Закон о безопасности критической информационной инфраструктуры кии


Закон о безопасности КИИ в вопросах и ответах

С разрешения «Лаборатории Касперского» и авторов материала – его подготовили старший аналитик по информационной безопасности KL ICS CERT Юлия Дащенко, руководитель группы разработки технологий анализа сетевого трафика и обнаружения компьютерных атак Дмитрий Сатанин, старший системный аналитик KL ICS CERT Екатерина Рудина – предлагаем вашему вниманию разъяснения последствий вступления в силу с 1 января федерального закона «О безопасности критической информационной инфраструктуры».

1 января, с приходом нового 2018 года, в нашей стране вступил в действие закон «О безопасности критической информационной инфраструктуры» (далее — Закон). Начиная с 2013 года, еще на этапе проекта, этот закон бурно обсуждался ИБ-сообществом и вызывал много вопросов относительно практической реализации выдвигаемых им требований. Теперь, когда эти требования вступили в силу, и многие компании столкнулись с необходимостью их выполнения, мы постараемся ответить на самые животрепещущие вопросы.

Для чего нужен Закон?

Новый Закон предназначен для регулирования деятельности по обеспечению безопасности объектов информационной инфраструктуры РФ, функционирование которых критически важно для экономики государства. Такие объекты в законе называются объектами критической информационной инфраструктуры (далее — объекты КИИ). Согласно Закону, к объектам КИИ могут быть отнесены информационные системы и сети, а также автоматизированные системы управления, функционирующие в сфере:

  • здравоохранения;
  • науки;
  • транспорта;
  • связи;
  • энергетики;
  • банковской и иных сферах финансового рынка;
  • топливно-энергетического комплекса;
  • атомной энергии;
  • оборонной и ракетно-космической промышленности;
  • горнодобывающей, металлургической и химической промышленности.

Объекты КИИ, а также сети электросвязи, используемые для организации взаимодействия между ними, составляют понятие критической информационной инфраструктуры.

Что является целью Закона, и как он должен работать?

Главной целью обеспечения безопасности КИИ является устойчивое функционирование КИИ, в том числе при проведении в отношении нее компьютерных атак. Главным принципом обеспечения безопасности является предотвращение компьютерных атак.

Объекты КИИ или КСИИ?

До появления нового закона о КИИ в сфере ИБ существовало похожее понятие ключевых систем информационной инфраструктуры (КСИИ). Однако с 1 января 2018 года понятие КСИИ было официально заменено на понятие «значимые объекты КИИ».

Какие организации попадают в сферу действия Закона?

Требования Закона затрагивают те организации (государственные органы и учреждения, юридические лица и индивидуальные предприниматели), которым принадлежат (на праве собственности, аренды или ином законном основании) объекты КИИ или которые обеспечивают их взаимодействие. Такие организации в Законе называются субъектами КИИ.

Какие действия должны предпринять субъекты КИИ для выполнения Закона?

Согласно закону, субъекты КИИ должны:

  • провести категорирование объектов КИИ;
  • обеспечить интеграцию (встраивание) в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА);
  • принять организационные и технические меры по обеспечению безопасности объектов КИИ.

Что в себя включает категорирование объектов КИИ?

Категорирование объекта КИИ предполагает определение его категории значимости на основе ряда критериев и показателей. Всего устанавливается три категории — первая, вторая или третья. Если объект КИИ не соответствует ни одному из установленных критериев, ему не присваивается ни одна категория. Те объекты КИИ, которым была присвоена одна из категорий, называются в законе значимыми объектами КИИ.

По завершению категорирования сведения о его результатах должны направляться субъектом КИИ во ФСТЭК России для ведения реестра значимых объектов КИИ. В реестр включается следующая информация:

  • наименование значимого объекта КИИ;
  • наименование субъекта КИИ;
  • сведения о взаимодействии значимого объекта КИИ и сетей электросвязи;
  • сведения о лице, эксплуатирующем значимый объект КИИ;
  • присвоенная категория значимости;
  • сведения о программных и программно-аппаратных средствах, используемых на значимом объекте КИИ;
  • меры, применяемые для обеспечения безопасности значимого объекта КИИ.

Важно отметить, что если в процессе категорирования было определено отсутствие категории значимости у объекта КИИ, результаты категорирования все равно должны быть представлены во ФСТЭК России. Регулятор проверяет представленные материалы и при необходимости направляет замечания, которые должен учесть субъект КИИ.

Если субъект КИИ не предоставит данные о категорировании, ФСТЭК России вправе потребовать эту информацию.

Порядок ведения реестра значимых объектов КИИ будет определен соответствующим приказом, проект которого также уже опубликован.

Как проводить категорирование объектов КИИ согласно Закону?

Показатели критериев значимости, а также порядок и сроки категорирования будут определяться соответствующим постановлением Правительства, проект которого уже подготовлен. Согласно текущей версии документа, процедура категорирования включает в себя:

  1. Определение всех процессов, выполняемых субъектом КИИ в рамках своей деятельности.
  2. Выявление критических процессов, нарушение или прекращение которых может привести к негативным последствиям в масштабах страны.
  3. Определение перечня объектов КИИ, подлежащих категорированию. Данный этап должен быть выполнен в течение 6 месяцев со дня вступления постановления Правительства в силу.
  4. Оценку показателей критериев значимости в соответствии с установленными значениями. Всего проектом постановления Правительства предусматривается 14 показателей, определяющих социальную, политическую, экономическую значимость объекта КИИ, а также его значимость для обеспечения обороны страны, безопасности государства и правопорядка.
  5. Установление соответствия объектов КИИ значениям показателей и присвоение каждому из них одной из категорий значимости, либо принятие решения об отсутствии необходимости присвоения им одной из категорий значимости.

Категорирование должно проводиться как для существующих, так и для создаваемых или модернизируемых объектов КИИ специальной комиссией из работников субъекта КИИ. Решение комиссии оформляется соответствующим актом и в течение 10 дней после его утверждения сведения о результатах категорирования должны быть направлены во ФСТЭК России.

Максимальный срок категорирования объектов КИИ — 1 год со дня утверждения субъектом КИИ перечня объектов КИИ.

Этот порядок является предварительным и должен быть уточнен после утверждения соответствующего постановления Правительства.

Что такое ГосСОПКА и для чего она нужна?

ГосСОПКА представляет собой единый территориально распределенный комплекс, включающий силы и программно-технические средства обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее — силы и средства ОПЛ КА).

К силам ОПЛ КА относятся:

  • уполномоченные подразделения ФСБ России;
  • национальный координационный центр по компьютерным инцидентам, который создается ФСБ России для координации деятельности субъектов КИИ по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных инцидентов;
  • подразделения и должностные лица субъектов КИИ, которые принимают участие в обнаружении и предупреждении компьютерных инцидентов.

ГосСОПКА предназначена для обеспечения и контроля безопасности КИИ в Российской Федерации и в дипломатических представительствах страны за рубежом.

В данной системе должна собираться и агрегироваться вся информация о компьютерных атаках и инцидентах, получаемая от субъектов КИИ. Перечень информации и порядок ее предоставления в ГосСОПКА будет определен соответствующим приказом, проект которого был представлен на общественное обсуждение. Согласно текущей версии документа, срок предоставления информации о кибератаке составляет 24 часа с момента обнаружения.

Кроме того, в рамках ГосСОПКА организуется обмен информацией о компьютерных атаках между всеми субъектами КИИ, а также международными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты.

