Criando Sistemas de Segurança para Ativos Críticos de Infraestrutura de Informação (CII)
Este artigo detalha a criação de sistemas de segurança para proteger ativos críticos de infraestrutura de informação (CII) contra ataques cibernéticos. Ele aborda os componentes de um sistema de segurança, a importância da categorização de ativos e os processos essenciais para garantir a segurança da informação.
MundiX News·13 de maio de 2026·15 min de leitura·👁 7 views
Criando Sistemas de Segurança para Ativos Críticos de Infraestrutura de Informação (CII)
Um sistema de segurança é um conjunto organizado de forças, meios, métodos e atividades destinadas a proteger informações contra acesso não autorizado, uso, divulgação, modificação, bloqueio ou destruição. Esses sistemas são criados por entidades da infraestrutura crítica de informação (CII) e incluem medidas legais, organizacionais, técnicas e outras, visando garantir a segurança da informação. As entidades CII são diversas organizações governamentais e empresas, bem como entidades legais da Federação Russa, que possuem ou alugam ativos de infraestrutura crítica de informação (ativos CII).
Os ativos CII incluem sistemas de controle automatizados (ACS), sistemas de informação (IS) e redes de informação e telecomunicações (ITCS), que pertencem legalmente às entidades CII. O objetivo da criação de sistemas de segurança é garantir o funcionamento estável de ativos CII significativos durante ataques de computador. Para que um ativo CII se torne significativo, ele passa por uma categorização, dividindo-se em ativos significativos e ativos que não recebem uma categoria de importância. Os ativos CII significativos são aqueles que receberam uma das categorias de importância e estão incluídos no registro de ativos CII significativos do FSTEC da Rússia.
Um ataque de computador é uma ação direcionada de software e/ou hardware em ativos CII, redes de comunicação usadas para organizar a interação de tais ativos, a fim de violar e/ou interromper seu funcionamento e/ou criar uma ameaça à segurança das informações processadas por tais ativos. Os sistemas de segurança incluem forças de segurança para ativos CII significativos e os meios de segurança que eles usam. As forças de segurança incluem unidades (funcionários) responsáveis pela segurança de ativos CII significativos, unidades (funcionários) que operam ativos CII significativos, unidades (funcionários) que garantem o funcionamento (suporte, manutenção, reparo) de ativos CII significativos e, se necessário, outras unidades (funcionários) que participam da segurança de ativos CII significativos.
As unidades estruturais de segurança e os especialistas em segurança devem desempenhar as seguintes funções: desenvolver propostas para melhorar a documentação organizacional e administrativa (ORD) sobre a segurança de ativos significativos e apresentá-las ao chefe da organização ou à pessoa responsável designada; realizar uma análise de ameaças à segurança da informação (onde isso soa como uma avaliação de ameaças, na verdade, é a realização de modelagem de ameaças, e é necessário se concentrar no documento metodológico - o Método para Avaliar as Ameaças à Segurança da Informação do FSTEC da Rússia) em relação a ativos CII significativos, bem como identificar vulnerabilidades neles; garantir a implementação dos requisitos para garantir a segurança de ativos CII significativos, com base em categorias específicas de importância: planejamento, desenvolvimento, aprimoramento e implementação de medidas para garantir a segurança de ativos CII significativos - aqui o requisito já se assemelha a um sistema completo de gerenciamento de segurança da informação; tomar medidas organizacionais e técnicas para garantir a segurança de ativos CII significativos; estabelecer os parâmetros e características de software e hardware usados para garantir a segurança de ativos CII significativos; garantir, de acordo com os requisitos de segurança, a implementação de medidas organizacionais e o uso de ferramentas de proteção de informações, a operação de ferramentas de proteção de informações; responder a incidentes de computador na ordem estabelecida de acordo com a ordem do FSB da Rússia de 25 de dezembro de 2025 nº 547 "Sobre a aprovação do Procedimento para informar o FSB da Rússia sobre ataques de computador e incidentes de computador, responder a eles, tomar medidas para eliminar as consequências de ataques de computador realizados em relação a ativos CII significativos da Federação Russa e outros recursos de informação da Federação Russa pertencentes a órgãos e organizações aos quais são atribuídas as responsabilidades previstas na Parte 4 do Artigo 9 da Lei Federal de 26 de julho de 2017 nº 187-FZ "Sobre a segurança da infraestrutura crítica de informação da Federação Russa"; organizar a avaliação da conformidade de ativos CII significativos com os requisitos de segurança; preparar propostas para melhorar o funcionamento dos sistemas de segurança, bem como para aumentar o nível de segurança de ativos CII significativos.
