О безопасности критической информационной инфраструктуры российской федерации. Обзор законопроекта «О безопасности критической информационной инфраструктуры

В связи с утверждением ряда нормативных правовых актов в области безопасности КИИ после выхода данной статьи, 22.03.2018 в текст статьи были внесены изменения и дополнения.

1 января, с приходом нового 2018 года, в нашей стране вступил в действие закон «О безопасности критической информационной инфраструктуры» (далее – Закон). Начиная с 2013 года, еще на этапе проекта, этот закон бурно обсуждался ИБ-сообществом и вызывал много вопросов относительно практической реализации выдвигаемых им требований. Теперь, когда эти требования вступили в силу и многие компании столкнулись с необходимостью их выполнения, мы постараемся ответить на самые животрепещущие вопросы.

Для чего нужен Закон?

Новый Закон предназначен для регулирования отношений в области обеспечения безопасности объектов информационной инфраструктуры РФ, функционирование которых критически важно для экономики государства. Такие объекты в законе называются объектами критической информационной инфраструктуры (далее – объекты КИИ) . Согласно Закону, к объектам КИИ могут быть отнесены информационные системы и сети, а также автоматизированные системы управления, функционирующие в сфере:

• здравоохранения;
• науки;
• транспорта;
• связи;
• энергетики;
• банковской и иных сферах финансового рынка;
• топливно-энергетического комплекса;
• атомной энергии;
• оборонной и ракетно-космической промышленности;
• горнодобывающей, металлургической и химической промышленности.

Объекты КИИ, а также сети электросвязи, используемые для организации взаимодействия между ними, составляют понятие критической информационной инфраструктуры .

Что является целью Закона и как он должен работать?

Главной целью обеспечения безопасности КИИ является устойчивое функционирование КИИ при проведении в отношении нее компьютерных атак. Одним из главных принципов обеспечения безопасности является предотвращение компьютерных атак.

Объекты КИИ или КСИИ?

До появления нового закона о КИИ в сфере ИБ существовало похожее понятие ключевых систем информационной инфраструктуры (КСИИ). Однако с 1 января 2018 года понятие КСИИ было официально заменено на понятие «значимые объекты КИИ».

Какие организации попадают в сферу действия Закона?

Требования Закона затрагивают те организации (государственные органы и учреждения, юридические лица и индивидуальных предпринимателей), которым принадлежат (на праве собственности, аренды или ином законном основании) объекты КИИ или которые обеспечивают их взаимодействие. Такие организации в Законе называются субъектами КИИ .

Какие действия должны предпринять субъекты КИИ для выполнения Закона?

Согласно закону, субъекты КИИ должны:

• провести категорирование объектов КИИ;
• обеспечить интеграцию (встраивание) в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА);
• принять организационные и технические меры по обеспечению безопасности объектов КИИ.

Что подлежит категорированию?

Категорированию подлежат объекты КИИ, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов КИИ.

Что в себя включает категорирование объектов КИИ?

Категорирование объекта КИИ предполагает определение его категории значимости на основе ряда критериев и показателей. Всего устанавливается три категории – первая, вторая или третья (в порядке убывания значимости). Если объект КИИ не соответствует ни одному из установленных критериев, ему категория не присваивается. Те объекты КИИ, которым была присвоена одна из категорий, называются в законе значимыми объектами КИИ.

• наименование значимого объекта КИИ;
• наименование субъекта КИИ;
• сведения о взаимодействии значимого объекта КИИ и сетей электросвязи;
• сведения о лице, эксплуатирующем значимый объект КИИ;
• присвоенная категория значимости;
• сведения о программных и программно-аппаратных средствах, используемых на значимом объекте КИИ;
• меры, применяемые для обеспечения безопасности значимого объекта КИИ.

