187 фз на кого распространяется. Что сулит закон о безопасности критической информационной инфраструктуры? Как защитить объекты КИИ

«О безопасности критической информационной инфраструктуры». Начиная с 2013 года, еще на этапе проекта, этот закон бурно обсуждался ИБ-сообществом и вызывал много вопросов относительно практической реализации выдвигаемых им требований. Теперь, когда эти требования вступили в силу и многие компании столкнулись с необходимостью их выполнения, необходимо ответить на самые животрепещущие вопросы.

Для чего нужен этот закон?

Новый Закон предназначен для регулирования деятельности по обеспечению безопасности объектов информационной инфраструктуры РФ, функционирование которых критически важно для экономики государства. Такие объекты в законе называются объектами критической информационной инфраструктуры (КИИ). Согласно документу, к объектам КИИ могут быть отнесены информационные системы и сети, а также автоматизированные системы управления, функционирующие в сфере:

• здравоохранения;
• науки;
• транспорта;
• связи;
• энергетики;
• банковской и иных сферах финансового рынка;
• топливно-энергетического комплекса;
• атомной энергии;
• оборонной и ракетно-космической промышленности;
• горнодобывающей, металлургической и химической промышленности.

Объекты КИИ, а также сети электросвязи, используемые для организации взаимодействия между ними, составляют понятие критической информационной инфраструктуры .

Что является целью закона № 187-ФЗ и как он должен работать?

Главной целью обеспечения безопасности КИИ является устойчивое функционирование КИИ, в том числе при проведении в отношении нее компьютерных атак. Главным принципом обеспечения безопасности является предотвращение компьютерных атак.

КИИ или КСИИ?

До появления нового закона о КИИ в сфере ИБ существовало похожее понятие «ключевые системы информационной инфраструктуры» (КСИИ). Однако с 1 января 2018 года понятие КСИИ было официально заменено на понятие «значимые объекты КИИ».

Какие организации попадают в сферу действия этого закона?

Требования закона о безопасности КИИ затрагивают те организации (государственные органы и учреждения, юридические лица и индивидуальных предпринимателей), которым принадлежат (на праве собственности, аренды или ином законном основании) объекты КИИ или которые обеспечивают их взаимодействие. Такие организации в законе называются субъектами КИИ .

Какие действия должны предпринять субъекты КИИ для выполнения закона?

Согласно документу, субъекты КИИ должны:

• провести категорирование объектов КИИ;
• обеспечить интеграцию (встраивание) в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА);
• принять организационные и технические меры по обеспечению безопасности объектов КИИ.

Что в себя включает категорирование объектов КИИ?

Категорирование объекта КИИ предполагает определение его категории значимости на основе ряда критериев и показателей. Всего устанавливается три категории: первая, вторая или третья. Если объект КИИ не соответствует ни одному из установленных критериев, ему не присваивается ни одна из категорий. Те объекты КИИ, которым была присвоена одна из категорий, называются в законе значимыми объектами КИИ.

• наименование значимого объекта КИИ;
• наименование субъекта КИИ;
• сведения о взаимодействии значимого объекта КИИ и сетей электросвязи;
• сведения о лице, эксплуатирующем значимый объект КИИ;
• присвоенная категория значимости;
• сведения о программных и программно-аппаратных средствах, используемых на значимом объекте КИИ;
• меры, применяемые для обеспечения безопасности значимого объекта КИИ.

Важно отметить, что если в процессе категорирования было определено отсутствие категории значимости у объекта КИИ, результаты категорирования все равно должны быть представлены во ФСТЭК. Регулятор проверяет представленные материалы и при необходимости направляет замечания, которые должен учесть субъект КИИ. Если субъект КИИ не предоставит данные о категорировании, ФСТЭК вправе потребовать эту информацию.

Порядок ведения реестра значимых объектов КИИ будет определен соответствующим приказом, проект которого уже опубликован .

Как проводить категорирование объектов КИИ?

Показатели критериев значимости, порядок и сроки категорирования будут определяться соответствующим постановлением правительства, проект которого также уже подготовлен . В соответствии с текущей версией документа, процедура категорирования включает в себя:

• определение всех процессов, выполняемых субъектом КИИ в рамках своей деятельности;
• выявление критических процессов, нарушение или прекращение которых может привести к негативным последствиям в масштабах страны;
• определение перечня объектов КИИ, подлежащих категорированию, - данный этап должен быть выполнен в течение 6 месяцев со дня вступления постановления правительства в силу;
• оценку показателей критериев значимости в соответствии с установленными значениями - всего проектом постановления правительства предусматривается 14 показателей, определяющих социальную, политическую, экономическую значимость объекта КИИ и его значимость для обеспечения обороны страны, безопасности государства и правопорядка;
• установление соответствия объектов КИИ значениям показателей и присвоение каждому из них одной из категорий значимости либо принятие решения об отсутствии необходимости присвоения им одной из категорий значимости.

