Здравствуйте, в этой статье мы постараемся ответить на вопрос: «План мероприятий по обеспечению безопасности значимых объектов кии». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.
Что делать |
Сроки проведения |
Составить перечень ИС, АСУ, ИТС организации с определением сферы функционирования каждой ИС, АСУ, ИТ |
До начала категорирования объектов КИИ |
Результаты |
Кто проводит (организует) |
|
Руководство, подразделение ИБ, подразделение ИТ, специалисты-технологи |
Ссылка на НПА, НМД |
|
87-ФЗ, ст. 2, п. 7, 8 |
Примечание
Если в перечне есть хотя бы одна ИС, АСУ или ИТС, функционирующая в одной из следующих сфер:
- здравоохранения;
- науки;
- транспорта;
- связи;
- энергетики;
- банковской сфере и иных сферах финансового рынка;
- топливно-энергетического комплекса;
- в области атомной энергии;
- оборонной промышленности;
- ракетно-космической промышленности;
- горнодобывающей промышленности;
- металлургической промышленности;
- химической промышленности — или обеспечивающая взаимодействие таких ИС, АСУ или ИТС, то эта ИС, АСУ или ИТС является объектом КИИ, а следовательно, организация является субъектом КИИ.
Подсказки по выполнению 187-ФЗ. План действий
Что делать |
Сроки проведения |
Разработать и утвердить приказ (распоряжение) о создании комиссии по категорированию объектов КИИ |
– |
Результаты |
Кто проводит (организует) |
Распоряжение о создании комиссии по категорированию объектов КИИ |
Руководитель организации |
Ссылка на НПА, НМД |
|
ПП № 127, п. 11 |
Примечание
В состав комиссии включаются:
- руководитель (или уполномоченное руководителем лицо);
- работники — специалисты в области осуществляемых видов деятельности;
- работники — специалисты в области информационных технологий;
- работники — специалисты по эксплуатации основного технологического (производственного) оборудования;
- работники — специалисты в области промышленной безопасности;
- работники — специалисты по обеспечению информационной безопасности;
- работники — специалисты по защите государственной тайны (в случае обработки на объекте КИИ информации, составляющей государственную тайну);
- работники структурного подразделения по гражданской обороне и защите от чрезвычайных ситуаций.
В состав комиссии могут быть включены (по согласованию с соответствующими госорганами и организациями) представители госорганов или организаций в установленной сфере деятельности.
В состав комиссии могут быть включены работники других подразделений, в том числе финансово-экономического подразделения.
Если субъект КИИ имеет филиалы, то в этих филиалах могут создаваться отдельные комиссии, координацию деятельности которых осуществляет комиссия по категорированию субъекта КИИ.
Что делать |
Сроки проведения |
|
До 01.09.2019¹ |
Кто проводит (организует) |
|
Комиссия по категорированию объектов КИИ |
|
Ссылка на НПА, НМД |
|
ПП № 127, п. 5 (г), п. 14 (в, г), п. 15 |
|
Результаты |
|
Перечень объектов КИИ, подлежащих категорированию (определению категории значимости) |
Примечание
Перечень объектов КИИ, подлежащих категорированию, должен содержать следующую информацию:
- наименование субъекта КИИ;
- наименование объекта КИИ;
- указание на сферу (область) деятельности, в которой функционирует объект;
- адрес размещения объекта КИИ;
- ориентировочный срок категорирования.
План мероприятий по выполнению требований закона № 187–ФЗ
Что делать |
Сроки проведения |
Подготовить и направить во ФСТЭК России сведения о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий |
В течение 10 рабочих дней после утверждения акта категорирования объекта КИИ |
Результаты |
Кто проводит (организует) |
Сведения о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий (отдельно для каждого объекта КИИ) |
Комиссия по категорированию объектов КИИ |
Ссылка на НПА, НМД |
|
ПП № 127, п. 17, приказ ФСТЭК России № 236 |
Что делать |
Сроки проведения |
Разработать и утвердить руководителем организации регламент информирования ФСБ России (НКЦКИ) о компьютерных инцидентах |
С момента определения организации как субъекта КИИ |
Результаты |
Кто проводит (организует) |
|
Подразделение (ответственный) ИБ организации, лицензиат (ТЗКИ) ФСТЭК России 2 |
Ссылка на НПА, НМД |
|
187-ФЗ (ст. 9, ч. 2, п. 1), приказ ФСБ России № 367 |
Согласно Требованиям, к силам обеспечения безопасности ЗО КИИ относятся:
- подразделения (работники) субъекта КИИ, ответственные за обеспечение безопасности ЗО КИИ;
- подразделения (работники), эксплуатирующие и обеспечивающие функционирование (сопровождение, обслуживание, ремонт) ЗО КИИ;
- иные подразделения (работники), участвующие в обеспечении безопасности ЗО КИИ.
Ответственным за организацию и работу сил обеспечения безопасности ЗО КИИ является руководитель субъекта КИИ (или лицо, им уполномоченное). Он определяет состав, структуру и функциональные обязанности таких сил, в частности, создаёт или определяет структурное подразделение, ответственное за обеспечение безопасности ЗО КИИ или назначает отдельных работников для решения соответствующих задач.
Структурное подразделение по безопасности, специалисты по безопасности должны:
- обеспечивать безопасность ЗО КИИ в соответствии с предъявленными к данному объекту требованиями[1]: реализовывать соответствующие организационные меры, применять средства защиты информации;
- анализировать угрозы безопасности информации и выявлять уязвимости в ЗО КИИ;
- осуществлять реагирование на компьютерные инциденты в ЗО КИИ;
- организовывать проведение оценки соответствия ЗО КИИ требованиям по безопасности;
- готовить предложения по повышению уровня безопасности ЗО КИИ, совершенствованию функционирования соответствующих систем безопасности и организационно-распорядительных документов.
Для выполнения перечисленных функций субъектами КИИ могут привлекаться организации-лицензиаты ФСТЭК России.
Возложение на силы обеспечения безопасности ЗО КИИ функций и задач, не связанных с их непосредственной деятельностью, не допускается.
При необходимости по решению руководителя субъекта КИИ (уполномоченного лица) силы обеспечения безопасности ЗО КИИ могут быть созданы в обособленных подразделениях (филиалах, представительствах, дочерних организациях) субъекта КИИ, в которых эксплуатируются соответствующие объекты.
Обеспечение безопасности КИИ. Что год текущий нам готовит…
Статья 13.12.1 состоит из пяти пунктов:
- Нарушение порядка категорирования объектов КИИ (за исключением случаев, предусмотренных частью 1 статьи 19.7.15): административный штраф для должностных лиц — 10-50 тыс. руб.; для юридических лиц — 50-100 тыс. руб., уполномоченное ведомство — ФСТЭК России.
- Нарушение требований к созданию и обеспечению функционирования систем безопасности ЗО КИИ (если нет признаков уголовно наказуемого деяния): административный штраф для должностных лиц — 10-40 тыс. руб.; для юридических лиц — 50-100 тыс. руб., уполномоченное ведомство — ФСТЭК России.
- Нарушение требований по обеспечению безопасности ЗО КИИ (если нет признаков уголовно наказуемого деяния): административный штраф для должностных лиц — 10-50 тыс. руб.; для юридических лиц — 50-100 тыс. руб., уполномоченное ведомство — ФСТЭК России.
- Нарушение порядка информирования и реагирования на компьютерные инциденты, принятия мер по ликвидации последствий компьютерных атак на ЗО КИИ: административный штраф для должностных лиц — 10-50 тыс. руб.; для юридических лиц — 150-200 тыс. руб., уполномоченное ведомство — ФСБ России.
