Что такое кии в информационной безопасности
Перейти к содержимому

Что такое кии в информационной безопасности

  • автор:

БЕЗОПАСНОСТЬ КИИ: КОРОТКО О ГЛАВНОМ

Федеральный закон №-187 «О безопасности критической информационной инфраструктуры (КИИ) Российской
Федерации» который вступил в силу 01 января 2018 г. постепенно набирает обороты и пополняется новыми
подзаконными актами, которые часто не облегчают жизнь ИБ-специалисту. Давайте разберёмся в ситуации,
что ожидается и что необходимо предпринять.

КТО МЫ, КИИ ИЛИ НЕ КИИ?

Первым делом необходимо выяснить, подпадает ли организация под понятие «субъект КИИ» и сделать это можно посмотрев законодательство. Не нашли себя, выдохните, у вас немного меньше головной боли.

Какие критерии указывают что вы субъект КИИ?

  • здравоохранение;
  • наука;
  • транспорт;
  • связь;
  • энергетика;
  • банковская сфера и иные финансовые сферы;
  • топливно-энергетический комплекс;
  • область атомной энергии;
  • оборонная промышленность;
  • ракетно-космическая промышленность;
  • горнодобывающая промышленность;
  • металлургическая промышленность;
  • химическая промышленность;
  • юридически лица и/или ИП, которые обеспечивают взаимодействие указанных систем или сетей.

Третий критерий – учредительные документы организаций, к ним относятся уставы, положения организаций (если речь идет о государственных органах), в которых может быть прописан вид деятельности указывающий на принадлежность к критичным отраслям.

«Пример из нашего опыта проведения работ по категорированию. Компания по основному виду экономической деятельности имела код ОКВЭД 46.73.6 «Торговля оптовая прочими строительными материалами и изделиями», на первый взгляд ни чего особенного, в перечень отраслей согласно ФЗ №-187 не попадает и можно «спать спокойно». Но при детальном изучении устава и лицензий на виды деятельности оказалось, что у компании есть лицензия на деятельность по перевозке грузов железнодорожным транспортом и собственный парк железнодорожного транспорта. Исходя из данных обстоятельств, предприятие относится к отрасли «транспорт» и следовательно, необходимо выполнять требования ФЗ №-187.»
Попали под один критерий из трёх? Поздравляем, вы субъект КИИ! Но нужно помнить, что каждый случай
разбирается индивидуально и эта тема отдельного обсуждения, посвященная категорированию объектов критической информационной инфраструктуры которую рассмотрим в следующих статьях.

Нормативно-правовой акт четко определяет, что « к субъектам критической информационной инфраструктуры относятся государственные органы и учреждения, а так же российские юридические лица и/или индивидуальные предприниматели которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления ».

  • информационные системы;
  • автоматизированные системы управления технологическими процессами;
  • информационно-телекоммуникационные сети.
  • Банковская сфера и иные сферы финансового рынка
  • Топливно-энергетический комплекс
  • Атомная промышленность
  • Военно-промышленный комплекс
  • Ракетно-космическая промышленность
  • Горнодобывающая промышленность
  • Металлургическая промышленность
  • Химическая промышленность
  • Наука, транспорт, связь
  • ЮЛ и ИП которые взаимодействуют с системами КИИ
  • Информационные системы
  • Информационно-телекоммуникационные сети
  • Автоматизированные системы управления технологическими процессами (АСУ ТП)


Процесс определения принадлежности к субъекту КИИ не так прост, как может показаться на первый взгляд. Как мы говорили выше, есть много неочевидных факторов, которые могут влиять на результат, например, открытые дополнительные, не основные, виды деятельности по ОКВЭД или действующие лицензии, которые могут отнести вас субъекту критической информационной инфраструктуре. Мы рекомендуем провести более детальное погружение в вопрос определения принадлежности к субъекту КИИ.

ЧТО ДЕЛАТЬ ЕСЛИ ВЫ СУБЪЕКТ КИИ?

С субъектом и объектом КИИ разобрались. Что необходимо сделать вам, как субъекту КИИ, дальше?

Первый этап. Необходимо создать внутреннюю комиссию по категорированию и определить состав участников из наиболее компетентных специалистов по вашим бизнес-процессам. Почему делается акцент на бизнес-процессы и уровни компетенции участников? Только «владелец» бизнес-процесса знает все нюансы, которые могут привести к их нарушению и последующим негативным последствиям. Этот владелец или компетентное уполномоченное лицо должен быть в составе комиссии для присвоения правильной категории значимости процессу.

Второй этап. На этом этапе собираются исходные данные, проводится предпроектное обследование и на основании полученных данных, комиссия принимает решение о наличии перечня объектов КИИ, подлежащих категорированию и присваивает категорию значимости. Согласно Постановлению Правительства РФ от 08.02.2018 N 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» категорий значимости три, 1-я самая высокая.

  • социальная;
  • политическая;
  • экономическая;
  • экологическая;
  • значимость для обеспечения обороны страны, безопасности государства и правопорядка.
  • разработка технического задания;
  • разработка модели угроз информационной безопасности;
  • разработка технического проекта;
  • разработка рабочей документации;
  • ввод в действие.

ЧТО БУДЕТ ЕСЛИ ЭТОГО НЕ ДЕЛАТЬ?