Категорирование должно проводиться как для существующих, так и для создаваемых или модернизируемых объектов КИИ специальной комиссией из работников субъекта КИИ. Решение комиссии оформляется соответствующим актом и в течение 10 дней после его утверждения сведения о результатах категорирования должны быть направлены во ФСТЭК. Максимальный срок категорирования объектов КИИ - 1 год со дня утверждения субъектом КИИ перечня объектов КИИ.

Этот порядок является предварительным и должен быть уточнен после утверждения соответствующего постановления правительства.

Что такое ГосСОПКА и для чего она нужна?

А если требования этого закона не будут выполнены?

Вместе с утверждением федерального закона от 26.07.2017 № 187-ФЗ «О безопасности КИИ» в российский Уголовный Кодекс была добавлена ст. 274.1, устанавливающая уголовную ответственность должностных лиц субъекта КИИ за несоблюдение принятых правил эксплуатации технических средств объекта КИИ или нарушение порядка доступа к ним вплоть до лишения свободы сроком на 6 лет.

Пока данная статья не предусматривает ответственности за невыполнение необходимых мероприятий по обеспечению безопасности объекта КИИ, однако в случае наступления последствий (аварий и чрезвычайных ситуаций, повлекших за собой крупный ущерб) непринятие таких мер подпадает под ст. 293 УК РФ «Халатность». Дополнительно следует ожидать изменений в административном законодательстве в области определения штрафных санкций для юридических лиц за неисполнение закона о безопасности КИИ. С большой долей уверенности можно говорить о том, что именно введение существенных денежных штрафов будет стимулировать субъекты КИИ к выполнению требований обсуждаемого закона. [ics-cert.kaspersky.ru ]

Редакция благодарит «Лабораторию Касперского» за разрешение на перепечатку статьи.

Во второй половине 2018 года оформилась нормативная база в теме КИИ. Это дает нам возможность ответить на все основные вопросы.

Для начала определимся с основными понятиями.

Что такое критическая информационная инфраструктура?

Критическая информационная инфраструктура – это информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, а также сети электросвязи, используемые для организации их взаимодействия. Ключевым условием отнесения системы к КИИ является ее использование государственным органом или учреждением, либо российской компанией в следующих сферах:

• здравоохранение,
• наука,
• транспорт,
• связь,
• энергетика,
• банковский (финансовый) сектор,
• топливно-энергетический комплекс,
• атомная энергетика,
• оборонная промышленность,
• ракетно-космическая промышленность
• горнодобывающая промышленность,
• металлургическая промышленность
• химическая промышленность

Также к КИИ будут относиться системы, которые на праве собственности, аренды или на ином законном основании принадлежат российской компании или ИП, и обеспечивают взаимодействие указанных выше систем или сетей.

Понятие критической информационной инфраструктуры раскрыто в Федеральном законе №187-ФЗ от 26.07.2017 «О безопасности критической информационной инфраструктуры» .

О чем говорит 187-ФЗ «О безопасности критической информационной инфраструктуры»?

187-фз является базовым документом для всей тематики КИИ.

• Вводит основные понятия
• Создает основу правового регулирования
• Определяет принципы обеспечения безопасности КИИ
• Вводит понятие Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее – ГосСОПКА)
• Вводит основу для создания Национального координационного центра по компьютерным инцидентам (далее — НКЦКИ)
• Описывает полномочия Президента и органов госвласти в области обеспечения безопасности КИИ
• Содержит базу для определения категорий объектов КИИ
• Создает законодательную основу ведения реестра значимых объектов КИИ
• Определяет права и обязанности субъектов КИИ
• Определяет задачи и требования системы обеспечения безопасности значимого объекта КИИ
• Закладывает основу оценки безопасности КИИ
• Распределяет права и обязанности по государственному контролю

Что такое ГосСОПКА?

ГосСОПКА — это единый территориально распределенный комплекс, включающий силы и средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.

Данное определение мы видим в 187-ФЗ.

По своей сути, ГосСОПКА является территориально распределенной совокупностью центров (сил и средств), в числе которых - Национальный координационный центр по компьютерным инцидентам .

Если обобщить, то структура ГосСОПКА выглядит следующим образом:

Подробности можно получить из следующих документов:

• Указ Президента РФ от 15 января 2013 г. № 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации»
• «Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации» (утв. Президентом РФ 03.02.2012№803)
• «Концепция государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации» (утв. Президентом РФ 12.12.2014№ К 1274)
• Методические рекомендации по созданию ведомственных и корпоративных центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации

Что такое НКЦКИ?

Национальный координационный центр по компьютерным инцидентам – структура, отвечающая за обеспечение координации деятельности субъектов КИИ, является составной частью ГосСОПКА.

Создана приказом ФСБ России №366 от 24 июля 2018 года «О Национальном координационном центре по компьютерным инцидентам».

В функции НКЦКИ входит:

• Координация мероприятий и участие в мероприятиях по реагированию на компьютерные инциденты
• Организует и осуществляет обмен информацией о компьютерных инцидентах
• Осуществляет методическое обеспечение
• Участвует в обнаружении, предупреждении и ликвидации последствий компьютерных атак
• Обеспечивает информирование о компьютерных атаках
• Собирает и анализирует информацию о компьютерных инцидентах и атаках

«О безопасности критической информационной инфраструктуры (КИИ) Российской Федерации» который вступил в силу 01 января 2018 г. постепенно набирает обороты и пополняется новыми подзаконными актами, которые часто не облегчают жизнь ИБ-специалисту. Давайте разберёмся в ситуации с КИИ (ФЗ-187), что ожидать и что необходимо предпринять.

КТО МЫ, КИИ ИЛИ НЕ КИИ?

Первым делом необходимо выяснить, подпадает ли организация под понятие «субъект КИИ» и сделать это можно посмотрев законодательство. Не нашли себя, выдохните, у вас немного меньше головной боли.

Какие критерии указывают что вы субъект КИИ?

Первый критерий – ОКВЭД организации. Общероссийский классификатор видов экономической деятельности (ОКВЭД), они, а их может быть много у одного предприятия, открываются в любой момент деятельности, поэтому актуальный список вы можете посмотреть в выписке ЕГРЮЛ предприятия или информационно-справочных сервисах «Контур Фокус», «Спарк» и пр. ОКВЭД явно укажет, к какой сфере деятельности относится ваше предприятие и подпадает ли под перечень следующих отраслей указанных в ФЗ №-187:

• здравоохранение;
• наука;
• транспорт;
• связь;
• энергетика;
• банковская сфера и иные финансовые сферы;
• топливно-энергетический комплекс;
• область атомной энергии;
• оборонная промышленность;
• ракетно-космическая промышленность;
• горнодобывающая промышленность;
• металлургическая промышленность;
• химическая промышленность;
• юридически лица и/или ИП, которые обеспечивают взаимодействие указанных систем или сетей.

Если ваша организация относится к сфере здравоохранения (ОКВЭД 86), рекомендуем для начала ознакомиться с этим материалом:

Второй критерий – лицензии и иные разрешительные документы на различные виды деятельности которые относятся к вышеперечисленным сферам и которые будут в фокусе внимания согласно ФЗ №-187 .

Третий критерий – учредительные документы организаций, к ним относятся уставы, положения организаций (если речь идет о государственных органах), в которых может быть прописан вид деятельности указывающий на принадлежность к критичным отраслям.

Пример из нашего опыта проведения работ по категорированию. Компания по основному виду экономической деятельности имела код ОКВЭД 46.73.6 «Торговля оптовая прочими строительными материалами и изделиями», на первый взгляд ни чего особенного, в перечень отраслей согласно ФЗ №-187 не попадает и можно «спать спокойно». Но при детальном изучении устава и лицензий на виды деятельности оказалось, что у компании есть лицензия на деятельность по перевозке грузов железнодорожным транспортом и собственный парк железнодорожного транспорта. Исходя из данных обстоятельств, предприятие относится к отрасли «транспорт» и следовательно, необходимо выполнять требования ФЗ №-187.

Попали под один критерий из трёх? Поздравляем, вы субъект КИИ! Но нужно помнить, что каждый случай разбирается индивидуально и эта тема отдельного обсуждения, посвященная категорированию объектов критической информационной инфраструктуры которую рассмотрим в следующих статьях.

Нормативно-правовой акт четко определяет, что «к субъектам критической информационной инфраструктуры относятся государственные органы и учреждения, а так же российские юридические лица и/или индивидуальные предприниматели которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления».

У каждого субъекта КИИ есть объекты КИИ:

• информационные системы;
• автоматизированные системы управления технологическими процессами;
• информационно-телекоммуникационные сети.

функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

Объекты критической информационной инфраструктуры обеспечивают функционирование управленческих, технологических, производственных, финансово-экономических и иных процессов субъектов КИИ.

Процесс определения принадлежности к субъекту критической информационной инфраструктуры не так прост, как может показаться на первый взгляд. Как мы говорили выше, есть много неочевидных факторов, которые могут влиять на результат, например, открытые дополнительные, не основные, виды деятельности по ОКВЭД или действующие лицензии, которые могут отнести вас субъекту критической информационной инфраструктуре. Мы рекомендуем провести более детальное погружение в вопрос определения принадлежности к субъекту КИИ.

ЧТО ДЕЛАТЬ ЕСЛИ ВЫ СУБЪЕКТ КИИ?

С субъектом и объектом критической информационной инфраструктуры разобрались. Что необходимо сделать вам, как субъекту КИИ, дальше?

Первый этап. Необходимо создать внутреннюю комиссию по категорированию и определить состав участников из наиболее компетентных специалистов по вашим бизнес-процессам. Почему делается акцент на бизнес-процессы и уровни компетенции участников? Только «владелец» бизнес-процесса знает все нюансы, которые могут привести к их нарушению и последующим негативным последствиям. Этот владелец или компетентное уполномоченное лицо должен быть в составе комиссии для присвоения правильной категории значимости процессу.

Второй этап. На этом этапе собираются исходные данные, проводится предпроектное обследование и на основании полученных данных, комиссия принимает решение о наличии перечня объектов критической информационной инфраструктуры, подлежащих категорированию и присваивает категорию значимости. Согласно Постановлению Правительства РФ от 08.02.2018 N 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» категорий значимости три, 1-я самая высокая.

• социальная;
• политическая;
• экономическая;
• экологическая;
• значимость для обеспечения обороны страны, безопасности государства и правопорядка.

На этом этапе есть один нюанс, после утверждения перечня объектов КИИ подлежащих категорированию, субъект КИИ в течении 5 дней обязан известить об этом ФСТЭК России. С этого момента на проведение процедур категорирования отводится максимум 1 год. Если объект КИИ не подпадает под один из показателей критериев значимости, то у него отсутствует необходимость присвоения категории значимости, но тем не менее предприятие является субъектом КИИ у которого отсутствуют критически значимые объекты КИИ.

Результатом второго этапа является «Акт категорирования объекта КИИ », который подписывается членами комиссии и утверждается руководителем субъекта КИИ. Акт должен содержать полные сведения об объекте КИИ и хранится субъектом до последующего пересмотра критериев значимости. С момента подписания акта, субъект КИИ в течении 10 дней направляет сведения о результатах категорирования по утверждённой форме в ФСТЭК России (на момент написания статьи форма на стадии согласования окончательного варианта). В течении 30 дней ФСТЭК проверяет соблюдение порядка и правильности категорирования и в случае положительного заключения, вносит сведения в реестр значимых объектов КИИ с последующим уведомлением субъекта КИИ в 10-ти дневный срок.

Третий этап, заключительный. Пожалуй, один из самых трудоёмких и дорогих – выполнение требований по обеспечению безопасности значимых объектов КИИ. Не будем вдаваться сейчас в детали, а перечислим ключевые стадии по обеспечению безопасности объектов КИИ:

• разработка технического задания;
• разработка модели угроз информационной безопасности;
• разработка технического проекта;
• разработка рабочей документации;
• ввод в действие.

Более подробную информацию по срокам и этапам выполнения требований ФЗ-187 можно узнать из нашей статьи: « ». Так же на странице вы можете БЕСПЛАТНО скачать стартовый комплект документов для начала работ по категорированию объектов КИИ.

ЧТО БУДЕТ ЕСЛИ ЭТОГО НЕ ДЕЛАТЬ?

Мы рассмотрели, кто такой субъект критической информационной инфраструктуры, что такое объект КИИ и какие необходимо выполнить действия для выполнения требований ФСТЭК. Теперь хотелось немного поговорить об ответственности, возникающей в случае невыполнения требований. Согласно Указа Президента РФ от 25.11.2017 г. №569 «О внесении изменений в Положение о Федеральной службе по техническому и экспортному контролю, утвержденное Указом Президента РФ от 16.08.2004 г. №1085» федеральный орган исполнительной власти (ФОИВ), уполномоченный в области обеспечения безопасности КИИ является ФСТЭК. Государственный контроль в области обеспечения безопасности значимых объектов КИИ будет осуществлять ФСТЭК в виде плановых и внеплановых проверок с последующим предписанием в случае выявленных нарушений. Плановые проверки проводятся:

• по истечению 3-х лет со дня внесения сведений об объекте КИИ в реестр;
• по истечению 3-х лет со дня осуществления последней плановой проверки.

Внеплановые проверки будут проводиться в случае:

• по истечению срока выполнения субъектом КИИ предписания об устранении выявленного нарушения;
• возникновения компьютерного инцидента, повлекшего негативные последствия;
• по поручению Президента РФ или Правительства РФ, либо на основании требования Прокуратуры РФ.

Если ФСТЭК выявит нарушение, будет выписано предписание с конкретным сроком устранения, который можно будет продлить по уважительным причинам, а вот в случаи с Прокуратурой РФ будет все сложнее, т.к. она придёт к вам уже с постановлением об административном правонарушении, ссылаясь на статью 19.5 ч.1 КоАП РФ о невыполнении в установленный срок постановления госнадзорного органа.

И еще немного о мерах наказания, которые были введены за не соблюдение требований по обеспечению безопасности критической информационной структуры. Согласно Федеральному закону от 26.07.2017 № 194-ФЗ «О внесении изменений в УК РФ и УПК РФ в связи с принятием ФЗ «О безопасности критической информационной инфраструктуры РФ» максимальная мера наказания, за нарушения норм безопасности КИИ, составляет лишение свободы до 10 лет. Пожалуй, весомый аргумент!

В дальнейших статьях мы более подробно расскажем о каждом из этапов выполнения требований ФСТЭК в области обеспечения безопасности критической информационной инфраструктуры. Подписывайтесь на уведомления нашего сайте, присоединяйтесь к нам на Facebook и добавляйте в закладки блог.

Мы пишем о том, что делаем!

Обратитесь в компанию «ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ»! В контексте требований Федерального закона №-187 о безопасности критической информационной инфраструктуры специалисты компании проведут следующие виды работ:

• аудит существующей инфраструктуры;
• классификацию имеющихся информационных активов;
• оценку рисков информационной безопасности;
• разработку модели угроз информационной безопасности;
• проведение категорирования объектов критической информационной инфраструктуры;
• определение уровня соответствия требованиям регуляторов по защите информации;
• разработку плана поэтапной реализации требований законодательства по обеспечению безопасности объектов КИИ;
• формирование бюджета на мероприятия по защите информации.

А так же, создадут комплексную систему безопасности производства «под ключ», учитывая архитектуру и специфику вашего производства. Используя лучшие российские и мировые практики по созданию систем безопасности снизят риски и угрозы бизнеса до минимального уровня.

На сегодняшний день у субъектов КИИ уже должны быть готовы и переданы во ФСТЭК России перечни критически важных объектов. Одни компании смогут сделать это своими силами, другие могут воспользоваться услугами консалтинговых компаний и системных интеграторов. Для приведения систем защиты в соответствие Федеральному закону №187 от 26.07.2017 г. «О безопасности КИИ РФ» нужно провести обследование ИТ-инфраструктуры и запланировать организационные и технические мероприятия. Но, как водится, есть нюансы.

Введение

Еще год назад, когда речь шла о безопасности критически важных объектов, на ум приходила защита промышленных объектов, например гидроэлектростанций, и 31-й Приказ ФСТЭК России. Ситуация изменилась - на самом высшем государственном уровне было решено, что если, например, кибератака остановит на неделю работу крупного банка, то ущерб для людей будет, мягко говоря, значительным. С 1 января 2018 года вступил в силу Федеральный закон №187 от 26.07.2017 г. «О безопасности КИИ РФ» , вводящий понятие критической информационной инфраструктуры. Кто сегодня подпадает под его действие и какие меры необходимо предпринять для обеспечения безопасности в соответствии с новыми требованиями - расскажем в статье.

187-ФЗ: что такое субъекты и объекты КИИ

Согласно закона «О безопасности КИИ РФ», субъекты КИИ - это государственные органы и учреждения, коммерческие компании или ИП, которым на законных основаниях (например, на правах собственности или аренды) принадлежат информационные системы (ИС), информационно-телекоммуникационные сети (ИТКС) и автоматизированные системы управления (АСУ), использующиеся в определенных сферах деятельности. Эти ИС, ИТКС и АСУ закон называет объектами КИИ, а их совокупность составляет критическую информационную инфраструктуру Российской Федерации. Под ее безопасностью подразумевается состояние защищенности, обеспечивающее устойчивое функционирование при проведении компьютерных атак, а функции контроля за исполнением закона возложены на ФСТЭК России указом Президента РФ №569 от 25 ноября 2017 г. «О внесении изменений в Положение о Федеральной службе по техническому и экспортному контролю, утвержденное Указом Президента Российской Федерации от 16 августа 2004 г. № 1085 » .

Кого касаются требования 187-ФЗ о безопасности КИИ

Под требования законодательства о безопасности КИИ подпадают субъекты, работающие в сфере атомной, ракетно-космической, горнодобывающей, металлургической, химической и оборонной промышленности, здравоохранения, науки, энергетики, транспорта и связи. Субъектами КИИ также являются предприятия топливно-энергетического комплекса и организации из банковской и финансовой сферы.

Чтобы понять, нужно ли вам позаботиться о защите объектов КИИ, придется проверить коды ОКВЭД, уставные документы и выданные на соответствующие виды деятельности лицензии. Если по формальным признакам организация не относится к указанным в ФЗ-187 отраслям, расслабляться не стоит - необходимо проанализировать бизнес-процессы и информационные системы (ИС, ИТКС и АСУ), работающие в регулируемых отраслях.

Как составить перечень объектов КИИ

В первую очередь субъектам необходимо сформировать перечень объектов КИИ и провести их категорирование. Для этого создается специальная комиссия, утверждаемая приказом - в нем обязательно указывается состав комиссии, план мероприятий со сроками исполнения, а также ответственный за взаимодействие со ФСТЭК России (туда отправляется перечень объектов). Необходимо определить выполняемые субъектом КИИ управленческие, производственные, финансовые процессы и выявить среди них критические, нарушение или прекращение которых может привести к масштабным негативным последствиям. Затем нужно выявить объекты КИИ, относящиеся к критическим процессам, составить перечень подлежащих категорированию и передать его ФСТЭК в течение 5 дней с момента утверждения. Согласно решению №59 Коллегии ФСТЭК России от 24.04.2018 , сделать это нужно было до 1 августа 2018 года.

Как определить категории значимости объекта КИИ

Критерии значимости рассмотрены в постановлении Правительства РФ №127 от 08.02.2018 «Об утверждении Правил категорирования объектов КИИ РФ, а также перечня показателей критериев значимости объектов КИИ РФ и их значений» . Критериев всего пять: социальный, политический, экономический, экологический, а также обеспечение обороноспособности, безопасности государства и правопорядка. В каждом критерии выделяется четыре категории: первая (высшая), вторая, третья и самая низшая - без значимости. Последняя применяется, если показатели значимости ниже, чем в третьей категории.

Первое, что нужно сделать, проанализировать уязвимости и смоделировать действия злоумышленников, которые могут привести к возникновению компьютерных инцидентов на объектах КИИ. В результате формируется модель угроз и модель нарушителя. После этого необходимо оценить показатели критериев значимости, установить соответствие объектов КИИ значениям этих показателей и присвоить каждому из объектов одну из категорий значимости (либо принять решения об отсутствии необходимости в присвоении категории).

Показатели значимости подробно расписаны все в том же 127-м постановлении правительства. Если взять, к примеру, социальный критерий, можно говорить об ущербе для жизни и здоровья людей. Третья категория присваивается, если в результате инцидента пострадает один и более человек, а первая - если есть риски для более чем 500 человек. Следующий показатель социального критерия - нарушение или прекращение функционирования объектов обеспечения жизнедеятельности населения. Это системы водоснабжения, канализации, теплоснабжения, очистки сточных вод и электроснабжения. Тут категории присваиваются по площади, на которой возникают нарушения. Третья категория - муниципальные образования, а первая присваивается, если происходит выход за пределы субъекта федерации.

Социальный критерий оценивается еще по нескольким показателям: транспорт, сети связи и доступ к государственным услугам. С другими критериями ситуация аналогичная - есть множество показателей, и по каждому из них мы оцениваем категории в соответствии со степенью возможного ущерба: количеству пострадавших, затронутым инцидентом территориям, времени недоступности услуг, снижению дохода, уровню вредного воздействия на окружающую среду и т. д. По результатам составляются акты категорирования объектов КИИ, которые необходимо направить в ФСТЭК в течение 10 дней после подписания (приказ ФСТЭК России №236 от 22.12.2017 «Об утверждении формы направления сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий» ). Категорирование объектов КИИ нужно закончить до 1 января 2019 года.

Оценивая объекты КИИ, выгодно делать их разбивку: если у вас есть один большой объект с множеством критичных систем и разными критериями значимости, для него будет установлена максимальная из всех возможных категория значимости. Если такой объект можно разбить на несколько более мелких, то у них могут быть разные (в том числе и более низкие) категории значимости в соответствии с определенными постановлением правительства критериями и показателями. Такой подход выгоден, поскольку для менее значимых объектов меры по защите будут проще и дешевле.

Как защитить объекты КИИ

Перечень организационных и технических мер по обеспечению безопасности для значимых объектов КИИ есть в приказе ФСТЭК России №239 от 25.12.2017 «Об утверждении Требований по обеспечению безопасности значимых объектов КИИ РФ» . Требования очень серьезные и защита значимых объектов КИИ должна им соответствовать, но для не значимых объектов такие меры не нужны.

Перечень организационных и технических мер по защите значимых объектов КИИ:

• Идентификация и аутентификация (ИАФ);
• Управление доступом (УПД);
• Ограничение программой среды (ОПС);
• Защита машинных носителей информации (ЗНИ);
• Аудит безопасности (АУД);
• Антивирусная защита (АВЗ);
• Предотвращение вторжений (компьютерных атак) (СОВ);
• Обеспечение целостности (ОЦЛ);
• Обеспечение доступности (ОДТ);
• Защита технических средств и систем (ЗТС);
• Защита информационной (автоматизированной) системы и её компонентов (ЗИС);
• Реагирование на компьютерные инциденты (ИНЦ);
• Управление конфигурацией (УКФ);
• Управление обновлениями программного обеспечения (ОПО);
• Планирование мероприятий по обеспечению безопасности (ПЛН);
• Обеспечение действий в нештатных ситуациях (ДНС);
• Информирование и обучение персонала (ИПО).

Нелишне будет ознакомиться и с приказом ФСТЭК России №235 от 21.12.2017 «Об утверждении Требований к созданию систем безопасности значимых объектов КИИ РФ и обеспечению их функционирования» . Здесь, в частности, перечислены средства обеспечения безопасности:

• СрЗИ от несанкционированного доступа (включая встроенные в общесистемное, прикладное программное обеспечение);
• межсетевые экраны;
• средства обнаружения (предотвращения) вторжений (компьютерных атак);
• средства антивирусной защиты;
• средства (системы) контроля (анализа) защищенности;
• средства управления событиями безопасности;
• средства защиты каналов передачи данных.

Все они должны быть сертифицированы на соответствие требованиям по безопасности или пройти оценку соответствия в форме испытаний или приемки в соответствии с Федеральным законом от 27.12.2002 г. № 184-ФЗ «О техническом регулировании».

Как подключиться к НКЦКИ (ГосСОПКА)

Все субъекты КИИ должны подключиться к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), даже если у них нет значимых объектов КИИ. В главный центр ГосСОПКА в обязательном порядке будут передаваться данные о связанных с информационной безопасностью инцидентах на объектах КИИ - подчеркиваем, здесь речь идет обо всех объектах, а не только о значимых. Регулирующая процесс законодательная и нормативная база еще не до конца разработана, однако не так давно приказом ФСБ РФ от 24.07.2018 № 366 «О Национальном координационном центре по компьютерным инцидентам» была учреждена новая структура. НКЦКИ будет координировать мероприятия по реагированию на инциденты, осуществлять обмен информацией об атаках между субъектами КИИ и другими организациями, а также займется методическим обеспечением. Центр будет получать от субъектов КИИ и других организаций данные для передачи в ГосСОПКА, в его задачи также войдет определение форматов обмена информацией и технических параметров компьютерного инцидента, передаваемых в ГосСОПКА.

Какова ответственность за нарушения?

Если вы не успели отправить в ФСТЭК перечень объектов КИИ, никакой ответственности за это не предусмотрено. Но ФЗ-187 действует с начала 2018 года, и если произойдет инцидент, а необходимые меры по защите не были приняты, последствия для субъекта КИИ будут серьезными - в уголовный кодекс уже внесены соответствующие изменения. Согласно ст. 274.1 УК РФ за создание, распространение и (или) использование ПО или иной компьютерной информации для неправомерного воздействия на КИИ предусмотрены принудительные работы на срок до 5 лет или до 5 лет лишения свободы, а также штраф до 1 млн рублей. Неправомерный доступ к информации КИИ, если он повлек вред, будет наказан принудительными работами сроком до 5 лет, до 6 лет лишения свободы и штрафами до 1 млн рублей.

Есть ответственность и для субъектов КИИ. Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой законом информации КИИ либо правил доступа, если оно повлекло причинение вреда для КИИ, наказывается принудительными работами на срок до 5 лет, лишением свободы до 6 лет, запретом на определенные виды деятельности на срок до 3 лет для юридических лиц и индивидуальных предпринимателей или запретом занимать определенные должности для физических лиц на тот же срок.

У этой статьи есть усиление. Если преступление совершено группой лиц или с использованием служебного положения, оно наказывается лишением свободы на срок до 8 лет, а также запретом на определенные виды деятельности (юридические лица и ИП) или запретом занимать определенные должности (физические лица) на срок до 3 лет. В случае тяжких последствий максимальный срок лишения свободы увеличивается до 10 лет, а запрет на виды деятельности и должности - до 5 лет.

Выводы

Правила игры изменились. Нравится нам это или нет, защита важной для жизнедеятельности людей и безопасности страны информационной инфраструктуры больше не является личным делом ее владельцев. У субъектов КИИ уже должны быть готовы (и переданы в ФСТЭК России) перечни объектов. Практика показывает, что далеко не все успели это сделать - стоит поторопиться и заняться категорированием. Крупные организации могут иметь соответствующие компетенции, чтобы провести все мероприятия самостоятельно, но для небольших это станет серьезной проблемой - на выручку придут консалтинговые компании и системные интеграторы. Для приведения систем защиты в соответствие ФЗ-187 нужно провести обследование ИТ-инфраструктуры и сформировать дорожную карту работ, включающую перечень организационных и технических мероприятий. Время на это пока еще есть, но его осталось уже не так много, стоит поспешить.

1 января 2018 года вступил в силу Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», который касается не только госучреждений и коммерческих организаций, но и индивидуальных предпринимателей.

Суть новой законодательной инициативы раскрывает Василий Степаненко , директор департамента информационной безопасности компании «Сервионика», входящей в группу «АйТеко».

Каковы предпосылки принятия нового федерального закона? Одна из причин - рост рисков, связанных с безопасностью данных. По оценкам ФСБ России, в 2016 году было совершено порядка 70 миллионов попыток атак на объекты критической информационной инфраструктуры РФ, и 2/3 из них - атаки, совершенные из-за границы.

Четверть целевых кибератак, зафиксированных «Лабораторией Касперского», были направлены на промышленные компании. По наблюдениям экспертов в сфере информационной безопасности, в 2017-м число APT-атак выросло в два раза, а среднее время присутствия злоумышленника в инфраструктуре - от вторжения до обнаружения - составляет три года.

Что предстоит усовершенствовать? Во-первых, ГосСОПКА - государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ.

Во-вторых, защищенность информационных систем госорганов, включая усиление персональной ответственности руководства за обеспечение ИБ. Именно эти два пункта в значительной мере реализованы в федеральном законе о безопасности КИИ, принятом летом 2017 года.

На какие отрасли распространяется 187-ФЗ? Новый закон охватывает здравоохранение, науку, транспорт, связь, энергетику, банки, финансы, ТЭК, атомную энергетику, оборонную, ракетно-космическую, горнодобывающую, металлургическую и химическую отрасли промышленности.

К субъектам КИИ относится любое юридическое лицо, обладающее информационной системой, используемой в одной из этих отраслей. К значимым объектам КИИ, распределенным на три категории, относятся все информационные системы, инциденты с которыми могут нарушить выполняемые ими социально-значимые функции и нанести значительный ущерб.

К ним предъявляются наиболее серьезные требования по обеспечению ИБ, неисполнение которых может повлечь серьезные последствия вплоть до уголовного наказания.

Как исполнение положений закона будет регулироваться и контролироваться? Закон определяет четырех регуляторов: ФСТЭК (Федеральную службу по техническому и экспортному контролю) и ФСБ как основных, Банк России и Минкомсвязь как дополнительных, согласовывающих требования по обеспечению безопасности объектов КИИ для своей сферы регулирования.

Функции ФСТЭК состоят в категорировании и ведении реестра значимых объектов КИИ, разработке требований по обеспечению информационной безопасности объектов КИИ и контроле их выполнения. ФСБ отвечает за практические аспекты безопасности, являясь главным центром ГосСОПКА.

Что необходимо сделать субъекту КИИ, чтобы выполнить требования закона? Самостоятельно провести категорирование всех своих объектов КИИ и сообщить о них в письменной форме в ФСТЭК для внесения сведений в реестр значимых объектов КИИ.

Реагировать на компьютерные инциденты, незамедлительно информируя о них ФСБ и оказывая содействие должностным лицам в деятельности, связанной с предупреждением, обнаружением и ликвидацией последствий инцидентов. Обеспечивать выполнение порядка, технических условий установки и эксплуатации технических средств ГосСОПКА.

Как будет осуществляться надзор за выполнением законодательных требований? ФСТЭК будет следить за правильностью категорирования объектов КИИ и выполнением требований к обеспечению информационной безопасности значимых объектов.

Плановые проверки будут проводиться каждые 3 года, внеплановые - по произошедшим инцидентам, поручениям президента и правительства или по требованию прокуратуры.

Оценка безопасности объектов КИИ будет осуществляться органами ФСБ. ФСБ будет производить анализ сведений от технических средств ГосСОПКА, из реестра значимых объектов КИИ, сведений, предоставляемых субъектами.

Что будет, если нарушить этот закон? Невыполнение обязанности по категорированию и предоставлению сведений об отдельных объектах КИИ не преследуется по закону, однако невыполнение требований по обеспечению безопасности КИИ, в том числе повлекшее за собой тяжкие последствия или угрозу их возникновения, наказуемо.

Насколько сложно реализовать требования нового закона на практике? Большинство российских промышленных компаний тратят сегодня на информационную безопасность менее 50 млн рублей в год.

При этом опрошенные в ходе исследования «Сколько стоит безопасность» руководители 27% организаций оценили в аналогичную сумму потери от одного дня простоя инфраструктуры из-за кибератаки. Во многих компаниях нет отдельного бюджета на обеспечение информационной безопасности: он является частью ИТ-бюджета, составляя не более 20% от него.

Для реализации требований 187-ФЗ и подзаконных актов регуляторов требуются значительные средства, и руководителям субъектов КИИ необходимо как-то выходить из ситуации. На сегодняшний день один из наиболее обсуждаемых вариантов решения проблемы обеспечения полноценной защиты объектов КИИ - подключение их к корпоративным центрам реагирования (Security Operations Center - SOC).

Они предоставляют полный спектр услуг по мониторингу и администрированию систем защиты информации, выявлению и реагированию на инциденты. Такой подход, возможно, станет одним из важных трендов в области ИБ в России.

Услуги SOC позволят субъектам КИИ более экономно реализовать требования нового закона. С вступлением 187-ФЗ в силу обеспечение информационной безопасности становится непрерывным процессом, а не «заморозкой» системы в эталонном состоянии.