Implementando Requisitos de Segurança para Infraestruturas Críticas com Automação
Este artigo explora como a automação pode auxiliar na implementação dos requisitos de segurança para infraestruturas críticas, conforme estabelecido pela legislação russa. Ele aborda a categorização de objetos de infraestrutura crítica, a notificação de incidentes e a resposta a ataques, destacando o papel da automação na eficiência e conformidade.
MundiX News·10 de maio de 2026·10 min de leitura·👁 1 views
Implementando Requisitos de Segurança para Infraestruturas Críticas com Automação
Introdução
Os requisitos de segurança para infraestruturas críticas de informação (CII) são estabelecidos pela Lei Federal nº 187-FZ de 26 de julho de 2017, "Sobre a Segurança da Infraestrutura Crítica de Informação da Federação Russa" (doravante referida como Lei Federal). O objetivo da Lei Federal é estabelecer requisitos de segurança para garantir o funcionamento estável da CII durante ataques de computador.
Conceitos Chave
Um ataque de computador é uma ação direcionada de software e/ou hardware em objetos CII, redes de comunicação usadas para interagir com esses objetos, a fim de interromper e/ou cessar seu funcionamento e/ou criar uma ameaça à segurança das informações processadas por esses objetos. Um incidente de computador é o fato de uma violação e/ou cessação do funcionamento de um objeto CII, uma rede de comunicação usada para interagir com esses objetos, e/ou uma violação da segurança das informações processadas por tal objeto, inclusive como resultado de um ataque de computador. CII, neste contexto, refere-se a objetos CII, bem como redes de comunicação (redes de operadoras de comunicação) usadas para a interação de tais objetos. Os próprios objetos CII são os seguintes sistemas e redes: sistemas de informação (IS), sistemas automatizados de controle (ACS), redes de informação e telecomunicações (ITCS).
O Que Constitui uma CII?
Para que sistemas e redes mencionadas acima se tornem objetos CII, existe outro componente – uma determinada área de atividade (a lista de áreas será indicada abaixo) na qual a organização opera. A Lei Federal definiu os seguintes princípios para garantir a segurança da CII: legalidade (geralmente, isso é fornecido por padrão) e continuidade da segurança da CII (continuidade implica a implementação de processos de segurança cibernética e sua melhoria constante). A prioridade é dada à prevenção de ataques de computador. Os principais requisitos da Lei Federal são: realização da categorização de objetos CII – um procedimento durante o qual uma das categorias de importância é atribuída a um objeto CII ou não há necessidade de atribuir uma categoria (o procedimento de categorização será considerado abaixo); informar o Centro Nacional de Coordenação para Incidentes de Computador (NCCCI) sobre ataques de computador e incidentes de computador; resposta a incidentes de computador, tomando medidas para eliminar as consequências de ataques de computador realizados contra objetos CII significativos; uso de software confiável e hardware em objetos CII significativos; cumprimento dos requisitos para garantir a segurança de objetos CII significativos, estabelecidos pelas ordens da FSTEC da Rússia nº 235 e nº 239, etc. (serão considerados em artigos subsequentes); bem como a interação contínua com a infraestrutura do GosSOPKA, conforme estabelecido pelo FSB da Rússia.
Esclarecimentos e Detalhes
O NCCCI é uma parte integrante das forças do Sistema Estadual de Detecção, Prevenção e Eliminação das Consequências de Ataques de Computador a Recursos de Informação da Federação Russa (GosSOPKA). A principal tarefa do NCCCI é coordenar as atividades dos sujeitos CII em questões de detecção, prevenção e eliminação das consequências de ataques de computador e resposta a incidentes de computador. O GosSOPKA é um complexo territorialmente distribuído unificado, incluindo forças e meios projetados para detectar, prevenir e eliminar as consequências de ataques de computador e responder a incidentes de computador. Por sua vez, os sujeitos CII são organizações e empresas estatais, bem como pessoas jurídicas que operam nas áreas de: saúde; ciência; transporte; comunicação; energia; registro estadual de direitos sobre bens imóveis e transações com eles; setor bancário e outras áreas do mercado financeiro; complexo de combustível e energia; energia atômica; defesa; aeroespacial; mineração; metalúrgica; química. E que possuem objetos CII por direito de propriedade ou arrendamento. Se uma organização se enquadra em qualquer uma das áreas de atividade acima e possui um IS, ACS ou ITCS, ela é um sujeito CII. Um objeto CII significativo é um objeto ao qual uma das categorias de importância foi atribuída. A Lei Federal exige a realização da categorização de objetos CII, que deve ser realizada de acordo com a Resolução do Governo da Federação Russa nº 127 de 08.02.2018 "Sobre a aprovação das Regras para a categorização de objetos de infraestrutura crítica de informação da Federação Russa, bem como a lista de indicadores de critérios de importância de objetos de infraestrutura crítica de informação da Federação Russa e seus valores".