  • по истечению 3-х лет со дня внесения сведений об объекте КИИ в реестр;
  • по истечению 3-х лет со дня осуществления последней плановой проверки.
  • по истечению срока выполнения субъектом КИИ предписания об устранении выявленного нарушения;
  • возникновения компьютерного инцидента, повлекшего негативные последствия;
  • по поручению Президента РФ или Правительства РФ, либо на основании требования Прокуратуры РФ.

И еще немного о мерах наказания, которые были введены за не соблюдение требований по обеспечению безопасности критической информационной структуры. Согласно Федеральному закону от 26.07.2017 № 194-ФЗ «О внесении изменений в УК РФ и УПК РФ в связи с принятием ФЗ «О безопасности КИИ РФ» максимальная мера наказания, за нарушения норм безопасности КИИ, составляет лишение свободы до 10 лет. Пожалуй, весомый аргумент!

В дальнейших статьях мы более подробно расскажем о каждом из этапов выполнения требований ФСТЭК в области обеспечения безопасности КИИ. Следите за нашими обновлениями в блоге на Securitylab, на корпоративном сайте и на нашей странице в Facebook .

Александрин Яков,
Руководитель по развитию решений,
Компания «Инжиниринговый центр РЕГИОНАЛЬНЫЕ СИСТЕМЫ»
8-800-333-27-53
www.ec-rs.ru
Facebook

Цифровые следы — ваша слабость, и хакеры это знают. Подпишитесь и узнайте, как их замести!

ПРОСТО о КИИ

КИИ – это критическая информационная инфраструктура. Т.е. из определения видно, что значимость ее корректного функционирования велика, а сбои могут повлечь серьезные последствия.

На последнем хочу акцентировать внимание. Здесь речь идет о том, что инциденты ИБ могут повлечь причинение ущерба жизни и здоровью граждан, экологии, стабильности функционирования государства. Степень возможного ущерба в дальнейшем влияет и на категорию значимости.

Работа КИИ и ее ИБ влияет на жизни и здоровью граждан, экологии, стабильности функционирования государства. Имеет следующую значимость:

  • Социальная значимость
  • Политическая значимость
  • Экономическая значимость
  • Экологическая значимость
  • Значимость для обороны страны

Изначально законодательство определило 13 значимых (ключевых) сфер, воздействие на ИС которых может с большей долей вероятности нанести тот самый ущерб.

Сама КИИ – это совокупность объектов (проще скажем, ИС), которые находятся в ведении субъекта КИИ.

Субъект КИИ – это лицо, которое имеет в своем ведении (владеет или арендует) объекты КИИ.

Объекты КИИ – это совокупность ИС, ИТКС и АСУ, которые автоматизирую бизнес- процессы Компании.

Это базовая терминология главного ФЗ №187. Именно этот ФЗ регламентирует требования как к субъектам КИИ, так и к их объектам.

Этот же ФЗ определяет необходимость проведения категорирования объектов КИИ. То есть определения тех ИС, нарушение защищенности которых может привести к негативным последствиям.

Примерами объектов КИИ могут быть:

  • В медицинской сфере – цифровые рентгены, КТ, МРТ аппараты.
  • В банках – это система дистанционного банковского обслуживания.
  • У фармакологических компаний такими ИС могут быть – системы по производству лекарств, учету сырья.
  • У промышленных систем – это в первую очередь те ИС, которые отвечают за производственные процессы, нарушение и сбои, которые могут привести к человеческим и экологическим потерям.

Для того, чтобы понять есть КИИ или нет, нужно определить сферу деятельности Компании: самое простое – это по ОКВЭДам, но также нужно учитывать, лицензии, уставы, иные документы, в которых описана деятельность вашей компании.

Здесь необходимо смотреть В СОВОКУПНОСТИ, входит ли данная деятельность в эти 13 сфер или нет. Если входит, то переходим к инвентаризации систем. Не каждая система будет являться объектом КИИ, а только та, с помощью которой вы осуществляете критический процесс.

Хороший пример, который встретился на практике, это включение в перечень объектов КИИ медицинской организации 1С Кадры или Бухгалтерия, которая явно не осуществляет критический процесс – оказание медицинской помощи.

Как видите из схемы, которая приведена ниже, процесс категорирования непростой, здесь понадобится создать комиссию по категорированию, понять процессы, выявить критические процессы. Далее нужно сформировать перечень объектов КИИ, утвердить перечень этих объектов, собрать данные для категорирования (это и финансовые данные по деятельности Компании, и технические данные об ИС, провести моделирование угроз, оценить последствия от возможных инцидентов. На основании полученных данных сделать вывод о необходимости присвоения категории и оформить это все актом, при этом не забыть направить сведения из акта во фстэк в установленный срок.

Что сделать: Провести категорирование.

Кому: Компаниям, деятельность которых включена в 13 значимых сфер.

Кто делает: комиссия по категорированию, которая определяется самостоятельно субъектом КИИ.

Как: по схеме ниже

Если посмотреть на те штрафы, которые имеются, то ничего страшного, только есть один нюанс. Вам все равно придется провести категорирование. Только уже не в комфортном для вас режиме, а спешно. Тут и контроль со стороны регуляторов будет выше. Вероятнее всего без помощи лицензиатов не обойтись. То есть путь страуса – тут самый плохой. Лучше решить все до момента прихода регулятора.