Важно отметить, что если в процессе категорирования было определено отсутствие категории значимости у объекта КИИ, результаты категорирования все равно должны быть представлены во ФСТЭК России. Регулятор проверяет представленные материалы и при необходимости направляет замечания, которые должен учесть субъект КИИ.

Если субъект КИИ не предоставит данные о категорировании, ФСТЭК России вправе потребовать эту информацию.

Порядок ведения реестра значимых объектов КИИ определяется приказом ФСТЭК России от 06.12.2017 №227 «Об утверждении Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации».

Как проводить категорирование объектов КИИ?

Показатели критериев значимости, а также порядок и сроки категорирования определены в «Правилах категорирования объектов критической информационной инфраструктуры Российской Федерации» утверждённых соответствующим постановлением правительства от 8 февраля 2018 г. № 127 (далее – Правила). Правила регламентируют процедуру категорирования, а также содержат перечень критериев и их показатели для значимых объектов КИИ первой, второй и третьей категории.

Согласно Правилам, процедура категорирования включает в себя:

1. Определение субъектом КИИ перечня всех процессов, выполняемых в рамках своей деятельности.
2. Выявление критических процессов, то есть тех процессов, нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка.
3. Определение объектов КИИ, которые обрабатывают информацию, необходимую для обеспечения критических процессов, управления и контроля ими.
4. Формирование перечня объектов КИИ, подлежащих категорированию. Перечень объектов для категорирования подлежит согласованию с ведомством-регулятором, утверждается субъектом КИИ и в течение 5 рабочих дней после утверждения направляется во ФСТЭК России.
5. Оценку масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах КИИ в соответствии с показателями, указанных в Правилах. Всего предусматривается 14 показателей, определяющих социальную, политическую, экономическую значимость объекта КИИ, а также его значимость для обеспечения правопорядка, обороны и безопасности страны.
6. Присвоение каждому из объектов КИИ одной из категорий значимости в соответствии с наивысшим значением показателей, либо принятие решения об отсутствии необходимости присвоения категории.

Категорирование должно проводиться как для существующих, так и для создаваемых или модернизируемых объектов КИИ специальной комиссией под председательством руководителя субъекта КИИ (или уполномоченного им лица), его работников и, при необходимости, приглашённых специалистов ведомств-регуляторов в соответствующей сфере. Решение комиссии оформляется соответствующим актом и в течение 10 дней после его утверждения направляется во ФСТЭК России. Предоставленные материалы в тридцатидневный срок со дня получения проверяются регулятором на соответствие порядку осуществления категорирования и оценивается правильность присвоения категории.

Категория значимого объекта КИИ может быть изменена по мотивированному решению ФСТЭК России в рамках государственного контроля безопасности значимых объектов КИИ, в случае изменения самого объекта КИИ, а также в связи с реорганизацией субъекта КИИ (в том числе ликвидацией, изменением его организационно-правовой формы и т.д.).

Что такое ГосСОПКА и для чего она нужна?

ГосСОПКА представляет собой единый территориально распределенный комплекс, включающий силы и программно-технические средства обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее – силы и средства ОПЛ КА).

К силам ОПЛ КА относятся:

• уполномоченные подразделения ФСБ России;
• национальный координационный центр по компьютерным инцидентам, который создается ФСБ России для координации деятельности субъектов КИИ по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных инцидентов;
• подразделения и должностные лица субъектов КИИ, которые принимают участие в обнаружении, предупреждении и ликвидации последствий компьютерных атак и в реагировании на компьютерные инциденты.

ГосСОПКА предназначена для обеспечения и контроля безопасности КИИ в Российской Федерации и в дипломатических представительствах страны за рубежом.

В данной системе должна собираться и агрегироваться вся информация о компьютерных атаках и инцидентах, получаемая от субъектов КИИ. Перечень информации и порядок ее предоставления в ГосСОПКА будет определен соответствующим приказом, проект которого был представлен на общественное обсуждение. Согласно текущей версии документа, срок предоставления информации о кибератаке составляет 24 часа с момента обнаружения.