Categorização e Automação
A categorização de objetos CII é realizada pelo sujeito CII (organização) que possui objetos CII (IS, ACS, ITCS) por direito de propriedade ou arrendamento. A categorização está sujeita a objetos CII correspondentes aos tipos de IS, ACS, ITCS incluídos nas listas de objetos CII típicos da indústria. As listas de objetos CII típicos da indústria são criadas para sistematizar os tipos de objetos CII e são agrupadas por áreas de atividade (doravante – listas de objetos CII típicos). A categorização inclui o seguinte: identificação de IS, ACS, ITCS correspondentes aos objetos CII típicos incluídos nas listas de objetos CII típicos; avaliação da conformidade com a lista de indicadores de critérios de importância da escala das possíveis consequências em caso de incidentes de computador em objetos CII; atribuição de cada um dos objetos CII a uma das categorias de importância ou tomada de decisão sobre a ausência da necessidade de atribuir uma das categorias de importância a eles. Existem três categorias de importância que podem ser atribuídas a objetos CII: primeira (a mais alta e, consequentemente, mais requisitos e medidas de segurança são usados); segunda; terceira (a mais baixa, menos requisitos e medidas – nível básico de segurança). Para realizar a categorização de objetos CII, uma comissão de categorização permanentemente em funcionamento deve ser criada (doravante – comissão de categorização), que deve incluir, no mínimo: o chefe da organização ou uma pessoa autorizada por ele; funcionários que são especialistas na área das funções desempenhadas ou tipos de atividades realizadas; funcionários das unidades operacionais; funcionários aos quais são atribuídas as funções de garantir a segurança dos objetos CII. A comissão de categorização, no curso de seu trabalho: identifica objetos CII correspondentes aos típicos incluídos nas listas de objetos CII típicos; considera possíveis ações de invasores em relação a objetos CII, bem como outras fontes de ameaças à segurança da informação; analisa as ameaças à segurança da informação que podem levar a incidentes de computador em objetos CII; avalia, de acordo com a lista de indicadores de critérios de importância, bem como levando em consideração as características da indústria de categorização, a escala das possíveis consequências em caso de incidentes de computador em objetos CII, determina os valores de cada um dos indicadores de critérios de importância ou justifica sua inaplicabilidade; estabelece cada objeto CII uma das categorias de importância ou toma uma decisão sobre a ausência da necessidade de atribuir categorias de importância a eles. Ao considerar invasores e ameaças à segurança da informação, a comissão deve considerar os piores cenários para a realização de ataques de computador a objetos CII, cujo resultado é a violação ou cessação do funcionamento de objetos CII. A lista de indicadores de critérios de importância de objetos CII da Federação Russa e seus valores inclui as seguintes áreas (soam como importância) nas quais danos podem ser causados: social; política; econômica; ambiental; defesa do país, segurança do estado e ordem pública. Em cada uma das áreas acima (em relação a uma organização específica), os indicadores e os valores correspondentes do indicador são avaliados, com base nos quais a categoria de importância para o objeto CII é determinada em caso de violação e cessação do funcionamento deste objeto. A decisão da comissão de categorização é formalizada por um ato, que deve conter informações sobre o objeto CII, bem como informações sobre a atribuição de uma determinada categoria de importância ao objeto CII ou a ausência da necessidade de atribuir uma delas. O ato é assinado pelos membros da comissão de categorização e aprovado pelo chefe da organização ou por uma pessoa autorizada por ele. A organização, dentro de 10 dias a partir da data de aprovação do ato de categorização, envia à FSTEC da Rússia, na forma estabelecida, informações sobre os resultados da atribuição de uma das categorias de importância ao objeto CII ou a ausência da necessidade de atribuir uma delas (doravante – informações sobre os resultados da categorização do objeto CII). A forma de informações sobre os resultados da categorização do objeto CII é aprovada pela ordem da FSTEC da Rússia de 22.12.2017 N 236 "Sobre a aprovação da forma de envio de informações sobre os resultados da atribuição de um objeto de