As ferramentas para garantir a segurança de ativos CII significativos incluem software e hardware usados para garantir a segurança de ativos CII significativos. Para garantir a segurança de ativos CII significativos, ferramentas de proteção de informações (doravante - ferramentas de proteção de informações) certificadas para conformidade com os requisitos de segurança ou ferramentas que passaram por avaliação de conformidade na forma de testes ou aceitação de acordo com a Lei Federal de 27 de dezembro de 2002 N 184-FZ "Sobre regulamentação técnica" (doravante 184-FZ) devem ser usadas. As ferramentas de proteção de informações certificadas são usadas nos casos estabelecidos pela legislação da Federação Russa (é necessário entender quando apenas ferramentas certificadas devem ser usadas), bem como no caso de uma decisão tomada pela entidade CII. Ou seja, se não houver uma indicação clara para o uso de ferramentas de proteção de informações certificadas, é possível, com base na 184-FZ, realizar independentemente uma avaliação de conformidade na forma de testes, mas, ao mesmo tempo, é necessário ter algum conhecimento ou envolver uma organização licenciada para proteção técnica de informações confidenciais. É importante considerar que as ferramentas de proteção de informações usadas devem ser fornecidas com suporte técnico dos desenvolvedores (fabricantes) e que, após a interrupção do suporte, as vulnerabilidades aparecerão com o tempo - especialmente as críticas, ninguém as corrigirá, e isso será uma brecha na segurança. E se for impossível simplesmente abandonar as ferramentas de proteção de informações cujo suporte terminou? Nesse caso, medidas organizacionais e técnicas devem ser implementadas para bloquear (neutralizar) as ameaças à segurança da informação. Ao selecionar ferramentas de proteção de informações, a possível disponibilidade de restrições por parte dos desenvolvedores (fabricantes) ou outras pessoas sobre o uso dessas ferramentas em qualquer um dos ativos CII significativos pertencentes à entidade CII deve ser levada em consideração. O procedimento para o uso de ferramentas de proteção de informações é determinado pela entidade CII na ORD sobre a segurança de ativos significativos, levando em consideração as características das atividades da entidade CII.
Para que as forças entendam o que fazer em uma determinada situação, é necessário desenvolver uma ORD que regulamente as regras, processos e procedimentos para a segurança de ativos CII significativos. Sem uma ORD, qualquer sistema de segurança ou sistema de segurança da informação não irá muito longe, as forças "flutuarão", ou seja, não entenderão o que fazer. Portanto, a ORD deve ser desenvolvida e, como regra, pelas próprias forças (o chefe e especialistas em segurança da informação) na organização. Com uma boa ORD e processos de segurança construídos, mas sem meios para garanti-la, também não é muito bom, e aqui acontece que o sistema de segurança deve ser construído de forma abrangente: forças, processos e meios, e sem isso não há como. Para não gerar um grande número de ORD, que pode ser geral sobre segurança da informação, relacionada à segurança de ativos CII significativos ou proteção de dados pessoais, é necessário formar todos os requisitos de segurança da informação relacionados à organização e determinar os documentos que são necessários e cobrem os requisitos gerais, e todos os outros serão individuais. Assim, é possível reduzir documentos idênticos (otimizar). Por exemplo, por que duas políticas privadas sobre proteção antivírus para ativos CII e sistemas de informação de dados pessoais são necessárias? A essência não está na quantidade de ORD e no volume de folhas, mas em sua qualidade, concisão e relevância. A documentação sobre a segurança de ativos significativos é aprovada pelo chefe da organização ou pela pessoa responsável. Por decisão do chefe, ORD separadas sobre a segurança de ativos significativos podem ser aprovadas por outras pessoas autorizadas na organização. O que é importante - a composição e as formas da ORD (que não existem do regulador) sobre a segurança de ativos significativos são determinadas pela entidade CII, levando em consideração as características de suas atividades - esta é uma tarefa difícil para muitas organizações e especialistas em segurança.
