Что относится к критической информационной инфраструктуре
Перейти к содержимому

Что относится к критической информационной инфраструктуре

  • автор:

ПРОСТО о КИИ

КИИ – это критическая информационная инфраструктура. Т.е. из определения видно, что значимость ее корректного функционирования велика, а сбои могут повлечь серьезные последствия.

На последнем хочу акцентировать внимание. Здесь речь идет о том, что инциденты ИБ могут повлечь причинение ущерба жизни и здоровью граждан, экологии, стабильности функционирования государства. Степень возможного ущерба в дальнейшем влияет и на категорию значимости.

Работа КИИ и ее ИБ влияет на жизни и здоровью граждан, экологии, стабильности функционирования государства. Имеет следующую значимость:

  • Социальная значимость
  • Политическая значимость
  • Экономическая значимость
  • Экологическая значимость
  • Значимость для обороны страны

Изначально законодательство определило 13 значимых (ключевых) сфер, воздействие на ИС которых может с большей долей вероятности нанести тот самый ущерб.

Сама КИИ – это совокупность объектов (проще скажем, ИС), которые находятся в ведении субъекта КИИ.

Субъект КИИ – это лицо, которое имеет в своем ведении (владеет или арендует) объекты КИИ.

Объекты КИИ – это совокупность ИС, ИТКС и АСУ, которые автоматизирую бизнес- процессы Компании.

Это базовая терминология главного ФЗ №187. Именно этот ФЗ регламентирует требования как к субъектам КИИ, так и к их объектам.

Этот же ФЗ определяет необходимость проведения категорирования объектов КИИ. То есть определения тех ИС, нарушение защищенности которых может привести к негативным последствиям.

Примерами объектов КИИ могут быть:

  • В медицинской сфере – цифровые рентгены, КТ, МРТ аппараты.
  • В банках – это система дистанционного банковского обслуживания.
  • У фармакологических компаний такими ИС могут быть – системы по производству лекарств, учету сырья.
  • У промышленных систем – это в первую очередь те ИС, которые отвечают за производственные процессы, нарушение и сбои, которые могут привести к человеческим и экологическим потерям.

Для того, чтобы понять есть КИИ или нет, нужно определить сферу деятельности Компании: самое простое – это по ОКВЭДам, но также нужно учитывать, лицензии, уставы, иные документы, в которых описана деятельность вашей компании.

Здесь необходимо смотреть В СОВОКУПНОСТИ, входит ли данная деятельность в эти 13 сфер или нет. Если входит, то переходим к инвентаризации систем. Не каждая система будет являться объектом КИИ, а только та, с помощью которой вы осуществляете критический процесс.

Хороший пример, который встретился на практике, это включение в перечень объектов КИИ медицинской организации 1С Кадры или Бухгалтерия, которая явно не осуществляет критический процесс – оказание медицинской помощи.

Как видите из схемы, которая приведена ниже, процесс категорирования непростой, здесь понадобится создать комиссию по категорированию, понять процессы, выявить критические процессы. Далее нужно сформировать перечень объектов КИИ, утвердить перечень этих объектов, собрать данные для категорирования (это и финансовые данные по деятельности Компании, и технические данные об ИС, провести моделирование угроз, оценить последствия от возможных инцидентов. На основании полученных данных сделать вывод о необходимости присвоения категории и оформить это все актом, при этом не забыть направить сведения из акта во фстэк в установленный срок.

Что сделать: Провести категорирование.

Кому: Компаниям, деятельность которых включена в 13 значимых сфер.

Кто делает: комиссия по категорированию, которая определяется самостоятельно субъектом КИИ.

Как: по схеме ниже

Если посмотреть на те штрафы, которые имеются, то ничего страшного, только есть один нюанс. Вам все равно придется провести категорирование. Только уже не в комфортном для вас режиме, а спешно. Тут и контроль со стороны регуляторов будет выше. Вероятнее всего без помощи лицензиатов не обойтись. То есть путь страуса – тут самый плохой. Лучше решить все до момента прихода регулятора.

Кроме того, Федеральному закону от 26.07.2017 № 194-ФЗ «О внесении изменений в УК РФ и УПК РФ в связи с принятием ФЗ «О безопасности критической информационной инфраструктуры РФ» максимальная мера наказания, за нарушения норм безопасности КИИ, составляет лишение свободы до 10 лет. Пожалуй, весомый аргумент!

После того, как мы провели категорирование объектов КИИ, оценили возможные последствия в случае возникновения инцидентов на объектах КИИ и сверились с перечнем показателей критериев значимости, приведенном в ПП127. После ответа на эти вопросы, уже можно говорить, будет системе присвоена категория или нет. И какие должны обязательно применяться в соответствии с приказами регуляторов.

В декабре 2022 г. было изменение требований по категорированию в ПП-127. Изменения коснулись организаций, оказывающие гос услуги, операторов платежных систем, бирж, оборонно-промышленной сферы. Если ваша организация попадает под изменения, то вам необходимо повторно оценить показатели из перечня, указанные в ПП 127 и проверить, не изменились ли у вас категория.

Если система является объектам КИИ, но категория значимости не присвоена, то согласно ст.9 ч.2 187-ФЗ вы, как субъект КИИ, должны информировать ФСБ о компьютерных инцидентах.

Если невозможно обеспечить все предприятия, входящие в критическую информационную инфраструктуру, специалистами с нужными компетенциями, значит, нужно создавать центры компетенции, которые будут непосредственно подключаться к противодействию атакам. Этот подход и был заложен в концепцию ГосСОПКА.

ГосСОПКА – система государственных и частных центров компетенции (центров ГосСОПКА), которые обслуживают субъектов критической информационной инфраструктуры. Такой центр берет на себя часть функций безопасности, необходимых для противодействия атакам на информационные системы субъектов критической информационной инфраструктуры. Как правило, к таким функциям относится: выявление и анализ уязвимостей обслуживаемых информационных систем, координация действий по устранению таких уязвимостей; анализ событий, регистрируемых компонентами обслуживаемых информационных систем и средств их защиты, для поиска признаков атак, направленных на эти системы; координация действий по реагированию на обнаруженную атаку, а если атака привела к инциденту –– по ликвидации последствий такого инцидента; расследование инцидентов и ретроспективный анализ атак, которые не удалось предотвратить; информирование персонала обслуживаемых информационных систем, проведение киберучений.

Субъект ГосСОПКА – государственные органы РФ, российские юридические лица и индивидуальные предприниматели, в силу закона или на основании заключенных с ФСБ России соглашений, осуществляющих обнаружение, предупреждение и ликвидацию последствий компьютерных атак и реагирование на компьютерные инциденты.

Центр ГосСОПКА – структурная единица ГосСОПКА, представляющая совокупность подразделений и должностных лиц субъекта ГосСОПКА, которые принимают участие в обнаружении, предупреждении и ликвидации последствий компьютерных атак и реагирование на компьютерные инциденты в своей зоне ответственности.

Уведомлять нужно во исполнение требований Приказов ФСБ всем субъектам КИИ в течение 24 часов. Субъектам со значимыми ОКИИ – 3 часа с момента инцидента.

В утвержденных приказах ФСБ России нет деления на значимые и не значимые объекты КИИ.

А как же РКН?

Нужно уведомлять в случае утечек ПДн (согласно ст 21 ФЗ-152)

Подведем итог и сведем это все в некую дорожную карту.

Если значимых объектов КИИ нет, то не забывайте про ч.2 ст.9 187 ФЗ, это обязательно для всех субъектов КИИ, вам нужно разработать регламент информирования о компьютерных инцидентах НКЦКИ, в какой форме уведомлять в законе не указано. И конечно, законодательство меняется, у вас могут добавиться системы, поэтому не забывайте держать в актуализированном состоянии акты категорирования.

Если же значимые объекты есть, вам в любом случае необходимо создать систему безопасности для значимых объектов КИИ. Для начала нужно определить требования для системы безопасности. Они содержаться в приказах ФСТЭК 235 и 239, после определения требований приступаем к разработке проектной документации: это моделирование угроз, техническое задание, технический проект. Далее, идет этап внедрения средств защиты с разработкой эксплуатационной документации. После внедрения обязательный этап –– это аттестация объектов КИИ с выдачей документа, подтверждающего выполнения требований безопасности. Финальный этап –– это поддержание безопасности в ходе эксплуатации, в том числе и взаимодействие с технической инфраструктурой ГОССОПКа.

Процесс трудоемкий, но и не каждая система попадет под значимую. В к сфере КИИ у нас есть опыт, и мы можем вам помочь.

Подписывайтесь на Telegram-канал Б-152, чтобы оперативно получать информацию и разъяснения по всем законодательным изменениям в области Privacy.

С уважением, Екатерина Витенбург, Старший консультант по информационной безопасности Б-152.

Что относится к критической информационной инфраструктуре

Статья 2. Основные понятия, используемые в настоящем Федеральном законе

Для целей настоящего Федерального закона используются следующие основные понятия:

1) автоматизированная система управления — комплекс программных и программно-аппаратных средств, предназначенных для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими оборудованием и процессами;

2) безопасность критической информационной инфраструктуры — состояние защищенности критической информационной инфраструктуры, обеспечивающее ее устойчивое функционирование при проведении в отношении ее компьютерных атак;

3) значимый объект критической информационной инфраструктуры — объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры;

4) компьютерная атака — целенаправленное воздействие программных и (или) программно-аппаратных средств на объекты критической информационной инфраструктуры, сети электросвязи, используемые для организации взаимодействия таких объектов, в целях нарушения и (или) прекращения их функционирования и (или) создания угрозы безопасности обрабатываемой такими объектами информации;

5) компьютерный инцидент — факт нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки;

6) критическая информационная инфраструктура — объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов;

7) объекты критической информационной инфраструктуры — информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры;

8) субъекты критической информационной инфраструктуры — государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, государственной регистрации прав на недвижимое имущество и сделок с ним, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

Что такое критическая информационная инфраструктура?

Госорганы, банки и другие владельцы объектов критической информационной инфраструктуры (КИИ) должны будут с 1 января 2021 года перейти на российский софт, а с 1 января 2022 года — на отечественное оборудование. Об этом говорится в проекте указа президента, который Минкомсвязь отправила на согласование в Минпромторг, ФСБ и Федеральную службу по техническому и экспортному контролю (ФСТЭК), пишет РБК.

Что такое критическая информационная инфраструктура?

В России действует закон «О безопасности критической информационной инфраструктуры». Согласно этому документу, критическая информационная инфраструктура — это информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры, а также сети электросвязи, которые используются для организации взаимодействия таких объектов.

Кто пользуется КИИ?

Субъектами КИИ являются государственные органы, а также госучреждения, российские юридические лица или индивидуальные предприниматели. Речь идет о научных и кредитно-финансовых организациях, а также предприятиях, работающих в стратегически важных для государства областях: оборонной, топливной и атомной промышленности, в сферах транспорта, энергетики, здравоохранения, связи, в ракетно-космической, горнодобывающей, металлургической и химической промышленности и т. д.

Что обязаны делать субъекты КИИ?

Владельцы КИИ должны подключить свои объекты к Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА), созданной ФСБ, и передавать в нее данные обо всех инцидентах с КИИ.

Также госорганы, банки и компании, использующие КИИ, должны присвоить ей одну из категорий значимости в соответствии с установленными критериями. Критериями являются величина ущерба стране, гражданам и владельцу КИИ в случае атаки на нее хакеров, уровень воздействия объекта на окружающую среду, его значимость для обеспечения обороны страны, безопасности государства и правопорядка.

Сведения о присвоения объекту КИИ категории значимости либо об отсутствии необходимости присвоения ему одной из таких категорий передаются в ФСТЭК. Этот орган проверяет корректность присвоения категории значимости и в случае отсутствия замечаний вносит объект в Реестр значимых объектов критической информационной инфраструктуры. ФСТЭК создает систему безопасности

За нарушение правил эксплуатации КИИ, повлекшее для нее вред, предусмотрена уголовная ответственность для сотрудников компаний, управляющих объектами критической инфраструктуры.

Какие объекты КИИ будут переводить на отечественные ПО и оборудование?

Проект предусматривает, что отечественные ПО и оборудование должны будут использовать владельцы всех объектов КИИ, в том числе и незначительных, которые не регулирует ФСТЭК. Такие, например, используют в ломбардах, т. к. это учреждение работает в кредитно-финансовой сфере.

Между тем участники одной из рабочих подгрупп Госсовета выступили с предложением о том, что правила использования отечественного ПО и оборудования на объектах КИИ должны применяться в зависимости от уровня значимости объекта. А Минпромторг и ФСТЭК разработали проект документа, согласно которому средства защиты информации на отечественной аппаратной части и микроэлектронике должны использоваться на довольно узком сегменте КИИ и только с 2024 и 2028 года соответственно.

В каком случае разрешат пользоваться западными ПО и оборудованием?

Согласно документу Минкомсвязи, владельцы критической инфраструктуры должны будут использовать только софт, указанный в реестрах российских или произведенных в Евразийском экономическом союзе (Белоруссия, Казахстан, Киргизия, Армения) программ . В свою очередь, оборудование должно быть упомянуто в Реестре российской радиоэлектронной продукции.

Однако владельцы КИИ смогут продолжить использовать иностранные продукты, согласовав это с ведомствами. Это будет возможно, если зарубежный софт или оборудование не имеет российских аналогов либо если российские продукты не позволяют КИИ выполнять необходимые цели и задачи. В этих случаях техподдержкой и модернизацией зарубежного софта и оборудования должны заниматься отечественные организации, которые не контролируются иностранными компаниями или гражданами.

Когда новые правила вступят в силу?

Правительство должно утвердить порядок перехода КИИ на отечественные оборудование и ПО, а также требования к таким продуктам до 1 сентября 2020 года.

Обзор российского законодательства по защите критической информационной инфраструктуры

Друзья, в предыдущей публикации мы рассмотрели вопросы защиты персональных данных с точки зрения российского и международного законодательства. Однако существует и еще одна актуальная тема, касающаяся большого количества российских компаний и организаций — мы говорим о защите критической информационной инфраструктуры. Защищенность и устойчивость ИТ-систем как отдельных крупных компаний, так и целых отраслей промышленности в современных условиях играют решающую роль. Во всем мире фиксируются попытки осуществления целенаправленных и изощренных кибератак на объекты инфраструктуры, и не обращать внимания на такие факты было бы весьма недальновидно. Создание ГосСОПКА (государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации), а также подписание Федерального Закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и разработка соответствующих подзаконных актов послужили логичным ответом на вызовы текущих реалий.

Рассмотрим этот аспект информационной безопасности подробнее. Вперёд!

image

Основные положения

Начало работ по защите информационной инфраструктуры в государственном масштабе было положено с подписанием Указа Президента Российской Федерации от 15 января 2013 г. № 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации». Далее, в июле 2017 г. был подписан Федеральный Закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», который вступил в силу с 1 января 2018 года. Под критической информационной инфраструктурой (далее — КИИ) понимаются информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов КИИ, а также сети электросвязи, используемые для организации их взаимодействия. Субъектами КИИ являются компании, работающие в стратегически важных для государства областях, таких как здравоохранение, наука, транспорт, связь, энергетика, банковская сфера, топливно-энергетический комплекс, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, а также организации, обеспечивающие взаимодействие систем или сетей КИИ. Компьютерная атака определяется как целенаправленное вредоносное воздействие на объекты КИИ для нарушения или прекращения их функционирования, а компьютерный инцидент — как факт нарушения или прекращения функционирования объекта КИИ и/или нарушения безопасности обрабатываемой объектом информации.

Также стоит отметить, что для компаний сферы топливно-энергетического комплекса существуют свои нормы, которые определены Федеральным Законом от 21 июля 2011 г. № 256-ФЗ «О безопасности объектов топливно-энергетического комплекса», которые также диктуют необходимость обеспечения безопасности информационных систем объектов топливно-энергетического комплекса путем создания систем защиты информации и информационно-телекоммуникационных сетей от неправомерных доступа, уничтожения, модифицирования, блокирования информации и иных неправомерных действий, а также необходимость обеспечения функционирования таких систем.

ФСТЭК России была назначена федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры РФ. На ФСБ РФ были возложены функции федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (далее — ГосСОПКА). Кроме этого, приказом ФСБ РФ в 2018 году был создан Национальный координационный центр по компьютерным инцидентам (НКЦКИ), который координирует деятельность субъектов КИИ и является составной частью сил, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, а техническая инфраструктура НКЦКИ используется для функционирования системы ГосСОПКА. Говоря простыми словами, НКЦКИ является государственным CERT (Computer Emergency Response Team), а ГосСОПКА — это «большой SIEM» в масштабе РФ. Функционирует это следующим образом: информация по произошедшему компьютерному инциденту в объеме, соответствующем положениям Приказа ФСБ РФ № 367 (дата, время, технические подробности и последствия инцидента и его связь с другими инцидентами, месторасположение объекта КИИ, наличие связи между выявленной атакой и инцидентом), должна быть передана субъектом КИИ в систему ГосСОПКА в срок не позднее 24 часов с момента обнаружения компьютерного инцидента. При этом прослеживается тенденция перехода к автоматизированной отправке данных.

Далее было подписано Постановление Правительства РФ от 8 февраля 2018 г. №127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также Перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений», которые предъявляют конкретные требования для субъектов КИИ по проведению категорирования объектов КИИ в их зоне ответственности, а также содержат перечень критериев значимости объектов КИИ — количественных показателей для корректного выбора категории значимости. Категория значимости объекта КИИ может принимать одно из трех значений (где самая высокая категория — первая, самая низкая — третья) и зависит от количественных показателей значимости этого объекта в социальной, политической, экономической и оборонной сферах. Например, если компьютерный инцидент на объекте КИИ может привести к причинению ущерба жизни и здоровью более 500 гражданам, то объекту присваивается максимальная первая категория, а если транспортные услуги в результате инцидента могут стать недоступны для 2 тыс. — 1 млн. граждан, то объекту присваивается минимальная третья категория.

Итак, объекты КИИ следует категорировать. Это выполняется постоянно действующей внутренней комиссией по категорированию субъекта КИИ, которая также производит и документально оформляет следующие действия:

  • выявляет объекты КИИ, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы (условно назовем их «основные процессы субъектов КИИ») в рамках деятельности субъекта КИИ;
  • выявляет критические процессы, нарушение или прекращение которых может привести к негативным последствиям в социальной, политической, экономической и оборонной сферах;
  • устанавливает объекты КИИ, которые обрабатывают информацию для описанных выше процессов и/или осуществляют управление, контроль или мониторинг критических процессов (условно назовем их «вспомогательные объекты КИИ»);
  • строит модели нарушителей и угроз, при этом комиссии следует рассматривать наихудшие сценарии атак с максимальными негативными последствиями;
  • оценивает возможные последствия, учитывая взаимосвязи между объектами и зависимости между ними;
  • присваивает каждому объекту одну из трех категорий значимости либо выносит мотивированное решение о неприсвоении такой категории, с составлением акта категорирования объекта КИИ либо акта об отсутствии необходимости присвоения ему категории значимости.

ГосСОПКА

В соответствии с разработанным в ФСБ РФ документом №149/2/7-200 от 24 декабря 2016 г. «Методические рекомендации по созданию ведомственных и корпоративных центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации», функциями ГосСОПКА являются:

  • инвентаризация информационных ресурсов;
  • выявление уязвимостей информационных ресурсов;
  • анализ угроз информационной безопасности;
  • повышение квалификации персонала информационных ресурсов;
  • прием сообщений о возможных инцидентах от персонала и пользователей информационных ресурсов;
  • обнаружение компьютерных атак;
  • анализ данных о событиях безопасности;
  • регистрация инцидентов;
  • реагирование на инциденты и ликвидация их последствий;
  • установление причин инцидентов;
  • анализ результатов устранения последствий инцидентов.
  • ведомственные Центры осуществляют лицензируемую деятельность по защите информационных ресурсов в интересах органов государственной власти;
  • корпоративные Центры осуществляют лицензируемую деятельность по защите информационных ресурсов в собственных интересах, а также имеют право предоставлять услуги по предупреждению, обнаружению и ликвидации последствий компьютерных атак.

Итак, субъект КИИ, относящийся к органу государственной власти, в соответствии с текущими законодательными нормами должен подключиться к соответствующему ведомственному Центру ГосСОПКА. У субъекта КИИ, не являющегося органом государственной власти, есть возможность либо осуществить самостоятельное подключение к системе ГосСОПКА, либо создать свой собственный корпоративный Центр ГосСОПКА, либо подключиться к уже созданному Центру, оказывающему услуги по подключению к системе ГосСОПКА.

При самостоятельном подключении к Центру ГосСОПКА субъекту КИИ предстоит решить следующие задачи:

  • создание собственного Центра мониторинга информационной безопасности с учетом требований нормативных документов ФСБ РФ, ФСТЭК России, иных нормативно-правовых актов;
  • внедрение и поддержка технических средств и решений, соответствующих методическим рекомендациям ФСБ РФ по созданию ведомственных и корпоративных центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;
  • внедрение и поддержка технических средств и решений, соответствующих требованиям к лицензиату ФСТЭК России для осуществления деятельности по мониторингу информационной безопасности средств и систем мониторинга;
  • получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации (ТЗКИ) в части перечня работ и услуг по мониторингу информационной безопасности средств и систем мониторинга (в случае предоставления коммерческих услуг другим организациям или при работе в составе холдинговой структуры);
  • получение лицензии ФСБ РФ на деятельность по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (в случае предоставления коммерческих услуг другим организациям или при работе в составе холдинговой структуры);
  • осуществление взаимодействия с НКЦКИ в соответствии с регламентом взаимодействия подразделений ФСБ РФ и субъектов ГосСОПКА при осуществлении информационного обмена в области обнаружения, предупреждения и ликвидации последствий компьютерных атак;
  • привлечение, обучение, удержание сотрудников Центра мониторинга информационной безопасности;
  • разработка и непрерывная актуализация сценариев атак и мониторинга;
  • аналитика событий и инцидентов, построение отчетности.

АСУТП

Перейдем к принципам защиты автоматизированных систем управления производственными и технологическими процессами. Приказ ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды» (в ред. Приказа ФСТЭК России от 9 августа 2018 г. № 138) устанавливает законодательные требования в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами (далее — АСУТП). Несмотря на наличие двух казалось бы дублирующихся направлений защиты КИИ (187-ФЗ по КИИ с подзаконными актами и указанный Приказ №31 по АСУТП), в настоящее время государственные регуляторы придерживаются следующей точки зрения: если объект КИИ признан значимым (т.е. ему присвоена одна из трех категорий значимости), то используется Приказ ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации», а если объект КИИ признан незначимым (т.е. категория значимости не была присвоена), то по решению субъекта КИИ можно применять как Приказ №31 по АСУТП, так и Приказ №239 по КИИ.

В соответствии с Приказом №31 объектами защиты в АСУТП являются информация о параметрах или состоянии управляемого объекта или процесса, а также все сопутствующие технические средства (рабочие станции, серверы, каналы связи, контроллеры), ПО и средства защиты. Данный документ указывает, что предпринимаемые организационные и технические меры по защите АСУТП должны, в первую очередь, обеспечивать доступность и целостность обрабатываемой в АСУТП информации, а обеспечение конфиденциальности логично ставится на второе место. Кроме этого, указывается, что принимаемые меры должны быть гармонизированы с мерами по обеспечению других видов безопасности, например, промышленной, пожарной, экологической, и не должны оказывать отрицательного влияния на штатный режим функционирования АСУТП. Предъявляются требования и к СЗИ в АСУТП — они должны пройти оценку соответствия.

В документе описаны организационные шаги по защите информации (далее — ЗИ) в АСУТП: формирование требований к ЗИ, разработка и внедрение системы защиты АСУТП, обеспечение ЗИ в ходе эксплуатации АСУТП и при выводе её из эксплуатации. Именно на этапе формирования требований проводится важная работа по классификации АСУТП: системе устанавливается один из трех классов защищенности (где самый низкий класс — третий, самый высокий — первый), при этом класс защищенности определяется в зависимости от уровня значимости обрабатываемой информации, т.е. степени возможного ущерба от нарушения её свойств безопасности (целостность, доступность и, если применимо, конфиденциальность). Степень ущерба же может быть высокой (ЧП федерального или межрегионального масштаба), средней (ЧП регионального или межмуниципального масштаба) или низкой (происшествие носит локальный характер).

Кроме классификации АСУТП, на этапе формирования требований определяются угрозы безопасности АСУТП путем составления модели угроз: выявляются источники угроз, оцениваются возможности нарушителей (т.е. создается модель нарушителя), анализируются уязвимости используемых систем, определяются возможные способы реализации угроз и последствия этого, при этом следует использовать БДУ ФСТЭК России. Важность создания модели нарушителя на данном этапе заключается еще и в том, что применяемые меры защиты в АСУТП 1-го класса защищенности должны обеспечивать нейтрализацию действий нарушителя с высоким потенциалом, в АСУТП 2-го класса защищенности — нарушителя с потенциалом не ниже среднего, в АСУТП 3-го класса защищенности — нарушителя с низким потенциалом (потенциалу нарушителей даётся определение на странице БДУ).

Далее, Приказ №31 предлагает алгоритм выбора и применения мер для обеспечения безопасности, уже знакомый нам по Приказам ФСТЭК России №21 (ПДн) и №17 (ГИС): сначала осуществляется выбор базового набора мер на основании предложенного списка, далее производится адаптация выбранного базового набора мер, предполагающая исключение нерелевантных базовых мер в зависимости от особенностей информационных систем и использующихся технологий, затем адаптированный базовый набор мер уточняется для нейтрализации актуальных угроз не выбранными ранее мерами, и наконец осуществляется дополнение уточненного адаптированного базового набора мерами, установленными иными применимыми нормативными правовыми документами. При этом в Приказе №31 подчеркивается важность непрерывности технологических процессов: можно применять компенсирующие защитные меры в случае прогнозируемого негативного влияния на штатный режим функционирования АСУТП.

В Приказе №31 указаны следующие группы мер по обеспечению безопасности АСУТП, которые должны быть применены в зависимости от требуемого класса защищенности АСУТП:

  • идентификация и аутентификация;
  • управление доступом;
  • ограничение программной среды;
  • защита машинных носителей информации;
  • аудит безопасности;
  • антивирусная защита;
  • предотвращение вторжений (компьютерных атак);
  • обеспечение целостности;
  • обеспечение доступности;
  • защита технических средств и систем;
  • защита информационной (автоматизированной) системы и ее компонентов;
  • реагирование на компьютерные инциденты;
  • управление конфигурацией;
  • управление обновлениями программного обеспечения;
  • планирование мероприятий по обеспечению безопасности;
  • обеспечение действий в нештатных ситуациях;
  • информирование и обучение персонала.

Безопасность значимых объектов КИИ

Рассмотрим теперь один из основных подзаконных актов по защите объектов КИИ, а именно Приказ ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».

Требования, изложенные в Приказе ФСТЭК России №239, предъявляются к информационным системам, автоматизированным системам управления и информационно-телекоммуникационным сетям значимых объектов КИИ. Критерии отнесения объектов КИИ к значимым описаны в Постановлении Правительства №127, о котором написано выше. Выполнение требований рассматриваемого приказа предполагает, что категорирование объектов КИИ уже было предварительно проведено, опять же в соответствии с нормами ПП-127. Кроме значимых объектов, по решению субъекта КИИ нормы рассматриваемого документа могут применяться и к незначимым объектам, равно как и требования Приказа №31. В Приказе №239 отдельно указано, что объекты КИИ, обрабатывающие ПДн, подпадают также и под нормы защиты ПДн, а в случае, если объект КИИ является ГосИС, то применяются нормы Приказа ФСТЭК России №17 по защите ГИС и проводится аттестация значимого объекта КИИ.

Приказ №239 указывает, что разработка мер ЗИ значимого объекта КИИ должна включать в себя анализ угроз безопасности и разработку модели угроз, а внедряемые меры защиты не должны оказывать негативного влияния на функционирование самого объекта. Как и в Приказе №31, анализ угроз должен включать выявление источников угроз, оценку возможностей нарушителей (т.е. создание модели нарушителя), анализ уязвимостей используемых систем (в том числе и тестирование на проникновение — пентест), определение возможных способов реализации угроз и их последствий, при этом следует использовать БДУ ФСТЭК России.

В Приказе №239 особо оговорено, что в случае разработки нового ПО как части подсистемы безопасности значимого объекта КИИ следует применять стандарты безопасной разработки программного обеспечения. При использовании СЗИ приоритет отдается штатному защитному функционалу, а при реагировании на компьютерные инциденты требуется отправлять информацию о них в систему ГосСОПКА.

В списке организационных и технических мер, предусмотренных положениями данного приказа в зависимости от категории значимости объекта КИИ и угроз безопасности информации, указаны пункты, аналогичные таковым в Приказе №31:

  • идентификация и аутентификация;
  • управление доступом;
  • ограничение программной среды;
  • защита машинных носителей информации;
  • аудит безопасности;
  • антивирусная защита;
  • предотвращение вторжений (компьютерных атак);
  • обеспечение целостности;
  • обеспечение доступности;
  • защита технических средств и систем;
  • защита информационной (автоматизированной) системы и ее компонентов;
  • планирование мероприятий по обеспечению безопасности;
  • управление конфигурацией;
  • управление обновлениями программного обеспечения;
  • реагирование на инциденты информационной безопасности;
  • обеспечение действий в нештатных ситуациях;
  • информирование и обучение персонала.

Требования предъявляются также и к самим СЗИ: можно применять средства, прошедшие оценку на соответствие требованиям по безопасности в форме испытаний, приемки или обязательной сертификации. Испытания и приемка проводятся субъектами КИИ самостоятельно либо с помощью лицензиатов ФСТЭК России. При использовании сертифицированных СЗИ требования к ним следующие: на объектах 1-й категории значимости следует применять СЗИ не ниже 4-го класса защиты, на объектах 2-й категории — СЗИ не ниже 5-го класса, а на объектах 3-й категории — СЗИ не ниже 6-го класса; при этом на значимых объектах всех категорий требуется применять СВТ не ниже 5-го класса.

Интересно также и то, что в Приказе №239 приведены требования и к уровням доверия СЗИ. Уровни доверия (далее — УД) определяются в соответствии с Приказом ФСТЭК России №131 от 30 июля 2018 г., в котором установлены шесть УД (самый низкий – 6-ой, самый высокий – 1-ый). Так, на объектах 1-й категории значимости следует применять СЗИ, соответствующие 4-му или более высокому УД, на объектах 2-й категории — СЗИ, соответствующие 5-му или более высокому УД, а на объектах 3-й категории — СЗИ, соответствующие 6-му или более высокому УД. Заметим, что пункты про уровни доверия применяемых СЗИ были введены в марте 2019 г. уже после выпуска первоначальной версии Приказа: ранее требования предъявлялись к уровню контроля отсутствия недекларированных возможностей (на объектах 1-й и 2-й категорий следовало применять СЗИ, прошедшие проверку по 4-му уровню НДВ), но с выходом упомянутого выше Приказа №131, вступившего в силу с июня 2019 г., требования руководящего документа по НДВ фактически прекратили действие.

Кроме того, в Приказе №239 подчеркивается, что на объектах 1-й категории значимости в качестве граничных маршрутизаторов следует использовать устройства, сертифицированные на соответствие требованиям по безопасности информации, а в случае невозможности их использования следует оценивать функции безопасности обычных граничных маршрутизаторов на этапах приемки или испытаний значимых объектов КИИ.

В дополнение к ранее указанному, в Приказе указывается на важность использования СЗИ, которые обеспечиваются гарантийной и/или технической поддержкой, а также на возможные ограничения по использованию программного/аппаратного обеспечения или СЗИ (видимо, имеются ввиду санкционные риски). Также указано, что на значимом объекте КИИ требуется запретить удаленный и локальный бесконтрольный доступ для обновления или управления лицами, не являющимися работниками субъекта КИИ, а также запретить бесконтрольную передачу информации из объекта КИИ производителю или иным лицам. Кроме этого, все программные и аппаратные средства объекта КИИ 1-й категории значимости должны располагаться на территории РФ (за исключением оговоренных законодательством случаев).

Как мы видим, Приказ №239, несмотря на схожую с другими приказами ФСТЭК России структуру, имеет целый ряд новаций: это и требования по соответствию СЗИ уровням доверия, и упоминание санкционных рисков, и повышенное внимание обеспечению безопасности сетевого взаимодействия. Следует отметить, что данный приказ является ключевым при выполнении требований по защите объектов КИИ, так что субъектам КИИ следует изучить его положения с особым вниманием.

Ответственность

Ответственность за неправомерное воздействие на КИИ РФ предусмотрена статьей 274.1 Уголовного Кодекса. Данная статья была введена Федеральным Законом № 194 от 26.07.2017 г. и действует с 01.01.2018 г. В соответствии с данной статьей уголовно наказуемы:

  • создание, распространение и использование программ для неправомерного воздействия на КИИ;
  • неправомерный доступ к информации в КИИ с последовавшим причинением вреда КИИ;
  • нарушение правил эксплуатации средств хранения, обработки, передачи информации в КИИ или правил доступа к информации в КИИ с последовавшим причинением вреда КИИ;
  • указанные выше действия, совершенные группой лиц по предварительному сговору, или в составе организованной группы, или с использованием служебного положения;
  • указанные выше действия, если они повлекли тяжкие последствия (т.е. причинен ущерб на сумму более 1 миллиона рублей); при этом наступает ответственность в виде лишения свободы на срок до десяти лет, что автоматически переводит данное деяние в разряд тяжких преступлений со сроком давности до 10 лет.

Кроме вышеуказанной уголовной ответственности, субъектов КИИ и должностных лиц ожидают также и возможные административные взыскания: в настоящий момент рассматриваются изменения в КоАП РФ, предполагающие введение двух новых статей и существенных денежных штрафов за их нарушение:

  • Статья 13.12.1 «Нарушение требований в области обеспечения безопасности КИИ РФ» будет предусматривать ответственность за нарушение порядка категорирования объектов КИИ, нарушение требований к созданию и обеспечению функционирования систем безопасности значимых объектов КИИ, нарушение требований по обеспечению безопасности значимых объектов КИИ, а также нарушение порядка информирования, реагирования и обмена информацией о компьютерных инцидентах.
  • Статья 19.7.15 «Непредставление сведений, предусмотренных законодательством в области обеспечения безопасности КИИ РФ» предполагает ответственность за нарушение порядка предоставления сведений о категорировании объектов КИИ во ФСТЭК России, а также за невыполнение норм по обмену информацией с ГосСОПКА.

Список документов

Кроме рассмотренных выше нормативных актов (187-ФЗ, ПП-127, Приказы ФСТЭК России №31 и №239), в настоящий момент вопросы защиты КИИ законодательно регулируют следующие документы:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *