Обзор российского законодательства по защите критической информационной инфраструктуры

Алан-э-Дейл       24.04.2022 г.

Ответственность

274.1Федеральным Законом

  • создание, распространение и использование программ для неправомерного воздействия на КИИ;
  • неправомерный доступ к информации в КИИ с последовавшим причинением вреда КИИ;
  • нарушение правил эксплуатации средств хранения, обработки, передачи информации в КИИ или правил доступа к информации в КИИ с последовавшим причинением вреда КИИ;
  • указанные выше действия, совершенные группой лиц по предварительному сговору, или в составе организованной группы, или с использованием служебного положения;
  • указанные выше действия, если они повлекли тяжкие последствия (т.е. причинен ущерб на сумму более 1 миллиона рублей); при этом наступает ответственность в виде лишения свободы на срок до десяти лет, что автоматически переводит данное деяние в разряд тяжких преступлений со сроком давности до 10 лет.

вынесеноосудиливынесен

  • Статья 13.12.1 «Нарушение требований в области обеспечения безопасности КИИ РФ» будет предусматривать ответственность за нарушение порядка категорирования объектов КИИ, нарушение требований к созданию и обеспечению функционирования систем безопасности значимых объектов КИИ, нарушение требований по обеспечению безопасности значимых объектов КИИ, а также нарушение порядка информирования, реагирования и обмена информацией о компьютерных инцидентах.
  • Статья 19.7.15 «Непредставление сведений, предусмотренных законодательством в области обеспечения безопасности КИИ РФ» предполагает ответственность за нарушение порядка предоставления сведений о категорировании объектов КИИ во ФСТЭК России, а также за невыполнение норм по обмену информацией с ГосСОПКА.

Разработка мероприятий по взаимодействию с ФСБ России

2.1. Разработка регламента информирования ФСБ России

Что делать

Сроки проведения

Разработать и утвердить руководителем организации регламент информирования ФСБ
России (НКЦКИ) о компьютерных инцидентах

С момента определения организации как субъекта КИИ

Результаты

Кто проводит (организует)

  • Регламент информирования ФСБ России (НКЦКИ) о компьютерных инцидентах
  • Перечень информации о компьютерных инцидентах, связанных с функционированием
    объектов КИИ
  • Приказ (распоряжение) об утверждении регламента информирования ФСБ России
    (НКЦКИ) о компьютерных инцидентах

Подразделение (ответственный)
ИБ организации, лицензиат
(ТЗКИ) ФСТЭК России 2

Ссылка на НПА, НМД

187-ФЗ (ст. 9, ч. 2, п. 1), приказ ФСБ
России № 367

2.2. Организация взаимодействия с ФСБ России (НКЦКИ)

Что делать

Кто проводит (организует)

  • В случае подключения к технической инфраструктуре НКЦКИ направить в НКЦКИ
    по адресу gov-cert@gov-cert.ru запрос о необходимости организации технической
    возможности незамедлительного информирования об инцидентах в соответствии с ч. 2
    ст. 9 закона № 187-ФЗ
  • Подключиться к технической инфраструктуре НКЦКИ в соответствии с установленным
    порядком

Подразделение (ответственный) ИБ организации, субъекты (центры) ГосСОПКА
(при необходимости)

Ссылка на НПА, НМД

Приказ ФСБ России № 367,
приказ ФСБ России № 368

ГосСОПКА

  • инвентаризация информационных ресурсов;
  • выявление уязвимостей информационных ресурсов;
  • анализ угроз информационной безопасности;
  • повышение квалификации персонала информационных ресурсов;
  • прием сообщений о возможных инцидентах от персонала и пользователей информационных ресурсов;
  • обнаружение компьютерных атак;
  • анализ данных о событиях безопасности;
  • регистрация инцидентов;
  • реагирование на инциденты и ликвидация их последствий;
  • установление причин инцидентов;
  • анализ результатов устранения последствий инцидентов.
  • ведомственные Центры осуществляют лицензируемую деятельность по защите информационных ресурсов в интересах органов государственной власти;
  • корпоративные Центры осуществляют лицензируемую деятельность по защите информационных ресурсов в собственных интересах, а также имеют право предоставлять услуги по предупреждению, обнаружению и ликвидации последствий компьютерных атак.
  • создание собственного Центра мониторинга информационной безопасности с учетом требований нормативных документов ФСБ РФ, ФСТЭК России, иных нормативно-правовых актов;
  • внедрение и поддержка технических средств и решений, соответствующих методическим рекомендациям ФСБ РФ по созданию ведомственных и корпоративных центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;
  • внедрение и поддержка технических средств и решений, соответствующих требованиям к лицензиату ФСТЭК России для осуществления деятельности по мониторингу информационной безопасности средств и систем мониторинга;
  • получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации (ТЗКИ) в части перечня работ и услуг по мониторингу информационной безопасности средств и систем мониторинга (в случае предоставления коммерческих услуг другим организациям или при работе в составе холдинговой структуры);
  • получение лицензии ФСБ РФ на деятельность по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (в случае предоставления коммерческих услуг другим организациям или при работе в составе холдинговой структуры);
  • осуществление взаимодействия с НКЦКИ в соответствии с регламентом взаимодействия подразделений ФСБ РФ и субъектов ГосСОПКА при осуществлении информационного обмена в области обнаружения, предупреждения и ликвидации последствий компьютерных атак;
  • привлечение, обучение, удержание сотрудников Центра мониторинга информационной безопасности;
  • разработка и непрерывная актуализация сценариев атак и мониторинга;
  • аналитика событий и инцидентов, построение отчетности.

Пресс-релизы, интервью и прочее

  • Технологии безопасности
  • Правительство Ростовской области защищено от целевых атак решением «Лаборатории Касперского»
  • СИБЕР представляет первую в России IP-видеокамеру с киберзащитой
  • Group-IB предложила создать центр по борьбе с утечкой данных россиян
  • «Ростелеком» купил долю «ЭЛВИС-ПЛЮС»
  • Какие решения защищают промышленность от киберпреступников и катастроф
  • Киберзлодеи заинтересовались промышленностью
  • На пяти российских АЭС проведено аудиторское обследование АСУ ТП
  • Концерн «Росэнергоатом» создал корпоративную систему сервисной поддержки на базе Naumen Service Desk
  • Топ-менеджер «Ростелекома» раскритиковал госорганы за уязвимость перед хакерами
  • Создание ГИС компьютерных вирусов откладывается
  • InfoWatch ARMA вышла в полуфинал конкурса «Энергопрорыв»-2020
  • Все дайджесты КИИ
  • Подписаться на рассылку

Факторы, влияющие на стоимость работ по реализации требований 187-ФЗ

Напоследок следует затронуть немаловажный вопрос – стоимость проектов, а точнее, факторов, которые могут на нее повлиять.

Объем работ. Большая часть работ напрямую связана с числом объектов КИИ в организации, так как все объекты необходимо изучить в отдельности, понять их взаимосвязи, интеграцию в общую инфраструктуру. Кроме того, многие обязательные документы разрабатываются для каждого объекта. Меры защиты в части случаев также могут реализовываться раздельно для объектов.

Возможная оптимизация. Рекомендуется укрупнять объекты КИИ при категорировании. Если 10 систем реализуют один технологический процесс и размещены в едином сегменте сети, то их можно обобщить (в части случаев это стоит делать даже с распространением повышенной категории значимости на все системы).

Гетерогенность объектов. Если в организации 20 «офисных» ИС, расположенных в стандартной ЛВС, то объем работ будет меньший, чем, например, для 10 «офисных» ИС и 10 АСУ ТП. Данные типы систем различаются в архитектуре, будут иметь различные риски ИБ и подходы к их защите.

Централизация. Для групп компаний имеет смысл проводить работы в рамках централизованного проекта. В данном случае будет обеспечен стандартизованный подход с использованием типовых документов и проектных решений. Суммарный объем объектов защиты останется прежним, но повысится коэффициент типизации систем, что позволит уменьшить общую стоимость работ.

Зрелость существующих процессов обеспечения ИБ. Если в организации уже реализованы проекты по защите ИСПДн, ГИС, АСУ ТП, существует система управления ИБ с налаженными процессами, такими как управление рисками, мониторинг и выявление инцидентов ИБ, управление конфигурацией и т.д., то весьма вероятно, что проект сведется к грамотному обоснованию достаточности существующих мер и предоставлению ссылок на соответствующую документацию.

Принадлежность к органам государственной власти. Для объектов КИИ, являющихся ГИС, становятся актуальными требования по использованию сертифицированных мер защиты и аттестации объектов. Если данные требования еще не были выполнены, то это значительно повлияет на увеличение бюджета и сроков работ. Для юридических лиц рекомендуется не включать эти требования в задания на работы, так как они не являются обязательными.

Организация проектов по защите объектов КИИ. Рекомендации

С учетом высокой загрузки отделов и департаментов по ИБ и нехватки профильных специалистов в самих организациях, данные работы обычно реализуют в виде проектов с привлечением подрядчиков. Далее рассмотрим рекомендации «с другой стороны баррикад», так как часто организации сами загоняют себя в угол, и из-за банальных неточностей в постановке задачи получают не те результаты, на которые рассчитывали.

1. Разбейте проект на части

Не стоит объединять в один проект (договор) все работы «под ключ». Есть несколько этапов, от результата которых зависит объем всех последующих работ, поэтому до их завершения подрядчик не сможет корректно оценить сроки и бюджет проекта. Соответственно, будет или демпинг и не слишком качественный результат, в случае объема работ выше ожидаемого, или, наоборот, попытка перезаложиться для закрытия своих рисков. Поэтому в «Стэп Лоджик» рекомендуют разбить проект на этапы и реализовывать их последовательно, приступая к следующему этапу только после завершения предыдущего:

  • Категорирование объектов. На данном этапе фактически определяется область дальнейших работ – перечень объектов КИИ и их границы;
  • Разработка требований ИБ. Это ключевой этап, на котором осуществляется оценка угроз и формируются требования к необходимым мероприятиям и средствам защиты или обосновывается возможность использования существующих мер защиты;
  • Все последующие работы, связанные с реализацией мер, определенных на втором этапе.

2. Используйте результаты предыдущих работ

Нередко объекты КИИ также являются информационными системами персональных данных (ИСПДн) и/или государственными информационными системами (ГИС). В таких случаях необходимо выполнить требования нормативных документов из нескольких сфер. Стоит включить в работы ревизию уже выполненных ранее проектов и ответить на следующие вопросы:

  • Соответствуют ли друг другу «старая» и «новая» модели угроз, выполненные для одной и той же системы – например, для ГИС (ИСПДн), которая стала еще и объектом КИИ?
  • Насколько соответствуют реализованные ранее требования по защите информации новым, какие из существующих средств защиты планируется использовать для защиты объекта КИИ?
  • Насколько соответствуют существующие нормативно-методические документы организации по вопросам ИБ новым требованиям?

3. Не стоит изобретать велосипед

В приказах ФСТЭК №235 и №239 в явном виде определены все работы, их содержание и документация, которая должна быть разработана в ходе реализации проектов по защите объекта КИИ. При формировании задания на работы рекомендуется строго придерживаться этих формулировок, чтобы четко выполнить поставленную задачу и не увеличить сроки и бюджет проекта. Даже незначительная корректировка может иногда повлечь заметные изменения в проекте.

4. Используйте средства защиты, «прошедшие оценку соответствия»

Применение сертифицированных средств защиты не во всех случаях является обязательным. Чтобы не загнать себя и исполнителя в угол, пропишите в требованиях формулировку из нормативных документов: «использование средств защиты, прошедших оценку соответствия». Грамотный исполнитель сам определит необходимость применения сертифицированных средств защиты и возможность использования альтернатив.

АСУТП

ПриказПриказБДУстранице

  • идентификация и аутентификация;
  • управление доступом;
  • ограничение программной среды;
  • защита машинных носителей информации;
  • аудит безопасности;
  • антивирусная защита;
  • предотвращение вторжений (компьютерных атак);
  • обеспечение целостности;
  • обеспечение доступности;
  • защита технических средств и систем;
  • защита информационной (автоматизированной) системы и ее компонентов;
  • реагирование на компьютерные инциденты;
  • управление конфигурацией;
  • управление обновлениями программного обеспечения;
  • планирование мероприятий по обеспечению безопасности;
  • обеспечение действий в нештатных ситуациях;
  • информирование и обучение персонала.

Как определить категории значимости объекта КИИ

Критерии значимости рассмотрены в постановлении Правительства РФ №127 от 08.02.2018 «Об утверждении Правил категорирования объектов КИИ РФ, а также перечня показателей критериев значимости объектов КИИ РФ и их значений». Критериев всего пять: социальный, политический, экономический, экологический, а также обеспечение обороноспособности, безопасности государства и правопорядка. В каждом критерии выделяется четыре категории: первая (высшая), вторая, третья и самая низшая — без значимости. Последняя применяется, если показатели значимости ниже, чем в третьей категории.