O sistema de segurança deve garantir: a prevenção de acesso ilegal a informações processadas por ativos CII significativos, a destruição de tais informações, sua modificação, bloqueio, cópia, fornecimento e distribuição, bem como outras ações ilegais em relação a tais informações; a prevenção de impacto em ferramentas técnicas de processamento de informações, como resultado do qual o funcionamento de ativos CII significativos pode ser violado e/ou interrompido; a restauração do funcionamento de ativos CII significativos, inclusive através da criação e armazenamento de backups das informações necessárias para isso; interação contínua com o sistema estadual de detecção, alerta e eliminação das consequências de ataques de computador aos recursos de informação da Federação Russa (doravante - GosSOPKA) em caso de ataques ou incidentes em ativos CII significativos e não apenas, bem como recebimento de recomendações e boletins de segurança. O que são recursos de informação da Federação Russa neste contexto? Informações, dados, bancos de dados - não! Os recursos de informação da Federação Russa são ACS, IS, ITCS (ativos CII) localizados no território da Federação Russa. No requisito acima para interação contínua com o GosSOPKA, software ou hardware é usado, por exemplo, Security Vision GosSOPKA, que permite: integrar-se ao gerenciamento de incidentes de computador com Security Orchestration, Automation and Response (Security Vision SOAR), monitoramento de eventos de segurança da informação - Security Information and Event Management (Security Vision SIEM) e gerenciamento de serviços de tecnologia da informação, automação de solicitações de serviço (ITSM/SD) para troca bidirecional com GosSOPKA (NCCCI); receber mensagens informativas e boletins do NCCCI; enviar incidentes na forma do regulador para cumprir os requisitos da legislação (automaticamente ou no modo manual por meio de um "botão"). A interação do Security Vision GosSOPKA com a infraestrutura GosSOPKA é realizada por meio da integração com a conta pessoal da entidade GosSOPKA por meio da Application Programming Interface (API). Por trás desses requisitos acima para o sistema de segurança, há muito trabalho tanto na preparação quanto na operação - este é um processo enorme, e não uma tarefa única. Abaixo, vamos analisar um pouco mais detalhadamente.
No âmbito do funcionamento do sistema de segurança, a organização deve implementar os seguintes processos: planejamento e desenvolvimento de medidas para garantir a segurança de ativos CII significativos; implementação (implementação) de medidas para garantir a segurança de ativos CII significativos; controle do estado de segurança de ativos CII significativos; aprimoramento da segurança de ativos CII significativos. Com base nos processos acima no âmbito do sistema de segurança, chegamos a um sistema de gerenciamento de segurança da informação. Para o gerenciamento eficaz da segurança da informação, por exemplo, o Governance, que faz parte do Security Vision SGRC, pode ser adequado, o que fornece uma abordagem abrangente: formar uma lista de funções-chave para o gerenciamento da segurança da informação; determinar o contexto organizacional da organização, que inclui o escopo da segurança da informação, bem como as partes interessadas externas e internas; formar uma estratégia de segurança cibernética (se necessário); determinar os processos de gerenciamento da segurança da informação; formar políticas e procedimentos de segurança da informação; planejar atividades para implementar medidas organizacionais e técnicas de segurança da informação; controlar a execução de tarefas e atividades de segurança da informação; melhorar os processos e procedimentos de gerenciamento da segurança da informação; avaliar o estado atual e o estado-alvo da segurança da informação. Na figura abaixo, é apresentado o painel do produto Security Vision Governance. No planejamento, designar os responsáveis pelas funções-chave de segurança da informação. Realizar uma análise do estado atual da segurança de ativos CII significativos, e após isso, você pode prosseguir para o planejamento de medidas para garantir a segurança. No âmbito do planejamento de medidas para garantir a segurança de ativos CII significativos, o desenvolvimento e a aprovação de um plano anual de medidas para garantir a segurança de ativos CII significativos (doravante - plano de medidas) são realizados. O plano de medidas é desenvolvido pela unidade estrutural de segurança, especialistas em segurança com a participação de unidades (funcionários) que operam ativos CII significativos e unidades (funcionários) que garantem o funcionamento de ativos CII significativos. O plano de medidas deve incluir medidas para garantir a segurança de ativos CII significativos que operam em unidades separadas (filiais, representações) da organização. O plano de medidas deve conter os nomes das medidas para garantir a segurança de ativos CII significativos, os prazos para sua implementação, os nomes das unidades (funcionários) responsáveis