных с постоянным мониторингом законодательных изменений. Если такие изменения происходят, разработчики обновляют шаблоны документов и работникам субъектов КИИ остаётся только заново сформировать документ по этому шаблону.
«НОТА КУПОЛ. Документы» сделает более прозрачным не только документооборот, но и защиту объектов КИИ: отслеживание требуемых мер и того, чем они закрываются в различных системах и ОКИИ.
Одним словом, «НОТА КУПОЛ. Документы» сильно упростит жизнь специалистам, работающим с КИИ, и снизит вероятность нарушения требований регуляторов как по категорированию, так и по защите объектов критической информационной инфраструктуры.
Реклама. Рекламодатель: ООО «Т1 ИННОВАЦИИ».