Кроме того, в рамках ГосСОПКА организуется обмен информацией о компьютерных атаках между всеми субъектами КИИ, а также международными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты.

Технически ГосСОПКА будет представлять собой распределённую систему из центров ГосСОПКА, развёрнутых субъектами КИИ, объединённых в иерархическую структуру по ведомственно-территориальному признаку, и подключённых к ним технических средств (средств ОПЛ КА), установленных в конкретных объектах КИИ. При этом центры ГосСОПКА могут быть ведомственными, то есть организованными государственными органами, а также корпоративными – построенными государственными и частными корпорациями, операторами связи и другими организациями-лицензиатами в области защиты информации.

Кто является собственником ГосСОПКА?

Для ГосСОПКА не предусматривается единый собственник: каждый из центров ГосСОПКА будет принадлежать отдельному владельцу, вложившему свои средства в его построение. Государство же будет выступать только в качестве регулятора и координатора.

Что подразумевается под интеграцией с ГосСОПКА?

Интеграция в ГосСОПКА требует от субъекта КИИ:

• информировать о компьютерных инцидентах ФСБ России, а также Центральный Банк Российской Федерации, если организация осуществляет деятельность в банковской сфере и иных сферах финансового рынка;
• оказывать содействие ФСБ России в обнаружении, предупреждении и ликвидации последствий компьютерных атак, установлении причин и условий возникновения компьютерных инцидентов.

Кроме того, по решению субъекта КИИ на территории объекта КИИ может быть размещено оборудование ГосСОПКА. В этом случае субъект дополнительно обеспечивает его сохранность и бесперебойную работу. Иными словами, субъектом КИИ может быть организован собственный центр ГосСОПКА.

Может ли субъект КИИ не создавать собственный центр ГосСОПКА?

Решение о создании собственного центра ГосСОПКА субъект КИИ принимает самостоятельно. То есть создание центра ГосСОПКА не является обязательным, и, более того, данный шаг должен быть согласован с ФСБ России.

Однако для значимых объектов КИИ субъектам КИИ придется реализовать меры по обнаружению и реагированию на компьютерные инциденты. А для этого в любом случае потребуются специальные технические средства и квалифицированный персонал, которые, по сути, и являются составляющими собственного центра ГосСОПКА.

Что требуется для построения собственного центра ГосСОПКА?

Согласно документу «Методические рекомендации по созданию ведомственных и корпоративных центров ГосСОПКА», для построения собственного центра ГосСОПКА необходимо обеспечить функционирование совокупности технических средств и процессов, выполняющих следующие функции:

• инвентаризация информационных ресурсов;
• выявление уязвимостей информационных ресурсов;
• анализ угроз информационной безопасности;
• повышение квалификации персонала информационных ресурсов;
• прием сообщений о возможных инцидентах от персонала и пользователей информационных ресурсов;
• обеспечение процесса обнаружения компьютерных атак;
• анализ данных о событиях безопасности;
• регистрация инцидентов;
• реагирование на инциденты и ликвидация их последствий;
• установление причин инцидентов;
• анализ результатов устранения последствий инцидентов.

Для этого в составе технических средств ОПЛ КА могут использоваться:

• средства обнаружения и предотвращения вторжений, в том числе обнаружения целевых атак;
• специализированные решения по защите информации для индустриальных сетей, финансового сектора;
• средства выявления и устранения DDoS-атак;
• средства сбора, анализа и корреляции событий;
• средства анализа защищенности;
• средства антивирусной защиты;
• средства межсетевого экранирования;
• средства криптографической защиты информации для защищенного обмена информацией с другими центрами ГосСОПКА.

Технические средства должны быть интегрированы в единый комплекс, управляемый из центра ГосСОПКА и взаимодействующий с другими центрами ГосСОПКА.