Кроме того, Федеральному закону от 26.07.2017 № 194-ФЗ «О внесении изменений в УК РФ и УПК РФ в связи с принятием ФЗ «О безопасности критической информационной инфраструктуры РФ» максимальная мера наказания, за нарушения норм безопасности КИИ, составляет лишение свободы до 10 лет. Пожалуй, весомый аргумент!

После того, как мы провели категорирование объектов КИИ, оценили возможные последствия в случае возникновения инцидентов на объектах КИИ и сверились с перечнем показателей критериев значимости, приведенном в ПП127. После ответа на эти вопросы, уже можно говорить, будет системе присвоена категория или нет. И какие должны обязательно применяться в соответствии с приказами регуляторов.

В декабре 2022 г. было изменение требований по категорированию в ПП-127. Изменения коснулись организаций, оказывающие гос услуги, операторов платежных систем, бирж, оборонно-промышленной сферы. Если ваша организация попадает под изменения, то вам необходимо повторно оценить показатели из перечня, указанные в ПП 127 и проверить, не изменились ли у вас категория.

Если система является объектам КИИ, но категория значимости не присвоена, то согласно ст.9 ч.2 187-ФЗ вы, как субъект КИИ, должны информировать ФСБ о компьютерных инцидентах.

Если невозможно обеспечить все предприятия, входящие в критическую информационную инфраструктуру, специалистами с нужными компетенциями, значит, нужно создавать центры компетенции, которые будут непосредственно подключаться к противодействию атакам. Этот подход и был заложен в концепцию ГосСОПКА.

ГосСОПКА – система государственных и частных центров компетенции (центров ГосСОПКА), которые обслуживают субъектов критической информационной инфраструктуры. Такой центр берет на себя часть функций безопасности, необходимых для противодействия атакам на информационные системы субъектов критической информационной инфраструктуры. Как правило, к таким функциям относится: выявление и анализ уязвимостей обслуживаемых информационных систем, координация действий по устранению таких уязвимостей; анализ событий, регистрируемых компонентами обслуживаемых информационных систем и средств их защиты, для поиска признаков атак, направленных на эти системы; координация действий по реагированию на обнаруженную атаку, а если атака привела к инциденту –– по ликвидации последствий такого инцидента; расследование инцидентов и ретроспективный анализ атак, которые не удалось предотвратить; информирование персонала обслуживаемых информационных систем, проведение киберучений.

Субъект ГосСОПКА – государственные органы РФ, российские юридические лица и индивидуальные предприниматели, в силу закона или на основании заключенных с ФСБ России соглашений, осуществляющих обнаружение, предупреждение и ликвидацию последствий компьютерных атак и реагирование на компьютерные инциденты.

Центр ГосСОПКА – структурная единица ГосСОПКА, представляющая совокупность подразделений и должностных лиц субъекта ГосСОПКА, которые принимают участие в обнаружении, предупреждении и ликвидации последствий компьютерных атак и реагирование на компьютерные инциденты в своей зоне ответственности.

Уведомлять нужно во исполнение требований Приказов ФСБ всем субъектам КИИ в течение 24 часов. Субъектам со значимыми ОКИИ – 3 часа с момента инцидента.

В утвержденных приказах ФСБ России нет деления на значимые и не значимые объекты КИИ.

А как же РКН?

Нужно уведомлять в случае утечек ПДн (согласно ст 21 ФЗ-152)

Подведем итог и сведем это все в некую дорожную карту.

Если значимых объектов КИИ нет, то не забывайте про ч.2 ст.9 187 ФЗ, это обязательно для всех субъектов КИИ, вам нужно разработать регламент информирования о компьютерных инцидентах НКЦКИ, в какой форме уведомлять в законе не указано. И конечно, законодательство меняется, у вас могут добавиться системы, поэтому не забывайте держать в актуализированном состоянии акты категорирования.

Если же значимые объекты есть, вам в любом случае необходимо создать систему безопасности для значимых объектов КИИ. Для начала нужно определить требования для системы безопасности. Они содержаться в приказах ФСТЭК 235 и 239, после определения требований приступаем к разработке проектной документации: это моделирование угроз, техническое задание, технический проект. Далее, идет этап внедрения средств защиты с разработкой эксплуатационной документации. После внедрения обязательный этап –– это аттестация объектов КИИ с выдачей документа, подтверждающего выполнения требований безопасности. Финальный этап –– это поддержание безопасности в ходе эксплуатации, в том числе и взаимодействие с технической инфраструктурой ГОССОПКа.

Процесс трудоемкий, но и не каждая система попадет под значимую. В к сфере КИИ у нас есть опыт, и мы можем вам помочь.

Подписывайтесь на Telegram-канал Б-152, чтобы оперативно получать информацию и разъяснения по всем законодательным изменениям в области Privacy.

С уважением, Екатерина Витенбург, Старший консультант по информационной безопасности Б-152.

