КЛИЕНТ
Подразделение научно-производственного объединения, входящего в контур Госкорпорации «Ростех». Один из ведущих в России разработчиков и производителей продукции оборонного назначения, предприятие с многолетней историей и высоким уровнем технологической компетенции. Предприятие относится к субъектам критической информационной инфраструктуры (КИИ), функционирующим в оборонной сфере, с соответствующими повышенными требованиями к защите информации.Инфраструктура предприятия включает множество взаимосвязанных систем: системы управления производством, конструкторского проектирования, документооборота, бухгалтерии, кадрового учёта, производственных линий, инженерных сервисов. Значительная часть этих систем соответствует статусу значимых объектов КИИ (ЗО КИИ) — то есть объектов, которым в ходе процедуры категорирования присвоена категория значимости и которые подлежат обязательной защите по повышенным требованиям Приказа ФСТЭК № 239. Эксплуатация таких объектов требует не только ежедневного сопровождения, но и регулярной формализованной работы: испытаний, проверок, документирования, согласований с регулятором.
ЗАДАЧА
Перед нами была поставлена задача принять в эксплуатацию систему безопасности значимого объекта КИИ, функционирующего в оборонной сфере. Формально это означает комплекс работ, предусмотренных Приказом ФСТЭК России № 239 от 25 декабря 2017 года «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации», включая: приёмочные испытания средств защиты информации (СЗИ), испытания системы безопасности значимого объекта КИИ (СБЗОКИИ), подготовку необходимого комплекта документов, ввод системы безопасности в эксплуатацию.ОТРАСЛЬ
Оборонная промышленность, научно-производственный сектор ОПК. Субъекты КИИ в оборонной сфере — это верхний уровень регуляторных требований в России: помимо общих требований 187-ФЗ и приказов ФСТЭК, действуют требования Минобороны, профильных регуляторов и внутрикорпоративные стандарты Ростеха. Цена ошибки в таких проектах высока: невыполнение регуляторных требований может повлечь серьёзные санкции, а реальные инциденты безопасности могут иметь последствия, выходящие далеко за рамки коммерческих.ПРОБЛЕМАТИКА
Клиент обратился с проблемой нехватки временных ресурсов у собственных специалистов ИБ для выполнения требований 187-ФЗ. Это классическая ситуация для предприятий ОПК: задач много, регуляторные сроки жёсткие, нормативная база объёмная, а штат ИБ-специалистов ограничен и занят текущей операционной деятельностью. Когда на предприятии параллельно идёт несколько процессов — повседневное сопровождение существующих систем, реагирование на инциденты, взаимодействие с регуляторами, проверки, — выделить ресурс на трудоёмкую разовую процедуру приёмки СБЗОКИИ крайне сложно.- Сама процедура приёмки СБЗОКИИ по 239-му приказу ФСТЭК — это не один документ, а целая серия формализованных этапов с разработкой десятков документов, проведением комплексных испытаний, формированием программ и методик, согласованием результатов. В нормативном смысле она разбита на несколько стадий: приёмочные испытания СЗИ (проверка корректности работы конкретных средств защиты), испытания системы безопасности в целом (проверка, что совокупность технических и организационных мер обеспечивает требуемый уровень защиты), ввод в эксплуатацию с оформлением соответствующих документов.
- Вторая грань проблемы — специфика оборонного сегмента. Значимый объект КИИ в оборонной сфере — это особая сущность: к нему предъявляются требования не только по защите от киберугроз, но и по соблюдению ограничений, характерных для работы с чувствительной информацией. Любые работы с таким объектом требуют осмотрительности, тщательности, взаимодействия с соответствующими службами заказчика.
- Третья грань — интеграция с существующими процессами. Система безопасности не рождается в вакууме: на предприятии уже действуют системы управления доступом, сетевые механизмы защиты, средства обнаружения угроз, процессы реагирования на инциденты. Ввод СБЗОКИИ — это не «построить новое рядом», а «интегрировать в работающее». Это требует понимания текущего состояния и деликатности в изменениях.
- Четвёртая грань — документальная. Приказ № 239 предполагает строгую документальную дисциплину: программы испытаний, методики, протоколы, акты, приказы о вводе в эксплуатацию. Любые отклонения от установленных форм усложняют работу в дальнейшем — при проверках регулятора, при сдаче в вышестоящие организации, при передаче дел между сотрудниками.
РЕШЕНИЕ
Мы разделили выполнение требований Приказа ФСТЭК России № 239 на чёткие этапы и выстроили проект так, чтобы минимизировать нагрузку на внутренних специалистов заказчика, при этом сохраняя за ними контрольные и решающие функции, как это предусмотрено нормативно.- На первом этапе совместно со специалистами заказчика была уточнена граница работ: какие объекты, какие меры защиты, в каком составе входят в систему безопасности значимого объекта КИИ. Была проведена ревизия уже выполненных работ (категорирование, формирование модели угроз, формирование требований, проектирование) и идентифицированы оставшиеся этапы — приёмочные испытания СЗИ и испытания СБЗОКИИ.
- На втором этапе разрабатывались программы и методики приёмочных испытаний СЗИ. Для каждого применяемого средства защиты (в составе СБЗОКИИ присутствуют средства межсетевого экранирования, антивирусной защиты, обнаружения вторжений, контроля доступа, криптографической защиты каналов связи, защиты от утечек, управления событиями безопасности) разрабатывалась программа, описывающая объём испытаний, методика — описывающая последовательность проверок, ожидаемые результаты, критерии успешности. Документы согласовывались с заказчиком до начала испытаний.
- На третьем этапе совместно со специалистами заказчика проводились приёмочные испытания СЗИ. Ход испытаний протоколировался, по каждой проверке фиксировался результат. Выявленные отклонения разделялись на критические (блокирующие приёмку) и некритические (требующие устранения, но не препятствующие дальнейшей работе). Критические устранялись до перехода к следующему этапу.
- На четвёртом этапе разрабатывались программы и методики испытаний системы безопасности значимого объекта КИИ в целом. В отличие от приёмочных испытаний отдельных СЗИ, испытания СБЗОКИИ проверяют, что совокупность мер защиты обеспечивает выполнение требований Приказа № 239 в комплексе: насколько корректно реализовано управление доступом по всей системе, как работает обнаружение инцидентов в разных сегментах, как организовано реагирование, насколько полно документированы процессы. Это проверки более высокого уровня, охватывающие организационный и процессный контуры.
- На пятом этапе совместно со специалистами заказчика проводились испытания СБЗОКИИ. Испытания включали анализ документации, проверку реализации организационных мер (наличие и актуальность политик, регламентов, инструкций, назначенных ответственных, обученного персонала), инструментальные проверки (сетевые, конфигурационные), проверки процессов (реагирование на смоделированные инциденты). По результатам оформлен акт испытаний.
- На шестом этапе подготавливался комплект документов, необходимых для ввода в эксплуатацию системы безопасности: приказы о вводе в эксплуатацию, акты приёмки, эксплуатационная документация, должностные инструкции, регламенты, журналы. Комплект соответствовал требованиям 239-го приказа и внутрикорпоративным регламентам Ростеха.
РЕЗУЛЬТАТЫ
Заказчик получил подготовку необходимого комплекта документов и ввод в эксплуатацию системы безопасности значимого объекта КИИ. Это означает формальное завершение ключевого этапа работы по 187-ФЗ для значимого объекта: система спроектирована, построена, испытана, документирована, введена в эксплуатацию в соответствии с требованиями ФСТЭК России.С точки зрения управления рисками достигнуты следующие эффекты. Регуляторный риск по Приказу № 239 закрыт: обязательная процедура ввода СБЗОКИИ выполнена в срок с оформлением полного комплекта документов. Операционный риск снижен: интегрированная система безопасности функционирует, меры защиты применяются, процессы реагирования отработаны на испытаниях. Ресурсный риск для команды заказчика минимизирован: трудоёмкий этап прошёл без выгорания внутренней команды.
Для ЛПР закрыты ключевые боли: директор по ИБ получил завершённый и документированный этап работы по 187-ФЗ; начальник отдела защиты информации имеет полный комплект документов, готовый к предъявлению регулятору; руководитель проекта соблюл сроки и обязательства по проекту. Нехватка временных ресурсов у собственной команды, бывшая главным риском проекта, компенсирована за счёт распределения работ с внешним исполнителем.
Отдельный эффект — формирование репутации проекта внутри предприятия. Успешно и в срок завершённый проект по 239-му приказу — это ориентир для внутренней команды на следующие объекты. Методики, разработанные в рамках проекта, могут быть переиспользованы для аналогичных процедур.
Важный результат с точки зрения долгосрочной работы — передача компетенций. В ходе проекта внутренние специалисты получили практический опыт проведения испытаний, оформления документации по 239-му приказу, взаимодействия с регуляторами. Это повышает устойчивость ИБ-функции предприятия и снижает зависимость от внешних подрядчиков по рутинным задачам.
Перспективы развития сотрудничества — привлечение для реализации периодических задач Приказа ФСТЭК № 239. Работа с значимыми объектами КИИ — это не разовое событие, а постоянный цикл: периодические проверки, актуализация документации при изменениях, реагирование на изменения нормативной базы, испытания при модернизации объектов. Наш опыт работы с предприятием, понимание его инфраструктуры и особенностей корпоративной среды Ростеха делает нас эффективным партнёром для долгосрочного сопровождения.