- Нарушение порядка обмена информацией о компьютерных инцидентах между субъектами КИИ (в том числе — с иностранными и международными организациями): административный штраф для должностных лиц — 20-50 тыс. руб.; для юридических лиц — 150-200 тыс. руб., уполномоченное ведомство — ФСБ России.
Статья 19.7.15 состоит из двух пунктов:
- Непредоставление или нарушение сроков представления во ФСТЭК России сведений о результатах категорирования: административный штраф для должностных лиц — 10-50 тыс. руб.; для юридических лиц — 50-100 тыс. руб., уполномоченное ведомство — ФСТЭК России;
- непредставление или нарушение порядка либо сроков представления в систему ГосСОПКА: административный штраф для должностных лиц — 10-50 тыс. руб.; для юридических лиц — 100-500 тыс. руб., уполномоченное ведомство — ФСБ России.
Предлагаемые размеры штрафов позволяют сделать вывод, что утаивание информации об инцидентах и попытки сделать вид, что «ничего не было!» регуляторы считают более тяжкими административными правонарушениями, чем ошибки при реализации требований нормативных документов по обеспечению безопасности КИИ.
Предполагаемый срок введения в действие нового КоАП — конец I-го — начало II-го полугодия 2021 года.
Уполномоченным федеральным органом, осуществляющим государственный контроль обеспечения безопасности КИИ, является ФСТЭК России и её территориальные органы.
Цель государственного контроля — проверка соблюдения субъектами КИИ положений нормативных документов по обеспечению безопасности КИИ.
Государственный контроль осуществляется путем проведения плановых и внеплановых выездных проверок, осуществляемых комиссиями в составе не менее двух сотрудников ФСТЭК России в случае плановых проверок и одним сотрудником данной службы в случае внеплановой проверки.
ФСТЭК России формирует ежегодный план, который должен быть утверждён до 20 декабря года, предшествующего году проведения плановых проверок. Основаниями для осуществления плановой проверки являются истечение 3 лет со дня:
- внесения сведений об объекте КИИ в реестр ЗО КИИ;
- окончания осуществления последней плановой проверки в отношении ЗО КИИ.
Таким образом, в 2021-м году плановые проверки могут быть проведены на ЗО КИИ, информация о присвоении категории значимости которым была внесена в реестр ЗО КИИ в 2018-м году.
Субъект КИИ уведомляется о проведении плановой проверки не менее, чем за 3 рабочих дня до начала ее проведения, любым доступным способом, обеспечивающим возможность подтверждения факта такого уведомления.
Документы по обеспечению безопасности критической информационной инфраструктуры
Начать рассмотрение законопроекта логично с основного объекта регулирования законопроекта о безопасности КИИ — объекта критической информационной инфраструктуры. В соответствии со статьей 2 законопроекта, под объектом КИИ понимаются информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры. В той же статье приводится определение субъекта КИИ, где раскрывается более полно, что информационными системами, информационно телекоммуникационными сетями и автоматизированными системами управления субъектов КИИ являются системы, функционирующие в одной из следующих сфер: здравоохранение, наука, транспорт, связь, энергетика, банковская сфера и иные сферы финансового рынка, топливно-энергетический комплекс, атомная энергия, оборона, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленности.
Стоит отметить, что за время рассмотрения законопроекта в Госдуме перечень потенциальных сфер объектов КИИ видоизменился: были исключены информационные системы государственных органов, уточнен «непромышленный» блок за счет добавления банков в перечень сфер финансового рынка (в предыдущей редакции фигурировала финансово-кредитная сфера в целом, здесь же явно выделены банки как потенциальные субъекты КИИ и Центральный банк как один из регуляторов). Кроме того, в сферу регулирования законопроекта попадают и сети электросвязи, которые обеспечивают взаимодействие объектов КИИ между собой (сами сети электросвязи при этом не являются объектом КИИ, но являются составной частью КИИ).
Подмножеством всех объектов КИИ являются значимые объекты КИИ — те объекты КИИ, которым была присвоена одна из категорий значимости в результате процесса категорирования, о котором ниже.
Сам текст законопроекта не содержит четких указаний, что именно считать объектом КИИ, следовательно, придётся ждать разработки соответствующих подзаконных актов. Скорее всего, система критериев будет представлена в документе, определяющем порядок категорирования объектов КИИ.
Основным субъектами законопроекта о безопасности КИИ являются сами субъекты КИИ, к которым, в соответствии со статьей 2 законопроекта, относятся: владельцы объекта КИИ (государственные и частные структуры), а также лица или организации, обеспечивающие взаимодействие объектов КИИ между собой (в предыдущей редакции законопроекта вместо этой обтекаемой конструкции было явное указание на операторов связи).
Кроме того, по результатам категорирования объектов КИИ субъект КИИ представляет в федеральный орган исполнительной власти (ФОИВ) сведения, в том числе, о лице, эксплуатирующем значимый объект КИИ (по сути — об операторе). Больше нигде в тексте законопроекта данная категория субъекта не упоминается, но внесение такой информации в реестр позволяет предположить, что к этой категории также могут предъявляться определенные требования в подзаконных актах. В предыдущей редакции в реестр вносились также сведения о разработчике (проектировщике) объекта КИИ, но в финальном тексте законопроекта они уже не фигурируют (что не исключает возможность их появления в подзаконных актах, устанавливающих форму реестра значимых объектов КИИ).
Отдельно стоит отметить, что в финальной редакции законопроекта не нашлось места таким субъектам, как «организации, имеющие лицензии на осуществление деятельности по технической защите конфиденциальной информации». Ранее указанные организации могли привлекаться субъектом КИИ для проведения категорирования объекта или для реализации мероприятий по обеспечению безопасности объекта КИИ. Наиболее вероятно то, что на момент принятия закона отсутствовала готовность сформулировать точные требования к организациям, которые будут участвовать в процессе обеспечения безопасности объектов КИИ. Например, в редакции 2013 года фигурировали организации, прошедшие аккредитацию во ФСТЭК или ФСБ, которая позволяла им осуществлять деятельность по оценке защищенности объектов КИИ, а обязательным условием аккредитации было наличие лицензии на работу со сведениями, составляющими государственную тайну. В последних же редакциях уже не было ни упоминаний о аккредитации, ни требований наличия лицензии на работу с государственной тайной.
Со стороны государства в процессе обеспечения безопасности КИИ фигурируют:
- президент РФ, который определяет общее направление государственной политики в области безопасности КИИ, назначает ФОИВ, уполномоченный в области обеспечения безопасности КИИ; ФОИВ, уполномоченный в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА); порядок создания и задачи ГосСОПКА;
- правительство РФ, которое определяет критерии и порядок категорирования объектов КИИ, порядок осуществления государственного контроля за безопасностью КИИ и порядок подготовки и использования сетей электросвязи для обеспечения функционирования КИИ;
- ФОИВ, уполномоченный в области обеспечения безопасности КИИ, который отвечает за ведение реестра значимых объектов КИИ, за формирование требований по обеспечению безопасности значимых объектов КИИ и за контроль в области обеспечения безопасности объектов КИИ;
- ФОИВ, уполномоченный в области обеспечения функционирования ГосСОПКА, который обеспечивает создание ГосСОПКА, в том числе, подключение к системе объектов КИИ, реализацию всего жизненного цикла компьютерных инцидентов ГосСОПКА (порядок обнаружения и уведомления, ликвидация последствий, обмен информацией между субъектами КИИ), а также контроль в области обеспечения безопасности объектов КИИ — ФСБ (согласно Указу Президента РФ «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации» именно на ФСБ возложена задача создания ГосСОПКА, а также обеспечения её функционирования);
- ФОИВ, осуществляющий функции по выработке и реализации государственной политики и нормативно-правовому регулированию в области связи, который совместно с предыдущим ФОИВ определяет технические условия по установке и порядок эксплуатации средств ГосСОПКА в сетях электросвязи — Минкомсвязь.