Технически ГосСОПКА будет представлять собой распределённую систему из центров ГосСОПКА, развёрнутых субъектами КИИ, объединённых в иерархическую структуру по ведомственно-территориальному признаку, и подключённых к ним технических средств (средств ОПЛ КА), установленных в конкретных объектах КИИ. При этом центры ГосСОПКА могут быть ведомственными, то есть организованными государственными органами, а также корпоративными — построенными государственными и частными корпорациями, операторами связи и другими организациями-лицензиатами в области защиты информации.

Кто является собственником ГосСОПКА?

Для ГосСОПКА не предусматривается единый собственник: каждый из центров ГосСОПКА будет принадлежать отдельному владельцу, вложившему свои средства в его построение. Государство же будет выступать только в качестве регулятора и координатора.

Что подразумевается под интеграцией с ГосСОПКА?

Интеграция в ГосСОПКА требует от субъекта КИИ:

  • информировать о компьютерных инцидентах ФСБ России, а также Центральный Банк Российской Федерации, если организация осуществляет деятельность в банковской сфере и иных сферах финансового рынка;
  • оказывать содействие ФСБ России в обнаружении, предупреждении и ликвидации последствий компьютерных атак, установлении причин и условий возникновения компьютерных инцидентов.

Кроме того, по решению субъекта КИИ на территории объекта КИИ может быть размещено оборудование ГосСОПКА. В этом случае субъект дополнительно обеспечивает его сохранность и бесперебойную работу. Иными словами, субъектом КИИ может быть организован собственный центр ГосСОПКА.

Может ли субъект КИИ не создавать собственный центр ГосСОПКА?

Решение о создании собственного центра ГосСОПКА субъект КИИ принимает самостоятельно. То есть создание центра ГосСОПКА не является обязательным, и, более того, данный шаг должен быть согласован с ФСБ России.

Однако для значимых объектов КИИ субъектам КИИ придется реализовать меры по обнаружению и реагированию на компьютерные инциденты. А для этого в любом случае потребуются специальные технические средства и квалифицированный персонал, которые, по сути, и являются составляющими собственного центра ГосСОПКА.

Что требуется для построения собственного центра ГосСОПКА?

Согласно документу «Методические рекомендации по созданию ведомственных и корпоративных центров ГосСОПКА», для построения собственного центра ГосСОПКА необходимо обеспечить функционирование совокупности технических средств и процессов, выполняющих следующие функции:

  • инвентаризация информационных ресурсов;
  • выявление уязвимостей информационных ресурсов;
  • анализ угроз информационной безопасности;
  • повышение квалификации персонала информационных ресурсов;
  • прием сообщений о возможных инцидентах от персонала и пользователей информационных ресурсов;
  • обеспечение процесса обнаружения компьютерных атак;
  • анализ данных о событиях безопасности;
  • регистрация инцидентов;
  • реагирование на инциденты и ликвидация их последствий;
  • установление причин инцидентов;
  • анализ результатов устранения последствий инцидентов.

Для этого в составе технических средств ОПЛ КА могут использоваться:

  • средства обнаружения и предотвращения вторжений, в том числе обнаружения целевых атак;
  • специализированные решения по защите информации для индустриальных сетей, финансового сектора;
  • средства выявления и устранения DDoS-атак;
  • средства сбора, анализа и корреляции событий;
  • средства анализа защищенности;
  • средства антивирусной защиты;
  • средства межсетевого экранирования;
  • средства криптографической защиты информации для защищенного обмена информацией с другими центрами ГосСОПКА.

Технические средства должны быть интегрированы в единый комплекс, управляемый из центра ГосСОПКА и взаимодействующий с другими центрами ГосСОПКА.

Помимо технического обеспечения для создания центра ГосСОПКА необходимо разработать соответствующие методические документы, включающие настройки средств обеспечения ИБ, решающие правила средств обнаружения компьютерных атак, правила корреляции событий, инструкции для персонала и т.п.

Центр ГосСОПКА может быть реализован субъектом КИИ как самостоятельно (с использованием собственных технических и кадровых ресурсов), так и с привлечением сторонних специалистов путем передачи на аутсорсинг части функций, например, анализ угроз информационной безопасности, повышение квалификации персонала, прием сообщений об инцидентах, анализ защищенности и расследование инцидентов.

Что требуется для обеспечения безопасности объектов КИИ согласно Закону?

Для объектов КИИ, не являющихся значимыми, в обязательном порядке должна быть обеспечена только интеграция с ГосСОПКА (канал обмена информацией). Остальные мероприятия по обеспечению безопасности объекта КИИ реализуются на усмотрение субъекта.

Для значимых объектов КИИ, помимо интеграции в ГосСОПКА субъекты КИИ должны:

  • Cоздать систему безопасности значимого объекта КИИ. Требования ФСТЭК России к созданию систем безопасности и мерам защиты значимых объектов КИИ уже подготовлены и находятся на стадии обсуждения и согласования;
  • Реагировать на компьютерные инциденты. Порядок реагирования на компьютерные инциденты должен быть подготовлен ФСБ России до конца апреля текущего года;
  • Предоставлять на объект КИИ беспрепятственный доступ регуляторам и выполнять их предписания по результатам проверок. Законом предусматриваются как плановые, так и внеплановые проверки.

Система безопасности значимого объекта КИИ представляет собой комплекс организационных и технических мер. Порядок создания системы и требования к принимаемым мерам безопасности будут определяться ФСТЭК России.

Согласно подготовленному проекту приказа ФСТЭК России, состав мер по обеспечению безопасности значимого объекта КИИ будет определяться по результатам его категорирования с возможностью адаптации и дополнения набора мер защиты с учетом специфики объекта КИИ.

Кто контролирует выполнение требований Закона?

Основные функции контроля в области обеспечения безопасности объектов КИИ, включая нормативно-правовое регулирование, возложены на ФСТЭК России и ФСБ России.

ФСТЭК России отвечает за ведение реестра значимых объектов КИИ, формирование и контроль реализации требований по обеспечению их безопасности.

ФСБ России обеспечивает регулирование и координацию деятельности субъектов КИИ по развёртыванию сил и средств ОПЛ КА, осуществляет сбор информации о компьютерных инцидентах и оценку безопасности КИИ, а также разрабатывает требования к средствам ОПЛ КА.

В отдельных случаях, касающихся сетей электросвязи и субъектов КИИ в банковской и иных сферах финансового рынка, разрабатываемые ФСТЭК России и ФСБ России требования должны согласовываться с Минкомсвязью России и Центральным Банком Российской Федерации соответственно.

Порядок госконтроля в области обеспечения безопасности значимых объектов КИИ будет определен соответствующим постановлением Правительства Российской Федерации, проект которого уже опубликован.

А если требования Закона не будут выполнены?

Вместе с утверждением ФЗ «О безопасности КИИ» в УК РФ была добавлена новая статья 274.1, которая устанавливает уголовную ответственность должностных лиц субъекта КИИ за несоблюдение установленных правил эксплуатации технических средств объекта КИИ или нарушение порядка доступа к ним вплоть до лишения свободы сроком на 6 лет. Пока данная статья не предусматривает ответственности за невыполнение необходимых мероприятий по обеспечению безопасности объекта КИИ, однако в случае наступления последствий (аварий и чрезвычайных ситуаций, повлекших за собой крупный ущерб) непринятие таких мер подпадает по состав 293 статьи УК РФ «Халатность». Дополнительно следует ожидать внесения изменений в административное законодательство в части определения штрафных санкций для юридических лиц за неисполнение Закона. С большой долей уверенности можно говорить о том, что именно введение существенных денежных штрафов будет стимулировать субъекты КИИ к выполнению требований Закона.