Помимо технического обеспечения для создания центра ГосСОПКА необходимо разработать соответствующие методические документы, включающие настройки средств обеспечения ИБ, решающие правила средств обнаружения компьютерных атак, правила корреляции событий, инструкции для персонала и т.п.

Центр ГосСОПКА может быть реализован субъектом КИИ как самостоятельно (с использованием собственных технических и кадровых ресурсов), так и с привлечением сторонних специалистов путем передачи на аутсорсинг части функций, например, анализ угроз информационной безопасности, повышение квалификации персонала, прием сообщений об инцидентах, анализ защищенности и расследование инцидентов.

Что требуется для обеспечения безопасности объектов КИИ?

Для объектов КИИ, не являющихся значимыми, в обязательном порядке должна быть обеспечена только интеграция с ГосСОПКА (канал обмена информацией). Остальные мероприятия по обеспечению безопасности объекта КИИ реализуются на усмотрение соответствующего субъекта КИИ.

Для значимых объектов КИИ, помимо интеграции в ГосСОПКА субъекты КИИ должны:

• Cоздать систему безопасности значимого объекта КИИ;
• Реагировать на компьютерные инциденты. Порядок реагирования на компьютерные инциденты должен быть подготовлен ФСБ России до конца апреля текущего года;
• Предоставлять на объект КИИ беспрепятственный доступ регуляторам и выполнять их предписания по результатам проверок. Законом предусматриваются как плановые, так и внеплановые проверки.

Система безопасности значимого объекта КИИ представляет собой комплекс организационных и технических мер.

Порядок создания системы и требования к принимаемым мерам безопасности определяются приказом ФСТЭК России от 21.12.2017 №235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования».

Кто контролирует выполнение требований Закона?

Основные функции контроля в области обеспечения безопасности объектов КИИ, включая нормативно-правовое регулирование, возложены на ФСТЭК России и ФСБ России.

ФСТЭК России отвечает за ведение реестра значимых объектов КИИ, формирование и контроль реализации требований по обеспечению их безопасности.

ФСБ России обеспечивает регулирование и координацию деятельности субъектов КИИ по развёртыванию сил и средств ОПЛ КА, осуществляет сбор информации о компьютерных инцидентах и оценку безопасности КИИ, а также разрабатывает требования к средствам ОПЛ КА.

В отдельных случаях, касающихся сетей электросвязи и субъектов КИИ в банковской и иных сферах финансового рынка, разрабатываемые ФСТЭК России и ФСБ России требования должны согласовываться с Минкомсвязью России и Центральным Банком Российской Федерации соответственно.

Порядок госконтроля в области обеспечения безопасности значимых объектов КИИ определен постановлением Правительства Российской Федерации от 17.02.2018 №162 «Об утверждении Правил осуществления госконтроля в области обеспечения безопасности значимых объектов КИИ РФ».

А если требования Закона не будут выполнены?

Вместе с утверждением ФЗ «О безопасности КИИ» в УК РФ была добавлена новая статья 274.1, которая устанавливает уголовную ответственность должностных лиц субъекта КИИ за несоблюдение установленных правил эксплуатации технических средств объекта КИИ или нарушение порядка доступа к ним вплоть до лишения свободы сроком на 6 лет. Пока данная статья не предусматривает ответственности за невыполнение необходимых мероприятий по обеспечению безопасности объекта КИИ, однако в случае наступления последствий (аварий и чрезвычайных ситуаций, повлекших за собой крупный ущерб) непринятие таких мер подпадает по состав 293 статьи УК РФ «Халатность». Дополнительно следует ожидать внесения изменений в административное законодательство в части определения штрафных санкций для юридических лиц за неисполнение Закона. С большой долей уверенности можно говорить о том, что именно введение существенных денежных штрафов будет стимулировать субъекты КИИ к выполнению требований Закона.

Москва, Кремль

Подписан Закон о безопасности критической информационной инфраструктуры России.