pela implementação de cada medida. Este plano é aprovado pelo chefe da organização ou pela pessoa autorizada por ele e é levado ao conhecimento das unidades (funcionários) na parte que lhes diz respeito. Nas unidades que operam ativos CII significativos e nas unidades que garantem o funcionamento de ativos CII significativos, planos de medidas separados correspondentes podem ser desenvolvidos com base no plano de medidas aprovado. E também no processo de planejamento, é necessário desenvolver a parte principal da ORD sobre a segurança de ativos significativos, que deve determinar: os objetivos e tarefas de garantir a segurança de ativos CII significativos; a composição e estrutura do sistema de segurança e as funções de seus participantes; as principais medidas organizacionais e técnicas para garantir a segurança de ativos CII significativos realizadas na organização; o procedimento para responder a incidentes de computador; o procedimento para aumentar a conscientização em segurança da informação. Os objetivos e tarefas são estabelecidos na política básica de segurança de ativos CII significativos, políticas privadas em determinadas áreas de segurança de ativos CII significativos, bem como em outras ORD. A determinação de ameaças e invasores atuais à segurança da informação é realizada durante a modelagem de ameaças. A avaliação das ameaças à segurança da informação pode ser realizada com a ajuda do Security Vision CII, que permite: formar um ativo CII a partir de objetos de impacto e componentes; usar várias abordagens de modelagem de ameaças; com base nos resultados, formar um modelo de ameaças à segurança da informação de acordo com o documento metodológico do FSTEC da Rússia. A implementação (implementação) de medidas para garantir a segurança de ativos CII significativos é o resultado da execução do plano de medidas e é realizada, inclusive de acordo com a ORD sobre a segurança de ativos significativos. Durante a implementação de medidas para garantir a segurança de ativos significativos, medidas organizacionais devem ser tomadas e (ou) ferramentas de proteção de informações devem ser implementadas em ativos CII significativos, visando bloquear (neutralizar) as ameaças à segurança da informação. Os resultados da implementação de medidas para garantir a segurança de ativos CII significativos estão sujeitos a documentação na ordem estabelecida pela organização na ORD sobre a segurança de ativos significativos. No âmbito do controle do estado de segurança de ativos CII significativos, o controle interno da organização do trabalho para garantir a segurança de ativos CII significativos e a eficácia das medidas organizacionais e técnicas tomadas devem ser realizados. O controle é realizado por uma comissão designada na organização. A comissão inclui funcionários da unidade estrutural de segurança, especialistas em segurança, funcionários de unidades que operam ativos CII significativos e unidades que garantem o funcionamento de ativos CII significativos. Por decisão das pessoas responsáveis, os funcionários de outras unidades da organização podem ser incluídos na comissão. Para avaliar a eficácia das medidas organizacionais e técnicas tomadas para garantir a segurança de ativos CII significativos, ferramentas de controle (análise) de segurança podem ser usadas. Os resultados do controle são emitidos em um ato, que é assinado pelos membros da comissão e aprovado pelo chefe da organização ou pela pessoa responsável. O controle também é realizado sobre a execução do plano de medidas. A unidade estrutural de segurança, os especialistas em segurança devem preparar anualmente um relatório sobre a execução do plano de medidas, que é apresentado ao chefe da organização ou à pessoa autorizada por ele (por exemplo, ao vice-chefe de segurança da informação). A unidade estrutural de segurança e os especialistas devem analisar o funcionamento do estado de segurança de ativos CII significativos, com base nos resultados dos quais desenvolver propostas para o desenvolvimento e medidas para melhorar o sistema de segurança de ativos CII significativos. A análise do funcionamento do sistema de segurança, bem como o desenvolvimento de propostas para melhorar a segurança de ativos CII significativos, são realizados pela unidade estrutural de segurança, especialistas em segurança com a participação de unidades (funcionários) que operam ativos CII significativos e unidades (funcionários) que garantem o funcionamento de ativos CII significativos. As propostas de melhoria são apresentadas ao chefe da organização ou à pessoa responsável. E como uma abordagem de processo é usada em sistemas de segurança (ativos CII significativos) e não apenas, os resultados dos processos "Implementação e Controle" vão para o processo "Aprimoramento" para analisar os processos e procedimentos de segurança da informação, a fim de melhorar e aprimorar o sistema de segurança e, consequentemente, os resultados do processo "Aprimoramento" entram na entrada "Planejamento" - como um ciclo de água na natureza!