Источник

Безопасность КИИ: коротко о главном

Федеральный закон №-187 «О безопасности критической информационной инфраструктуры (КИИ) Российской Федерации» который вступил в силу 01 января 2018 г. постепенно набирает обороты и пополняется новыми подзаконными актами, которые часто не облегчают жизнь ИБ-специалисту. Давайте разберёмся в ситуации, что ожидается и что необходимо предпринять.

КТО МЫ, КИИ ИЛИ НЕ КИИ?

Первым делом необходимо выяснить, подпадает ли организация под понятие «субъект КИИ» и сделать это можно посмотрев законодательство. Не нашли себя, выдохните, у вас немного меньше головной боли.

Какие критерии указывают что вы субъект КИИ?

Первый критерий – ОКВЭД организации. Общероссийский классификатор видов экономической деятельности (ОКВЭД), они, а их может быть много у одного предприятия, открываются в любой момент деятельности, поэтому актуальный список вы можете посмотреть в выписке ЕГРЮЛ предприятия или информационно-справочных сервисах «Контур Фокус», «Спарк» и пр. ОКВЭД явно укажет, к какой сфере деятельности относится ваше предприятие и подпадает ли под перечень следующих отраслей указанных в ФЗ №-187:

  • здравоохранение;
  • наука;
  • транспорт;
  • связь;
  • энергетика;
  • банковская сфера и иные финансовые сферы;
  • топливно-энергетический комплекс;
  • область атомной энергии;
  • оборонная промышленность;
  • ракетно-космическая промышленность;
  • горнодобывающая промышленность;
  • металлургическая промышленность;
  • химическая промышленность;
  • юридически лица и/или ИП, которые обеспечивают взаимодействие указанных систем или сетей.

Второй критерий — лицензии и иные разрешительные документы на различные виды деятельности которые относятся к вышеперечисленным сферам и которые будут в фокусе внимания согласно ФЗ №-187 .

Третий критерий – учредительные документы организаций, к ним относятся уставы, положения организаций (если речь идет о государственных органах), в которых может быть прописан вид деятельности указывающий на принадлежность к критичным отраслям.

Пример из нашего опыта проведения работ по категорированию. Компания по основному виду экономической деятельности имела код ОКВЭД 46.73.6 «Торговля оптовая прочими строительными материалами и изделиями», на первый взгляд ни чего особенного, в перечень отраслей согласно ФЗ №-187 не попадает и можно «спать спокойно». Но при детальном изучении устава и лицензий на виды деятельности оказалось, что у компании есть лицензия на деятельность по перевозке грузов железнодорожным транспортом и собственный парк железнодорожного транспорта. Исходя из данных обстоятельств, предприятие относится к отрасли «транспорт» и следовательно, необходимо выполнять требования ФЗ №-187.

Попали под один критерий из трёх? Поздравляем, вы субъект КИИ! Но нужно помнить, что каждый случай разбирается индивидуально и эта тема отдельного обсуждения, посвященная категорированию объектов критической информационной инфраструктуры которую рассмотрим в следующих статьях.

Нормативно-правовой акт четко определяет, что «к субъектам критической информационной инфраструктуры относятся государственные органы и учреждения, а так же российские юридические лица и/или индивидуальные предприниматели которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления».

У каждого субъекта КИИ есть объекты КИИ:

  • информационные системы;
  • автоматизированные системы управления технологическими процессами;
  • информационно-телекоммуникационные сети.

функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

СУБЪЕКТЫ КИИ:

  • Банковская сфера и иные сферы финансового рынка
  • Топливно-энергетический комплекс
  • Атомная промышленность
  • Военно-промышленный комплекс
  • Ракетно-космическая промышленность
  • Горнодобывающая промышленность
  • Металлургическая промышленность
  • Химическая промышленность
  • Наука, транспорт, связь
  • ЮЛ и ИП которые взаимодействуют с системами КИИ

ОБЪЕКТЫ КИИ:

  • Информационные системы
  • Информационно-телекоммуникационные сети
  • Автоматизированные системы управления технологическими процессами (АСУ ТП)

Объекты КИИ обеспечивают функционирование управленческих, технологических, производственных, финансово-экономических и иных процессов субъектов КИИ.

ЧТО ДЕЛАТЬ?

С субъектом и объектом КИИ разобрались. Что необходимо сделать вам, как субъекту КИИ, дальше?

Первый этап. Необходимо создать внутреннюю комиссию по категорированию и определить состав участников из наиболее компетентных специалистов по вашим бизнес-процессам. Почему делается акцент на бизнес-процессы и уровни компетенции участников? Только «владелец» бизнес-процесса знает все нюансы, которые могут привести к их нарушению и последующим негативным последствиям. Этот владелец или компетентное уполномоченное лицо должен быть в составе комиссии для присвоения правильной категории значимости процессу.

Второй этап. На этом этапе собираются исходные данные, проводится предпроектное обследование и на основании полученных данных, комиссия принимает решение о наличии перечня объектов КИИ, подлежащих категорированию и присваивает категорию значимости. Согласно Постановлению Правительства РФ от 08.02.2018 N 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» категорий значимости три, 1-я самая высокая.

Категории значимости присваиваются исходя из показателей критериев значимости, которых пять:

  • социальная;
  • политическая;
  • экономическая;
  • экологическая;
  • значимость для обеспечения обороны страны, безопасности государства и правопорядка.

На этом этапе есть один нюанс, после утверждения перечня объектов КИИ подлежащих категорированию, субъект КИИ в течении 5 дней обязан известить об этом ФСТЭК России. С этого момента на проведение процедур категорирования отводится максимум 1 год. Если объект КИИ не подпадает под один из показателей критериев значимости, то у него отсутствует необходимость присвоения категории значимости, но тем не менее предприятие является субъектом КИИ у которого отсутствуют критически значимые объекты КИИ.

Результатом второго этапа является «Акт категорирования объекта КИИ», который подписывается членами комиссии и утверждается руководителем субъекта КИИ. Акт должен содержать полные сведения об объекте КИИ и хранится субъектом до последующего пересмотра критериев значимости. С момента подписания акта, субъект КИИ в течении 10 дней направляет сведения о результатах категорирования по утверждённой форме в ФСТЭК России (на момент написания статьи форма на стадии согласования окончательного варианта). В течении 30 дней ФСТЭК проверяет соблюдение порядка и правильности категорирования и в случае положительного заключения, вносит сведения в реестр значимых объектов КИИ с последующим уведомлением субъекта КИИ в 10-ти дневный срок.

Третий этап, заключительный. Пожалуй, один из самых трудоёмких и дорогих — выполнение требований по обеспечению безопасности значимых объектов КИИ. Не будем вдаваться сейчас в детали, а перечислим ключевые стадии по обеспечению безопасности объектов КИИ:

  • разработка технического задания;
  • разработка модели угроз информационной безопасности;
  • разработка технического проекта;
  • разработка рабочей документации;
  • ввод в действие.

ЧТО БУДЕТ ЕСЛИ ЭТОГО НЕ ДЕЛАТЬ?

Мы рассмотрели, кто такой субъект КИИ, что такое объект КИИ и какие необходимо выполнить действия для выполнения требований ФСТЭК. Теперь хотелось немного поговорить об ответственности, возникающей в случае невыполнения требований. Согласно Указа Президента РФ от 25.11.2017 г. №569 «О внесении изменений в Положение о Федеральной службе по техническому и экспортному контролю, утвержденное Указом Президента РФ от 16.08.2004 г. №1085» федеральный орган исполнительной власти (ФОИВ), уполномоченный в области обеспечения безопасности КИИ является ФСТЭК. Государственный контроль в области обеспечения безопасности значимых объектов КИИ будет осуществлять ФСТЭК в виде плановых и внеплановых проверок с последующим предписанием в случае выявленных нарушений. Плановые проверки проводятся:

  • по истечению 3-х лет со дня внесения сведений об объекте КИИ в реестр;
  • по истечению 3-х лет со дня осуществления последней плановой проверки.