Обзор российского законодательства по защите критической информационной инфраструктуры

Друзья, в предыдущей публикации мы рассмотрели вопросы защиты персональных данных с точки зрения российского и международного законодательства. Однако существует и еще одна актуальная тема, касающаяся большого количества российских компаний и организаций — мы говорим о защите критической информационной инфраструктуры. Защищенность и устойчивость ИТ-систем как отдельных крупных компаний, так и целых отраслей промышленности в современных условиях играют решающую роль. Во всем мире фиксируются попытки осуществления целенаправленных и изощренных кибератак на объекты инфраструктуры, и не обращать внимания на такие факты было бы весьма недальновидно. Создание ГосСОПКА (государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации), а также подписание Федерального Закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и разработка соответствующих подзаконных актов послужили логичным ответом на вызовы текущих реалий.

Рассмотрим этот аспект информационной безопасности подробнее. Вперёд!

image

Основные положения

Начало работ по защите информационной инфраструктуры в государственном масштабе было положено с подписанием Указа Президента Российской Федерации от 15 января 2013 г. № 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации». Далее, в июле 2017 г. был подписан Федеральный Закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», который вступил в силу с 1 января 2018 года. Под критической информационной инфраструктурой (далее — КИИ) понимаются информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов КИИ, а также сети электросвязи, используемые для организации их взаимодействия. Субъектами КИИ являются компании, работающие в стратегически важных для государства областях, таких как здравоохранение, наука, транспорт, связь, энергетика, банковская сфера, топливно-энергетический комплекс, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, а также организации, обеспечивающие взаимодействие систем или сетей КИИ. Компьютерная атака определяется как целенаправленное вредоносное воздействие на объекты КИИ для нарушения или прекращения их функционирования, а компьютерный инцидент — как факт нарушения или прекращения функционирования объекта КИИ и/или нарушения безопасности обрабатываемой объектом информации.

Также стоит отметить, что для компаний сферы топливно-энергетического комплекса существуют свои нормы, которые определены Федеральным Законом от 21 июля 2011 г. № 256-ФЗ «О безопасности объектов топливно-энергетического комплекса», которые также диктуют необходимость обеспечения безопасности информационных систем объектов топливно-энергетического комплекса путем создания систем защиты информации и информационно-телекоммуникационных сетей от неправомерных доступа, уничтожения, модифицирования, блокирования информации и иных неправомерных действий, а также необходимость обеспечения функционирования таких систем.

ФСТЭК России была назначена федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры РФ. На ФСБ РФ были возложены функции федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (далее — ГосСОПКА). Кроме этого, приказом ФСБ РФ в 2018 году был создан Национальный координационный центр по компьютерным инцидентам (НКЦКИ), который координирует деятельность субъектов КИИ и является составной частью сил, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, а техническая инфраструктура НКЦКИ используется для функционирования системы ГосСОПКА. Говоря простыми словами, НКЦКИ является государственным CERT (Computer Emergency Response Team), а ГосСОПКА — это «большой SIEM» в масштабе РФ. Функционирует это следующим образом: информация по произошедшему компьютерному инциденту в объеме, соответствующем положениям Приказа ФСБ РФ № 367 (дата, время, технические подробности и последствия инцидента и его связь с другими инцидентами, месторасположение объекта КИИ, наличие связи между выявленной атакой и инцидентом), должна быть передана субъектом КИИ в систему ГосСОПКА в срок не позднее 24 часов с момента обнаружения компьютерного инцидента. При этом прослеживается тенденция перехода к автоматизированной отправке данных.

Далее было подписано Постановление Правительства РФ от 8 февраля 2018 г. №127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также Перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений», которые предъявляют конкретные требования для субъектов КИИ по проведению категорирования объектов КИИ в их зоне ответственности, а также содержат перечень критериев значимости объектов КИИ — количественных показателей для корректного выбора категории значимости. Категория значимости объекта КИИ может принимать одно из трех значений (где самая высокая категория — первая, самая низкая — третья) и зависит от количественных показателей значимости этого объекта в социальной, политической, экономической и оборонной сферах. Например, если компьютерный инцидент на объекте КИИ может привести к причинению ущерба жизни и здоровью более 500 гражданам, то объекту присваивается максимальная первая категория, а если транспортные услуги в результате инцидента могут стать недоступны для 2 тыс. — 1 млн. граждан, то объекту присваивается минимальная третья категория.

Итак, объекты КИИ следует категорировать. Это выполняется постоянно действующей внутренней комиссией по категорированию субъекта КИИ, которая также производит и документально оформляет следующие действия:

  • выявляет объекты КИИ, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы (условно назовем их «основные процессы субъектов КИИ») в рамках деятельности субъекта КИИ;
  • выявляет критические процессы, нарушение или прекращение которых может привести к негативным последствиям в социальной, политической, экономической и оборонной сферах;
  • устанавливает объекты КИИ, которые обрабатывают информацию для описанных выше процессов и/или осуществляют управление, контроль или мониторинг критических процессов (условно назовем их «вспомогательные объекты КИИ»);
  • строит модели нарушителей и угроз, при этом комиссии следует рассматривать наихудшие сценарии атак с максимальными негативными последствиями;
  • оценивает возможные последствия, учитывая взаимосвязи между объектами и зависимости между ними;
  • присваивает каждому объекту одну из трех категорий значимости либо выносит мотивированное решение о неприсвоении такой категории, с составлением акта категорирования объекта КИИ либо акта об отсутствии необходимости присвоения ему категории значимости.