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Criando Sistemas de Segurança para Ativos Críticos de Infraestrutura de Informação (CII)
Um sistema de segurança é um conjunto organizado de forças, meios, métodos e atividades destinadas a proteger informações contra acesso não autorizado, uso, divulgação, modificação, bloqueio ou destruição. Esses sistemas são criados por entidades da infraestrutura crítica de informação (CII) e incluem medidas legais, organizacionais, técnicas e outras, visando garantir a segurança da informação. As entidades CII são diversas organizações governamentais e empresas, bem como entidades legais da Federação Russa, que possuem ou alugam ativos de infraestrutura crítica de informação (ativos CII).
Os ativos CII incluem sistemas de controle automatizados (ACS), sistemas de informação (IS) e redes de informação e telecomunicações (ITCS), que pertencem legalmente às entidades CII. O objetivo da criação de sistemas de segurança é garantir o funcionamento estável de ativos CII significativos durante ataques de computador. Para que um ativo CII se torne significativo, ele passa por uma categorização, dividindo-se em ativos significativos e ativos que não recebem uma categoria de importância. Os ativos CII significativos são aqueles que receberam uma das categorias de importância e estão incluídos no registro de ativos CII significativos do FSTEC da Rússia.
Um ataque de computador é uma ação direcionada de software e/ou hardware em ativos CII, redes de comunicação usadas para organizar a interação de tais ativos, a fim de violar e/ou interromper seu funcionamento e/ou criar uma ameaça à segurança das informações processadas por tais ativos. Os sistemas de segurança incluem forças de segurança para ativos CII significativos e os meios de segurança que eles usam. As forças de segurança incluem unidades (funcionários) responsáveis pela segurança de ativos CII significativos, unidades (funcionários) que operam ativos CII significativos, unidades (funcionários) que garantem o funcionamento (suporte, manutenção, reparo) de ativos CII significativos e, se necessário, outras unidades (funcionários) que participam da segurança de ativos CII significativos.
As unidades estruturais de segurança e os especialistas em segurança devem desempenhar as seguintes funções: desenvolver propostas para melhorar a documentação organizacional e administrativa (ORD) sobre a segurança de ativos significativos e apresentá-las ao chefe da organização ou à pessoa responsável designada; realizar uma análise de ameaças à segurança da informação (onde isso soa como uma avaliação de ameaças, na verdade, é a realização de modelagem de ameaças, e é necessário se concentrar no documento metodológico - o Método para Avaliar as Ameaças à Segurança da Informação do FSTEC da Rússia) em relação a ativos CII significativos, bem como identificar vulnerabilidades neles; garantir a implementação dos requisitos para garantir a segurança de ativos CII significativos, com base em categorias específicas de importância: planejamento, desenvolvimento, aprimoramento e implementação de medidas para garantir a segurança de ativos CII significativos - aqui o requisito já se assemelha a um sistema completo de gerenciamento de segurança da informação; tomar medidas organizacionais e técnicas para garantir a segurança de ativos CII significativos; estabelecer os parâmetros e características de software e hardware usados para garantir a segurança de ativos CII significativos; garantir, de acordo com os requisitos de segurança, a implementação de medidas organizacionais e o uso de ferramentas de proteção de informações, a operação de ferramentas de proteção de informações; responder a incidentes de computador na ordem estabelecida de acordo com a ordem do FSB da Rússia de 25 de dezembro de 2025 nº 547 "Sobre a aprovação do Procedimento para informar o FSB da Rússia sobre ataques de computador e incidentes de computador, responder a eles, tomar medidas para eliminar as consequências de ataques de computador realizados em relação a ativos CII significativos da Federação Russa e outros recursos de informação da Federação Russa pertencentes a órgãos e organizações aos quais são atribuídas as responsabilidades previstas na Parte 4 do Artigo 9 da Lei Federal de 26 de julho de 2017 nº 187-FZ "Sobre a segurança da infraestrutura crítica de informação da Federação Russa"; organizar a avaliação da conformidade de ativos CII significativos com os requisitos de segurança; preparar propostas para melhorar o funcionamento dos sistemas de segurança, bem como para aumentar o nível de segurança de ativos CII significativos.