ФОИВ, уполномоченный в области обеспечения безопасности КИИ, формально в настоящее время не определен. Официальное его назначение должно произойти через полгода после принятия закона о безопасности КИИ, когда выйдет выйти соответствующий Указ Президента РФ. Однако с высокой степенью уверенности можно сказать, что этим ФОИВ будет ФСТЭК. В соответствии с Указом Президента РФ «Вопросы Федеральной службы по техническому и экспортному контролю» одной из задач ФСТЭК является «обеспечение в пределах своей компетенции безопасности информации в ключевых системах информационной инфраструктуры», в частности ведение реестра ключевых систем информационной инфраструктуры (КСИИ), так что реестр значимых объектов КИИ может быть некоторой реинкарнацией реестра КСИИ.
Принятый законопроект и будущие подзаконные акты определяют ряд мероприятий, которые необходимо будет реализовывать субъектам законопроекта, в том числе и субъектам КИИ. Наиболее важные мероприятия для субъектов КИИ:
- категорирование объектов КИИ;
- интеграция с ГосСОПКА;
- создание системы обеспечения безопасности объектов КИИ.
Законопроект о безопасности КИИ был принят вместе с законопроектами-спутниками.
Как уже упоминалось выше, законопроект о безопасности КИИ был принят вместе с законопроектами-спутниками «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» и «О внесении изменений в Уголовный кодекс Российской Федерации и статью 151 Уголовно-процессуального кодекса Российской Федерации в связи с принятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации».
Первый законопроект-спутник вносит изменения в три федеральных закона: в закон «О государственной тайне», в закон «О связи» и в закон «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».
В законе «О государственной тайне» расширен перечень сведений, составляющих гостайну: теперь к ним относятся сведения «о мерах по обеспечению безопасности критической информационной инфраструктуры РФ и о состоянии ее защищенности от компьютерных атак». Приведенная в законопроекте формулировка допускает очень широкую трактовку — по сути, даже инструкция администратора безопасности какого-либо средства защиты информации объекта КИИ (не обязательно значимого объекта КИИ!) может быть отнесена к информации, составляющей гостайну. Остается надеяться, что речь все же идет о консолидированной информации, содержащейся в реестре значимых объектов КИИ и ГосСОПКА.
В законе «О связи» отражён тот факт, что подготовка и использование сетей электросвязи для нужд функционирования значимых объектов КИИ будет регулироваться отдельным Постановлением Правительства РФ. Также добавлена обязанность оператора связи обеспечивать утвержденный порядок установки и эксплуатации средств ГосСОПКА, если они устанавливаются в сети электросвязи оператора связи.
В законе «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» отражено, что контроль в области обеспечения безопасности значимых объектов КИИ выводится из-под действия этого федерального закона.
Второй законопроект-спутник вносит изменения в УК РФ и УПК РФ с целью определения ответственности и порядка расследования нарушений, связанных с объектами КИИ.
В УК РФ добавляется новая статья по «компьютерным» преступлениям — 274.1, которая повторяет статьи 272, 273 и 274, но в отношении объектов КИИ. Соответствующие правонарушения в отношении объектов КИИ караются строже, чем в отношении традиционных компьютерных систем: наиболее тяжкие преступления наказываются лишением свободы сроком до 10 лет. Отдельно необходимо остановиться на пункте 3 статьи 274.1, аналогичном статье 274 — «нарушение правил эксплуатации…». Правонарушение по этому пункту может быть адресовано субъекту КИИ, если он не выполнил необходимые мероприятия по обеспечению безопасности объекта КИИ, что повлекло причинение вреда объекту КИИ. Такому нерадивому субъекту КИИ может грозить лишение свободы сроком до 6 лет.
Также стоит отметить, что среди отклоненных поправок к законопроекту была более мягкая редакция названного пункта — в ней речь шла про неоднократное умышленное нарушение, а выявленное впервые нарушение правил эксплуатации предлагалось считать административным проступком, а не уголовным.
Следствие по уголовным делам по этим статьям передаётся в ведение ФСБ.
Изменение УПК РФ определяет подследственность уголовных дел по статьям 272, 273, 274 и 274.1. Теперь следствие по уголовным делам, попадающим под перечисленные статьи, передаётся в ведение ФСБ.
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
Вступление закона в силу запланировано на 1 января 2018 года.
Сейчас законопроект находится на финишной прямой — пройдено рассмотрение в Совете федерации, закон направлен на подпись президенту. Вступление закон в силу запланировано на 1 января 2018 г., что оставляет совсем немного времени субъектам КИИ для реализации мероприятия по категорированию и обеспечению безопасности объектов КИИ.
Несмотря на то, что конкретные требования могут несколько запоздать, субъектам КИИ уже сегодня есть чем заняться: необходимо провести инвентаризацию (аудит) своих информационных систем и средств обеспечения их безопасности, чтобы максимально быстро провести категорирование, а также распланировать силы и средства на создание системы обеспечения безопасности объектов КИИ (что может занять месяцы).
Еще год назад, когда речь шла о безопасности критически важных объектов, на ум приходила защита промышленных объектов, например гидроэлектростанций, и 31-й Приказ ФСТЭК России. Ситуация изменилась — на самом высшем государственном уровне было решено, что если, например, кибератака остановит на неделю работу крупного банка, то ущерб для людей будет, мягко говоря, значительным. С 1 января 2018 года вступил в силу Федеральный закон №187 от 26.07.2017 г. «О безопасности КИИ РФ», вводящий понятие критической информационной инфраструктуры. Кто сегодня подпадает под его действие и какие меры необходимо предпринять для обеспечения безопасности в соответствии с новыми требованиями — расскажем в статье.
Согласно закона «О безопасности КИИ РФ», субъекты КИИ — это государственные органы и учреждения, коммерческие компании или ИП, которым на законных основаниях (например, на правах собственности или аренды) принадлежат информационные системы (ИС), информационно-телекоммуникационные сети (ИТКС) и автоматизированные системы управления (АСУ), использующиеся в определенных сферах деятельности. Эти ИС, ИТКС и АСУ закон называет объектами КИИ, а их совокупность составляет критическую информационную инфраструктуру Российской Федерации. Под ее безопасностью подразумевается состояние защищенности, обеспечивающее устойчивое функционирование при проведении компьютерных атак, а функции контроля за исполнением закона возложены на ФСТЭК России указом Президента РФ №569 от 25 ноября 2017 г. «О внесении изменений в Положение о Федеральной службе по техническому и экспортному контролю, утвержденное Указом Президента Российской Федерации от 16 августа 2004 г. № 1085».
Под требования законодательства о безопасности КИИ подпадают субъекты, работающие в сфере атомной, ракетно-космической, горнодобывающей, металлургической, химической и оборонной промышленности, здравоохранения, науки, энергетики, транспорта и связи. Субъектами КИИ также являются предприятия топливно-энергетического комплекса и организации из банковской и финансовой сферы.
Чтобы понять, нужно ли вам позаботиться о защите объектов КИИ, придется проверить коды ОКВЭД, уставные документы и выданные на соответствующие виды деятельности лицензии. Если по формальным признакам организация не относится к указанным в ФЗ-187 отраслям, расслабляться не стоит — необходимо проанализировать бизнес-процессы и информационные системы (ИС, ИТКС и АСУ), работающие в регулируемых отраслях.
В первую очередь субъектам необходимо сформировать перечень объектов КИИ и провести их категорирование. Для этого создается специальная комиссия, утверждаемая приказом — в нем обязательно указывается состав комиссии, план мероприятий со сроками исполнения, а также ответственный за взаимодействие со ФСТЭК России (туда отправляется перечень объектов). Необходимо определить выполняемые субъектом КИИ управленческие, производственные, финансовые процессы и выявить среди них критические, нарушение или прекращение которых может привести к масштабным негативным последствиям. Затем нужно выявить объекты КИИ, относящиеся к критическим процессам, составить перечень подлежащих категорированию и передать его ФСТЭК в течение 5 дней с момента утверждения. Согласно решению №59 Коллегии ФСТЭК России от 24.04.2018, сделать это нужно было до 1 августа 2018 года.
от 25 декабря 2017 г. N 239
Критерии значимости рассмотрены в постановлении Правительства РФ №127 от 08.02.2018 «Об утверждении Правил категорирования объектов КИИ РФ, а также перечня показателей критериев значимости объектов КИИ РФ и их значений». Критериев всего пять: социальный, политический, экономический, экологический, а также обеспечение обороноспособности, безопасности государства и правопорядка. В каждом критерии выделяется четыре категории: первая (высшая), вторая, третья и самая низшая — без значимости. Последняя применяется, если показатели значимости ниже, чем в третьей категории.
Первое, что нужно сделать, проанализировать уязвимости и смоделировать действия злоумышленников, которые могут привести к возникновению компьютерных инцидентов на объектах КИИ. В результате формируется модель угроз и модель нарушителя. После этого необходимо оценить показатели критериев значимости, установить соответствие объектов КИИ значениям этих показателей и присвоить каждому из объектов одну из категорий значимости (либо принять решения об отсутствии необходимости в присвоении категории).
Показатели значимости подробно расписаны все в том же 127-м постановлении правительства. Если взять, к примеру, социальный критерий, можно говорить об ущербе для жизни и здоровья людей. Третья категория присваивается, если в результате инцидента пострадает один и более человек, а первая — если есть риски для более чем 500 человек. Следующий показатель социального критерия — нарушение или прекращение функционирования объектов обеспечения жизнедеятельности населения. Это системы водоснабжения, канализации, теплоснабжения, очистки сточных вод и электроснабжения. Тут категории присваиваются по площади, на которой возникают нарушения. Третья категория — муниципальные образования, а первая присваивается, если происходит выход за пределы субъекта федерации.
Социальный критерий оценивается еще по нескольким показателям: транспорт, сети связи и доступ к государственным услугам. С другими критериями ситуация аналогичная — есть множество показателей, и по каждому из них мы оцениваем категории в соответствии со степенью возможного ущерба: количеству пострадавших, затронутым инцидентом территориям, времени недоступности услуг, снижению дохода, уровню вредного воздействия на окружающую среду и т. д. По результатам составляются акты категорирования объектов КИИ, которые необходимо направить в ФСТЭК в течение 10 дней после подписания (приказ ФСТЭК России №236 от 22.12.2017 «Об утверждении формы направления сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий»). Категорирование объектов КИИ нужно закончить до 1 января 2019 года.
Оценивая объекты КИИ, выгодно делать их разбивку: если у вас есть один большой объект с множеством критичных систем и разными критериями значимости, для него будет установлена максимальная из всех возможных категория значимости. Если такой объект можно разбить на несколько более мелких, то у них могут быть разные (в том числе и более низкие) категории значимости в соответствии с определенными постановлением правительства критериями и показателями. Такой подход выгоден, поскольку для менее значимых объектов меры по защите будут проще и дешевле.
Перечень организационных и технических мер по обеспечению безопасности для значимых объектов КИИ есть в приказе ФСТЭК России №239 от 25.12.2017 «Об утверждении Требований по обеспечению безопасности значимых объектов КИИ РФ». Требования очень серьезные и защита значимых объектов КИИ должна им соответствовать, но для не значимых объектов такие меры не нужны.
Перечень организационных и технических мер по защите значимых объектов КИИ:
- Идентификация и аутентификация (ИАФ);
- Управление доступом (УПД);
- Ограничение программой среды (ОПС);
- Защита машинных носителей информации (ЗНИ);
- Аудит безопасности (АУД);
- Антивирусная защита (АВЗ);
- Предотвращение вторжений (компьютерных атак) (СОВ);
- Обеспечение целостности (ОЦЛ);
- Обеспечение доступности (ОДТ);
- Защита технических средств и систем (ЗТС);
- Защита информационной (автоматизированной) системы и её компонентов (ЗИС);
- Реагирование на компьютерные инциденты (ИНЦ);
- Управление конфигурацией (УКФ);
- Управление обновлениями программного обеспечения (ОПО);
- Планирование мероприятий по обеспечению безопасности (ПЛН);
- Обеспечение действий в нештатных ситуациях (ДНС);
- Информирование и обучение персонала (ИПО).
Нелишне будет ознакомиться и с приказом ФСТЭК России №235 от 21.12.2017 «Об утверждении Требований к созданию систем безопасности значимых объектов КИИ РФ и обеспечению их функционирования». Здесь, в частности, перечислены средства обеспечения безопасности:
- СрЗИ от несанкционированного доступа (включая встроенные в общесистемное, прикладное программное обеспечение);
- межсетевые экраны;
- средства обнаружения (предотвращения) вторжений (компьютерных атак);
- средства антивирусной защиты;
- средства (системы) контроля (анализа) защищенности;
- средства управления событиями безопасности;
- средства защиты каналов передачи данных.
Все они должны быть сертифицированы на соответствие требованиям по безопасности или пройти оценку соответствия в форме испытаний или приемки в соответствии с Федеральным законом от 27.12.2002 г. № 184-ФЗ «О техническом регулировании».
Все субъекты КИИ должны подключиться к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), даже если у них нет значимых объектов КИИ. В главный центр ГосСОПКА в обязательном порядке будут передаваться данные о связанных с информационной безопасностью инцидентах на объектах КИИ — подчеркиваем, здесь речь идет обо всех объектах, а не только о значимых. Регулирующая процесс законодательная и нормативная база еще не до конца разработана, однако не так давно приказом ФСБ РФ от 24.07.2018 № 366 «О Национальном координационном центре по компьютерным инцидентам» была учреждена новая структура. НКЦКИ будет координировать мероприятия по реагированию на инциденты, осуществлять обмен информацией об атаках между субъектами КИИ и другими организациями, а также займется методическим обеспечением. Центр будет получать от субъектов КИИ и других организаций данные для передачи в ГосСОПКА, в его задачи также войдет определение форматов обмена информацией и технических параметров компьютерного инцидента, передаваемых в ГосСОПКА.
Самый первый вопрос, на который необходимо ответить: является ли ваша организация субъектом КИИ. Для этого регулятор (ФСТЭК России) рекомендует осуществить поиск указанных в тексте закона тринадцати видов деятельности в уставах, ОКВЭД, лицензиях организации. Если ваше предприятие соответствует данному критерию, необходимо приступать к категорированию объектов.
В соответствии с требованиями закона, предприятия и организации должны провести категорирование своих объектов КИИ и уведомить о результатах ФСТЭК России. Рекомендуемый срок — январь 2019 года. Однако в настоящее время многие организации либо еще не начали категорирование своих объектов, либо находятся в самом начале пути.
Без категорирования объектов КИИ невозможно определить необходимые технические и организационные меры защиты. Именно от результатов категорирования зависят дальнейшие объемы работ в области информационной безопасности.