Он регулирует отношения в области обеспечения безопасности критической информационной инфраструктуры в целях ее устойчивого функционирования при проведении в отношении ее компьютерных атак.

Определены основные принципы обеспечения безопасности, полномочия госорганов, а также права, обязанности и ответственность лиц, владеющих на праве собственности или ином законном основании объектами инфраструктуры, операторов связи и информационных систем, обеспечивающих взаимодействие этих объектов.

К объектам инфраструктуры отнесены информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.

Закреплены понятия компьютерной атаки, компьютерного инцидента и др. Определен порядок функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы.

Федеральный закон от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации"

Настоящий Федеральный закон вступает в силу с 1 января 2018 г.

Текст Федерального закона опубликован на "Официальном интернет-портале правовой информации" (www.pravo.gov.ru) 26 июля 2017 г., в "Российской газете" от 31 июля 2017 г. N 167, в Собрании законодательства Российской Федерации от 31 июля 2017 г. N 31 (часть I) ст. 4736

История рассмотрения и принятия Федерального закона

Минэкономразвития намерено запретить использование иностранного ПО и оборудования на объектах КИИ России

1 ноября 2019 года стало известно, что Минэкономразвития готовит поправки в закон «О безопасности (КИИ) », которые предполагают замену иностранного софта и оборудования на объектах КИИ на российские . Распоряжение подготовить поправки было дано несколько месяцев назад вице-премьером Юрием Борисовым , в ведении которого находится оборонная промышленность. Об этом сообщает РБК со ссылкой на письмо замминистра экономики Азера Талыбова.

Талыбов пишет, что в своем нынешнем виде российские законы не дают возможность правительству требовать использования на объектах КИИ только отечественного ПО и оборудования. Чтобы это стало возможно, данную норму необходимо прописать в законе «О безопасности КИИ». График замены иностранных продуктов отечественными для действующих объектов КИИ будет сформирован отдельно.

Кроме того, в законе следует запретить иностранным компаниям взаимодействовать с сетями и информационными системами КИИ. То есть, конечными бенефициарами юрлиц, которые этим занимаются, должны быть российские граждане, не имеющие двойного гражданства. Это же правило затронет индивидуальных предпринимателей, которые работают с КИИ. В результате доступ иностранных государств и их граждан к обслуживанию и развитию КИИ будет минимизирован, полагает Талыбов.

Получателями письма Талыбова являются коллегия Военно-промышленной комиссии России , которую возглавляет Борисов, Федеральная служба по техническому и экспортному контролю (ФСТЭК) и Минкомсвязи . В Минкомсвязи ответили, что ФСТЭК и Минпромторг прорабатывают вопросы импортозамещения зарубежного оборудования по поручению правительства, и что КИИ будет функционировать более безопасно и устойчиво с использованием российского ПО , а доля отечественных разработчиков на рынке госзакупок при этом вырастет .

Зафиксировано порядка 17 тыс. кибератак на КИИ в России

В августе 2019 года представитель Совбеза сообщил, что в 2018 г. было зафиксировано порядка 17 тыс. кибератак на КИИ в России . Еще на 7 тыс. объектов злоумышленники пытались установить вредоносное ПО. Около 38% атак пришлось на кредитно -финансовые организации .

АДЭ опубликовала методические рекомендации по категорированию объектов КИИ в соответствии с №187-ФЗ

9 июля 2019 года стало известно, что Ассоциация документальной электросвязи (АДЭ) опубликовала методические рекомендации по категорированию объектов критической информационной инфраструктуры (КИИ). Документ разработан на базе материалов от операторов связи и других организаций - членов АДЭ. Методические рекомендации направлены на детализацию и стандартизацию процедуры категорирования объектов КИИ, которая предусмотрена ФЗ "О безопасности критической информационной инфраструктуры РФ " от 26 июля 2017 г. №187-ФЗ.

Рекомендации содержат свод правил, на основе которых операторы должны относить объекты КИИ к различным типам. Опубликованная версия документа согласована ФСТЭК России и 8-м Центром ФСБ России и может использоваться операторскими компаниями связи. При изменении нормативной базы, получении замечаний и предложений по результатам применения методических рекомендаций ассоциация планирует вносить изменения в текст методологии.

Пожелавший остаться неизвестным федеральный чиновник сказал, что ассоциация, по сути - общественная организация, её рекомендации не имеют юридической силы.

При подготовке документа операторам необходимо было провести аналитическую работу по категорированию объектов. Рекомендации разработаны участниками рынка и в рабочем порядке согласованы с профильными органами. Категорирование является необходимым этапом реализации требований ФЗ-187. Цель методологии - определить критерии и унифицировать процедуру таким образом, чтобы результаты не вызывали вопросов у отраслевых регуляторов. Полагаем, что операторы начнут пользоваться документом, а практика покажет необходимость дальнейшего утверждения исполнительными органами,

МегаФон " сказал, что публикуемая версия документа согласована основными регуляторами по ФЗ-187 и может использоваться операторскими компаниями связи. Отраслевой документ необязателен к исполнению, но рекомендованный ФСТЭК и ФСБ к использованию в отрасли связи.

Прежде всего он призван помочь участникам рынка в исполнении ФЗ-187. Это консолидированное видение крупных игроков отрасли на реализацию требований НПА в области обеспечения безопасности КИИ. Рекомендации важны, так как ФЗ-187 и подзаконные акты формулируют общие принципы и меры по обеспечению безопасности КИИ, не вдаваясь в отраслевую специфику. Методика - это попытка применить сформулированные законодателем нормы к конкретной операторской инфраструктуре, она носит сугубо прикладной характер, и в этом ее ценность. Для операторов "большой четверки", безусловно, документ будет основным. Для остальных операторов, надеемся, тоже, так как применение методических рекомендаций будет способствовать единому и понятному информационному полю в процессе взаимодействия операторского сообщества и регуляторов, прокомментировал представитель пресс-службы "МегаФона"

Представитель пресс-службы ПАО "МТС " сказал, что рекомендации будут использованы операторами связи при категорировании объектов критической информационной инфраструктуры (КИИ) и построения систем безопасности этих объектов.

Представляется, что было бы целесообразнее принять документ в виде нормативного правового акта регулятора. Пока это, по сути, рекомендации. Операторы связи будут сами решать вопрос о возможности применения методики. Работы уже частично проведены. МТС разработала и направила во ФСТЭК России перечень объектов собственной КИИ. В соответствии с планом, к концу 2019 г. мы проведем категорирование этих объектов. Методика позволяет внести определенность и единообразие в подходе к категорированию объектов КИИ операторами связи. Затраты МТС будут понятны после проведения категорирования объектов КИИ, ответил представитель пресс-службы МТС

Представитель пресс-службы "Акадо Телеком " сказал, что инициатива разработать рекомендации правильная и своевременная.

Данные о кибератаках на критические объекты в РФ утекают за рубеж. Компании нарушают закон

Российские компании, в чьи обязанности входит управление объектами критической инфраструктуры, без ведома ФСБ делятся с зарубежными коллегами данными о кибератаках. Об этом в четверг, 27 июня, сообщает «РБК » со ссылкой на материалы Федеральной службы по техническому и экспортному контролю (ФСТЭК), которая в свою очередь ссылается на ФСБ .

Согласно действующему с прошлого года закону «О безопасности критической информационной инфраструктуры », компании, управляющие объектами критической инфраструктуры, обязаны предоставлять данные о них Федеральной службе по техническому и экспортному контролю (ФСТЭК) для присвоения им соответствующей категории (требования по безопасности для каждой категории разные). Кроме того, они обязаны подключиться к созданной ФСБ Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и сообщать о кибератаках на свои объекты в Национальный координационный центр по компьютерным инцидентам (НКЦКИ).