Первое, что нужно сделать, проанализировать уязвимости и смоделировать действия злоумышленников, которые могут привести к возникновению компьютерных инцидентов на объектах КИИ. В результате формируется модель угроз и модель нарушителя. После этого необходимо оценить показатели критериев значимости, установить соответствие объектов КИИ значениям этих показателей и присвоить каждому из объектов одну из категорий значимости (либо принять решения об отсутствии необходимости в присвоении категории).

Показатели значимости подробно расписаны все в том же 127-м постановлении правительства. Если взять, к примеру, социальный критерий, можно говорить об ущербе для жизни и здоровья людей. Третья категория присваивается, если в результате инцидента пострадает один и более человек, а первая — если есть риски для более чем 500 человек. Следующий показатель социального критерия — нарушение или прекращение функционирования объектов обеспечения жизнедеятельности населения. Это системы водоснабжения, канализации, теплоснабжения, очистки сточных вод и электроснабжения. Тут категории присваиваются по площади, на которой возникают нарушения. Третья категория — муниципальные образования, а первая присваивается, если происходит выход за пределы субъекта федерации.

Социальный критерий оценивается еще по нескольким показателям: транспорт, сети связи и доступ к государственным услугам. С другими критериями ситуация аналогичная — есть множество показателей, и по каждому из них мы оцениваем категории в соответствии со степенью возможного ущерба: количеству пострадавших, затронутым инцидентом территориям, времени недоступности услуг, снижению дохода, уровню вредного воздействия на окружающую среду и т. д. По результатам составляются акты категорирования объектов КИИ, которые необходимо направить в ФСТЭК в течение 10 дней после подписания (приказ ФСТЭК России №236 от 22.12.2017 «Об утверждении формы направления сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий»). Категорирование объектов КИИ нужно закончить до 1 января 2019 года.

Оценивая объекты КИИ, выгодно делать их разбивку: если у вас есть один большой объект с множеством критичных систем и разными критериями значимости, для него будет установлена максимальная из всех возможных категория значимости. Если такой объект можно разбить на несколько более мелких, то у них могут быть разные (в том числе и более низкие) категории значимости в соответствии с определенными постановлением правительства критериями и показателями. Такой подход выгоден, поскольку для менее значимых объектов меры по защите будут проще и дешевле.

Категорирование – отдать подрядчику или провести самостоятельно?

Многие организации предпочитают отдать эту часть работ подрядчикам. Есть множество примеров, когда заказчик просит не только провести категорирование, но и в целом «привести все объекты КИИ в соответствие с 187-ФЗ». Специалисты «Стэп Лоджик» рекомендуют осуществлять категорирование самостоятельно, а если и привлекать сторонних исполнителей, то только для консультации по частным вопросам.

Во-первых, в соответствии с законодательством, вся ответственность за принятие решений ложится исключительно на руководителя организации и комиссию, включающую руководителей подразделений и иных ответственных работников, а не на подрядную организацию.

Во-вторых, основа категорирования – оценка последствий от нарушений функционирования критических процессов и соответствующих объектов КИИ. Интеграторы и консультанты априори не могут знать все детали и нюансы вашей деятельности, все возможные последствия и их взаимосвязи. По опыту «Стэп Лоджик», даже в рамках группы компаний одни и те же процессы иногда реализованы по-разному, и такие нюансы могут оказать существенное влияние на результаты категорирования. Поэтому сторонние специалисты, изучив, например, десять заводов, не смогут быстро и идеально описать одиннадцатый без его обследования – вся информация в итоге будет снова запрашиваться у ответственных сотрудников. Таким образом, массив данных для категорирования предоставляется самой организацией, а суть услуг подрядчиков в 90% случаев состоит в наличии у них отработанных шаблонов и отчетных форм, а также имеющегося опыта работы с конкретной сферой.

В-третьих, для того чтобы подрядчик смог качественно провести категорирование, ему необходимо полностью изучить все бизнес-процессы организации, ее инфраструктуру, показатели деятельности (договоры, финансовую отчетность, иную статистику). Очевидно, что в данном случае проект займет не один месяц, а стоимость работ может оцениваться в миллионы рублей, если речь идет о крупных предприятиях или группах компаний. Насколько это оправдано с учетом сказанного выше?