В случае расследований инцидентов ИБ возможна ситуация, когда контролирующие органы установят нарушения в защите объектов КИИ по причине отсутствия категорирования или его занижения. Это может повлечь за собой уголовную ответственность в соответствии с УК РФ (ст. 274.1).
Рекомендация. С целью недопущения негативных последствий, проверьте свое предприятие на предмет соответствия объекту критической информационной инфраструктуры (КИИ).
После качественно проведённого категорирования объектов КИИ субъект КИИ приступает к построению системы обеспечения информационной безопасности КИИ (СОИБ КИИ) в соответствии с результатами категорирования и спецификой самого субъекта КИИ. Построение СОИБ КИИ состоит из:
- Проектирование СОИБ КИИ;
- Внедрение СОИБ КИИ, состоящее из двух параллельных процессов:
- Разработка и ввод в действие внутренней документации устанавливающие подходы, правила обеспечения ИБ в информационной инфраструктуре субъекта КИИ;
- Внедрение технических мер ЗИ.
Система безопасности должна обеспечивать:
Реализация угроз может привести к прекращению или нарушению функционирования значимого объекта и обеспечивающего (управляемого, контролируемого) им процесса, а также нарушению безопасности обрабатываемой информации (нарушению доступности, целостности, конфиденциальности информации). Как следствие – существенные, федерально значимые, последствия для жизни и здоровья людей, экологии, экономики.
При неправомерном отношении или воздействии на значимые объекты КИИ и процессы, СОИБ фиксирует и реагирует на возникшие инциденты и стремится минимизировать последствия угроз безопасности.
Злоумышленники могут нарушить процессы работ КИИ Российской Федерации в организациях, например:
- с использованием вирусных программ для управления SCADA — систем (злоумышленник смог найти уязвимые места в системе безопасности и изменил настройки управления значимого объекта КИИ, что повлекло нарушение работы процессов АСУТП)
- нарушение целостности процессов объектов КИИ (сотрудник внёс изменения в код программного обеспечения значимого объекта КИИ, что повлекло нарушение передачи информации по информационно-телекоммуникационной сети).
Атаки могут совершать не только злоумышленники-хакеры. Разглашение сотрудниками субъектов КИИ сведений об объектах КИИ (даже просто перечень объектов, степень их значимости, последствия для объектов), либо неразрешенное изменение информации в них (отключение антивируса на сервере управления химическим реактором) – приравнивается к атаке.
Важно, что неправомерное воздействие на значимые объекты и процессы влечет за собой уголовную ответственность, содержащаяся в статье 274.1 «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации». Таким образом, атаки на КИИ не только регулируются нормативными документами, но и караются в соответствии с уголовным кодексом.
Новый закон устанавливает штрафы за нарушение требований к созданию систем безопасности значимых объектов КИИ, обеспечению их работы и безопасности в рамках действующих законов и регламентов для должностных лиц — в размере от 10 до 50 тысяч рублей, для юрлиц — от 50 до 100 тысяч рублей.
За нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак должностным лицам грозит такой же штраф, а вот юридическим придется заплатить больше — от 100 до 500 тысяч рублей.
Предусматривается также проведение административного расследования, если после выявления административного правонарушения проводится экспертиза или иные процессуальные действия, требующие значительных временных затрат.
Необходимость в надежной защите КИИ продиктована не только требованиями законодательства. Количество атак на объекты критической инфраструктуры растет с каждым годом. В прошлом году, по данным МИД РФ, самыми популярными мишенями хакеров становились разрабатывающие вакцины институты, сектор госуправления и финансовый сектор, объекты военно-промышленного комплекса, научные предприятия и институты, сфера образования, транспорта и здравоохранения. По данным отчета Kaspersky ICS CERT, в период пандемии COVID-19 доля компьютеров АСУ ТП (промышленных компьютеров), на которых были заблокированы вредоносные объекты, начала расти. Во втором полугодии 2020 года она составила 33,4% в мире и 34,6% в России. Для сравнения, в первом полугодии 2020 года этот показатель находился на уровне 32,6% в мире и 32,2 в России.
Закон о безопасности критической информационной инфраструктуры 187-ФЗ вступил в силу еще с января 2018 года. Его основная цель — защитить IT-системы госорганов, банков, промышленности, оборонных предприятий и других организаций от кибератак. Закон предписывает субъектам КИИ взаимодействовать с ГосСОПКА — государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ. В частности, система должна выявлять уязвимости и угрозы, а также расследовать уже случившиеся атаки на КИИ. Все субъекты КИИ должны быть подключены к ведомственным или корпоративным центрам ГосСОПКА либо создать свой центр ГосСОПКА. Однако в последнем случае это потребует существенных затрат.
При этом многие субъекты КИИ до сих пор испытывают сложности с реализацией положений закона, приказа ФСТЭК N239 и других нормативных актов в области безопасности КИИ.
По данным исследования «Лаборатории Касперского»*, только в 31% крупных компаний в России есть выделенный отдел кибербезопасности и лишь в каждой десятой организации — собственный центр мониторинга и реагирования на киберинциденты (SOC).
Реализацию требований ФЗ-187 для всех субъектов КИИ можно разделить на три этапа.
Первый этап — определить, является ли организация субъектом КИИ. Для этого необходимо проанализировать виды деятельности организации в соответствии с ОКВЭД: есть ли среди них слова «здравоохранение», «наука», «транспорт», «связь», «энергетика», «банк», «финансы», «топливо», «атом», «оборона», «ракетно-космическая», «горнодобывающая», «металлургия», «химическая».
Второй этап — провести категорирование значимых объектов КИИ. Организация создает соответствующую комиссию, определяет объекты категорирования, которым затем присваиваются категории значимости: самая высокая категория — первая, самая низкая — третья.
Третий этап — разработать мероприятия по взаимодействию с ФСБ России. Это относится к субъектам КИИ как с значимыми, так и с незначимыми объектами КИИ, так как организация должна обеспечить соответствие 9 статьи ФЗ-187 (часть 2), в частности, незамедлительно информировать о компьютерных инцидентах федеральные органы исполнительной власти. На этом этапе разрабатывается и утверждается регламент информирования НКЦКИ об инцидентах, также организация подключается к технической инфраструктуре НКЦКИ (при выборе этого способа информирования).
- Изменения Требований по обеспечению безопасности ЗО КИИ (позиция ФСТЭК России)
- Куда направлять Перечень объектов КИИ, подлежащих категорированию?
- Как актуализировать Перечень объектов КИИ, подлежащих категорированию, после его отправки?
- Сколько категорий значимости установлено?
- Какие существуют категории значимости?
- Что такое значимый объект КИИ?
См. подробнее »
Наверх
III. Ограничение программной среды (ОПС)
- Обзор законодательства РФ о критической информационной инфраструктуре
- Часть 1. Категорирование объектов КИИ и обязанности субъектов КИИ
- Общие положения
- Список терминов и определений в области КИИ
- Категорирование объектов КИИ
- Часть 2. Система безопасности значимых объектов КИИ
- Общие положения
- Система безопасности значимых объектов КИИ
- Часть 3. Анализ угроз безопасности информации и защита объектов КИИ
- Анализ угроз безопасности информации значимого объекта КИИ
- Организационные меры защиты значимых объектов КИИ
- Технические меры защиты значимых объектов КИИ
- Часть 4. Меры защиты значимых объектов КИИ и иные аспекты обеспечения безопасности значимых объектов КИИ
- Процессы управления безопасностью значимых объектов КИИ
- Внедрение организационных и технических мер защиты значимых объектов КИИ
- Силы обеспечения безопасности значимых объектов КИИ
- Обеспечение безопасности значимых объектов КИИ в ходе их эксплуатации
- Обеспечение безопасности значимых объектов КИИ при выводе их из эксплуатации
- Государственный контроль в области обеспечения безопасности значимых объектов КИИ
- Ответственность за неправомерное воздействие на КИИ
- Часть 1. Категорирование объектов КИИ и обязанности субъектов КИИ
С 01.01.2018 вступил в силу Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», который предназначен для регулирования деятельности по обеспечению безопасности объектов информационной инфраструктуры РФ, функционирование которых критически важно для экономики государства. Такие объекты в законе называются объектами критической информационной инфраструктуры (КИИ). Согласно законодательству, к объектам КИИ могут быть отнесены информационные системы и сети, а также автоматизированные системы управления, функционирующие в сфере:
- здравоохранения;
- науки;
- транспорта;
- связи;
- энергетики;
- банковской и иных сферах финансового рынка;
- топливно-энергетического комплекса;
- атомной энергии;
- оборонной и ракетно-космической промышленности;
- горнодобывающей, металлургической и химической промышленности.
Объекты КИИ, а также сети электросвязи, используемые для организации взаимодействия между ними, составляют понятие критической информационной инфраструктуры.
Главной целью обеспечения безопасности КИИ является устойчивое функционирование КИИ, в том числе при проведении в отношении нее компьютерных атак. Главным принципом обеспечения безопасности является предотвращение компьютерных атак.
Требования 187-ФЗ затрагивают те организации (государственные органы и учреждения, юридические лица и индивидуальные предприниматели), которым принадлежат (на праве собственности, аренды или ином законном основании) объекты КИИ или которые обеспечивают их взаимодействие. Такие организации называются субъектами КИИ. Согласно законодательству, субъекты КИИ должны провести категорирование объектов КИИ.
Ниже приведен список терминов и их определений, используемых в области регулирования и обеспечения безопасности КИИ:
Автоматизированная обработка информации — Обработка информации с помощью средств вычислительной техники.
Безопасность КИИ — Состояние защищенности критической информационной инфраструктуры, обеспечивающее ее устойчивое функционирование при проведении в отношении ее компьютерных атак.
Значимый объект КИИ — Объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры
Информационная система — Совокупность содержащейся в БД информации и обеспечивающих ее обработку информационных технологий и технических средств.
Информационные технологии — Процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.
Конфиденциальность информации — Обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.
Компьютерная атака — Целенаправленное воздействие программных и (или) программно-аппаратных средств на объекты критической информационной инфраструктуры, сети электросвязи, используемые для организации взаимодействия таких объектов, в целях нарушения и (или) прекращения их функционирования и (или) создания угрозы безопасности обрабатываемой такими объектами информации
Компьютерный инцидент — Факт нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки.
Критическая информационная инфраструктура (КИИ) Объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов.
Материальный носитель информации — Материальный объект, используемый для закрепления и хранения на нем речевой, звуковой или изобразительной информации, в т.ч. в преобразованном виде.
Обработка информации — Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с информацией, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение информации.
Объект КИИ (ОКИИ) — Информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.
Оператор ИС — Гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации ИС, в т.ч. по обработке информации, содержащихся в ее БД. Если иное не установлено федеральными законами, оператором ИС является собственник технических средств, используемых для обработки содержащихся в БД информации, который правомерно пользуется такими БД, или лицо, с которым этот собственник заключил договор об эксплуатации ИС.
Передача информации — Распространение, предоставление или доступ к информации.
Субъект КИИ — Государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.
Техническое средство — Изделие, оборудование, аппаратура или их составные части, функционирование которых основано на законах электротехники, радиотехники и (или) электроники, содержащие электронные компоненты и (или) схемы, которые выполняют одну или несколько следующих функций:
усиление, генерирование, преобразование, переключение и запоминание.
Критические процессы — Управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры, нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка.
Категорирование объектов КИИ осуществляется исходя из:
- социальной значимости, выражающейся в оценке возможного ущерба, причиняемого жизни или здоровью людей, возможности прекращения или нарушения функционирования объектов обеспечения жизнедеятельности населения, транспортной инфраструктуры, сетей связи, а также максимальном времени отсутствия доступа к государственной услуге для получателей такой услуги;
- политической значимости, выражающейся в оценке возможного причинения ущерба интересам Российской Федерации в вопросах внутренней и внешней политики;
- экономической значимости, выражающейся в оценке возможного причинения прямого и косвенного ущерба субъектам критической информационной инфраструктуры и (или) бюджетам Российской Федерации;
- экологической значимости, выражающейся в оценке уровня воздействия на окружающую среду;
- значимости объекта критической информационной инфраструктуры для обеспечения обороны страны, безопасности государства и правопорядка.
В соответствии с п.3 ч.2 ст.7 187-ФЗ устанавливаются три категории значимости объектов КИИ – первая (самая высокая), вторая и третья (самая низкая).
В соответствии с ч.4 п.2 ст.7 187-ФЗ субъект КИИ в соответствии с критериями значимости и показателями их значений, а также порядком осуществления категорирования (127-П ) присваивают одну из категорий значимости принадлежащим им на праве собственности, аренды или ином законном основании объектам КИИ. Если объект КИИ не соответствует критериям значимости, показателям этих критериев и их значениям, ему не присваивается ни одна из таких категорий.
В соответствии с п.3 127-П категорированию подлежат объекты КИИ, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъекта в КИИ.
Определение категорий значимости объектов КИИ осуществляется на основании показателей критериев значимости объектов КИИ и их значений, предусмотренных в перечне показателей критериев значимости объектов КИИ РФ и их значений в 127-П.
В соответствии с п.11 127-П для проведения категорирования решением руководителя субъекта критической информационной инфраструктуры создается комиссия по категорированию.
Комиссия по категорированию в ходе своей работы:
- определяет процессы, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъекта КИИ, в рамках выполнения функций (полномочий) или осуществления видов деятельности субъекта КИИ;
- выявляет наличие критических процессов у субъекта КИИ;
- выявляет объекты КИИ, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов, а также готовит предложения для включения в перечень объектов;
- рассматривает возможные действия нарушителей в отношении объектов КИИ, а также иные источники угроз безопасности информации;
- анализирует угрозы безопасности информации и уязвимости, которые могут привести к возникновению компьютерных инцидентов на объектах КИИ;
- оценивает в соответствии с перечнем показателей критериев значимости масштаб возможных последствий в случае возникновения компьютерных инцидентов на объектах КИИ;
- устанавливает каждому из объектов КИИ одну из категорий значимости либо принимает решение об отсутствии необходимости присвоения им категорий значимости.
ФСТЭК России является Федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры (КИИ) РФ. ФСБ России является Федеральным органом исполнительной власти, уполномоченным в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ.
ФСТЭК России осуществляет плановые и внеплановые проверки субъектов КИИ в части обеспечения ими безопасности значимых объектов КИИ. ФСТЭК России ведет Реестр значимых объектов критической информационной инфраструктуры.
В соответствии с п. 31 П-2391) в значимом объекте не допускаются:
- наличие удаленного доступа непосредственно (напрямую) к программным и программно-аппаратным средствам, в том числе СЗИ для обновления или управления со стороны лиц, не являющихся работниками субъекта КИИ;
- наличие локального бесконтрольного доступа к программным и программно-аппаратным средствам, в том числе СЗИ, для обновления или управления со стороны лиц, не являющихся работниками субъекта КИИ;
- передача информации, в том числе технологической информации, разработчику (производителю) программных и программно-аппаратных средств, в том числе СЗИ, или иным лицам без контроля со стороны субъекта КИИ.
IV. Защита машинных носителей информации (ЗНИ)
В соответствии с п.11.1 П-239 целью анализа угроз безопасности информации является: определение возможных способов реализации (возникновения) угроз безопасности информации и последствий их реализации (возникновения) с учетом состава пользователей и их полномочий, программных и программно-аппаратных средств, взаимосвязей компонентов значимого объекта, взаимодействия с иными объектами КИИ, информационными системами, автоматизированными системами управления, информационно-телекоммуникационными сетями (далее — архитектура значимого объекта), а также особенностей функционирования значимого объекта.
Анализ угроз безопасности информации должен включать:
- выявление источников угроз безопасности информации и оценку возможностей (потенциала) внешних и внутренних нарушителей;
- анализ возможных уязвимостей значимого объекта и его программных, программно-аппаратных средств;
- определение возможных способов (сценариев) реализации (возникновения) угроз безопасности информации;
- оценку возможных последствий от реализации (возникновения) угроз безопасности информации.
В качестве исходных данных для анализа угроз безопасности информации используется банк данных угроз безопасности информации, ведение которого осуществляется ФСТЭК России.
Модель угроз безопасности информации должна содержать краткое описание архитектуры значимого объекта, характеристику источников угроз безопасности информации, в том числе модель нарушителя, и описание всех угроз безопасности информации, актуальных для значимого объекта.
Описание каждой угрозы безопасности информации должно включать:
- источник угрозы безопасности информации;
- уязвимости (ошибки), которые могут быть использованы для реализации (способствовать возникновению) угрозы безопасности информации;
- возможные способы (сценарии) реализации угрозы безопасности информации;
- возможные последствия от угрозы безопасности информации.
Для определения угроз безопасности информации и разработки модели угроз безопасности информации должны применяться методические документы, разработанные и утвержденные ФСТЭК России.
В соответствии с п. 17 П-239 в значимых объектах объектами, подлежащими защите от угроз безопасности информации (объектами защиты), являются:
- в информационных системах:
- информация, обрабатываемая в информационной системе;
- программно-аппаратные средства (в том числе машинные носители информации, автоматизированные рабочие места, серверы, телекоммуникационное оборудование, линии связи, средства обработки буквенно-цифровой, графической, видео- и речевой информации);
- программные средства (в том числе микропрограммное, общесистемное, прикладное программное обеспечение);
- средства защиты информации;
- архитектура и конфигурация информационной системы;
- в информационно-телекоммуникационных сетях:
- информация, передаваемая по линиям связи;
- телекоммуникационное оборудование (в том числе программное обеспечение, система управления);
- средства защиты информации;
- архитектура и конфигурация информационно-телекоммуникационной сети;
- в автоматизированных системах управления:
- информация (данные) о параметрах (состоянии) управляемого (контролируемого) объекта или процесса (в том числе входная (выходная) информация, управляющая (командная) информация, контрольно-измерительная информация, иная критически важная (технологическая) информация);
- программно-аппаратные средства (в том числе автоматизированные рабочие места, промышленные серверы, телекоммуникационное оборудование, линии связи, программируемые логические контроллеры, производственное, технологическое оборудование (исполнительные устройства);
- программные средства (в том числе микропрограммное, общесистемное, прикладное программное обеспечение);
- средства защиты информации;
- архитектура и конфигурация автоматизированной системы управления.
В соответствии с п.18 П-239 обеспечение безопасности значимого объекта достигается путем принятия в рамках подсистемы безопасности значимого объекта совокупности организационных и технических мер, направленных на блокирование (нейтрализацию) угроз безопасности информации, реализация которых может привести к прекращению или нарушению функционирования значимого объекта и обеспечивающего (управляемого, контролируемого) им процесса, а также нарушению безопасности обрабатываемой информации (нарушению доступности, целостности, конфиденциальности информации).
В соответствии с п.23 П-235 субъектом КИИ в рамках функционирования системы безопасности должны быть утверждены организационно-распорядительные документы по безопасности значимых объектов, определяющие порядок и правила функционирования системы безопасности значимых объектов, а также порядок и правила обеспечения безопасности значимых объектов КИИ.
Организационно-распорядительные документы по безопасности значимых объектов являются частью документов по вопросам обеспечения информационной безопасности (защиты информации) субъекта КИИ. При этом положения, определяющие порядок и правила обеспечения безопасности значимых объектов КИИ, могут быть включены в общие документы по вопросам обеспечения информационной безопасности (защиты информации), а также могут являться частью документов по вопросам функционирования значимого объекта КИИ.
Организационно-распорядительные документы по безопасности значимых объектов должны определять:
- цели и задачи обеспечения безопасности значимых объектов КИИ;
- основные угрозы безопасности информации и категории нарушителей;
- основные организационные и технические мероприятия по обеспечению безопасности значимых объектов КИИ, проводимые субъектом КИИ;
- состав и структуру системы безопасности и функции ее участников;
- порядок применения, формы оценки соответствия значимых объектов КИИ и средств защиты информации требованиям по безопасности;
- планы мероприятий по обеспечению безопасности значимых объектов КИИ;
- модели угроз безопасности информации в отношении значимых объектов КИИ;
- порядок реализации отдельных мер по обеспечению безопасности значимых объектов КИИ;
- порядок проведения испытаний или приемки средств защиты информации;
- порядок реагирования на компьютерные инциденты;
- порядок информирования и обучения работников;
- порядок взаимодействия подразделений (работников) субъекта КИИ при решении задач обеспечения безопасности значимых объектов КИИ;
- порядок взаимодействия субъекта КИИ с ГосСОПКА(ой);
- правила безопасной работы работников субъекта КИИ на значимых объектах КИИ;
- действия работников субъекта КИИ при возникновении компьютерных инцидентов и иных нештатных ситуаций.
В соответствии с п. 12.2 П-239 организационно-распорядительные документы по безопасности значимого объекта должны в том числе устанавливать правила безопасной работы работников, эксплуатирующих значимые объекты, и работников, обеспечивающих функционирование значимых объектов, а также действия работников при возникновении нештатных ситуаций, в том числе вызванных компьютерными инцидентами.
Организационно-распорядительные документы по безопасности значимых объектов должны быть доведены до руководства субъекта КИИ, подразделения по безопасности, специалистов по безопасности, а также до иных подразделений (работников), участвующих в обеспечении безопасности значимых объектов КИИ, в части, их касающейся.
Число кибератак на критическую инфраструктуру РФ увеличилось на 150%. Об этом стало известно 12 июля 2021 года.
В 2020 году показатель тоже вырос, но всего на 40%. Шифровальщики в основном атаковали образовательную и научную сферы, а также промышленность. На них пришлось 30% от общего числа атак.
Российская компания Group-IB подсчитала, что 40% всех атак совершают «классические» киберпреступники. А вот остальные 60% приходятся на проправительственные агентства других государств.
На промышленные компании в большинстве случаев нападают вымогатели. Получается, что каждая крупная компания является потенциальной жертвой для киберпреступников. А сумма выкупов увеличивается.
Эксперты прогнозируют, что число кибератак в дальнейшем будем только увеличиваться, а суммы, запрашиваемые мошенниками, будут расти[1].
24 июня 2021 года компания Group-IB сообщила, что в среднем, 8 промышленных предприятий России из 10 имеют проблемы с обслуживанием ИТ-инфраструктуры. В первой половине 2021 года, в России было зафиксировано почти в 3 раза больше атак на объекты критической инфраструктуры, чем за весь 2019 год.