infraestrutura crítica de informação a uma das categorias de importância ou a ausência da necessidade de atribuir uma delas" e inclui o seguinte: informações sobre o objeto CII; informações sobre o sujeito CII (organização) que possui o objeto CII por direito de propriedade ou arrendamento; informações sobre a interação do objeto CII e redes de comunicação; informações sobre a pessoa que opera o objeto CII; informações sobre software e hardware usados no objeto CII; informações sobre ameaças à segurança da informação e categorias de invasores em relação ao objeto CII; possíveis consequências em caso de incidentes de computador no objeto CII; a categoria de importância que é atribuída ao objeto CII ou a ausência da necessidade de atribuir uma categoria; medidas organizacionais e técnicas tomadas para garantir a segurança do objeto CII; nomes de domínio e endereços de rede do objeto CII em caso de conexão a redes de uso geral. De acordo com os resultados da categorização, se uma das categorias de importância for atribuída ao objeto CII, o objeto CII real se torna significativo (levando em consideração que a FSTEC da Rússia incluirá este objeto CII no registro de objetos significativos). Caso contrário, a categoria não é atribuída e o objeto CII não tem categoria de importância.
Como a Automação Ajuda?
Considerando o aumento dos requisitos de segurança dos reguladores (FSTEC da Rússia, etc.), o aumento do número e da complexidade dos ataques cibernéticos à CII, vindos de invasores, a automação dos processos de segurança da informação já se tornou uma necessidade. Apresentarei exemplos de implementação dos requisitos acima com a ajuda de sistemas de automação. A realização da categorização de objetos CII (o procedimento foi considerado acima) pode ser automatizada com a ajuda do Security Vision CII: formação de objetos CII; realização da categorização com cálculo automático da categoria de importância do objeto CII; formação de informações sobre os resultados da categorização do objeto CII (apresentado com mais detalhes abaixo); formação do ato de categorização do objeto CII. No que diz respeito à informação sobre incidentes de computador, bem como à interação contínua com a infraestrutura do GosSOPKA, eles podem ser automatizados com a ajuda do Security Vision GosSOPKA (doravante – módulo), que permite a troca operacional de informações bidirecionais: notificação de incidentes de segurança da informação; recebimento de mensagens sobre suspeitas de incidentes envolvendo recursos controlados da organização; recebimento de boletins operacionais sobre ameaças e vulnerabilidades do regulador. O módulo de interação é desenvolvido levando em consideração o regulamento NCCCI. A principal forma de transferência de dados é realizada por meio da integração com a conta pessoal do sujeito GosSOPKA por meio da Application Programming Interface (API) – essa integração é a forma de interação contínua. E para implementar o requisito de resposta a incidentes de computador e tomar medidas para eliminar as consequências de ataques de computador, nas realidades atuais, é necessário agir com muita rapidez, pois qualquer atraso pode dar aos invasores a oportunidade de causar o maior dano à organização. Nesse caso, você pode e deve usar ferramentas de automação para responder a incidentes de computador, por exemplo, Security Vision SOAR, com a ajuda do qual é realizado de forma automática e automatizada: recebimento de um incidente de Security Vision SIEM; enriquecimento do incidente (de serviços analíticos, regras sigma, etc.); classificação e análise de incidentes (MITRE ATT&CK, Kill Chain, snapshots de hosts, evidências digitais); bloqueio e isolamento (contas, hosts, domínios maliciosos URL/Email); resposta com base em ações pré-configuradas para hosts, contas, etc.; retorno de objetos comprometidos ao seu estado original.
Próximos Passos
Os objetos CII significativos estão sujeitos a requisitos de segurança: criação de um sistema de segurança de objetos CII significativos, garantia da segurança de objetos CII significativos, modelagem de ameaças à segurança da informação, etc., que serão considerados em artigos subsequentes. Mas no que diz respeito aos objetos CII sem categoria de importância - é claro, existem certos requisitos gerais de segurança para objetos CII, independentemente da importância. Mas, basicamente, tal sujeito CII decide por conta própria quais medidas de proteção serão implementadas.