As ferramentas para garantir a segurança de ativos CII significativos incluem software e hardware usados para garantir a segurança de ativos CII significativos. Para garantir a segurança de ativos CII significativos, ferramentas de proteção de informações (doravante - ferramentas de proteção de informações) certificadas para conformidade com os requisitos de segurança ou ferramentas que passaram por avaliação de conformidade na forma de testes ou aceitação de acordo com a Lei Federal de 27 de dezembro de 2002 N 184-FZ "Sobre regulamentação técnica" (doravante 184-FZ) devem ser usadas. As ferramentas de proteção de informações certificadas são usadas nos casos estabelecidos pela legislação da Federação Russa (é necessário entender quando apenas ferramentas certificadas devem ser usadas), bem como no caso de uma decisão tomada pela entidade CII. Ou seja, se não houver uma indicação clara para o uso de ferramentas de proteção de informações certificadas, é possível, com base na 184-FZ, realizar independentemente uma avaliação de conformidade na forma de testes, mas, ao mesmo tempo, é necessário ter algum conhecimento ou envolver uma organização licenciada para proteção técnica de informações confidenciais. É importante considerar que as ferramentas de proteção de informações usadas devem ser fornecidas com suporte técnico dos desenvolvedores (fabricantes) e que, após a interrupção do suporte, as vulnerabilidades aparecerão com o tempo - especialmente as críticas, ninguém as corrigirá, e isso será uma brecha na segurança. E se for impossível simplesmente abandonar as ferramentas de proteção de informações cujo suporte terminou? Nesse caso, medidas organizacionais e técnicas devem ser implementadas para bloquear (neutralizar) as ameaças à segurança da informação. Ao selecionar ferramentas de proteção de informações, a possível disponibilidade de restrições por parte dos desenvolvedores (fabricantes) ou outras pessoas sobre o uso dessas ferramentas em qualquer um dos ativos CII significativos pertencentes à entidade CII deve ser levada em consideração. O procedimento para o uso de ferramentas de proteção de informações é determinado pela entidade CII na ORD sobre a segurança de ativos significativos, levando em consideração as características das atividades da entidade CII.
Para que as forças entendam o que fazer em uma determinada situação, é necessário desenvolver uma ORD que regulamente as regras, processos e procedimentos para a segurança de ativos CII significativos. Sem uma ORD, qualquer sistema de segurança ou sistema de segurança da informação não irá muito longe, as forças "flutuarão", ou seja, não entenderão o que fazer. Portanto, a ORD deve ser desenvolvida e, como regra, pelas próprias forças (o chefe e especialistas em segurança da informação) na organização. Com uma boa ORD e processos de segurança construídos, mas sem meios para garanti-la, também não é muito bom, e aqui acontece que o sistema de segurança deve ser construído de forma abrangente: forças, processos e meios, e sem isso não há como. Para não gerar um grande número de ORD, que pode ser geral sobre segurança da informação, relacionada à segurança de ativos CII significativos ou proteção de dados pessoais, é necessário formar todos os requisitos de segurança da informação relacionados à organização e determinar os documentos que são necessários e cobrem os requisitos gerais, e todos os outros serão individuais. Assim, é possível reduzir documentos idênticos (otimizar). Por exemplo, por que duas políticas privadas sobre proteção antivírus para ativos CII e sistemas de informação de dados pessoais são necessárias? A essência não está na quantidade de ORD e no volume de folhas, mas em sua qualidade, concisão e relevância. A documentação sobre a segurança de ativos significativos é aprovada pelo chefe da organização ou pela pessoa responsável. Por decisão do chefe, ORD separadas sobre a segurança de ativos significativos podem ser aprovadas por outras pessoas autorizadas na organização. O que é importante - a composição e as formas da ORD (que não existem do regulador) sobre a segurança de ativos significativos são determinadas pela entidade CII, levando em consideração as características de suas atividades - esta é uma tarefa difícil para muitas organizações e especialistas em segurança.