Внеплановые проверки будут проводиться в случае:

  • по истечению срока выполнения субъектом КИИ предписания об устранении выявленного нарушения;
  • возникновения компьютерного инцидента, повлекшего негативные последствия;
  • по поручению Президента РФ или Правительства РФ, либо на основании требования Прокуратуры РФ.

Если ФСТЭК выявит нарушение, будет выписано предписание с конкретным сроком устранения, который можно будет продлить по уважительным причинам, а вот в случаи с Прокуратурой РФ будет все сложнее, т.к. она придёт к вам уже с постановлением об административном правонарушении, ссылаясь на статью 19.5 ч.1 КоАП РФ о невыполнении в установленный срок постановления госнадзорного органа.

И еще немного о мерах наказания, которые были введены за не соблюдение требований по обеспечению безопасности критической информационной структуры. Согласно Федеральному закону от 26.07.2017 № 194-ФЗ «О внесении изменений в УК РФ и УПК РФ в связи с принятием ФЗ «О безопасности КИИ РФ» максимальная мера наказания, за нарушения норм безопасности КИИ, составляет лишение свободы до 10 лет. Пожалуй, весомый аргумент!

В дальнейших статьях мы более подробно расскажем о каждом из этапов выполнения требований ФСТЭК в области обеспечения безопасности КИИ. Следите за наши обновления на сайте и на нашей странице в Facebook.

Обратитесь в компанию «ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ»! В контексте требований Федерального закона №-187 о безопасности критической информационной инфраструктуры специалисты компании проведут следующие виды работ:

  • аудит существующей инфраструктуры;
  • классификацию имеющихся информационных активов;
  • оценку рисков информационной безопасности;
  • разработку модели угроз информационной безопасности;
  • проведение категорирования объектов КИИ;
  • определение уровня соответствия требованиям регуляторов по защите информации;
  • разработку плана поэтапной реализации требований законодательства по обеспечению безопасности объектов КИИ;
  • формирование бюджета на мероприятия по защите информации.

А так же, создадут комплексную систему безопасности производства «под ключ», учитывая архитектуру и специфику вашего производства. Используя лучшие российские и мировые практики по созданию систем безопасности снизят риски и угрозы бизнеса до минимального уровня.

Обсудить вопросы безопасности вашего предприятия можно по следующим контактам:

— телефону: 8 800 33 27 53

— почте: [email protected]

— в чате: в правом углу странице →

— в Messenger на нашей странице в Facebook

Назад

Закон о безопасности КИИ: разбираемся в тонкостях

Законопроект «О безопасности критической информационной инфраструктуры Российской Федерации» прошёл очень долгий путь. Первая публикация проекта нормативно-правового акта состоялась ещё в начале 2013 г. Ожидалось, что уже к концу года или в первой половине следующего, 2014, законопроект будет принят. Ожидания не оправдались — законопроект очень долго не вносился в Госдуму, пока в конце 2016 года тема безопасности объектов критической информационной инфраструктуры (КИИ), да и информационной безопасности в целом, не стала более актуальной.

Это позволяет предположить, что в ближайшее время законопроект станет полноценным законом в текущей редакции.

Конец 2016 года ознаменовался тем, что была утверждена новая Доктрина информационной безопасности, а следом за ней принят в первом чтении законопроект о безопасности КИИ. 7 июля 2017 г. законопроект был принят во втором чтении, 12 июля — в третьем чтении, а 19 июля — Советом федерации (где также получил предварительное одобрение от профильных комитетов). Это позволяет предположить, что в ближайшее время законопроект станет полноценным федеральным законом, сохранив свою текущую редакцию.

Объекты регулирования законопроектом о безопасности КИИ

Начать рассмотрение законопроекта логично с основного объекта регулирования законопроекта о безопасности КИИ — объекта критической информационной инфраструктуры. В соответствии со статьей 2 законопроекта, под объектом КИИ понимаются информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры. В той же статье приводится определение субъекта КИИ, где раскрывается более полно, что информационными системами, информационно телекоммуникационными сетями и автоматизированными системами управления субъектов КИИ являются системы, функционирующие в одной из следующих сфер: здравоохранение, наука, транспорт, связь, энергетика, банковская сфера и иные сферы финансового рынка, топливно-энергетический комплекс, атомная энергия, оборона, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленности.

Стоит отметить, что за время рассмотрения законопроекта в Госдуме перечень потенциальных сфер объектов КИИ видоизменился: были исключены информационные системы государственных органов, уточнен «непромышленный» блок за счет добавления банков в перечень сфер финансового рынка (в предыдущей редакции фигурировала финансово-кредитная сфера в целом, здесь же явно выделены банки как потенциальные субъекты КИИ и Центральный банк как один из регуляторов). Кроме того, в сферу регулирования законопроекта попадают и сети электросвязи, которые обеспечивают взаимодействие объектов КИИ между собой (сами сети электросвязи при этом не являются объектом КИИ, но являются составной частью КИИ).

Подмножеством всех объектов КИИ являются значимые объекты КИИ — те объекты КИИ, которым была присвоена одна из категорий значимости в результате процесса категорирования, о котором ниже.

Сам текст законопроекта не содержит четких указаний, что именно считать объектом КИИ, следовательно, придётся ждать разработки соответствующих подзаконных актов. Скорее всего, система критериев будет представлена в документе, определяющем порядок категорирования объектов КИИ.

Субъекты законопроекта о безопасности КИИ

Основным субъектами законопроекта о безопасности КИИ являются сами субъекты КИИ, к которым, в соответствии со статьей 2 законопроекта, относятся: владельцы объекта КИИ (государственные и частные структуры), а также лица или организации, обеспечивающие взаимодействие объектов КИИ между собой (в предыдущей редакции законопроекта вместо этой обтекаемой конструкции было явное указание на операторов связи).

Кроме того, по результатам категорирования объектов КИИ субъект КИИ представляет в федеральный орган исполнительной власти (ФОИВ) сведения, в том числе, о лице, эксплуатирующем значимый объект КИИ (по сути — об операторе). Больше нигде в тексте законопроекта данная категория субъекта не упоминается, но внесение такой информации в реестр позволяет предположить, что к этой категории также могут предъявляться определенные требования в подзаконных актах. В предыдущей редакции в реестр вносились также сведения о разработчике (проектировщике) объекта КИИ, но в финальном тексте законопроекта они уже не фигурируют (что не исключает возможность их появления в подзаконных актах, устанавливающих форму реестра значимых объектов КИИ).

Отдельно стоит отметить, что в финальной редакции законопроекта не нашлось места таким субъектам, как «организации, имеющие лицензии на осуществление деятельности по технической защите конфиденциальной информации». Ранее указанные организации могли привлекаться субъектом КИИ для проведения категорирования объекта или для реализации мероприятий по обеспечению безопасности объекта КИИ. Наиболее вероятно то, что на момент принятия закона отсутствовала готовность сформулировать точные требования к организациям, которые будут участвовать в процессе обеспечения безопасности объектов КИИ. Например, в редакции 2013 года фигурировали организации, прошедшие аккредитацию во ФСТЭК или ФСБ, которая позволяла им осуществлять деятельность по оценке защищенности объектов КИИ, а обязательным условием аккредитации было наличие лицензии на работу со сведениями, составляющими государственную тайну. В последних же редакциях уже не было ни упоминаний о аккредитации, ни требований наличия лицензии на работу с государственной тайной.