Проведение категорирования своими силами – это еще один повод детально разобраться в бизнес-процессах организации, оценить все риски и ответить на главный вопрос: к каким последствиям может привести недостаточное соблюдение организационных и технических мер защиты информации

Это важно понимать самой организации, в том числе при дальнейшей реализации мер защиты и обосновании соответствующих проектов.. Если вы решились проводить категорирование самостоятельно, получить ответы на отдельные вопросы можно из следующих источников:

Если вы решились проводить категорирование самостоятельно, получить ответы на отдельные вопросы можно из следующих источников:

  • По телефону горячей линии ФСТЭК России: 8 (499) 246-11-89, на методических сборах регулятора и конференциях, где выступают специалисты ФСТЭК;
  • В подробной методике категорирования объектов КИИ от «Стэп Лоджик» с шаблонами необходимых документов и ответами на часто задаваемые вопросы. Методика распространяется на безвозмездной основе, доступна для скачивания на сайте компании и постоянно обновляется с учетом взаимодействия с регулятором и полученного опыта;
  • На профильных ресурсах (например, чат КИИ 187-ФЗ в Telegram);
  • Также можно привлекать консультантов для решения конкретных вопросов. Но в данном случае это частное мнение, основанное на субъективных знаниях и опыте, и оно не всегда будет верным. Лучше сопоставлять информацию из нескольких источников.

Какова ответственность за нарушения?

Если вы не успели отправить в ФСТЭК перечень объектов КИИ, никакой ответственности за это не предусмотрено. Но ФЗ-187 действует с начала 2018 года, и если произойдет инцидент, а необходимые меры по защите не были приняты, последствия для субъекта КИИ будут серьезными — в уголовный кодекс уже внесены соответствующие изменения. Согласно ст. 274.1 УК РФ за создание, распространение и (или) использование ПО или иной компьютерной информации для неправомерного воздействия на КИИ предусмотрены принудительные работы на срок до 5 лет или до 5 лет лишения свободы, а также штраф до 1 млн рублей. Неправомерный доступ к информации КИИ, если он повлек вред, будет наказан принудительными работами сроком до 5 лет, до 6 лет лишения свободы и штрафами до 1 млн рублей.

Есть ответственность и для субъектов КИИ. Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой законом информации КИИ либо правил доступа, если оно повлекло причинение вреда для КИИ, наказывается принудительными работами на срок до 5 лет, лишением свободы до 6 лет, запретом на определенные виды деятельности на срок до 3 лет для юридических лиц и индивидуальных предпринимателей или запретом занимать определенные должности для физических лиц на тот же срок.

У этой статьи есть усиление. Если преступление совершено группой лиц или с использованием служебного положения, оно наказывается лишением свободы на срок до 8 лет, а также запретом на определенные виды деятельности (юридические лица и ИП) или запретом занимать определенные должности (физические лица) на срок до 3 лет. В случае тяжких последствий максимальный срок лишения свободы увеличивается до 10 лет, а запрет на виды деятельности и должности — до 5 лет.

Статья 2. Основные понятия, используемые в настоящем Федеральном законе

Для целей настоящего Федерального закона используются следующие основные понятия:

1) автоматизированная система управления — комплекс программных и программно-аппаратных средств, предназначенных для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими оборудованием и процессами;

2) безопасность критической информационной инфраструктуры — состояние защищенности критической информационной инфраструктуры, обеспечивающее ее устойчивое функционирование при проведении в отношении ее компьютерных атак;

3) значимый объект критической информационной инфраструктуры — объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры;

4) компьютерная атака — целенаправленное воздействие программных и (или) программно-аппаратных средств на объекты критической информационной инфраструктуры, сети электросвязи, используемые для организации взаимодействия таких объектов, в целях нарушения и (или) прекращения их функционирования и (или) создания угрозы безопасности обрабатываемой такими объектами информации;

5) компьютерный инцидент — факт нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки;

6) критическая информационная инфраструктура — объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов;

7) объекты критической информационной инфраструктуры — информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры;

8) субъекты критической информационной инфраструктуры — государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

Гость форума
От: admin

Эта тема закрыта для публикации ответов.