Implementando Requisitos de Segurança para Infraestruturas Críticas com Automação
Introdução
Os requisitos de segurança para infraestruturas críticas de informação (CII) são estabelecidos pela Lei Federal nº 187-FZ de 26 de julho de 2017, "Sobre a Segurança da Infraestrutura Crítica de Informação da Federação Russa" (doravante referida como Lei Federal). O objetivo da Lei Federal é estabelecer requisitos de segurança para garantir o funcionamento estável da CII durante ataques de computador.
Conceitos Chave
Um ataque de computador é uma ação direcionada de software e/ou hardware em objetos CII, redes de comunicação usadas para interagir com esses objetos, a fim de interromper e/ou cessar seu funcionamento e/ou criar uma ameaça à segurança das informações processadas por esses objetos. Um incidente de computador é o fato de uma violação e/ou cessação do funcionamento de um objeto CII, uma rede de comunicação usada para interagir com esses objetos, e/ou uma violação da segurança das informações processadas por tal objeto, inclusive como resultado de um ataque de computador. CII, neste contexto, refere-se a objetos CII, bem como redes de comunicação (redes de operadoras de comunicação) usadas para a interação de tais objetos. Os próprios objetos CII são os seguintes sistemas e redes: sistemas de informação (IS), sistemas automatizados de controle (ACS), redes de informação e telecomunicações (ITCS).
O Que Constitui uma CII?
Para que sistemas e redes mencionadas acima se tornem objetos CII, existe outro componente – uma determinada área de atividade (a lista de áreas será indicada abaixo) na qual a organização opera. A Lei Federal definiu os seguintes princípios para garantir a segurança da CII: legalidade (geralmente, isso é fornecido por padrão) e continuidade da segurança da CII (continuidade implica a implementação de processos de segurança cibernética e sua melhoria constante). A prioridade é dada à prevenção de ataques de computador. Os principais requisitos da Lei Federal são: realização da categorização de objetos CII – um procedimento durante o qual uma das categorias de importância é atribuída a um objeto CII ou não há necessidade de atribuir uma categoria (o procedimento de categorização será considerado abaixo); informar o Centro Nacional de Coordenação para Incidentes de Computador (NCCCI) sobre ataques de computador e incidentes de computador; resposta a incidentes de computador, tomando medidas para eliminar as consequências de ataques de computador realizados contra objetos CII significativos; uso de software confiável e hardware em objetos CII significativos; cumprimento dos requisitos para garantir a segurança de objetos CII significativos, estabelecidos pelas ordens da FSTEC da Rússia nº 235 e nº 239, etc. (serão considerados em artigos subsequentes); bem como a interação contínua com a infraestrutura do GosSOPKA, conforme estabelecido pelo FSB da Rússia.
Esclarecimentos e Detalhes
O NCCCI é uma parte integrante das forças do Sistema Estadual de Detecção, Prevenção e Eliminação das Consequências de Ataques de Computador a Recursos de Informação da Federação Russa (GosSOPKA). A principal tarefa do NCCCI é coordenar as atividades dos sujeitos CII em questões de detecção, prevenção e eliminação das consequências de ataques de computador e resposta a incidentes de computador. O GosSOPKA é um complexo territorialmente distribuído unificado, incluindo forças e meios projetados para detectar, prevenir e eliminar as consequências de ataques de computador e responder a incidentes de computador. Por sua vez, os sujeitos CII são organizações e empresas estatais, bem como pessoas jurídicas que operam nas áreas de: saúde; ciência; transporte; comunicação; energia; registro estadual de direitos sobre bens imóveis e transações com eles; setor bancário e outras áreas do mercado financeiro; complexo de combustível e energia; energia atômica; defesa; aeroespacial; mineração; metalúrgica; química. E que possuem objetos CII por direito de propriedade ou arrendamento. Se uma organização se enquadra em qualquer uma das áreas de atividade acima e possui um IS, ACS ou ITCS, ela é um sujeito CII. Um objeto CII significativo é um objeto ao qual uma das categorias de importância foi atribuída. A Lei Federal exige a realização da categorização de objetos CII, que deve ser realizada de acordo com a Resolução do Governo da Federação Russa nº 127 de 08.02.2018 "Sobre a aprovação das Regras para a categorização de objetos de infraestrutura crítica de informação da Federação Russa, bem como a lista de indicadores de critérios de importância de objetos de infraestrutura crítica de informação da Federação Russa e seus valores".