ГосСОПКА

В соответствии с разработанным в ФСБ РФ документом №149/2/7-200 от 24 декабря 2016 г. «Методические рекомендации по созданию ведомственных и корпоративных центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации», функциями ГосСОПКА являются:

  • инвентаризация информационных ресурсов;
  • выявление уязвимостей информационных ресурсов;
  • анализ угроз информационной безопасности;
  • повышение квалификации персонала информационных ресурсов;
  • прием сообщений о возможных инцидентах от персонала и пользователей информационных ресурсов;
  • обнаружение компьютерных атак;
  • анализ данных о событиях безопасности;
  • регистрация инцидентов;
  • реагирование на инциденты и ликвидация их последствий;
  • установление причин инцидентов;
  • анализ результатов устранения последствий инцидентов.
  • ведомственные Центры осуществляют лицензируемую деятельность по защите информационных ресурсов в интересах органов государственной власти;
  • корпоративные Центры осуществляют лицензируемую деятельность по защите информационных ресурсов в собственных интересах, а также имеют право предоставлять услуги по предупреждению, обнаружению и ликвидации последствий компьютерных атак.

Итак, субъект КИИ, относящийся к органу государственной власти, в соответствии с текущими законодательными нормами должен подключиться к соответствующему ведомственному Центру ГосСОПКА. У субъекта КИИ, не являющегося органом государственной власти, есть возможность либо осуществить самостоятельное подключение к системе ГосСОПКА, либо создать свой собственный корпоративный Центр ГосСОПКА, либо подключиться к уже созданному Центру, оказывающему услуги по подключению к системе ГосСОПКА.

При самостоятельном подключении к Центру ГосСОПКА субъекту КИИ предстоит решить следующие задачи:

  • создание собственного Центра мониторинга информационной безопасности с учетом требований нормативных документов ФСБ РФ, ФСТЭК России, иных нормативно-правовых актов;
  • внедрение и поддержка технических средств и решений, соответствующих методическим рекомендациям ФСБ РФ по созданию ведомственных и корпоративных центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;
  • внедрение и поддержка технических средств и решений, соответствующих требованиям к лицензиату ФСТЭК России для осуществления деятельности по мониторингу информационной безопасности средств и систем мониторинга;
  • получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации (ТЗКИ) в части перечня работ и услуг по мониторингу информационной безопасности средств и систем мониторинга (в случае предоставления коммерческих услуг другим организациям или при работе в составе холдинговой структуры);
  • получение лицензии ФСБ РФ на деятельность по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (в случае предоставления коммерческих услуг другим организациям или при работе в составе холдинговой структуры);
  • осуществление взаимодействия с НКЦКИ в соответствии с регламентом взаимодействия подразделений ФСБ РФ и субъектов ГосСОПКА при осуществлении информационного обмена в области обнаружения, предупреждения и ликвидации последствий компьютерных атак;
  • привлечение, обучение, удержание сотрудников Центра мониторинга информационной безопасности;
  • разработка и непрерывная актуализация сценариев атак и мониторинга;
  • аналитика событий и инцидентов, построение отчетности.

АСУТП

Перейдем к принципам защиты автоматизированных систем управления производственными и технологическими процессами. Приказ ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды» (в ред. Приказа ФСТЭК России от 9 августа 2018 г. № 138) устанавливает законодательные требования в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами (далее — АСУТП). Несмотря на наличие двух казалось бы дублирующихся направлений защиты КИИ (187-ФЗ по КИИ с подзаконными актами и указанный Приказ №31 по АСУТП), в настоящее время государственные регуляторы придерживаются следующей точки зрения: если объект КИИ признан значимым (т.е. ему присвоена одна из трех категорий значимости), то используется Приказ ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации», а если объект КИИ признан незначимым (т.е. категория значимости не была присвоена), то по решению субъекта КИИ можно применять как Приказ №31 по АСУТП, так и Приказ №239 по КИИ.

В соответствии с Приказом №31 объектами защиты в АСУТП являются информация о параметрах или состоянии управляемого объекта или процесса, а также все сопутствующие технические средства (рабочие станции, серверы, каналы связи, контроллеры), ПО и средства защиты. Данный документ указывает, что предпринимаемые организационные и технические меры по защите АСУТП должны, в первую очередь, обеспечивать доступность и целостность обрабатываемой в АСУТП информации, а обеспечение конфиденциальности логично ставится на второе место. Кроме этого, указывается, что принимаемые меры должны быть гармонизированы с мерами по обеспечению других видов безопасности, например, промышленной, пожарной, экологической, и не должны оказывать отрицательного влияния на штатный режим функционирования АСУТП. Предъявляются требования и к СЗИ в АСУТП — они должны пройти оценку соответствия.

