Астрал. Критические информационные инфраструктуры

Быстро. Качественно. Надежно.

Астрал.Маркировка

О продукте База знаний
Астрал.КИИ

Астрал.КИИ

Критическая информационная инфраструктура РФ


Вопрос информационной безопасности, имеющий особую важность для основных отраслей экономики, науки и промышленности, неоднократно обсуждался ещё задолго до вступления в силу Федерального закона № 187-ФЗ. Теперь, когда требования по обеспечению безопасности для критических информационных инфраструктур (ККИ) России имеют юридическое обоснование, необходимо рассказать о защите ККИ подробнее.


1. К чему обязывает 187-ФЗ?


Принятый летом 2017 года Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» установил вектор развития отечественного рынка информационной безопасности. Он был разработан, чтобы определить и упорядочить деятельность по обеспечению безопасности объектов критической информационной инфраструктуры РФ, которые могут быть отнесены к значимым. Значимость объектов ККИ определяется с помощью процедура категорирования. Она необходима даже в том случае, если считается, что на предприятии нет объектов ККИ.


В соответствии с требованиями закона № 187-ФЗ, все предприятия, которые занимаются своей деятельностью в ключевых отраслях (среди них здравоохранение, наука, сфера транспорта, энергетики и тому подобное), обязаны выделить объекты, нарушение деятельности которых может привести к различным видам ущерба. Например, экономическому, социальному, экологическому, политическому и так далее. Закон требует от таких организаций не допускать инцидентов, способных привести к ущербу, обеспечив соответствующую защиту своих объектов.
В противном случае руководство предприятий может понести ответственность – вплоть до уголовной.


Согласно 187-ФЗ, организации с объектами ККИ должны:


  • провести процедуру категорирования объектов КИИ;

  • создать необходимые условия для интеграции в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА);

  • принять необходимые меры по обеспечению безопасности объектов КИИ.


Почему это важно?

Основной критерий – информационная безопасность КИИ, то есть такое состояние, при котором не нарушится или не прекратится функционирование КИИ РФ и/или её значимых объектов в случае компьютерных атак.


Все технические и организационные мероприятия, необходимые для обеспечения защиты объектов ККИ, безусловно требуют существенных финансовых вложений. Есть ли в этом такая острая необходимость? Ведь ККИ подвергается атакам не так уж и часто. Когда, например, в последний раз вам доводилось слышать о кибератаке на горнодобывающее сооружение? Тем не менее подобное вполне возможно, пусть и с небольшой вероятностью. И ключевым моментом в этой ситуации будут перспективы крупных убытков и даже жертвы.


Объект КИИ

Например, в 1999 году злоумышленники смогли запустить троянскую вирусную программу в систему безопасности отечественной транснациональной корпорации «Газпром», что позволило им получить доступ к SCADA-системе предприятия. По счастливому стечению обстоятельств последствия в тот раз не были критичными-.


Другие примеры:

Бывший работник австралийской кампании Maroochy Water System взломал систему управления водоснабжением, из-за чего миллионы литров сточных вод оказались в ближайшей реке и была затоплена местная гостиница. Виновник инцидента был осужден на два года тюремного заключения.

В 2002 году венесуэльская нефтяная компания PDVSA подверглась компьютерной атаке, результатом которой стало сокращение добычи нефти с 3 млн. до 370 тыс. баррелей в сутки.


2. Что такое критическая информационная инфраструктура


Критической информационной инфраструктурой называется совокупность объектов ККИ (информационных систем и сетей, автоматизированных систем управления) и телекоммуникационных сетей для взаимодействия объектов КИИ между собой.
Непосредственное отношение к безопасности КИИ имеют её субъекты.


Субъектами ККИ РФ являются государственные органы, госучреждения, российские юрлица и/или ИП, которые по праву собственности, аренды или на другом законном основании владеют информационными системами, информационно-телекоммуникационными сетями, автоматизированными системами управления, функционирующими в:

  • сферах здравоохранения, науки, транспорта, связи,энергетики, топливно-энергетического комплекса, банковской сфере и иных сферах финансового рынка;

  • области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности.


К субъектам ККИ РФ также относятся российские юрлица и/или ИП, обеспечивающих взаимодействие вышеуказанных систем или сетей.


Что такое категорирование объектов КИИ?

Понятие категорирования объекта КИИ включает в себя определение его категории значимости по ряду критериев и показателей. Объекты ККИ могут быть отнесены к трём категориям (в порядке убывания значимости): первой, второй и третьей. Категория не присваивается объекту, если он не подходит к первой, второй или третьей ни по одному критерию. Объекты КИИ, которые были отнесены к одной из категорий, считаются значимыми.


Субъект ККИ обязан передать результаты категорирования в Федеральную службу по техническому и экспортному контролю (ФСТЭК) для внесения в реестр значимых объектов. В этот реестр заносятся следующие данные:

  • наименование значимого объекта КИИ;

  • наименование субъекта КИИ;

  • информация о взаимодействии значимого объекта КИИ и сетей электросвязи;

  • информация о лице, использующем значимый объект КИИ;

  • присвоенная категория значимости;

  • информация о программных и программно-аппаратных средствах, которые используются на значимом объекте КИИ;

  • применяемые меры по обеспечению безопасности указанного значимого объекта КИИ.


Если объекту КИИ не была присвоена категория значимости, сведения о проведенном категорировании все равно должны быть переданы в ФСТЭК РФ. Регулятор изучает результаты проверки и может в случае необходимости направить субъекту КИИ замечания, которые тот должен учесть.
Если данные о проверке не будут отправлены субъектом КИИ в ФСТЭК, ведомство может самостоятельно запросить эти сведения.


Реестр значимых объектов КИИ ведется по регламенту, который установлен приказом ФСТЭК РФ от 06 декабря 2017 №227 «Об утверждении Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации».


КИИ схематически

Что подлежит категорированию?

Этой процедуре подлежат объекты КИИ, обеспечивающие управленческие, технологические, производственные, финансово-экономические и другие процессы в рамках выполнения функций или полномочий, а также осуществления видов деятельности субъектов КИИ.


Как проводить категорирование объектов КИИ?

Процедуру категорирования регламентируют «Правила категорирования объектов критической информационной инфраструктуры Российской Федерации», утверждённые Постановлением Правительства от 8 февраля 2018 г. № 127. Эти правила содержат перечень критериев и их показатели для значимых объектов КИИ всех категорий.


Процедура категорирования происходит поэтапно:

  1. Субъект КИИ определяет, какие процессы происходят в рамках его деятельности и формирует их перечень.

  2. Из этого перечня выявляются процессы, нарушение или прекращение которых способно привести к серьёзным негативным последствиям в области экономики, экологии, политики, правопорядка, обороны страны и так далее.

  3. Определяются объекты КИИ, обрабатывающие данные, которые нужны для управления критическими процессами и контроля над ними.

  4. Происходит формирование перечня объектов КИИ, которые подлежат категорированию (он должен быть согласован с регулирующим ведомством, утверждён субъектом КИИ и направлен в ФСТЭК РФ течение пяти рабочих дней после утверждения).

  5. В соответствии с критериями и показателями, указанными в правилах категорирования, оценивается масштаб последствий, возможных при возникновении компьютерных инцидентов на объектах КИИ. Всего предусмотрено 14 показателей.

  6. Объект КИИ получает категорию значимости в соответствии с самым высоким значением показателей, либо принимается решение об отсутствии необходимости присвоения категории объекту.


Категорированию подлежат как существующие, так и создаваемые или модернизируемые объекты КИИ. Процедуру проводит специальная комиссия с субъектом КИИ в качестве председателя, сотрудниками его компании, а также приглашенными специалистами из регулирующих ведомств. Решение комиссии должно быть оформлено соответствующим документом и направлено в ФСТЭК РФ в течение 10 дней после утверждения.


ФСТЭК обязана проверить предоставленные материалы в течение 30 дней со дня их получения. При проверке оценивается правильность выполнения процедуры категорирования и присвоения категории объекту КИИ.
Объект КИИ получает категорию в течение одного года с момента утверждения перечня объектов КИИ. Это максимальный срок.


ФСТЭК РФ может изменить категорию значимого объекта КИИ в рамках государственного контроля безопасности КИИ. Это возможно в случае, если изменится сам объект КИИ или произойдет реорганизация субъекта КИИ (например, ликвидация или изменение его организационно-правовой формы).


Информационная безопаность

3. Что такое ГосСОПКА и для чего она нужна?


ГосСОПКА – это структура, включающая в себя силы и программно-технические средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак.


К силам, действующим в рамках ГосСОПКА относятся:

  • уполномоченные подразделения ФСБ РФ;

  • национальный координационный центр по компьютерным инцидентам (НКЦКИ) – он регулирует деятельность субъектов КИИ, направленную на обнаружение, предупреждение и ликвидацию последствий компьютерных инцидентов в соответствии с приказом ФСБ №366 ;

  • подразделения и должностные лица субъектов КИИ, участвующие в операциях по обнаружению, предупреждению и ликвидации последствий компьютерных атак, а также реагированию на компьютерные инциденты.


Основным предназначением ГосСОПКА является обеспечение и контроль безопасности КИИ в РФ и дипломатических представительствах России за рубежом.
Субъекты КИИ должны передавать всю информацию о компьютерных инцидентах в ГосСОПКА для последующей агрегации и обработки.


Перечень информации и порядок и срок её передачи (24 часа с момента обнаружения) в ГосСОПКА определён Приказом ФСБ № 367. Порядок обмена информацией о компьютерных атаках между субъектами КИИ определяет Приказ ФСБ № 368.


Фактически ГосСОПКА представляет из себя систему из частных центров компетенции, которые обслуживают субъектов КИИ, и технических средств, установленных в конкретных объектах КИИ. Центры ГосСОПКА также могут быть организованы государственными органами. Каждый центр ГосСОПКА принадлежит своему создателю, вложившему собственные средства в его организацию. Государство в данном случае выступает исключительно как регулятор и координатор.


Что подразумевается под интеграцией с ГосСОПКА?

В рамках интеграции с ГосСОПКА субъекты КИИ обязаны:

  • передавать сведения о компьютерных инцидентах в ФСБ, а в случае деятельности в банковской сфере и других сферах финансового рынка – ещё и в ЦБ РФ;

  • сотрудничать с ФСБ в операциях по обнаружению, предупреждению и ликвидации последствий компьютерных атак, а также содействовать ей в установлении причин и условий возникновения компьютерных инцидентов.


Оборудование ГосСОПКА может находиться на территории объекта КИИ, если такое решение принял субъект КИИ. В такой ситуации он обязан обеспечить условия для сохранности и бесперебойной работы этого оборудования.


Может ли субъект КИИ не создавать собственный центр ГосСОПКА?

Субъект КИИ занимается организацией собственного центра ГосСОПКА на добровольной основе. Тем не менее, он должен обеспечить необходимые условия для обнаружения компьютерных инцидентов и реагирования на них. Для этих мер понадобятся технические средства и персонал, которые по своей сути и будут являться составляющими собственного центра ГосСОПКА.
Если принято решение о создании центра ГосСОПКА, субъект КИИ должен согласовать этот вопрос с ФСБ РФ.


Как создать собственный центр ГосСОПКА?

Для организации собственного центра ГосСОПКА силами технических средств и процессов необходимо обеспечить выполнение перечня определённых функций. Собственный центр ГосСОПКА должен:

  • выполнять инвентаризацию информационных ресурсов;

  • выявлять уязвимости информационных ресурсов;

  • анализировать угрозы информационной безопасности;

  • повышать квалификацию персонала информационных ресурсов;

  • принимать сообщения о возможных инцидентах от персонала и пользователей информационных ресурсов;

  • обеспечивать процесс обнаружения компьютерных атак;

  • анализировать данные о событиях безопасности;

  • регистрировать инциденты;

  • реагировать на инциденты и ликвидировать их последствия;

  • устанавливать причины инцидентов;

  • анализировать результатов устранения последствий инцидентов.


Технические средства должны быть собраны в единую структуру, которая будет управляться из центра ГосСОПКА и взаимодействовать с другими такими центрами. Также потребуется разработка методических документов, которые будут содержать информацию по настройкам средств обеспечения информационной безопасности, инструкции для персонала и тому подобное.


ЦентрГосСОПКА

Субъект КИИ может организовать центр ГосСОПКА своими силами, используя собственные технические средства и кадровые ресурсы, либо привлечь сторонних специалистов, передав на аутсорс часть функций центра.


4. Кто контролирует выполнение требований 187-ФЗ?


Обеспечение безопасности объектов КИИ РФ контролируют ФСТЭК и ФСБ. Кроме того, эти ведомства регулируют нормативно-правовую часть, связанную с КИИ.


ФСТЭК несет ответственность за ведение реестра значимых объектов КИИ, а также устанавливает требования по обеспечению их безопасности.
ФСБ регулирует и координирует деятельность субъектов КИИ, занимается сбором сведений о компьютерных инцидентах и дает оценку безопасности КИИ.


Если вопросы безопасности КИИ связаны с сетями электросвязи и субъектов КИИ в банковской сфере, требования к ним должны быть согласованы с Минкомсвязью РФ и Центральном Банком РФ соответственно.
Ведомства обязаны контролировать обеспечение безопасности значимых объектов КИИ в соответствии с постановлением Правительства Российской Федерации от 17.02.2018 №162, которое определяет порядок осуществления госконтроля в этой области.


А если требования Закона не будут выполнены?

Вместе с утверждением 187-ФЗ в Уголовный кодекс РФ была включена статья 274.1, устанавливающая уголовную ответственность должностных лиц субъекта КИИ за невыполнение необходимых мероприятий по обеспечению безопасности объекта КИИ.
Для субъектов КИИ статьей предусмотрены такие наказания, как принудительные работы на срок до пяти лет с лишением права, лишение свободы на срок до шести лет с лишением права занимать определенные должности или заниматься определенной деятельностью


Оставить заявку