Со стороны государства в процессе обеспечения безопасности КИИ фигурируют:

  • президент РФ, который определяет общее направление государственной политики в области безопасности КИИ, назначает ФОИВ, уполномоченный в области обеспечения безопасности КИИ; ФОИВ, уполномоченный в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА); порядок создания и задачи ГосСОПКА;
  • правительство РФ, которое определяет критерии и порядок категорирования объектов КИИ, порядок осуществления государственного контроля за безопасностью КИИ и порядок подготовки и использования сетей электросвязи для обеспечения функционирования КИИ;
  • ФОИВ, уполномоченный в области обеспечения безопасности КИИ, который отвечает за ведение реестра значимых объектов КИИ, за формирование требований по обеспечению безопасности значимых объектов КИИ и за контроль в области обеспечения безопасности объектов КИИ;
  • ФОИВ, уполномоченный в области обеспечения функционирования ГосСОПКА, который обеспечивает создание ГосСОПКА, в том числе, подключение к системе объектов КИИ, реализацию всего жизненного цикла компьютерных инцидентов ГосСОПКА (порядок обнаружения и уведомления, ликвидация последствий, обмен информацией между субъектами КИИ), а также контроль в области обеспечения безопасности объектов КИИ — ФСБ (согласно Указу Президента РФ «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации» именно на ФСБ возложена задача создания ГосСОПКА, а также обеспечения её функционирования);
  • ФОИВ, осуществляющий функции по выработке и реализации государственной политики и нормативно-правовому регулированию в области связи, который совместно с предыдущим ФОИВ определяет технические условия по установке и порядок эксплуатации средств ГосСОПКА в сетях электросвязи — Минкомсвязь.

ФОИВ, уполномоченный в области обеспечения безопасности КИИ, формально в настоящее время не определен. Официальное его назначение должно произойти через полгода после принятия закона о безопасности КИИ, когда выйдет выйти соответствующий Указ Президента РФ. Однако с высокой степенью уверенности можно сказать, что этим ФОИВ будет ФСТЭК. В соответствии с Указом Президента РФ «Вопросы Федеральной службы по техническому и экспортному контролю» одной из задач ФСТЭК является «обеспечение в пределах своей компетенции безопасности информации в ключевых системах информационной инфраструктуры», в частности ведение реестра ключевых систем информационной инфраструктуры (КСИИ), так что реестр значимых объектов КИИ может быть некоторой реинкарнацией реестра КСИИ.

Мероприятия по обеспечению безопасности объектов КИИ

Принятый законопроект и будущие подзаконные акты определяют ряд мероприятий, которые необходимо будет реализовывать субъектам законопроекта, в том числе и субъектам КИИ. Наиболее важные мероприятия для субъектов КИИ:

  • категорирование объектов КИИ;
  • интеграция с ГосСОПКА;
  • создание системы обеспечения безопасности объектов КИИ.
Категорирование объектов КИИ

Процесс категорирования претерпел наибольшие изменения по ходу разработки законопроекта и его рассмотрения в Госдуме. По результатам рассмотрения законопроекта в первом чтении многие профильные комитеты сформулировали предложение возложить обязанности по проведению категорирования на ФОИВ, уполномоченный в области обеспечения безопасности КИИ. Такой подход к категорированию позволил бы, по мнению авторов предложения, избежать ситуации умышленного занижения категории объекта КИИ субъектом КИИ (который проводит категорирование), чтобы уйти от государственного контроля и обязательных к реализации требований по обеспечению безопасности.

Предложение в указанном виде не было включено в законопроект, но при этом во втором и третьем чтениях появились два новых момента, связанных с категорированием:

  • Даже, если в результате проведения категорирования субъект КИИ установил отсутствие категории у объекта КИИ, которым он владеет, субъект КИИ все равно обязан представить результаты категорирования в ФОИВ, уполномоченный в области обеспечения безопасности КИИ (статья 7, пункт 5). Указанный ФОИВ проверяет представленные материалы и в результате согласовывает присвоение (неприсвоение) категории или направляет замечания, которые должен учесть субъект КИИ.
  • Даже если субъект КИИ посчитал, что он не является субъектом КИИ и не должен проводить категорирование, ФОИВ, уполномоченный в области обеспечения безопасности КИИ, обладает возможностью направить субъекту КИИ требование о необходимости соблюдения положений статьи 7 законопроекта (статья 7, пункт 11).

Приведенные выше положения законопроекта, по сути, дают возможность ФОИВ, уполномоченному в области обеспечения безопасности КИИ, активно участвовать в процессе категорирования, но при этом не обязывают полностью брать задачу категорирования на себя (что явно сильно увеличило бы сроки реализации закона, учитывая потенциальное количество объектов КИИ в России).

Сведения о категорировании объектов КИИ сводятся в единый реестр значимых объектов КИИ, которому в законопроекте посвящена отдельная статья (статья 8). В частности, приводится перечень информации, которая включается в реестр (подзаконные акты могут расширить этот перечень):

  • наименование значимого объекта КИИ;
  • наименование субъекта КИИ;
  • сведения о взаимодействии значимого объекта КИИ и сетей электросвязи;
  • сведения о лице, эксплуатирующем значимый объект КИИ;
  • присвоенная категория значимости;
  • сведения о программных и программно-аппаратных средствах, используемых на значимом объекте КИИ;
  • меры, применяемые для обеспечения безопасности значимого объекта КИИ.

Последний пункт позволяет предположить, что реестр значимых объектов КИИ (по аналогии с реестром КСИИ) будет отнесен к сведениям, составляющим государственную тайну, так как законопроект-спутник «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» предлагает расширить перечень сведений, составляющих гостайну, информацией «о мерах по обеспечению безопасности критической информационной инфраструктуры РФ и о состоянии ее защищенности от компьютерных атак».

Создание системы безопасности объектов КИИ

Мероприятия по обеспечению безопасности объектов КИИ определяются по результатам категорирования. Субъект КИИ, владеющий объектом КИИ, не отнесенным ни к одной из категорий значимости, в обязательном порядке должен обеспечить только информирование ФСБ (или его соответствующего подразделения) и ЦБ РФ (если он является регулирующим органом для субъекта) о компьютерных инцидентах и содействие представителям ФСБ в обнаружении, предупреждении и ликвидации последствий компьютерных атак и инцидентов, а также условий их возникновения.

Остальные мероприятия по обеспечению безопасности объекта КИИ субъект реализует на свое усмотрение.

Одним из способов реализации требований к субъекту КИИ является размещение на территории объекта КИИ технических средств ГосСОПКА, но это размещение осуществляется за счет субъекта КИИ, причём если субъект решил разместить оборудование ГосСОПКА на территории объекта КИИ, он автоматически взял на себя обязательства по обеспечению его бесперебойной работы. Остальные мероприятия по обеспечению безопасности объекта КИИ субъект реализует на свое усмотрение.

Субъект КИИ, которому принадлежит значимый объект КИИ, помимо вышеперечисленного обязан соблюдать требования по обеспечению безопасности значимого объекта КИИ, установленные ФОИВ, уполномоченным в области обеспечения безопасности КИИ; выполнять предписания по результатам проверок, обеспечивать реакцию на компьютерные инциденты в порядке, определяемом ФСБ, и беспрепятственный доступ на территорию объекта проверяющим органам.

Стоит отметить, что по результатам рассмотрения законопроекта в первом чтении было сформулировано замечание, что обеспечение беспрепятственного доступа на территорию объекта КИИ может идти в разрез с действующими нормами относительно промышленной безопасности и охране труда. Однако в финальной версии законопроекта формулировка данного пункта не изменилась.