В документе описаны организационные шаги по защите информации (далее — ЗИ) в АСУТП: формирование требований к ЗИ, разработка и внедрение системы защиты АСУТП, обеспечение ЗИ в ходе эксплуатации АСУТП и при выводе её из эксплуатации. Именно на этапе формирования требований проводится важная работа по классификации АСУТП: системе устанавливается один из трех классов защищенности (где самый низкий класс — третий, самый высокий — первый), при этом класс защищенности определяется в зависимости от уровня значимости обрабатываемой информации, т.е. степени возможного ущерба от нарушения её свойств безопасности (целостность, доступность и, если применимо, конфиденциальность). Степень ущерба же может быть высокой (ЧП федерального или межрегионального масштаба), средней (ЧП регионального или межмуниципального масштаба) или низкой (происшествие носит локальный характер).

Кроме классификации АСУТП, на этапе формирования требований определяются угрозы безопасности АСУТП путем составления модели угроз: выявляются источники угроз, оцениваются возможности нарушителей (т.е. создается модель нарушителя), анализируются уязвимости используемых систем, определяются возможные способы реализации угроз и последствия этого, при этом следует использовать БДУ ФСТЭК России. Важность создания модели нарушителя на данном этапе заключается еще и в том, что применяемые меры защиты в АСУТП 1-го класса защищенности должны обеспечивать нейтрализацию действий нарушителя с высоким потенциалом, в АСУТП 2-го класса защищенности — нарушителя с потенциалом не ниже среднего, в АСУТП 3-го класса защищенности — нарушителя с низким потенциалом (потенциалу нарушителей даётся определение на странице БДУ).

Далее, Приказ №31 предлагает алгоритм выбора и применения мер для обеспечения безопасности, уже знакомый нам по Приказам ФСТЭК России №21 (ПДн) и №17 (ГИС): сначала осуществляется выбор базового набора мер на основании предложенного списка, далее производится адаптация выбранного базового набора мер, предполагающая исключение нерелевантных базовых мер в зависимости от особенностей информационных систем и использующихся технологий, затем адаптированный базовый набор мер уточняется для нейтрализации актуальных угроз не выбранными ранее мерами, и наконец осуществляется дополнение уточненного адаптированного базового набора мерами, установленными иными применимыми нормативными правовыми документами. При этом в Приказе №31 подчеркивается важность непрерывности технологических процессов: можно применять компенсирующие защитные меры в случае прогнозируемого негативного влияния на штатный режим функционирования АСУТП.

В Приказе №31 указаны следующие группы мер по обеспечению безопасности АСУТП, которые должны быть применены в зависимости от требуемого класса защищенности АСУТП:

  • идентификация и аутентификация;
  • управление доступом;
  • ограничение программной среды;
  • защита машинных носителей информации;
  • аудит безопасности;
  • антивирусная защита;
  • предотвращение вторжений (компьютерных атак);
  • обеспечение целостности;
  • обеспечение доступности;
  • защита технических средств и систем;
  • защита информационной (автоматизированной) системы и ее компонентов;
  • реагирование на компьютерные инциденты;
  • управление конфигурацией;
  • управление обновлениями программного обеспечения;
  • планирование мероприятий по обеспечению безопасности;
  • обеспечение действий в нештатных ситуациях;
  • информирование и обучение персонала.

Безопасность значимых объектов КИИ

Рассмотрим теперь один из основных подзаконных актов по защите объектов КИИ, а именно Приказ ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».

Требования, изложенные в Приказе ФСТЭК России №239, предъявляются к информационным системам, автоматизированным системам управления и информационно-телекоммуникационным сетям значимых объектов КИИ. Критерии отнесения объектов КИИ к значимым описаны в Постановлении Правительства №127, о котором написано выше. Выполнение требований рассматриваемого приказа предполагает, что категорирование объектов КИИ уже было предварительно проведено, опять же в соответствии с нормами ПП-127. Кроме значимых объектов, по решению субъекта КИИ нормы рассматриваемого документа могут применяться и к незначимым объектам, равно как и требования Приказа №31. В Приказе №239 отдельно указано, что объекты КИИ, обрабатывающие ПДн, подпадают также и под нормы защиты ПДн, а в случае, если объект КИИ является ГосИС, то применяются нормы Приказа ФСТЭК России №17 по защите ГИС и проводится аттестация значимого объекта КИИ.

Приказ №239 указывает, что разработка мер ЗИ значимого объекта КИИ должна включать в себя анализ угроз безопасности и разработку модели угроз, а внедряемые меры защиты не должны оказывать негативного влияния на функционирование самого объекта. Как и в Приказе №31, анализ угроз должен включать выявление источников угроз, оценку возможностей нарушителей (т.е. создание модели нарушителя), анализ уязвимостей используемых систем (в том числе и тестирование на проникновение — пентест), определение возможных способов реализации угроз и их последствий, при этом следует использовать БДУ ФСТЭК России.

В Приказе №239 особо оговорено, что в случае разработки нового ПО как части подсистемы безопасности значимого объекта КИИ следует применять стандарты безопасной разработки программного обеспечения. При использовании СЗИ приоритет отдается штатному защитному функционалу, а при реагировании на компьютерные инциденты требуется отправлять информацию о них в систему ГосСОПКА.