O sistema de segurança deve garantir: a prevenção de acesso ilegal a informações processadas por ativos CII significativos, a destruição de tais informações, sua modificação, bloqueio, cópia, fornecimento e distribuição, bem como outras ações ilegais em relação a tais informações; a prevenção de impacto em ferramentas técnicas de processamento de informações, como resultado do qual o funcionamento de ativos CII significativos pode ser violado e/ou interrompido; a restauração do funcionamento de ativos CII significativos, inclusive através da criação e armazenamento de backups das informações necessárias para isso; interação contínua com o sistema estadual de detecção, alerta e eliminação das consequências de ataques de computador aos recursos de informação da Federação Russa (doravante - GosSOPKA) em caso de ataques ou incidentes em ativos CII significativos e não apenas, bem como recebimento de recomendações e boletins de segurança. O que são recursos de informação da Federação Russa neste contexto? Informações, dados, bancos de dados - não! Os recursos de informação da Federação Russa são ACS, IS, ITCS (ativos CII) localizados no território da Federação Russa. No requisito acima para interação contínua com o GosSOPKA, software ou hardware é usado, por exemplo, Security Vision GosSOPKA, que permite: integrar-se ao gerenciamento de incidentes de computador com Security Orchestration, Automation and Response (Security Vision SOAR), monitoramento de eventos de segurança da informação - Security Information and Event Management (Security Vision SIEM) e gerenciamento de serviços de tecnologia da informação, automação de solicitações de serviço (ITSM/SD) para troca bidirecional com GosSOPKA (NCCCI); receber mensagens informativas e boletins do NCCCI; enviar incidentes na forma do regulador para cumprir os requisitos da legislação (automaticamente ou no modo manual por meio de um "botão"). A interação do Security Vision GosSOPKA com a infraestrutura GosSOPKA é realizada por meio da integração com a conta pessoal da entidade GosSOPKA por meio da Application Programming Interface (API). Por trás desses requisitos acima para o sistema de segurança, há muito trabalho tanto na preparação quanto na operação - este é um processo enorme, e não uma tarefa única. Abaixo, vamos analisar um pouco mais detalhadamente.
No âmbito do funcionamento do sistema de segurança, a organização deve implementar os seguintes processos: planejamento e desenvolvimento de medidas para garantir a segurança de ativos CII significativos; implementação (implementação) de medidas para garantir a segurança de ativos CII significativos; controle do estado de segurança de ativos CII significativos; aprimoramento da segurança de ativos CII significativos. Com base nos processos acima no âmbito do sistema de segurança, chegamos a um sistema de gerenciamento de segurança da informação. Para o gerenciamento eficaz da segurança da informação, por exemplo, o Governance, que faz parte do Security Vision SGRC, pode ser adequado, o que fornece uma abordagem abrangente: formar uma lista de funções-chave para o gerenciamento da segurança da informação; determinar o contexto organizacional da organização, que inclui o escopo da segurança da informação, bem como as partes interessadas externas e internas; formar uma estratégia de segurança cibernética (se necessário); determinar os processos de gerenciamento da segurança da informação; formar políticas e procedimentos de segurança da informação; planejar atividades para implementar medidas organizacionais e técnicas de segurança da informação; controlar a execução de tarefas e atividades de segurança da informação; melhorar os processos e procedimentos de gerenciamento da segurança da informação; avaliar o estado atual e o estado-alvo da segurança da informação. Na figura abaixo, é apresentado o painel do produto Security Vision Governance. No planejamento, designar os responsáveis pelas funções-chave de segurança da informação. Realizar uma análise do estado atual da segurança de ativos CII significativos, e após isso, você pode prosseguir para o planejamento de medidas para garantir a segurança. No âmbito do planejamento de medidas para garantir a segurança de ativos CII significativos, o desenvolvimento e a aprovação de um plano anual de medidas para garantir a segurança de ativos CII significativos (doravante - plano de medidas) são realizados. O plano de medidas é desenvolvido pela unidade estrutural de segurança, especialistas em segurança com a participação de unidades (funcionários) que operam ativos CII significativos e unidades (funcionários) que garantem o funcionamento de ativos CII significativos. O plano de medidas deve incluir medidas para garantir a segurança de ativos CII significativos que operam em unidades separadas (filiais, representações) da organização. O plano de medidas deve conter os nomes das medidas para garantir a segurança de ativos CII significativos, os prazos para sua implementação, os nomes das unidades (funcionários) responsáveis pela implementação de cada medida. Este plano é aprovado pelo chefe da organização ou pela pessoa autorizada por ele e é levado ao conhecimento das unidades (funcionários) na parte que lhes diz respeito. Nas unidades que operam ativos CII significativos e nas unidades que garantem o funcionamento de ativos CII significativos, planos de medidas separados correspondentes podem ser desenvolvidos com base no plano de medidas aprovado. E também no processo de planejamento, é necessário desenvolver a parte principal da ORD sobre a segurança de ativos significativos, que deve determinar: os objetivos e tarefas de garantir a segurança de ativos CII significativos; a composição e estrutura do sistema de segurança e as funções de seus participantes; as principais medidas organizacionais e técnicas para garantir a segurança de ativos CII significativos realizadas na organização; o procedimento para responder a incidentes de computador; o procedimento para aumentar a conscientização em segurança da informação. Os objetivos e tarefas são estabelecidos na política básica de segurança de ativos CII significativos, políticas privadas em determinadas áreas de segurança de ativos CII significativos, bem como em outras ORD. A determinação de ameaças e invasores atuais à segurança da informação é realizada durante a modelagem de ameaças. A avaliação das ameaças à segurança da informação pode ser realizada com a ajuda do Security Vision CII, que permite: formar um ativo CII a partir de objetos de impacto e componentes; usar várias abordagens de modelagem de ameaças; com base nos resultados, formar um modelo de ameaças à segurança da informação de acordo com o documento metodológico do FSTEC da Rússia. A implementação (implementação) de medidas para garantir a segurança de ativos CII significativos é o resultado da execução do plano de medidas e é realizada, inclusive de acordo com a ORD sobre a segurança de ativos significativos. Durante a implementação de medidas para garantir a segurança de ativos significativos, medidas organizacionais devem ser tomadas e (ou) ferramentas de proteção de informações devem ser implementadas em ativos CII significativos, visando bloquear (neutralizar) as ameaças à segurança da informação. Os resultados da implementação de medidas para garantir a segurança de ativos CII significativos estão sujeitos a documentação na ordem estabelecida pela organização na ORD sobre a segurança de ativos significativos. No âmbito do controle do estado de segurança de ativos CII significativos, o controle interno da organização do trabalho para garantir a segurança de ativos CII significativos e a eficácia das medidas organizacionais e técnicas tomadas devem ser realizados. O controle é realizado por uma comissão designada na organização. A comissão inclui funcionários da unidade estrutural de segurança, especialistas em segurança, funcionários de unidades que operam ativos CII significativos e unidades que garantem o funcionamento de ativos CII significativos. Por decisão das pessoas responsáveis, os funcionários de outras unidades da organização podem ser incluídos na comissão. Para avaliar a eficácia das medidas organizacionais e técnicas tomadas para garantir a segurança de ativos CII significativos, ferramentas de controle (análise) de segurança podem ser usadas. Os resultados do controle são emitidos em um ato, que é assinado pelos membros da comissão e aprovado pelo chefe da organização ou pela pessoa responsável. O controle também é realizado sobre a execução do plano de medidas. A unidade estrutural de segurança, os especialistas em segurança devem preparar anualmente um relatório sobre a execução do plano de medidas, que é apresentado ao chefe da organização ou à pessoa autorizada por ele (por exemplo, ao vice-chefe de segurança da informação). A unidade estrutural de segurança e os especialistas devem analisar o funcionamento do estado de segurança de ativos CII significativos, com base nos resultados dos quais desenvolver propostas para o desenvolvimento e medidas para melhorar o sistema de segurança de ativos CII significativos. A análise do funcionamento do sistema de segurança, bem como o desenvolvimento de propostas para melhorar a segurança de ativos CII significativos, são realizados pela unidade estrutural de segurança, especialistas em segurança com a participação de unidades (funcionários) que operam ativos CII significativos e unidades (funcionários) que garantem o funcionamento de ativos CII significativos. As propostas de melhoria são apresentadas ao chefe da organização ou à pessoa responsável. E como uma abordagem de processo é usada em sistemas de segurança (ativos CII significativos) e não apenas, os resultados dos processos "Implementação e Controle" vão para o processo "Aprimoramento" para analisar os processos e procedimentos de segurança da informação, a fim de melhorar e aprimorar o sistema de segurança e, consequentemente, os resultados do processo "Aprimoramento" entram na entrada "Planejamento" - como um ciclo de água na natureza!
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