Требования к системе обеспечения безопасности объектов КИИ на уровне законопроекта устанавливаются только для значимых объектов КИИ (статья 10). В соответствии с текстом законопроекта, основными задачами системы безопасности являются:

  • предотвращение неправомерного доступа к информации, обрабатываемой объектом КИИ, уничтожения, модификации, блокирования, копирования, предоставления и распространения, а также иных неправомерных действий в отношении такой информации;
  • недопущение воздействия на технические средства обработки информации, которое может нарушить функционирование объекта КИИ;
  • восстановление функционирования объекта КИИ;
  • непрерывное взаимодействие с ГосСОПКА.

По сравнению с редакцией законопроекта, представленной в первом чтении, требования к системе безопасности стали еще более общими, что позволит полнее учесть специфику обеспечения безопасности различных объектов КИИ в подзаконных актах.

Правовое поле законопроекта о безопасности КИИ

Законопроект о безопасности КИИ был принят вместе с законопроектами-спутниками.

Как уже упоминалось выше, законопроект о безопасности КИИ был принят вместе с законопроектами-спутниками «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» и «О внесении изменений в Уголовный кодекс Российской Федерации и статью 151 Уголовно-процессуального кодекса Российской Федерации в связи с принятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации».

Первый законопроект-спутник вносит изменения в три федеральных закона: в закон «О государственной тайне», в закон «О связи» и в закон «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».

В законе «О государственной тайне» расширен перечень сведений, составляющих гостайну: теперь к ним относятся сведения «о мерах по обеспечению безопасности критической информационной инфраструктуры РФ и о состоянии ее защищенности от компьютерных атак». Приведенная в законопроекте формулировка допускает очень широкую трактовку — по сути, даже инструкция администратора безопасности какого-либо средства защиты информации объекта КИИ (не обязательно значимого объекта КИИ!) может быть отнесена к информации, составляющей гостайну. Остается надеяться, что речь все же идет о консолидированной информации, содержащейся в реестре значимых объектов КИИ и ГосСОПКА.

В законе «О связи» отражён тот факт, что подготовка и использование сетей электросвязи для нужд функционирования значимых объектов КИИ будет регулироваться отдельным Постановлением Правительства РФ. Также добавлена обязанность оператора связи обеспечивать утвержденный порядок установки и эксплуатации средств ГосСОПКА, если они устанавливаются в сети электросвязи оператора связи.

В законе «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» отражено, что контроль в области обеспечения безопасности значимых объектов КИИ выводится из-под действия этого федерального закона.

Второй законопроект-спутник вносит изменения в УК РФ и УПК РФ с целью определения ответственности и порядка расследования нарушений, связанных с объектами КИИ.

В УК РФ добавляется новая статья по «компьютерным» преступлениям — 274.1, которая повторяет статьи 272, 273 и 274, но в отношении объектов КИИ. Соответствующие правонарушения в отношении объектов КИИ караются строже, чем в отношении традиционных компьютерных систем: наиболее тяжкие преступления наказываются лишением свободы сроком до 10 лет. Отдельно необходимо остановиться на пункте 3 статьи 274.1, аналогичном статье 274 — «нарушение правил эксплуатации…». Правонарушение по этому пункту может быть адресовано субъекту КИИ, если он не выполнил необходимые мероприятия по обеспечению безопасности объекта КИИ, что повлекло причинение вреда объекту КИИ. Такому нерадивому субъекту КИИ может грозить лишение свободы сроком до 6 лет.

Также стоит отметить, что среди отклоненных поправок к законопроекту была более мягкая редакция названного пункта — в ней речь шла про неоднократное умышленное нарушение, а выявленное впервые нарушение правил эксплуатации предлагалось считать административным проступком, а не уголовным.

Следствие по уголовным делам по этим статьям передаётся в ведение ФСБ.

Изменение УПК РФ определяет подследственность уголовных дел по статьям 272, 273, 274 и 274.1. Теперь следствие по уголовным делам, попадающим под перечисленные статьи, передаётся в ведение ФСБ.

Планы по разработке подзаконных актов

Вместе с текстами законопроектов был также представлен план по разработке нормативно-правовых актов во исполнение закона о безопасности КИИ. В таблице ниже приведены основные нормативно-правовые акты с относительным (от даты принятия закона) сроком их разработки.

Срок Документ Разработчик
+6 месяцев Проект указа Президента РФ «О федеральном органе исполнительной власти, уполномоченном в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации» ФСТЭК

ФСБ

+6 месяцев Проект постановления Правительства РФ «Об утверждении порядка подготовки и использования ресурсов единой сети электросвязи для обеспечения функционирования значимых объектов критической информационной инфраструктуры Российской Федерации» Минкомсвязь

ФСБ

+9 месяцев Проект приказа ФСБ России «Об утверждении порядка реагирования на компьютерные инциденты и ликвидации последствий компьютерных атак на значимых объектах критической информационной инфраструктуры Российской Федерации»

Проект приказа ФСБ России «Об утверждении перечня сведений, предоставляемых в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, и порядка их предоставления»

Проект приказа ФСБ России «Об утверждении порядка доступа к информации, содержащейся в государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации»

Проект приказа ФСБ России «Об утверждении требований к техническим средствам государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации»

Проект приказа ФСБ России «Об утверждении технических условий установки и эксплуатации технических средств государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации»

Проект приказа ФСБ России «Об утверждении Положения о Национальном координационном центре по компьютерным инцидентам»

ФСБ

ФОИВ, уполномоченный в области обеспечения безопасности КИИ

+12 месяцев Проект постановления Правительства РФ «Об утверждении показателей критериев категорирования объектов критической информационной инфраструктуры Российской Федерации, значений таких показателей, а также порядка категорирования объектов критической информационной инфраструктуры Российской Федерации» ФСБ

ФОИВ, уполномоченный в области обеспечения безопасности КИИ

+12 месяцев Проект постановления Правительства РФ «Об утверждении порядка осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской федерации» ФСБ

ФОИВ, уполномоченный в области обеспечения безопасности КИИ

+12 месяцев Проект приказа «Об утверждении формы предоставления сведений о проведенном категорировании»

Проект приказа «Об утверждении формы реестра объектов критической информационной инфраструктуры Российской Федерации и правил его ведения»

ФОИВ, уполномоченный в области обеспечения безопасности КИИ
+12 месяцев Проект приказа «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» ФСБ

ФОИВ, уполномоченный в области обеспечения безопасности КИИ

+12 месяцев Проект приказа Минкомсвязи России «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» Минкомсвязь

ФОИВ, уполномоченный в области обеспечения безопасности КИИ

Исходя из этого плана, большинство документов, необходимых для реализации закона (порядок категорирования, требования по обеспечению безопасности), появятся только через год после его принятия (сам закон вступает в силу с 1 января 2018 г.). Однако эти сроки могут сильно сократиться, если назначение ФСТЭК в качестве ФОИВ, уполномоченного в области обеспечения безопасности КИИ, произойдет не в течение полугода с даты принятия закона, а раньше.

ФСТЭК, в свою очередь, вряд ли будет с нуля разрабатывать порядок категорирования и требования по обеспечению безопасности, так как в активе организации уже есть ряд действующих документов, которые затрагивают эти вопросы (в первую очередь речь идёт о Приказе ФСТЭК России от 14.03.2014 № 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды»).

Заключение

Вступление закона в силу запланировано на 1 января 2018 года.