В списке организационных и технических мер, предусмотренных положениями данного приказа в зависимости от категории значимости объекта КИИ и угроз безопасности информации, указаны пункты, аналогичные таковым в Приказе №31:

  • идентификация и аутентификация;
  • управление доступом;
  • ограничение программной среды;
  • защита машинных носителей информации;
  • аудит безопасности;
  • антивирусная защита;
  • предотвращение вторжений (компьютерных атак);
  • обеспечение целостности;
  • обеспечение доступности;
  • защита технических средств и систем;
  • защита информационной (автоматизированной) системы и ее компонентов;
  • планирование мероприятий по обеспечению безопасности;
  • управление конфигурацией;
  • управление обновлениями программного обеспечения;
  • реагирование на инциденты информационной безопасности;
  • обеспечение действий в нештатных ситуациях;
  • информирование и обучение персонала.

Требования предъявляются также и к самим СЗИ: можно применять средства, прошедшие оценку на соответствие требованиям по безопасности в форме испытаний, приемки или обязательной сертификации. Испытания и приемка проводятся субъектами КИИ самостоятельно либо с помощью лицензиатов ФСТЭК России. При использовании сертифицированных СЗИ требования к ним следующие: на объектах 1-й категории значимости следует применять СЗИ не ниже 4-го класса защиты, на объектах 2-й категории — СЗИ не ниже 5-го класса, а на объектах 3-й категории — СЗИ не ниже 6-го класса; при этом на значимых объектах всех категорий требуется применять СВТ не ниже 5-го класса.

Интересно также и то, что в Приказе №239 приведены требования и к уровням доверия СЗИ. Уровни доверия (далее — УД) определяются в соответствии с Приказом ФСТЭК России №131 от 30 июля 2018 г., в котором установлены шесть УД (самый низкий – 6-ой, самый высокий – 1-ый). Так, на объектах 1-й категории значимости следует применять СЗИ, соответствующие 4-му или более высокому УД, на объектах 2-й категории — СЗИ, соответствующие 5-му или более высокому УД, а на объектах 3-й категории — СЗИ, соответствующие 6-му или более высокому УД. Заметим, что пункты про уровни доверия применяемых СЗИ были введены в марте 2019 г. уже после выпуска первоначальной версии Приказа: ранее требования предъявлялись к уровню контроля отсутствия недекларированных возможностей (на объектах 1-й и 2-й категорий следовало применять СЗИ, прошедшие проверку по 4-му уровню НДВ), но с выходом упомянутого выше Приказа №131, вступившего в силу с июня 2019 г., требования руководящего документа по НДВ фактически прекратили действие.

Кроме того, в Приказе №239 подчеркивается, что на объектах 1-й категории значимости в качестве граничных маршрутизаторов следует использовать устройства, сертифицированные на соответствие требованиям по безопасности информации, а в случае невозможности их использования следует оценивать функции безопасности обычных граничных маршрутизаторов на этапах приемки или испытаний значимых объектов КИИ.

В дополнение к ранее указанному, в Приказе указывается на важность использования СЗИ, которые обеспечиваются гарантийной и/или технической поддержкой, а также на возможные ограничения по использованию программного/аппаратного обеспечения или СЗИ (видимо, имеются ввиду санкционные риски). Также указано, что на значимом объекте КИИ требуется запретить удаленный и локальный бесконтрольный доступ для обновления или управления лицами, не являющимися работниками субъекта КИИ, а также запретить бесконтрольную передачу информации из объекта КИИ производителю или иным лицам. Кроме этого, все программные и аппаратные средства объекта КИИ 1-й категории значимости должны располагаться на территории РФ (за исключением оговоренных законодательством случаев).

Как мы видим, Приказ №239, несмотря на схожую с другими приказами ФСТЭК России структуру, имеет целый ряд новаций: это и требования по соответствию СЗИ уровням доверия, и упоминание санкционных рисков, и повышенное внимание обеспечению безопасности сетевого взаимодействия. Следует отметить, что данный приказ является ключевым при выполнении требований по защите объектов КИИ, так что субъектам КИИ следует изучить его положения с особым вниманием.

Ответственность

Ответственность за неправомерное воздействие на КИИ РФ предусмотрена статьей 274.1 Уголовного Кодекса. Данная статья была введена Федеральным Законом № 194 от 26.07.2017 г. и действует с 01.01.2018 г. В соответствии с данной статьей уголовно наказуемы:

  • создание, распространение и использование программ для неправомерного воздействия на КИИ;
  • неправомерный доступ к информации в КИИ с последовавшим причинением вреда КИИ;
  • нарушение правил эксплуатации средств хранения, обработки, передачи информации в КИИ или правил доступа к информации в КИИ с последовавшим причинением вреда КИИ;
  • указанные выше действия, совершенные группой лиц по предварительному сговору, или в составе организованной группы, или с использованием служебного положения;
  • указанные выше действия, если они повлекли тяжкие последствия (т.е. причинен ущерб на сумму более 1 миллиона рублей); при этом наступает ответственность в виде лишения свободы на срок до десяти лет, что автоматически переводит данное деяние в разряд тяжких преступлений со сроком давности до 10 лет.