К проблемам с обслуживанием ИТ-инфраструктуры организаций приводит недостаток ресурсов, устаревшее программное обеспечение и зачастую невыстроенный процесс патч-менеджмент (процесс закрытия уязвимостей, благодаря своевременным обновлениям программного обеспечения), а значит они являются потенциальной мишенью для киберпреступников, сообщили в Group-IB.
На июнь 2021 года, по данным Group-IB Threat Intelligence & Attribution, суммарно 137 групп, из которых 122 киберкриминальных групп и 15 прогосударственных групп, нацелены на объекты критической инфраструктуры. Основная мотивация киберкриминальных групп по-прежнему финансовая, большую часть от их числа составляют «вымогатели», то есть хакеры, атакующие организации с целью выкупа за расшифровку данных. Целями проправительственных хакерских групп являются шпионаж, саботаж и диверсии. Group-IB приводит статистику: количество атак на объекты критической инфраструктуры в мире с 2019 года выросло в 12 раз.
За первые 6 месяцев 2021 года, 40% атак на объекты КИИ в России, были совершены киберкриминалом, 60% — прогосударственными атакующими.
VII. Предотвращение вторжений (компьютерных атак) (СОВ)
Президенты России и США хотят создать экспертную группу по кибербезопасности. Однако обе стороны уверены, что оппонент собирает данные о предприятиях критической инфраструктуры и совершает против коллег хакерские атаки.
США неоднократно просили Россию прекратить хакерскую деятельность в отношении американских компаний. Однако и Россия не остается в долгу: тут уверены, что большинство хакерских атак на объекты критической инфраструктуры (КИИ) совершаются из США.
В Женеве 16 июня 2021 года состоялась встреча лидеров двух государств. Российский президент Владимир Путин перед встречей с президентом США Джо Байденом заявил, что вопрос кибербезопасности является одним из самых важных в глобальном масштабе.
В начале июня 2021 года стало известно о том, что каждая десятая ИТ-инфраструктура госорганов, банков, ТЭК, транспортных и оборонных учреждений заражена вирусом. Такие данные привели в компании «Ростелеком-Солар».
По словам экспертов, совершить успешную атаку на критическую информационную инфраструктуру могут даже хакеры низкой квалификации, а большая часть уязвимостей в таких сетях существует уже больше 10 лет.
Такую ситуацию специалисты объясняют тем, что процесс обновления ПО отсутствует в более чем 90% организаций, а среднее время установки обновлений составляет более 42 дней.
18 мая 2021 года Государственная Дума РФ приняла в третьем (окончательном) чтении законопроект о штрафах за нарушение безопасности критической информационной инфраструктуры. Речь идет о системах в сферах здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и т. д.
Согласно новым нормам, которые должны вступить в силу 1 сентября 2021 года, за нарушения требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры, обеспечения их работы и безопасности будут грозить штрафы. Их сумма составит от 10 000 до 50 000 рублей для должностных лиц и от 50 000 до 100 000 рублей для юридических лиц.
В конце марта 2021 года сервис для защиты информационных активов «Ростелеком-Solar» опубликовал исследование, в котором сообщил о двукратном росте числа атак на объекты критической информационной инфраструктуры (КИИ: банки, предприятия ТЭК и т.п.) путем проникновения через инфраструктуру подрядчика (метод supply chain) в 2020 году. Центр мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком-Солар» выявил и отразил свыше 1,9 млн атак, что на 73% превышает показатель 2019 года.
По словам экспертов, взлом подрядчика стал самым эффективным методом для проникновения в целевые для киберпреступников инфраструктуры, среди которых, как правило, крупнейшие федеральные организации госсектора и объекты КИИ. Это подтверждается и международным опытом. В конце 2020 года стало известно о взломе компании-разработчика ПО SolarWinds, вследствие чего пострадали такие ее клиенты, как Microsoft, Cisco, FireEye, а также несколько ключевых министерств и ведомств США. Аналогичные попытки атак на органы власти и объекты КИИ Solar JSOC фиксирует и в России.
Регулируются Приказом ФСТЭК от 21.12.2017 № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования». Приказ принят, проходит регистрацию в Минюсте РФ.
Система безопасности значимых объектов — это совокупность организационных, технических, правовых и других мер. Она может быть создана для обеспечения безопасности одного объекта или совокупности объектов. Кроме того, субъект в праве создать одну систему безопасности для всех значимых объектов.
Требования, описанные в приказе, едины для объектов всех трёх категорий. Допускается применять их в том числе для обеспечения безопасности незначимых объектов.
Задачи, выполняемые системой безопасности:
- предотвращение неправомерного доступа к информации, обрабатываемой значимыми объектами;
- предотвращение воздействия на технические средства обработки информации, в результате которого может быть нарушено или прекращено функционирование объектов;
- восстановление функционирования объектов, если они вышли из строя;
- непрерывное взаимодействие с ГОССОПКА.
В состав системы безопасности входят три основных элемента: силы, средства, организационно-распорядительные документы.
Под силами системы безопасности значимых объектов понимаются сотрудники субъекта КИИ. А именно:
- руководитель субъекта — определяет состав и структуру системы и функции её участников по обеспечению безопасности;
- уполномоченное лицо (назначается по решению руководителя) — создаёт систему безопасности, контролирует её функционирование;
- в зависимости от количества объектов, их категорий и загруженности персонала в структурных подразделениях назначаются ответственные за обеспечение безопасности КИИ.
К ответственным относятся:
- работники подразделений, эксплуатирующих объект — обеспечивают безопасность во время эксплуатации;
- работники подразделений, обеспечивающих функционирование — осуществляют свои функции в соответствии с правилами безопасности;
- данные сотрудники должны обладать соответствующими знаниями и навыками для обеспечения безопасности значимых объектов, а также должны ежегодно проходить повышение уровня знаний по вопросам обеспечения безопасности КИИ и возможным угрозам.
- подразделения, ответственные за обеспечение безопасности — выполняют исключительно функции по обеспечению безопасности объекта.
Для проведения работ по обеспечению безопасности КИИ субъектами также могут привлекаться внешние организации. Однако у таких организаций должна быть соответствующая лицензия ФСТЭК России: либо в области защиты государственной тайны (если на объекте обрабатывается информация, составляющая гос. тайну), либо по технической защите конфиденциальной информации.
К средствам относятся программные и программно-аппаратные средства, предназначенные для обеспечения безопасности объекта.
Средства должны пройти оценку соответствия. В случае, если объектом обрабатывается государственная тайна или объект КИИ представляет собой государственную информационную систему, сертификация обязательна.
В приоритетном порядке применяются встроенные в рабочие системы специальные программные средства защиты информации. Они должны применяться в соответствии с эксплуатационной документацией и обязательно сопровождаться поддержкой со стороны разработчика. При создании системы также должны учитываться возможные ограничения самого разработчика, например, запрет использования средства на определённых объектах
Нормативно-организационные документы разделяются на три категории:
- общесистемные документы (определяют цели, задачи, существующие угрозы, основные организационно-технические мероприятия, состав и структуру системы безопасности);
- документы, которые встроены в правила безопасной работы работников и регламенты действий в случае возникновения инцидентов или иных внештатных ситуаций;
- документы планирования и документы, в которых описаны действия работников в различных ситуациях (порядок проведения испытаний, порядок приёмки, порядок взаимодействия подразделений и т.д.).
Состав и форма документов определяются субъектом КИИ самостоятельно. Допускается изложение всех перечисленных положений в одном документе, а также частичное изложение в разных документах при условии отражении этого в системе ОРД субъекта.
Отдельно подчеркивается, что документация должна быть не формальным набором инструкций, а реальным руководством сотрудников.