Categorização e Automação
A categorização de objetos CII é realizada pelo sujeito CII (organização) que possui objetos CII (IS, ACS, ITCS) por direito de propriedade ou arrendamento. A categorização está sujeita a objetos CII correspondentes aos tipos de IS, ACS, ITCS incluídos nas listas de objetos CII típicos da indústria. As listas de objetos CII típicos da indústria são criadas para sistematizar os tipos de objetos CII e são agrupadas por áreas de atividade (doravante – listas de objetos CII típicos). A categorização inclui o seguinte: identificação de IS, ACS, ITCS correspondentes aos objetos CII típicos incluídos nas listas de objetos CII típicos; avaliação da conformidade com a lista de indicadores de critérios de importância da escala das possíveis consequências em caso de incidentes de computador em objetos CII; atribuição de cada um dos objetos CII a uma das categorias de importância ou tomada de decisão sobre a ausência da necessidade de atribuir uma das categorias de importância a eles. Existem três categorias de importância que podem ser atribuídas a objetos CII: primeira (a mais alta e, consequentemente, mais requisitos e medidas de segurança são usados); segunda; terceira (a mais baixa, menos requisitos e medidas – nível básico de segurança). Para realizar a categorização de objetos CII, uma comissão de categorização permanentemente em funcionamento deve ser criada (doravante – comissão de categorização), que deve incluir, no mínimo: o chefe da organização ou uma pessoa autorizada por ele; funcionários que são especialistas na área das funções desempenhadas ou tipos de atividades realizadas; funcionários das unidades operacionais; funcionários aos quais são atribuídas as funções de garantir a segurança dos objetos CII. A comissão de categorização, no curso de seu trabalho: identifica objetos CII correspondentes aos típicos incluídos nas listas de objetos CII típicos; considera possíveis ações de invasores em relação a objetos CII, bem como outras fontes de ameaças à segurança da informação; analisa as ameaças à segurança da informação que podem levar a incidentes de computador em objetos CII; avalia, de acordo com a lista de indicadores de critérios de importância, bem como levando em consideração as características da indústria de categorização, a escala das possíveis consequências em caso de incidentes de computador em objetos CII, determina os valores de cada um dos indicadores de critérios de importância ou justifica sua inaplicabilidade; estabelece cada objeto CII uma das categorias de importância ou toma uma decisão sobre a ausência da necessidade de atribuir categorias de importância a eles. Ao considerar invasores e ameaças à segurança da informação, a comissão deve considerar os piores cenários para a realização de ataques de computador a objetos CII, cujo resultado é a violação ou cessação do funcionamento de objetos CII. A lista de indicadores de critérios de importância de objetos CII da Federação Russa e seus valores inclui as seguintes áreas (soam como importância) nas quais danos podem ser causados: social; política; econômica; ambiental; defesa do país, segurança do estado e ordem pública. Em cada uma das áreas acima (em relação a uma organização específica), os indicadores e os valores correspondentes do indicador são avaliados, com base nos quais a categoria de importância para o objeto CII é determinada em caso de violação e cessação do funcionamento deste objeto. A decisão da comissão de categorização é formalizada por um ato, que deve conter informações sobre o objeto CII, bem como informações sobre a atribuição de uma determinada categoria de importância ao objeto CII ou a ausência da necessidade de atribuir uma delas. O ato é assinado pelos membros da comissão de categorização e aprovado pelo chefe da organização ou por uma pessoa autorizada por ele. A organização, dentro de 10 dias a partir da data de aprovação do ato de categorização, envia à FSTEC da Rússia, na forma estabelecida, informações sobre os resultados da atribuição de uma das categorias de importância ao objeto CII ou a ausência da necessidade de atribuir uma delas (doravante – informações sobre os resultados da categorização do objeto CII). A forma de informações sobre os resultados da categorização do objeto CII é aprovada pela ordem da FSTEC da Rússia de 22.12.2017 N 236 "Sobre a aprovação da forma de envio de informações sobre os resultados da atribuição de um objeto de