Кроме вышеуказанной уголовной ответственности, субъектов КИИ и должностных лиц ожидают также и возможные административные взыскания: в настоящий момент рассматриваются изменения в КоАП РФ, предполагающие введение двух новых статей и существенных денежных штрафов за их нарушение:

  • Статья 13.12.1 «Нарушение требований в области обеспечения безопасности КИИ РФ» будет предусматривать ответственность за нарушение порядка категорирования объектов КИИ, нарушение требований к созданию и обеспечению функционирования систем безопасности значимых объектов КИИ, нарушение требований по обеспечению безопасности значимых объектов КИИ, а также нарушение порядка информирования, реагирования и обмена информацией о компьютерных инцидентах.
  • Статья 19.7.15 «Непредставление сведений, предусмотренных законодательством в области обеспечения безопасности КИИ РФ» предполагает ответственность за нарушение порядка предоставления сведений о категорировании объектов КИИ во ФСТЭК России, а также за невыполнение норм по обмену информацией с ГосСОПКА.

Список документов

Кроме рассмотренных выше нормативных актов (187-ФЗ, ПП-127, Приказы ФСТЭК России №31 и №239), в настоящий момент вопросы защиты КИИ законодательно регулируют следующие документы:

Что такое КИИ?

Критическая информационная инфраструктура (КИИ) – это объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов.

Объекты критической информационной инфраструктуры — информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры;

Субъекты критической информационной инфраструктуры — государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

Чтобы было проще, ниже представлена иллюстрация кто попадает под действие федерального закона № 187.

Категорирование объектов критической информационной инфраструктуры (КИИ).

Объекты критической информационной инфраструктуры можно поделить на значимые и незначимые. В соответствии с ч. 3 ст. 7 ФЗ № 187 значимым объектам КИИ могут присвоить одну из трех категорий. Первая самая высокая категория, третья- самая низкая.

Категории необходимы для определения мер защиты, направленных на предотвращение компьютерных инцидентов.

Ниже представлены сферы, показатели критериев значимости и условия присвоения категорий, утверждённые постановлением Правительства РФ N127 от 08.02.2018 г. (далее – ПП РФ №127).

Социальная значимость

Политическая значимость

Экономическая значимость

Экологическая значимость

Значимость для обороны страны

Порядок категорирования объектов КИИ.

Категорирование объектов критической информационной инфраструктуру осуществляется субъектами КИИ. Категорированию подлежат объекты КИИ, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций или осуществления видов деятельности субъектов КИИ.

В соответствии с ч. 4 ст. 7 Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» субъекты КИИ присваивают категорию объекту КИИ, опираясь на критерии значимости и показатели их значений, руководствуясь порядком осуществления категорирования. Если объект КИИ не соответствует критериям значимости, показателям этих критериев и их значениям, ему не присваивается ни одна из таких категорий.

Как осуществляется процедура категорирования объектов КИИ

Постановление Правительства № 127 от 08.02.2018 г четко прописывает процедуру, согласно ему

для проведения категорирования решением руководителя субъекта критической информационной инфраструктуры создается комиссия по категорированию, в состав которой включаются:

а) руководитель субъекта КИИ или уполномоченное им лицо;

б) работники субъекта КИИ, являющиеся специалистами в области выполняемых функций или осуществляемых видов деятельности, и в области информационных технологий и связи, а также специалисты по эксплуатации основного технологического оборудования, технологической (промышленной) безопасности, контролю за опасными веществами и материалами, учету опасных веществ и материалов;

в) работники субъекта КИИ, на которых возложены функции обеспечения безопасности (информационной безопасности) объектов критической информационной инфраструктуры;

г) работники подразделения по защите государственной тайны субъекта КИИ (в случае, если объект критической информационной инфраструктуры обрабатывает информацию, составляющую государственную тайну);

д) работники структурного подразделения по гражданской обороне и защите от чрезвычайных ситуаций или работники, уполномоченные на решение задач в области гражданской обороны и защиты от чрезвычайных ситуаций.

После формирования комиссии идут следующие действия:

1) Формируется перечень объектов КИИ, подлежащих категорированию, с указанием сроков проведения их категорирования и согласование указанного перечня со ФСТЭК России.

2) Осуществляется категорирование объектов КИИ в соответствии с планом и составление актов категорирования для каждого из объектов. Акт категорирования подписывается членами комиссии и утверждается руководителем субъекта КИИ.

3) Сведений о результатах присвоения объекту (объектам) КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему такой категорий направляются во ФСТЭК России, в 10-дневный срок со дня утверждения акта категорирования.

4) Получение уведомления из ФСТЭК России о включении объекта (объектов) в реестр значимых объектов КИИ. ФСТЭК России после получения сведений о результатах категорирования от субъекта КИИ обязан в течение 30 дней проверить правильность категорирования и при выявлении нарушений возвратить направленный документ субъекту КИИ для исправления.

Что будет, если не проводить категорирование?

В случае непредставления субъектом КИИ сведений о результатах категорирования объекта критической информационной инфраструктуры происходит нарушение ч.11 ст.7 ФЗ № 187 «О безопасности критической информационной инфраструктуры Российской Федерации». Невыполнение данного требования влечет за собой административную ответственность по статьям 19.4 и 19.7 Кодекса об административных правонарушениях.

Таким образом, с учетом выше описанного, не рекомендуется пренебрегать исполнением требований Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации».

Похожие публикации:
  1. Как можно ездить без прав
  2. Как уведомить службу занятости о сокращении штата
  3. Категории лиц в отношении которых применяется особый порядок производства по уголовным делам
  4. Кио иностранной организации что это

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *