Это части одной истории, поэтому для простоты все 3 законопроекта будем называть:
Законопроект О безопасности критической информационной инфраструктуры
Кто занимался данной тематикой, знают, что до настоящего момента тематика безопасности критической информационной инфраструктуры (далее - КИИ) регулируется системой ведомственных документов. По данной тематике шли и идут проекты.
Учитывая, что в том или ином виде законопроект о безопасности КИИ превратится в закон в самое ближайшее время, то смысла вспоминать былое уже нет. Ведь вся существующая система документации, согласно законопроекту должна быть пересмотрена.
Одних только приложений к законопроекту 17 штук.
Официально законопроект вносится Правительством РФ. Данный факт плюс общее содержание проекта приводят к мысли о главенствующей роли ФСБ в подготовке и продвижении данного документа. Об этом чуть позже.
Итак, законопроект вводит целый ряд важных понятий, такие как:
Искреннее недоумение у меня вызывает понятие - российские технологии , а также технические, в том числе предназначенные для поиска признаков компьютерных атак в сетях электросвязи, программные, лингвистические, правовые, организационные средства, средства сбора и анализа информации, поддержки принятия управленческих решений (ситуационные центры), предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак .
Т.е. средства обнаружения, предупреждения и ликвидации последствий компьютерных атак - это российские технологии? Вот как так можно писать? Ну да ладно, не будем придираться, надеюсь поправят, тем более что дальнейший текст проекта логичен.
Законопроект вводит две сущности:
Пояснений пока нет, но очевидно роль ФО1 достанется ФСТЭК, ФО2 - ФСБ. Это вытекает из описания их деятельности.
Так вот, президент РФ определяет данные органы исполнительной власти и основные направления в области обеспечения безопасности КИИ. На этом фоне появление новой Доктрины информационной безопасности выглядит еще более логичным в общем потоке новостей.
ФО1, проводит проверку правильности категорирования, устанавливает требования к безопасности по каждой категории НО! за исключением объектов связи и информационно-телекоммуникационных сетей, для этого в проекте закона есть Федеральный орган исполнительной власти в области связи (видимо речь о Минкомсвязи).
У ФО2 задачи поинтереснее:
В самом проекте закона есть описание системы безопасности значимого объекта КИИ. Такая система безопасности должна включать в себя:
Координацию деятельности по компьютерным атакам осуществляет Национальный координационный центр по компьютерным инцидентам (читай ФСБ).
Оценку состояния защищенности КИИ осуществляет ФО2.
Теперь по государственному контролю обеспечения безопасности КИИ. Это статья 13. Проверки проводит ФО1. Описаны основания для плановых и внеплановых проверок. Плановые проверки проходят не чаще одного раза в 3 года. Внеплановые проверки проводятся в случаях:
Закон вступает в силу с 1 января 2017. Статьи по категорированию, правам и обязанностям субъектов КИИ, по системе безопасности, а также проверкам и ответственности с 1 января 2018 года.
Теперь по ответственности. В УК РФ предлагается внести новую статью 271.1 Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации . Максимальный срок по статье до 10 лет. В приложенном отзыве Верховного суда по внесению статьи 271.1 в УК РФ есть такая ОЧЕНЬ правильная ремарка:
Вызывает некоторые опасения то, что в диспозиции проектной статьи для определения последствий общественно-опасных деяний используются признаки только субъективно-оценочного характера, и что это может стать причиной трудностей у правоприменителя при установлении причинённого вреда.
Но это так, читателям на подумать.
Законопроект с высокой долей вероятности примут до конца года. Законопроект серьезный и факт его принятия повлечет серьезные последствия.
В связи с утверждением ряда нормативных правовых актов в области безопасности КИИ после выхода данной статьи, 22.03.2018 в текст статьи были внесены изменения и дополнения.
1 января, с приходом нового 2018 года, в нашей стране вступил в действие закон «О безопасности критической информационной инфраструктуры» (далее – Закон). Начиная с 2013 года, еще на этапе проекта, этот закон бурно обсуждался ИБ-сообществом и вызывал много вопросов относительно практической реализации выдвигаемых им требований. Теперь, когда эти требования вступили в силу и многие компании столкнулись с необходимостью их выполнения, мы постараемся ответить на самые животрепещущие вопросы.
Новый Закон предназначен для регулирования отношений в области обеспечения безопасности объектов информационной инфраструктуры РФ, функционирование которых критически важно для экономики государства. Такие объекты в законе называются объектами критической информационной инфраструктуры (далее – объекты КИИ) . Согласно Закону, к объектам КИИ могут быть отнесены информационные системы и сети, а также автоматизированные системы управления, функционирующие в сфере:
Объекты КИИ, а также сети электросвязи, используемые для организации взаимодействия между ними, составляют понятие критической информационной инфраструктуры .
Главной целью обеспечения безопасности КИИ является устойчивое функционирование КИИ при проведении в отношении нее компьютерных атак. Одним из главных принципов обеспечения безопасности является предотвращение компьютерных атак.
До появления нового закона о КИИ в сфере ИБ существовало похожее понятие ключевых систем информационной инфраструктуры (КСИИ). Однако с 1 января 2018 года понятие КСИИ было официально заменено на понятие «значимые объекты КИИ».
Требования Закона затрагивают те организации (государственные органы и учреждения, юридические лица и индивидуальных предпринимателей), которым принадлежат (на праве собственности, аренды или ином законном основании) объекты КИИ или которые обеспечивают их взаимодействие. Такие организации в Законе называются субъектами КИИ .
Согласно закону, субъекты КИИ должны:
Категорированию подлежат объекты КИИ, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов КИИ.
Категорирование объекта КИИ предполагает определение его категории значимости на основе ряда критериев и показателей. Всего устанавливается три категории – первая, вторая или третья (в порядке убывания значимости). Если объект КИИ не соответствует ни одному из установленных критериев, ему категория не присваивается. Те объекты КИИ, которым была присвоена одна из категорий, называются в законе значимыми объектами КИИ.
Важно отметить, что если в процессе категорирования было определено отсутствие категории значимости у объекта КИИ, результаты категорирования все равно должны быть представлены во ФСТЭК России. Регулятор проверяет представленные материалы и при необходимости направляет замечания, которые должен учесть субъект КИИ.
Если субъект КИИ не предоставит данные о категорировании, ФСТЭК России вправе потребовать эту информацию.
Порядок ведения реестра значимых объектов КИИ определяется приказом ФСТЭК России от 06.12.2017 №227 «Об утверждении Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации».
Показатели критериев значимости, а также порядок и сроки категорирования определены в «Правилах категорирования объектов критической информационной инфраструктуры Российской Федерации» утверждённых соответствующим постановлением правительства от 8 февраля 2018 г. № 127 (далее – Правила). Правила регламентируют процедуру категорирования, а также содержат перечень критериев и их показатели для значимых объектов КИИ первой, второй и третьей категории.
Согласно Правилам, процедура категорирования включает в себя:
Категорирование должно проводиться как для существующих, так и для создаваемых или модернизируемых объектов КИИ специальной комиссией под председательством руководителя субъекта КИИ (или уполномоченного им лица), его работников и, при необходимости, приглашённых специалистов ведомств-регуляторов в соответствующей сфере. Решение комиссии оформляется соответствующим актом и в течение 10 дней после его утверждения направляется во ФСТЭК России. Предоставленные материалы в тридцатидневный срок со дня получения проверяются регулятором на соответствие порядку осуществления категорирования и оценивается правильность присвоения категории.
Категория значимого объекта КИИ может быть изменена по мотивированному решению ФСТЭК России в рамках государственного контроля безопасности значимых объектов КИИ, в случае изменения самого объекта КИИ, а также в связи с реорганизацией субъекта КИИ (в том числе ликвидацией, изменением его организационно-правовой формы и т.д.).
ГосСОПКА представляет собой единый территориально распределенный комплекс, включающий силы и программно-технические средства обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее – силы и средства ОПЛ КА).
К силам ОПЛ КА относятся:
ГосСОПКА предназначена для обеспечения и контроля безопасности КИИ в Российской Федерации и в дипломатических представительствах страны за рубежом.
В данной системе должна собираться и агрегироваться вся информация о компьютерных атаках и инцидентах, получаемая от субъектов КИИ. Перечень информации и порядок ее предоставления в ГосСОПКА будет определен соответствующим приказом, проект которого был представлен на общественное обсуждение. Согласно текущей версии документа, срок предоставления информации о кибератаке составляет 24 часа с момента обнаружения.
Кроме того, в рамках ГосСОПКА организуется обмен информацией о компьютерных атаках между всеми субъектами КИИ, а также международными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты.
Технически ГосСОПКА будет представлять собой распределённую систему из центров ГосСОПКА, развёрнутых субъектами КИИ, объединённых в иерархическую структуру по ведомственно-территориальному признаку, и подключённых к ним технических средств (средств ОПЛ КА), установленных в конкретных объектах КИИ. При этом центры ГосСОПКА могут быть ведомственными, то есть организованными государственными органами, а также корпоративными – построенными государственными и частными корпорациями, операторами связи и другими организациями-лицензиатами в области защиты информации.
Для ГосСОПКА не предусматривается единый собственник: каждый из центров ГосСОПКА будет принадлежать отдельному владельцу, вложившему свои средства в его построение. Государство же будет выступать только в качестве регулятора и координатора.
Интеграция в ГосСОПКА требует от субъекта КИИ:
Кроме того, по решению субъекта КИИ на территории объекта КИИ может быть размещено оборудование ГосСОПКА. В этом случае субъект дополнительно обеспечивает его сохранность и бесперебойную работу. Иными словами, субъектом КИИ может быть организован собственный центр ГосСОПКА.
Решение о создании собственного центра ГосСОПКА субъект КИИ принимает самостоятельно. То есть создание центра ГосСОПКА не является обязательным, и, более того, данный шаг должен быть согласован с ФСБ России.
Однако для значимых объектов КИИ субъектам КИИ придется реализовать меры по обнаружению и реагированию на компьютерные инциденты. А для этого в любом случае потребуются специальные технические средства и квалифицированный персонал, которые, по сути, и являются составляющими собственного центра ГосСОПКА.
Согласно документу «Методические рекомендации по созданию ведомственных и корпоративных центров ГосСОПКА», для построения собственного центра ГосСОПКА необходимо обеспечить функционирование совокупности технических средств и процессов, выполняющих следующие функции:
Для этого в составе технических средств ОПЛ КА могут использоваться:
Технические средства должны быть интегрированы в единый комплекс, управляемый из центра ГосСОПКА и взаимодействующий с другими центрами ГосСОПКА.
Помимо технического обеспечения для создания центра ГосСОПКА необходимо разработать соответствующие методические документы, включающие настройки средств обеспечения ИБ, решающие правила средств обнаружения компьютерных атак, правила корреляции событий, инструкции для персонала и т.п.
Центр ГосСОПКА может быть реализован субъектом КИИ как самостоятельно (с использованием собственных технических и кадровых ресурсов), так и с привлечением сторонних специалистов путем передачи на аутсорсинг части функций, например, анализ угроз информационной безопасности, повышение квалификации персонала, прием сообщений об инцидентах, анализ защищенности и расследование инцидентов.
Для объектов КИИ, не являющихся значимыми, в обязательном порядке должна быть обеспечена только интеграция с ГосСОПКА (канал обмена информацией). Остальные мероприятия по обеспечению безопасности объекта КИИ реализуются на усмотрение соответствующего субъекта КИИ.
Для значимых объектов КИИ, помимо интеграции в ГосСОПКА субъекты КИИ должны:
Система безопасности значимого объекта КИИ представляет собой комплекс организационных и технических мер.
Порядок создания системы и требования к принимаемым мерам безопасности определяются приказом ФСТЭК России от 21.12.2017 №235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования».
Основные функции контроля в области обеспечения безопасности объектов КИИ, включая нормативно-правовое регулирование, возложены на ФСТЭК России и ФСБ России.
ФСТЭК России отвечает за ведение реестра значимых объектов КИИ, формирование и контроль реализации требований по обеспечению их безопасности.
ФСБ России обеспечивает регулирование и координацию деятельности субъектов КИИ по развёртыванию сил и средств ОПЛ КА, осуществляет сбор информации о компьютерных инцидентах и оценку безопасности КИИ, а также разрабатывает требования к средствам ОПЛ КА.
В отдельных случаях, касающихся сетей электросвязи и субъектов КИИ в банковской и иных сферах финансового рынка, разрабатываемые ФСТЭК России и ФСБ России требования должны согласовываться с Минкомсвязью России и Центральным Банком Российской Федерации соответственно.
Порядок госконтроля в области обеспечения безопасности значимых объектов КИИ определен постановлением Правительства Российской Федерации от 17.02.2018 №162 «Об утверждении Правил осуществления госконтроля в области обеспечения безопасности значимых объектов КИИ РФ».
Вместе с утверждением ФЗ «О безопасности КИИ» в УК РФ была добавлена новая статья 274.1, которая устанавливает уголовную ответственность должностных лиц субъекта КИИ за несоблюдение установленных правил эксплуатации технических средств объекта КИИ или нарушение порядка доступа к ним вплоть до лишения свободы сроком на 6 лет. Пока данная статья не предусматривает ответственности за невыполнение необходимых мероприятий по обеспечению безопасности объекта КИИ, однако в случае наступления последствий (аварий и чрезвычайных ситуаций, повлекших за собой крупный ущерб) непринятие таких мер подпадает по состав 293 статьи УК РФ «Халатность». Дополнительно следует ожидать внесения изменений в административное законодательство в части определения штрафных санкций для юридических лиц за неисполнение Закона. С большой долей уверенности можно говорить о том, что именно введение существенных денежных штрафов будет стимулировать субъекты КИИ к выполнению требований Закона.
1 ноября 2019 года стало известно, что Минэкономразвития готовит поправки в закон «О безопасности (КИИ) », которые предполагают замену иностранного софта и оборудования на объектах КИИ на российские . Распоряжение подготовить поправки было дано несколько месяцев назад вице-премьером Юрием Борисовым , в ведении которого находится оборонная промышленность. Об этом сообщает РБК со ссылкой на письмо замминистра экономики Азера Талыбова.
Талыбов пишет, что в своем нынешнем виде российские законы не дают возможность правительству требовать использования на объектах КИИ только отечественного ПО и оборудования. Чтобы это стало возможно, данную норму необходимо прописать в законе «О безопасности КИИ». График замены иностранных продуктов отечественными для действующих объектов КИИ будет сформирован отдельно.
Кроме того, в законе следует запретить иностранным компаниям взаимодействовать с сетями и информационными системами КИИ. То есть, конечными бенефициарами юрлиц, которые этим занимаются, должны быть российские граждане, не имеющие двойного гражданства. Это же правило затронет индивидуальных предпринимателей, которые работают с КИИ. В результате доступ иностранных государств и их граждан к обслуживанию и развитию КИИ будет минимизирован, полагает Талыбов.
Получателями письма Талыбова являются коллегия Военно-промышленной комиссии России , которую возглавляет Борисов, Федеральная служба по техническому и экспортному контролю (ФСТЭК) и Минкомсвязи . В Минкомсвязи ответили, что ФСТЭК и Минпромторг прорабатывают вопросы импортозамещения зарубежного оборудования по поручению правительства, и что КИИ будет функционировать более безопасно и устойчиво с использованием российского ПО , а доля отечественных разработчиков на рынке госзакупок при этом вырастет .
В августе 2019 года представитель Совбеза сообщил, что в 2018 г. было зафиксировано порядка 17 тыс. кибератак на КИИ в России . Еще на 7 тыс. объектов злоумышленники пытались установить вредоносное ПО. Около 38% атак пришлось на кредитно -финансовые организации .
9 июля 2019 года стало известно, что Ассоциация документальной электросвязи (АДЭ) опубликовала методические рекомендации по категорированию объектов критической информационной инфраструктуры (КИИ). Документ разработан на базе материалов от операторов связи и других организаций - членов АДЭ. Методические рекомендации направлены на детализацию и стандартизацию процедуры категорирования объектов КИИ, которая предусмотрена ФЗ "О безопасности критической информационной инфраструктуры РФ " от 26 июля 2017 г. №187-ФЗ.
Рекомендации содержат свод правил, на основе которых операторы должны относить объекты КИИ к различным типам. Опубликованная версия документа согласована ФСТЭК России и 8-м Центром ФСБ России и может использоваться операторскими компаниями связи. При изменении нормативной базы, получении замечаний и предложений по результатам применения методических рекомендаций ассоциация планирует вносить изменения в текст методологии.
Пожелавший остаться неизвестным федеральный чиновник сказал, что ассоциация, по сути - общественная организация, её рекомендации не имеют юридической силы.
| При подготовке документа операторам необходимо было провести аналитическую работу по категорированию объектов. Рекомендации разработаны участниками рынка и в рабочем порядке согласованы с профильными органами. Категорирование является необходимым этапом реализации требований ФЗ-187. Цель методологии - определить критерии и унифицировать процедуру таким образом, чтобы результаты не вызывали вопросов у отраслевых регуляторов. Полагаем, что операторы начнут пользоваться документом, а практика покажет необходимость дальнейшего утверждения исполнительными органами, |
МегаФон " сказал, что публикуемая версия документа согласована основными регуляторами по ФЗ-187 и может использоваться операторскими компаниями связи. Отраслевой документ необязателен к исполнению, но рекомендованный ФСТЭК и ФСБ к использованию в отрасли связи.
| Прежде всего он призван помочь участникам рынка в исполнении ФЗ-187. Это консолидированное видение крупных игроков отрасли на реализацию требований НПА в области обеспечения безопасности КИИ. Рекомендации важны, так как ФЗ-187 и подзаконные акты формулируют общие принципы и меры по обеспечению безопасности КИИ, не вдаваясь в отраслевую специфику. Методика - это попытка применить сформулированные законодателем нормы к конкретной операторской инфраструктуре, она носит сугубо прикладной характер, и в этом ее ценность. Для операторов "большой четверки", безусловно, документ будет основным. Для остальных операторов, надеемся, тоже, так как применение методических рекомендаций будет способствовать единому и понятному информационному полю в процессе взаимодействия операторского сообщества и регуляторов,
прокомментировал представитель пресс-службы "МегаФона" |
Представитель пресс-службы ПАО "МТС " сказал, что рекомендации будут использованы операторами связи при категорировании объектов критической информационной инфраструктуры (КИИ) и построения систем безопасности этих объектов.
| Представляется, что было бы целесообразнее принять документ в виде нормативного правового акта регулятора. Пока это, по сути, рекомендации. Операторы связи будут сами решать вопрос о возможности применения методики. Работы уже частично проведены. МТС разработала и направила во ФСТЭК России перечень объектов собственной КИИ. В соответствии с планом, к концу 2019 г. мы проведем категорирование этих объектов. Методика позволяет внести определенность и единообразие в подходе к категорированию объектов КИИ операторами связи. Затраты МТС будут понятны после проведения категорирования объектов КИИ,
ответил представитель пресс-службы МТС |
Представитель пресс-службы "Акадо Телеком " сказал, что инициатива разработать рекомендации правильная и своевременная.
Российские компании, в чьи обязанности входит управление объектами критической инфраструктуры, без ведома ФСБ делятся с зарубежными коллегами данными о кибератаках. Об этом в четверг, 27 июня, сообщает «РБК » со ссылкой на материалы Федеральной службы по техническому и экспортному контролю (ФСТЭК), которая в свою очередь ссылается на ФСБ .
Согласно действующему с прошлого года закону «О безопасности критической информационной инфраструктуры », компании, управляющие объектами критической инфраструктуры, обязаны предоставлять данные о них Федеральной службе по техническому и экспортному контролю (ФСТЭК) для присвоения им соответствующей категории (требования по безопасности для каждой категории разные). Кроме того, они обязаны подключиться к созданной ФСБ Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и сообщать о кибератаках на свои объекты в Национальный координационный центр по компьютерным инцидентам (НКЦКИ).
Однако далеко не все компании выполняют требования закона и сообщают НКЦКИ о кибератаках на свои системы. По этой причине центр не владеет полной информацией об инцидентах на объектах критической инфраструктуры, не может адекватно на них реагировать и делать прогнозы.
Как бы то ни было, компании обмениваются информацией о кибератаках с иностранными организациями. Этим они нарушают приказы ФСБ №367 и №368, согласно которым обмен данными с зарубежными организациями должен согласовываться с ФСТЭК. Однако ни одного обращения по данному вопросу служба не получала.
В ФСТЭК считают, что предоставляемая иностранным компаниям информация о кибератаках на объекты критической инфраструктуры РФ в итоге попадает в руки зарубежным спецслужбам, которые могут с ее помощью оценить состояние безопасности российской критической инфраструктуры.
Как пишет РБК, возможно, таким образом компании пытаются избежать имиджевых и финансовых потерь. Но практика отправки данных за рубеж ставит под угрозу прежде всего сами компании. Поскольку Национальный координационный центр по компьютерным инцидентам НКЦКИ, подконтрольный ФСБ, не обладает полной информацией об инцидентах, он не может адекватно реагировать на них и строить точные прогнозы по развитию ситуации, отмечают в ФСТЭК.
Закон «О безопасности критической информационной инфраструктуры» действует в России с 2018 года. Его основной целью является защита важнейших предприятий страны от кибератак .
По мнению ФСТЭК закон не работает в полную силу по нескольким причинам. Во-первых, в прошлом году ведомство уже отмечало отсутствие сведений о «критичности» своих объектов от банков и операторов связи. Во-вторых, часть подзаконных актов, которыми должны утвердить детали взаимодействия организаций в рамках данного закона, все еще не принята.
На Федеральном портале проектов нормативных правовых 26 марта 2019 года размещено уведомление о начале разработки проекта федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях (в части установления ответственности за нарушение требований по обеспечению безопасности объектов КИИ)».
Пока это только уведомление о начале работы над соответствующим документом. Закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» предписывает структурам, в управлении которых находятся значимые объекты критической информационной инфраструктуры Российской Федерации, соблюдать определенные законом и нормативными актами требования по обеспечению безопасности таких объектов.
В частности, существует статья УК 274.1, предусматривающая уголовную ответственность за неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации.
Однако отсутствует закон, определяющий случаи, когда имело место несоблюдение указанных требований, но оно не повлекло неправомерного воздействия на КИИ.
| В целях дифференциации наказания в зависимости от общественной опасности последствий от нарушения требований законодательства Российской Федерации о безопасности критической информационной инфраструктуры, представляется целесообразным введение административной ответственности за несоблюдение субъектами критической информационной инфраструктуры требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры, установленных в соответствии с федеральным законом и принятыми в соответствии с ним иными нормативными правовыми актами, - говорится в описании проекта. |
| Критическая информационная инфраструктура нуждается в законодательстве, которое отвечало бы постоянно меняющимся реалиям информационной безопасности , - отметил Дмитрий Гвоздев, генеральный директор компании «Информационные технологии будущего ». - Процесс формирования этого законодательства еще далек от завершения, остаются некоторые пробелы, которые необходимо устранять как можно скорее. Разработка мер административной ответственности в данном случае - не столько обещание новых кар ради самих кар, сколько заполнение пробелов и адекватное разграничение ответственности в соответствии с вероятной угрозой. В конечном счете, в сфере КИИ даже малозначительная халатность может обходиться непредсказуемо дорого. |
Основным разработчиком проекта должен выступить ФСТЭК , однако в качестве соисполнителей указана Федеральная служба безопасности РФ .
Планируемый срок принятия законопроекта - январь 2020 года. Ознакомиться с документом можно .
Проект содержит целый ряд разнообразных уточнений, среди которых особо выделяются требования, связанные с оборудованием, программным обеспечением и процедурами обработки информации объектов критической инфраструктуры.
В частности, предлагается дополнить пункт 31 приказа следующим абзацем:
| Входящие в состав значимого объекта 1 категории значимости программные и программно-аппаратные средства, осуществляющие хранение и обработку информации, должны размещаться на территории Российской Федерации (за исключением случаев, когда размещение указанных средств осуществляется в зарубежных обособленных подразделениях субъекта критической информационной инфраструктуры (филиалах, представительствах), а также случаев, установленных законодательством Российской Федерации и (или) международными договорами Российской Федерации). |
Предыдущая версия приказа таких ограничений не накладывала.
| Фактически это означает запрет на осуществление за пределами территории России обработку данных, относящихся к объектам критической инфраструктуры первой категории важности, за вычетом оговариваемых исключений, - отметил Дмитрий Гвоздев , генеральный директор компании «Информационные технологии будущего ». - В целом этот документ носит уточняющий характер. Выработка нормативов и правил, по которым должна функционировать критическая инфраструктура России - это процесс, который еще очень далек от завершения: количество заинтересованных сторон велико, а риски - слишком высоки, поэтому регламентация должна быть максимально подробной. Соответственно, новые поправки, дополнения и уточнения будут вноситься и впредь, и довольно долго. |
Кроме этого, документ предполагает обязать наиболее значимые предприятия критической инфраструктуры применять только маршрутизаторы , сертифицированные на соответствие требованиям по безопасности информации. Речь, правда, идет только о вновь создаваемых или модернизируемых объектах КИИ и только первой (максимальной) категории значимости.
Оговаривается, что в случае отсутствия технической возможности применять только сертифицированные устройства в качестве граничных маршрутизаторов (то есть, тех, через которые осуществляется доступ из локальной сети в интернет), защищенность реально используемых устройств должна будет оцениваться в рамках приемки или испытаний значимых объектов.
Полный текст проекта приказа доступен по этой ссылке .
«Приказываю утвердить прилагаемый порядок информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации», - следует из приказа.
Как отмечается в пояснительной записке, проект направлен на совершенствование правового регулирования в сфере координации деятельности субъектов критической информационной инфраструктуры Российской Федерации по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.
Согласно приказу, в случае компьютерного инцидента субъекты критической информационной инфраструктуры РФ обязаны незамедлительно проинформировать об этом Национальный координационный центр по компьютерным инцидентам (НКЦКИ). Если подключение к данной технической инфраструктуре отсутствует, информация должна быть направлена посредством факсимильной, электронной и телефонной связи на адреса или телефонные номера НКЦКИ, указанные на сайте ведомства.
Помимо этого, в случае, если инцидент произошел на объекте КИИ, осуществляющем деятельность в банковской и других сферах финансового рынка, необходимо также проинформировать Центробанк РФ.
Субъекты КИИ также должны будут разработать план реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак и не реже одного раза в год проводить тренировки по отработке мероприятий плана.
Указ дополняет перечень сведений, отнесенных к гостайне, утвержденный указом президента РФ от 30 ноября 1995 года № 1203 «Об утверждении перечня сведений, отнесенных к государственной тайне», новым пунктом. Согласно документу, к таким данным теперь относятся сведения, раскрывающие меры по обеспечению безопасности критической информационной инфраструктуры РФ и информация, раскрывающая состояние защищенности КИИ от компьютерных атак.
Полномочиями по распоряжению такими данными наделены ФСБ и Федеральная служба по техническому и экспортному контролю .
Согласно нормативно-правовым актам 187-ФЗ, под новые требования подпадают финансовые , транспортные , энергетические , телекоммуникационные компании , а также организации в сфере). После этого перечень объектов подается в виде уведомления во ФСТЭК России , а для каждого объекта из перечня субъектом КИИ определяется категория значимости, после чего результаты категорирования направляются на согласование во ФСТЭК. Исходя из определенных категорий, владельцу объектов КИИ в дальнейшем необходимо выстраивать защиту.
К неправомерному воздействию относится создание, распространение и/или использование компьютерных программ либо иной компьютерной информации, которая заведомо используется для уничтожения блокирования, модификации, копирования информации в критической инфраструктуре, или нейтрализации средств защиты указанной информации.
Кроме этого, санкции повлечет за собой неправомерный доступ к охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре РФ, если он повлек причинения вреда этой инфраструктуре.
Наказания предусмотрены так же за нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной структуре, информационных систем, информационной-телекоммникационных сетей, автоматизированных систем управления и сетей электросвязи, относящихся к критической информационной инфраструктуре страны.
За создание вредоносных программ для воздействия на инфраструктуру нарушителей ждут принудительные работы на срок до пяти лет с возможным ограничением свободы на срок до двух лет либо лишение свободы на срок от двух до пяти лет со штрафом в размере от пятисот тысяч до одного миллиона рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет. За неправомерный доступ к охраняемой компьютерной информации предполагаются принудительные работы на срок до пяти лет со штрафом от 500 тысяч до миллиона рублей, с возможным ограничением свободы на срок до двух лет либо лишение свободы на срок от двух до шести лет со штрафом в размере от пятисот тысяч до одного миллиона рублей.
За нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации последуют принудительные работы сроком до пяти лет с возможным лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет. Предусматривается также возможное лишение свободы на срок до шести лет.
Если указанные деяния совершены группой лиц по предварительном сговору, организованной группой или лицом с использованием своего служебного положения, тяжесть наказания значительно возрастает: закон предусматривает тюремный срок продолжительностью от трех до восьми лет с возможным лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.
Если те же деяния, совершенные группой лиц по предварительному сговору или с использованием служебного положения, повлекли тяжкие последствия, виновные получат срок от пяти до десяти лет с лишением права занимать определенные должности или заниматься опредленной деятельностью на срок до пяти лет или без такового.
| Появление такого закона более чем закономерно в текущих условиях, - считает Георгий Лагода , генеральный директор компании SEC Consult Services . - Атаки на критическую инфраструктуру перестали быть абстракцией, это гиперактуальная проблема для всех стран, включая Россию. Закон явно нацелен на предотвращение внутренних атак или нарушений, которые повышают уязвимость инфраструктуры. Эффективность этого закона может быть предметом дискуссий, но обнадеживает уже тот факт, что существование проблемы признано на законодательном уровне. » |
На сегодняшний день у субъектов КИИ уже должны быть готовы и переданы во ФСТЭК России перечни критически важных объектов. Одни компании смогут сделать это своими силами, другие могут воспользоваться услугами консалтинговых компаний и системных интеграторов. Для приведения систем защиты в соответствие Федеральному закону №187 от 26.07.2017 г. «О безопасности КИИ РФ» нужно провести обследование ИТ-инфраструктуры и запланировать организационные и технические мероприятия. Но, как водится, есть нюансы.
Еще год назад, когда речь шла о безопасности критически важных объектов, на ум приходила защита промышленных объектов, например гидроэлектростанций, и 31-й Приказ ФСТЭК России. Ситуация изменилась - на самом высшем государственном уровне было решено, что если, например, кибератака остановит на неделю работу крупного банка, то ущерб для людей будет, мягко говоря, значительным. С 1 января 2018 года вступил в силу Федеральный закон №187 от 26.07.2017 г. «О безопасности КИИ РФ» , вводящий понятие критической информационной инфраструктуры. Кто сегодня подпадает под его действие и какие меры необходимо предпринять для обеспечения безопасности в соответствии с новыми требованиями - расскажем в статье.
Согласно закона «О безопасности КИИ РФ», субъекты КИИ - это государственные органы и учреждения, коммерческие компании или ИП, которым на законных основаниях (например, на правах собственности или аренды) принадлежат информационные системы (ИС), информационно-телекоммуникационные сети (ИТКС) и автоматизированные системы управления (АСУ), использующиеся в определенных сферах деятельности. Эти ИС, ИТКС и АСУ закон называет объектами КИИ, а их совокупность составляет критическую информационную инфраструктуру Российской Федерации. Под ее безопасностью подразумевается состояние защищенности, обеспечивающее устойчивое функционирование при проведении компьютерных атак, а функции контроля за исполнением закона возложены на ФСТЭК России указом Президента РФ №569 от 25 ноября 2017 г. «О внесении изменений в Положение о Федеральной службе по техническому и экспортному контролю, утвержденное Указом Президента Российской Федерации от 16 августа 2004 г. № 1085 » .
Под требования законодательства о безопасности КИИ подпадают субъекты, работающие в сфере атомной, ракетно-космической, горнодобывающей, металлургической, химической и оборонной промышленности, здравоохранения, науки, энергетики, транспорта и связи. Субъектами КИИ также являются предприятия топливно-энергетического комплекса и организации из банковской и финансовой сферы.
Чтобы понять, нужно ли вам позаботиться о защите объектов КИИ, придется проверить коды ОКВЭД, уставные документы и выданные на соответствующие виды деятельности лицензии. Если по формальным признакам организация не относится к указанным в ФЗ-187 отраслям, расслабляться не стоит - необходимо проанализировать бизнес-процессы и информационные системы (ИС, ИТКС и АСУ), работающие в регулируемых отраслях.
В первую очередь субъектам необходимо сформировать перечень объектов КИИ и провести их категорирование. Для этого создается специальная комиссия, утверждаемая приказом - в нем обязательно указывается состав комиссии, план мероприятий со сроками исполнения, а также ответственный за взаимодействие со ФСТЭК России (туда отправляется перечень объектов). Необходимо определить выполняемые субъектом КИИ управленческие, производственные, финансовые процессы и выявить среди них критические, нарушение или прекращение которых может привести к масштабным негативным последствиям. Затем нужно выявить объекты КИИ, относящиеся к критическим процессам, составить перечень подлежащих категорированию и передать его ФСТЭК в течение 5 дней с момента утверждения. Согласно решению №59 Коллегии ФСТЭК России от 24.04.2018 , сделать это нужно было до 1 августа 2018 года.
Критерии значимости рассмотрены в постановлении Правительства РФ №127 от 08.02.2018 «Об утверждении Правил категорирования объектов КИИ РФ, а также перечня показателей критериев значимости объектов КИИ РФ и их значений» . Критериев всего пять: социальный, политический, экономический, экологический, а также обеспечение обороноспособности, безопасности государства и правопорядка. В каждом критерии выделяется четыре категории: первая (высшая), вторая, третья и самая низшая - без значимости. Последняя применяется, если показатели значимости ниже, чем в третьей категории.
Первое, что нужно сделать, проанализировать уязвимости и смоделировать действия злоумышленников, которые могут привести к возникновению компьютерных инцидентов на объектах КИИ. В результате формируется модель угроз и модель нарушителя. После этого необходимо оценить показатели критериев значимости, установить соответствие объектов КИИ значениям этих показателей и присвоить каждому из объектов одну из категорий значимости (либо принять решения об отсутствии необходимости в присвоении категории).
Показатели значимости подробно расписаны все в том же 127-м постановлении правительства. Если взять, к примеру, социальный критерий, можно говорить об ущербе для жизни и здоровья людей. Третья категория присваивается, если в результате инцидента пострадает один и более человек, а первая - если есть риски для более чем 500 человек. Следующий показатель социального критерия - нарушение или прекращение функционирования объектов обеспечения жизнедеятельности населения. Это системы водоснабжения, канализации, теплоснабжения, очистки сточных вод и электроснабжения. Тут категории присваиваются по площади, на которой возникают нарушения. Третья категория - муниципальные образования, а первая присваивается, если происходит выход за пределы субъекта федерации.
Социальный критерий оценивается еще по нескольким показателям: транспорт, сети связи и доступ к государственным услугам. С другими критериями ситуация аналогичная - есть множество показателей, и по каждому из них мы оцениваем категории в соответствии со степенью возможного ущерба: количеству пострадавших, затронутым инцидентом территориям, времени недоступности услуг, снижению дохода, уровню вредного воздействия на окружающую среду и т. д. По результатам составляются акты категорирования объектов КИИ, которые необходимо направить в ФСТЭК в течение 10 дней после подписания (приказ ФСТЭК России №236 от 22.12.2017 «Об утверждении формы направления сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий» ). Категорирование объектов КИИ нужно закончить до 1 января 2019 года.
Оценивая объекты КИИ, выгодно делать их разбивку: если у вас есть один большой объект с множеством критичных систем и разными критериями значимости, для него будет установлена максимальная из всех возможных категория значимости. Если такой объект можно разбить на несколько более мелких, то у них могут быть разные (в том числе и более низкие) категории значимости в соответствии с определенными постановлением правительства критериями и показателями. Такой подход выгоден, поскольку для менее значимых объектов меры по защите будут проще и дешевле.
Перечень организационных и технических мер по обеспечению безопасности для значимых объектов КИИ есть в приказе ФСТЭК России №239 от 25.12.2017 «Об утверждении Требований по обеспечению безопасности значимых объектов КИИ РФ» . Требования очень серьезные и защита значимых объектов КИИ должна им соответствовать, но для не значимых объектов такие меры не нужны.
Перечень организационных и технических мер по защите значимых объектов КИИ:
Нелишне будет ознакомиться и с приказом ФСТЭК России №235 от 21.12.2017 «Об утверждении Требований к созданию систем безопасности значимых объектов КИИ РФ и обеспечению их функционирования» . Здесь, в частности, перечислены средства обеспечения безопасности:
Все они должны быть сертифицированы на соответствие требованиям по безопасности или пройти оценку соответствия в форме испытаний или приемки в соответствии с Федеральным законом от 27.12.2002 г. № 184-ФЗ «О техническом регулировании».
Все субъекты КИИ должны подключиться к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), даже если у них нет значимых объектов КИИ. В главный центр ГосСОПКА в обязательном порядке будут передаваться данные о связанных с информационной безопасностью инцидентах на объектах КИИ - подчеркиваем, здесь речь идет обо всех объектах, а не только о значимых. Регулирующая процесс законодательная и нормативная база еще не до конца разработана, однако не так давно приказом ФСБ РФ от 24.07.2018 № 366 «О Национальном координационном центре по компьютерным инцидентам» была учреждена новая структура. НКЦКИ будет координировать мероприятия по реагированию на инциденты, осуществлять обмен информацией об атаках между субъектами КИИ и другими организациями, а также займется методическим обеспечением. Центр будет получать от субъектов КИИ и других организаций данные для передачи в ГосСОПКА, в его задачи также войдет определение форматов обмена информацией и технических параметров компьютерного инцидента, передаваемых в ГосСОПКА.
Если вы не успели отправить в ФСТЭК перечень объектов КИИ, никакой ответственности за это не предусмотрено. Но ФЗ-187 действует с начала 2018 года, и если произойдет инцидент, а необходимые меры по защите не были приняты, последствия для субъекта КИИ будут серьезными - в уголовный кодекс уже внесены соответствующие изменения. Согласно ст. 274.1 УК РФ за создание, распространение и (или) использование ПО или иной компьютерной информации для неправомерного воздействия на КИИ предусмотрены принудительные работы на срок до 5 лет или до 5 лет лишения свободы, а также штраф до 1 млн рублей. Неправомерный доступ к информации КИИ, если он повлек вред, будет наказан принудительными работами сроком до 5 лет, до 6 лет лишения свободы и штрафами до 1 млн рублей.
Есть ответственность и для субъектов КИИ. Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой законом информации КИИ либо правил доступа, если оно повлекло причинение вреда для КИИ, наказывается принудительными работами на срок до 5 лет, лишением свободы до 6 лет, запретом на определенные виды деятельности на срок до 3 лет для юридических лиц и индивидуальных предпринимателей или запретом занимать определенные должности для физических лиц на тот же срок.
У этой статьи есть усиление. Если преступление совершено группой лиц или с использованием служебного положения, оно наказывается лишением свободы на срок до 8 лет, а также запретом на определенные виды деятельности (юридические лица и ИП) или запретом занимать определенные должности (физические лица) на срок до 3 лет. В случае тяжких последствий максимальный срок лишения свободы увеличивается до 10 лет, а запрет на виды деятельности и должности - до 5 лет.
Правила игры изменились. Нравится нам это или нет, защита важной для жизнедеятельности людей и безопасности страны информационной инфраструктуры больше не является личным делом ее владельцев. У субъектов КИИ уже должны быть готовы (и переданы в ФСТЭК России) перечни объектов. Практика показывает, что далеко не все успели это сделать - стоит поторопиться и заняться категорированием. Крупные организации могут иметь соответствующие компетенции, чтобы провести все мероприятия самостоятельно, но для небольших это станет серьезной проблемой - на выручку придут консалтинговые компании и системные интеграторы. Для приведения систем защиты в соответствие ФЗ-187 нужно провести обследование ИТ-инфраструктуры и сформировать дорожную карту работ, включающую перечень организационных и технических мероприятий. Время на это пока еще есть, но его осталось уже не так много, стоит поспешить.
1 января 2018 года вступил в силу Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», который касается не только госучреждений и коммерческих организаций, но и индивидуальных предпринимателей.
Суть новой законодательной инициативы раскрывает Василий Степаненко , директор департамента информационной безопасности компании «Сервионика», входящей в группу «АйТеко».
Каковы предпосылки принятия нового федерального закона? Одна из причин - рост рисков, связанных с безопасностью данных. По оценкам ФСБ России, в 2016 году было совершено порядка 70 миллионов попыток атак на объекты критической информационной инфраструктуры РФ, и 2/3 из них - атаки, совершенные из-за границы.
Четверть целевых кибератак, зафиксированных «Лабораторией Касперского», были направлены на промышленные компании. По наблюдениям экспертов в сфере информационной безопасности, в 2017-м число APT-атак выросло в два раза, а среднее время присутствия злоумышленника в инфраструктуре - от вторжения до обнаружения - составляет три года.
Что предстоит усовершенствовать? Во-первых, ГосСОПКА - государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ.
Во-вторых, защищенность информационных систем госорганов, включая усиление персональной ответственности руководства за обеспечение ИБ. Именно эти два пункта в значительной мере реализованы в федеральном законе о безопасности КИИ, принятом летом 2017 года.
На какие отрасли распространяется 187-ФЗ? Новый закон охватывает здравоохранение, науку, транспорт, связь, энергетику, банки, финансы, ТЭК, атомную энергетику, оборонную, ракетно-космическую, горнодобывающую, металлургическую и химическую отрасли промышленности.
К субъектам КИИ относится любое юридическое лицо, обладающее информационной системой, используемой в одной из этих отраслей. К значимым объектам КИИ, распределенным на три категории, относятся все информационные системы, инциденты с которыми могут нарушить выполняемые ими социально-значимые функции и нанести значительный ущерб.
К ним предъявляются наиболее серьезные требования по обеспечению ИБ, неисполнение которых может повлечь серьезные последствия вплоть до уголовного наказания.
Как исполнение положений закона будет регулироваться и контролироваться? Закон определяет четырех регуляторов: ФСТЭК (Федеральную службу по техническому и экспортному контролю) и ФСБ как основных, Банк России и Минкомсвязь как дополнительных, согласовывающих требования по обеспечению безопасности объектов КИИ для своей сферы регулирования.
Функции ФСТЭК состоят в категорировании и ведении реестра значимых объектов КИИ, разработке требований по обеспечению информационной безопасности объектов КИИ и контроле их выполнения. ФСБ отвечает за практические аспекты безопасности, являясь главным центром ГосСОПКА.
Что необходимо сделать субъекту КИИ, чтобы выполнить требования закона? Самостоятельно провести категорирование всех своих объектов КИИ и сообщить о них в письменной форме в ФСТЭК для внесения сведений в реестр значимых объектов КИИ.
Реагировать на компьютерные инциденты, незамедлительно информируя о них ФСБ и оказывая содействие должностным лицам в деятельности, связанной с предупреждением, обнаружением и ликвидацией последствий инцидентов. Обеспечивать выполнение порядка, технических условий установки и эксплуатации технических средств ГосСОПКА.
Как будет осуществляться надзор за выполнением законодательных требований? ФСТЭК будет следить за правильностью категорирования объектов КИИ и выполнением требований к обеспечению информационной безопасности значимых объектов.
Плановые проверки будут проводиться каждые 3 года, внеплановые - по произошедшим инцидентам, поручениям президента и правительства или по требованию прокуратуры.
Оценка безопасности объектов КИИ будет осуществляться органами ФСБ. ФСБ будет производить анализ сведений от технических средств ГосСОПКА, из реестра значимых объектов КИИ, сведений, предоставляемых субъектами.
Что будет, если нарушить этот закон? Невыполнение обязанности по категорированию и предоставлению сведений об отдельных объектах КИИ не преследуется по закону, однако невыполнение требований по обеспечению безопасности КИИ, в том числе повлекшее за собой тяжкие последствия или угрозу их возникновения, наказуемо.
Насколько сложно реализовать требования нового закона на практике? Большинство российских промышленных компаний тратят сегодня на информационную безопасность менее 50 млн рублей в год.
При этом опрошенные в ходе исследования «Сколько стоит безопасность» руководители 27% организаций оценили в аналогичную сумму потери от одного дня простоя инфраструктуры из-за кибератаки. Во многих компаниях нет отдельного бюджета на обеспечение информационной безопасности: он является частью ИТ-бюджета, составляя не более 20% от него.
Для реализации требований 187-ФЗ и подзаконных актов регуляторов требуются значительные средства, и руководителям субъектов КИИ необходимо как-то выходить из ситуации. На сегодняшний день один из наиболее обсуждаемых вариантов решения проблемы обеспечения полноценной защиты объектов КИИ - подключение их к корпоративным центрам реагирования (Security Operations Center - SOC).
Они предоставляют полный спектр услуг по мониторингу и администрированию систем защиты информации, выявлению и реагированию на инциденты. Такой подход, возможно, станет одним из важных трендов в области ИБ в России.
Услуги SOC позволят субъектам КИИ более экономно реализовать требования нового закона. С вступлением 187-ФЗ в силу обеспечение информационной безопасности становится непрерывным процессом, а не «заморозкой» системы в эталонном состоянии.