infraestrutura crítica de informação a uma das categorias de importância ou a ausência da necessidade de atribuir uma delas" e inclui o seguinte: informações sobre o objeto CII; informações sobre o sujeito CII (organização) que possui o objeto CII por direito de propriedade ou arrendamento; informações sobre a interação do objeto CII e redes de comunicação; informações sobre a pessoa que opera o objeto CII; informações sobre software e hardware usados no objeto CII; informações sobre ameaças à segurança da informação e categorias de invasores em relação ao objeto CII; possíveis consequências em caso de incidentes de computador no objeto CII; a categoria de importância que é atribuída ao objeto CII ou a ausência da necessidade de atribuir uma categoria; medidas organizacionais e técnicas tomadas para garantir a segurança do objeto CII; nomes de domínio e endereços de rede do objeto CII em caso de conexão a redes de uso geral. De acordo com os resultados da categorização, se uma das categorias de importância for atribuída ao objeto CII, o objeto CII real se torna significativo (levando em consideração que a FSTEC da Rússia incluirá este objeto CII no registro de objetos significativos). Caso contrário, a categoria não é atribuída e o objeto CII não tem categoria de importância.
Como a Automação Ajuda?
Considerando o aumento dos requisitos de segurança dos reguladores (FSTEC da Rússia, etc.), o aumento do número e da complexidade dos ataques cibernéticos à CII, vindos de invasores, a automação dos processos de segurança da informação já se tornou uma necessidade. Apresentarei exemplos de implementação dos requisitos acima com a ajuda de sistemas de automação. A realização da categorização de objetos CII (o procedimento foi considerado acima) pode ser automatizada com a ajuda do Security Vision CII: formação de objetos CII; realização da categorização com cálculo automático da categoria de importância do objeto CII; formação de informações sobre os resultados da categorização do objeto CII (apresentado com mais detalhes abaixo); formação do ato de categorização do objeto CII. No que diz respeito à informação sobre incidentes de computador, bem como à interação contínua com a infraestrutura do GosSOPKA, eles podem ser automatizados com a ajuda do Security Vision GosSOPKA (doravante – módulo), que permite a troca operacional de informações bidirecionais: notificação de incidentes de segurança da informação; recebimento de mensagens sobre suspeitas de incidentes envolvendo recursos controlados da organização; recebimento de boletins operacionais sobre ameaças e vulnerabilidades do regulador. O módulo de interação é desenvolvido levando em consideração o regulamento NCCCI. A principal forma de transferência de dados é realizada por meio da integração com a conta pessoal do sujeito GosSOPKA por meio da Application Programming Interface (API) – essa integração é a forma de interação contínua. E para implementar o requisito de resposta a incidentes de computador e tomar medidas para eliminar as consequências de ataques de computador, nas realidades atuais, é necessário agir com muita rapidez, pois qualquer atraso pode dar aos invasores a oportunidade de causar o maior dano à organização. Nesse caso, você pode e deve usar ferramentas de automação para responder a incidentes de computador, por exemplo, Security Vision SOAR, com a ajuda do qual é realizado de forma automática e automatizada: recebimento de um incidente de Security Vision SIEM; enriquecimento do incidente (de serviços analíticos, regras sigma, etc.); classificação e análise de incidentes (MITRE ATT&CK, Kill Chain, snapshots de hosts, evidências digitais); bloqueio e isolamento (contas, hosts, domínios maliciosos URL/Email); resposta com base em ações pré-configuradas para hosts, contas, etc.; retorno de objetos comprometidos ao seu estado original.
Próximos Passos
Os objetos CII significativos estão sujeitos a requisitos de segurança: criação de um sistema de segurança de objetos CII significativos, garantia da segurança de objetos CII significativos, modelagem de ameaças à segurança da informação, etc., que serão considerados em artigos subsequentes. Mas no que diz respeito aos objetos CII sem categoria de importância - é claro, existem certos requisitos gerais de segurança para objetos CII, independentemente da importância. Mas, basicamente, tal sujeito CII decide por conta própria quais medidas de proteção serão implementadas.