Сейчас законопроект находится на финишной прямой — пройдено рассмотрение в Совете федерации, закон направлен на подпись президенту. Вступление закон в силу запланировано на 1 января 2018 г., что оставляет совсем немного времени субъектам КИИ для реализации мероприятия по категорированию и обеспечению безопасности объектов КИИ.

Несмотря на то, что конкретные требования могут несколько запоздать, субъектам КИИ уже сегодня есть чем заняться: необходимо провести инвентаризацию (аудит) своих информационных систем и средств обеспечения их безопасности, чтобы максимально быстро провести категорирование, а также распланировать силы и средства на создание системы обеспечения безопасности объектов КИИ (что может занять месяцы).

Закон о безопасности КИИ: вопросы и ответы

1 января, с наступлением нового 2018 года, в России вступил в действие закон «О безопасности критической информационной инфраструктуры». Начиная с 2013 года, еще на этапе проекта, этот закон бурно обсуждался ИБ-сообществом и вызывал много вопросов относительно практической реализации выдвигаемых им требований. Теперь, когда эти требования вступили в силу и многие компании столкнулись с необходимостью их выполнения, необходимо ответить на самые животрепещущие вопросы.

Для чего нужен этот закон?

Новый Закон предназначен для регулирования деятельности по обеспечению безопасности объектов информационной инфраструктуры РФ, функционирование которых критически важно для экономики государства. Такие объекты в законе называются объектами критической информационной инфраструктуры (КИИ). Согласно документу, к объектам КИИ могут быть отнесены информационные системы и сети, а также автоматизированные системы управления, функционирующие в сфере:

  • здравоохранения;
  • науки;
  • транспорта;
  • связи;
  • энергетики;
  • банковской и иных сферах финансового рынка;
  • топливно-энергетического комплекса;
  • атомной энергии;
  • оборонной и ракетно-космической промышленности;
  • горнодобывающей, металлургической и химической промышленности.

Объекты КИИ, а также сети электросвязи, используемые для организации взаимодействия между ними, составляют понятие критической информационной инфраструктуры.

Что является целью закона № 187-ФЗ и как он должен работать?

Главной целью обеспечения безопасности КИИ является устойчивое функционирование КИИ, в том числе при проведении в отношении нее компьютерных атак. Главным принципом обеспечения безопасности является предотвращение компьютерных атак.

КИИ или КСИИ?

До появления нового закона о КИИ в сфере ИБ существовало похожее понятие «ключевые системы информационной инфраструктуры» (КСИИ). Однако с 1 января 2018 года понятие КСИИ было официально заменено на понятие «значимые объекты КИИ».

Какие организации попадают в сферу действия этого закона?

Требования закона о безопасности КИИ затрагивают те организации (государственные органы и учреждения, юридические лица и индивидуальных предпринимателей), которым принадлежат (на праве собственности, аренды или ином законном основании) объекты КИИ или которые обеспечивают их взаимодействие. Такие организации в законе называются субъектами КИИ.

Какие действия должны предпринять субъекты КИИ для выполнения закона?

Согласно документу, субъекты КИИ должны:

  • провести категорирование объектов КИИ;
  • обеспечить интеграцию (встраивание) в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА);
  • принять организационные и технические меры по обеспечению безопасности объектов КИИ.

Что в себя включает категорирование объектов КИИ?

Категорирование объекта КИИ предполагает определение его категории значимости на основе ряда критериев и показателей. Всего устанавливается три категории: первая, вторая или третья. Если объект КИИ не соответствует ни одному из установленных критериев, ему не присваивается ни одна из категорий. Те объекты КИИ, которым была присвоена одна из категорий, называются в законе значимыми объектами КИИ.

По завершению категорирования сведения о его результатах должны направляться субъектом КИИ во ФСТЭК для ведения реестра значимых объектов КИИ. В реестр включается следующая информация:

  • наименование значимого объекта КИИ;
  • наименование субъекта КИИ;
  • сведения о взаимодействии значимого объекта КИИ и сетей электросвязи;
  • сведения о лице, эксплуатирующем значимый объект КИИ;
  • присвоенная категория значимости;
  • сведения о программных и программно-аппаратных средствах, используемых на значимом объекте КИИ;
  • меры, применяемые для обеспечения безопасности значимого объекта КИИ.

Важно отметить, что если в процессе категорирования было определено отсутствие категории значимости у объекта КИИ, результаты категорирования все равно должны быть представлены во ФСТЭК. Регулятор проверяет представленные материалы и при необходимости направляет замечания, которые должен учесть субъект КИИ. Если субъект КИИ не предоставит данные о категорировании, ФСТЭК вправе потребовать эту информацию.

Порядок ведения реестра значимых объектов КИИ будет определен соответствующим приказом, проект которого уже опубликован.

Как проводить категорирование объектов КИИ?

Показатели критериев значимости, порядок и сроки категорирования будут определяться соответствующим постановлением правительства, проект которого также уже подготовлен. В соответствии с текущей версией документа, процедура категорирования включает в себя:

  • определение всех процессов, выполняемых субъектом КИИ в рамках своей деятельности;
  • выявление критических процессов, нарушение или прекращение которых может привести к негативным последствиям в масштабах страны;
  • определение перечня объектов КИИ, подлежащих категорированию, — данный этап должен быть выполнен в течение 6 месяцев со дня вступления постановления правительства в силу;
  • оценку показателей критериев значимости в соответствии с установленными значениями — всего проектом постановления правительства предусматривается 14 показателей, определяющих социальную, политическую, экономическую значимость объекта КИИ и его значимость для обеспечения обороны страны, безопасности государства и правопорядка;
  • установление соответствия объектов КИИ значениям показателей и присвоение каждому из них одной из категорий значимости либо принятие решения об отсутствии необходимости присвоения им одной из категорий значимости.

Категорирование должно проводиться как для существующих, так и для создаваемых или модернизируемых объектов КИИ специальной комиссией из работников субъекта КИИ. Решение комиссии оформляется соответствующим актом и в течение 10 дней после его утверждения сведения о результатах категорирования должны быть направлены во ФСТЭК. Максимальный срок категорирования объектов КИИ — 1 год со дня утверждения субъектом КИИ перечня объектов КИИ.

Этот порядок является предварительным и должен быть уточнен после утверждения соответствующего постановления правительства.

Что такое ГосСОПКА и для чего она нужна?

ГосСОПКА представляет собой единый территориально распределенный комплекс, включающий силы и программно-технические средства обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее — силы и средства ОПЛ КА).

К силам ОПЛ КА относятся:

  • уполномоченные подразделения ФСБ;
  • национальный координационный центр по компьютерным инцидентам, который создается ФСБ для координации деятельности субъектов КИИ по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных инцидентов;
  • подразделения и должностные лица субъектов КИИ, которые принимают участие в обнаружении и предупреждении компьютерных инцидентов.

ГосСОПКА предназначена для обеспечения и контроля безопасности КИИ в России и дипломатических представительствах страны за рубежом.

В данной системе должна собираться и агрегироваться вся информация о компьютерных атаках и инцидентах, получаемая от субъектов КИИ. Перечень информации и порядок ее предоставления в ГосСОПКА будет определен соответствующим приказом, проект которого был представлен на общественное обсуждение. Согласно текущей версии документа, срок предоставления информации о кибератаке составляет 24 часа с момента обнаружения. Кроме того, в рамках ГосСОПКА организуется обмен информацией о компьютерных атаках между всеми субъектами КИИ и международными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты.

Технически ГосСОПКА будет представлять собой распределенную систему из центров ГосСОПКА, развернутых субъектами КИИ, объединенных в иерархическую структуру по ведомственно-территориальному признаку и подключенных к ним технических средств (средств ОПЛ КА), установленных в конкретных объектах КИИ. При этом центры ГосСОПКА могут быть ведомственными, то есть организованными государственными органами, и корпоративными — построенными государственными и частными корпорациями, операторами связи и другими организациями-лицензиатами в области защиты информации.

Кто является собственником ГосСОПКА?

Для ГосСОПКА не предусматривается единый собственник: каждый из центров ГосСОПКА будет принадлежать отдельному владельцу, вложившему свои средства в его построение. Государство будет выступать только в качестве регулятора и координатора.

Что подразумевается под интеграцией с ГосСОПКА?

Интеграция в ГосСОПКА требует от субъекта КИИ:

  • информировать о компьютерных инцидентах ФСБ, а также ЦБ, если организация осуществляет деятельность в банковской сфере и иных сферах финансового рынка;
  • оказывать содействие ФСБ в обнаружении, предупреждении и ликвидации последствий компьютерных атак, установлении причин и условий возникновения компьютерных инцидентов.

Кроме того, по решению субъекта КИИ на территории объекта КИИ может быть размещено оборудование ГосСОПКА. В этом случае субъект дополнительно обеспечивает его сохранность и бесперебойную работу. Иными словами, субъектом КИИ может быть организован собственный центр ГосСОПКА.

Может ли субъект КИИ не создавать собственный центр ГосСОПКА?

Решение о создании собственного центра ГосСОПКА субъект КИИ принимает самостоятельно, то есть создание центра ГосСОПКА не является обязательным — более того, данный шаг должен быть согласован с ФСБ.

Однако для значимых объектов КИИ субъектам КИИ придется реализовать меры по обнаружению и реагированию на компьютерные инциденты. А для этого в любом случае потребуются специальные технические средства и квалифицированный персонал, которые, по сути, и являются составляющими собственного центра ГосСОПКА.

Что требуется для построения собственного центра ГосСОПКА?

Согласно «Методическим рекомендациям по созданию ведомственных и корпоративных центров ГосСОПКА», для построения собственного центра ГосСОПКА необходимо обеспечить функционирование совокупности технических средств и процессов, выполняющих следующий ряд задач:

  • инвентаризация информационных ресурсов;
  • выявление уязвимостей информационных ресурсов;
  • анализ угроз информационной безопасности;
  • повышение квалификации персонала информационных ресурсов;
  • прием сообщений о возможных инцидентах от персонала и пользователей информационных ресурсов;
  • обеспечение процесса обнаружения компьютерных атак;
  • анализ данных о событиях безопасности;
  • регистрация инцидентов;
  • реагирование на инциденты и ликвидация их последствий;
  • установление причин инцидентов;
  • анализ результатов устранения последствий инцидентов.

Для этого в составе технических средств ОПЛ КА могут использоваться:

  • средства обнаружения и предотвращения вторжений, в том числе обнаружения целевых атак;
  • специализированные решения по защите информации для индустриальных сетей и финансового сектора;
  • средства выявления и устранения DDoS-атак;
  • средства сбора, анализа и корреляции событий;
  • средства анализа защищенности;
  • средства антивирусной защиты;
  • средства межсетевого экранирования;
  • средства криптографической защиты информации для защищенного обмена информацией с другими центрами ГосСОПКА.

Технические средства должны быть интегрированы в единый комплекс, управляемый из центра ГосСОПКА и взаимодействующий с другими центрами ГосСОПКА. Помимо технического обеспечения, для создания центра ГосСОПКА необходимо разработать соответствующие методические документы, включающие настройки средств обеспечения ИБ, решающие правила средств обнаружения компьютерных атак, правила корреляции событий, инструкции для персонала и т. п.

Центр ГосСОПКА может быть реализован субъектом КИИ как самостоятельно (с использованием собственных технических и кадровых ресурсов), так и с привлечением сторонних специалистов путем передачи на аутсорсинг части функций, например, анализа угроз информационной безопасности, повышения квалификации персонала, приема сообщений об инцидентах, анализа защищенности и расследования инцидентов.

Что требуется для обеспечения безопасности объектов КИИ?

Для объектов КИИ, не являющихся значимыми, в обязательном порядке должна быть обеспечена только интеграция с ГосСОПКА (канал обмена информацией). Остальные мероприятия по обеспечению безопасности объекта КИИ реализуются по усмотрению субъекта.

Для значимых объектов КИИ помимо интеграции в ГосСОПКА субъекты КИИ должны:

  • создать систему безопасности значимого объекта КИИ — требования ФСТЭК к созданию систем безопасности и мерам защиты значимых объектов КИИ уже подготовлены и находятся на стадии обсуждения и согласования;
  • реагировать на компьютерные инциденты — порядок реагирования на компьютерные инциденты должен быть подготовлен ФСБ до конца апреля текущего года;
  • предоставлять на объект КИИ беспрепятственный доступ регуляторам и выполнять их предписания по результатам проверок (законом предусматриваются как плановые, так и внеплановые проверки).

Система безопасности значимого объекта КИИ представляет собой комплекс организационных и технических мер. Порядок создания системы и требования к принимаемым мерам безопасности будут определяться ФСТЭК. Согласно подготовленному проекту приказа этого ведомства, состав мер по обеспечению безопасности значимого объекта КИИ будет определяться по результатам его категорирования с возможностью адаптации и дополнения набора мер защиты с учетом специфики объекта КИИ.

Кто контролирует выполнение требований закона о безопасности КИИ?

Основные функции контроля в области обеспечения безопасности объектов КИИ, включая нормативно-правовое регулирование, возложены на ФСТЭК и ФСБ. ФСТЭК отвечает за ведение реестра значимых объектов КИИ, формирование и контроль реализации требований по обеспечению их безопасности. ФСБ обеспечивает регулирование и координацию деятельности субъектов КИИ по развертыванию сил и средств ОПЛ КА, осуществляет сбор информации о компьютерных инцидентах и оценку безопасности КИИ, а также разрабатывает требования к средствам ОПЛ КА.

В отдельных случаях, касающихся сетей электросвязи и субъектов КИИ в банковской и иных сферах финансового рынка, разрабатываемые ФСТЭК и ФСБ требования должны согласовываться с Минкомсвязью ЦБ соответственно.

Порядок госконтроля в области обеспечения безопасности значимых объектов КИИ будет определен соответствующим постановлением правительства, проект которого уже подготовлен.

А если требования этого закона не будут выполнены?

Вместе с утверждением федерального закона от 26.07.2017 № 187-ФЗ «О безопасности КИИ» в российский Уголовный Кодекс была добавлена ст. 274.1, устанавливающая уголовную ответственность должностных лиц субъекта КИИ за несоблюдение принятых правил эксплуатации технических средств объекта КИИ или нарушение порядка доступа к ним вплоть до лишения свободы сроком на 6 лет.

Пока данная статья не предусматривает ответственности за невыполнение необходимых мероприятий по обеспечению безопасности объекта КИИ, однако в случае наступления последствий (аварий и чрезвычайных ситуаций, повлекших за собой крупный ущерб) непринятие таких мер подпадает под ст. 293 УК РФ «Халатность». Дополнительно следует ожидать изменений в административном законодательстве в области определения штрафных санкций для юридических лиц за неисполнение закона о безопасности КИИ. С большой долей уверенности можно говорить о том, что именно введение существенных денежных штрафов будет стимулировать субъекты КИИ к выполнению требований обсуждаемого закона. [ics-cert.kaspersky.ru]

Редакция благодарит «Лабораторию Касперского» за разрешение на перепечатку статьи.


Смотрите также