Какие угрозы учитываются при защите объектов КИИ?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

При защите объектов КИИ учитывают все реальные способы, которыми систему могут вывести из строя или нарушить безопасность информации: от внешних кибератак (вирусы, шифровальщики, взлом учётных записей, DDoS) до внутренних рисков (ошибки администраторов, злоупотребления доступом, действия подрядчиков). Ключевой акцент в КИИ – на угрозах, которые могут остановить или нарушить критический процесс.

Что говорит законодательство

187-ФЗ задаёт фокус: безопасность КИИ – это состояние защищённости, обеспечивающее устойчивое функционирование при компьютерных атаках.
Закон также определяет:

• компьютерную атаку – целенаправленное воздействие на объекты КИИ (и сети электросвязи для их взаимодействия) в целях нарушения/прекращения функционирования и/или создания угрозы безопасности обрабатываемой информации;
• компьютерный инцидент – факт нарушения/прекращения функционирования и/или нарушения безопасности информации, в том числе вследствие атаки.

Для значимых объектов КИИ приказ ФСТЭК № 239 требует проводить анализ угроз безопасности информации и разрабатывать (уточнять) модель угроз. При этом анализ должен включать:

• выявление источников угроз и оценку потенциала внешних/внутренних нарушителей;
• анализ уязвимостей объекта и его программных/программно-аппаратных средств;
• определение сценариев реализации угроз;
• оценку последствий реализации угроз.

В качестве исходных данных для анализа используется банк данных угроз безопасности информации ФСТЭК России.

Как это работает на практике

На практике “какие угрозы учитываем” отвечает не список из пары пунктов, а логика:

1. Что критично для работы объекта (какие компоненты/сервисы нельзя “уронить”).
2. Кто может быть источником угроз: внешний злоумышленник, инсайдер, подрядчик, случайные ошибки персонала.
3. Через что угроза может реализоваться: уязвимости ПО/оборудования, неправильные настройки, слабая аутентификация, неуправляемые учётные записи, небезопасные интеграции с другими системами.
4. Какой будет эффект:

• остановка/деградация сервиса (в т.ч. отказ в обслуживании),
• искажение данных/управляющих команд (важно для АСУ),
• утечка или подмена информации,
• потеря управляемости и невозможность восстановить штатный режим.

Итогом становится модель угроз именно для вашего объекта: “кто → через что → каким сценарием → к каким последствиям”.

Выводы и рекомендации

По 187-ФЗ и требованиям ФСТЭК для защиты объектов КИИ учитываются актуальные угрозы безопасности информации и угрозы, связанные с компьютерными атаками, то есть всё, что может нарушить функционирование объекта и/или безопасность данных.

Рекомендуемый подход: регулярно актуализировать модель угроз (особенно при изменении архитектуры/интеграций), обязательно учитывать внешние и внутренние источники, анализировать уязвимости и оценивать последствия, опираясь на банк угроз ФСТЭК.

Возникли трудности с категорированием КИИ?

Проведем категорирование за Вас

Выявим объекты КИИ, проведем категорирование, разработаем полный пакет документации и проконсультируем по взаимодействию с органами.

Заказать

О услуге