Однако далеко не все компании выполняют требования закона и сообщают НКЦКИ о кибератаках на свои системы. По этой причине центр не владеет полной информацией об инцидентах на объектах критической инфраструктуры, не может адекватно на них реагировать и делать прогнозы.

Как бы то ни было, компании обмениваются информацией о кибератаках с иностранными организациями. Этим они нарушают приказы ФСБ №367 и №368, согласно которым обмен данными с зарубежными организациями должен согласовываться с ФСТЭК. Однако ни одного обращения по данному вопросу служба не получала.

В ФСТЭК считают, что предоставляемая иностранным компаниям информация о кибератаках на объекты критической инфраструктуры РФ в итоге попадает в руки зарубежным спецслужбам, которые могут с ее помощью оценить состояние безопасности российской критической инфраструктуры.

Как пишет РБК, возможно, таким образом компании пытаются избежать имиджевых и финансовых потерь. Но практика отправки данных за рубеж ставит под угрозу прежде всего сами компании. Поскольку Национальный координационный центр по компьютерным инцидентам НКЦКИ, подконтрольный ФСБ, не обладает полной информацией об инцидентах, он не может адекватно реагировать на них и строить точные прогнозы по развитию ситуации, отмечают в ФСТЭК.

Закон «О безопасности критической информационной инфраструктуры» действует в России с 2018 года. Его основной целью является защита важнейших предприятий страны от кибератак .

По мнению ФСТЭК закон не работает в полную силу по нескольким причинам. Во-первых, в прошлом году ведомство уже отмечало отсутствие сведений о «критичности» своих объектов от банков и операторов связи. Во-вторых, часть подзаконных актов, которыми должны утвердить детали взаимодействия организаций в рамках данного закона, все еще не принята.

ФСБ сформулировала требования к средствам ГосСОПКА для защиты КИИ РФ

ФСТЭК и ФСБ введут ответственность за нарушение требований к критической ИТ-инфраструктуре России

На Федеральном портале проектов нормативных правовых 26 марта 2019 года размещено уведомление о начале разработки проекта федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях (в части установления ответственности за нарушение требований по обеспечению безопасности объектов КИИ)».

Пока это только уведомление о начале работы над соответствующим документом. Закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» предписывает структурам, в управлении которых находятся значимые объекты критической информационной инфраструктуры Российской Федерации, соблюдать определенные законом и нормативными актами требования по обеспечению безопасности таких объектов.

В частности, существует статья УК 274.1, предусматривающая уголовную ответственность за неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации.

Однако отсутствует закон, определяющий случаи, когда имело место несоблюдение указанных требований, но оно не повлекло неправомерного воздействия на КИИ.

В целях дифференциации наказания в зависимости от общественной опасности последствий от нарушения требований законодательства Российской Федерации о безопасности критической информационной инфраструктуры, представляется целесообразным введение административной ответственности за несоблюдение субъектами критической информационной инфраструктуры требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры, установленных в соответствии с федеральным законом и принятыми в соответствии с ним иными нормативными правовыми актами, - говорится в описании проекта.

Критическая информационная инфраструктура нуждается в законодательстве, которое отвечало бы постоянно меняющимся реалиям информационной безопасности , - отметил Дмитрий Гвоздев, генеральный директор компании «Информационные технологии будущего ». - Процесс формирования этого законодательства еще далек от завершения, остаются некоторые пробелы, которые необходимо устранять как можно скорее. Разработка мер административной ответственности в данном случае - не столько обещание новых кар ради самих кар, сколько заполнение пробелов и адекватное разграничение ответственности в соответствии с вероятной угрозой. В конечном счете, в сфере КИИ даже малозначительная халатность может обходиться непредсказуемо дорого.

Основным разработчиком проекта должен выступить ФСТЭК , однако в качестве соисполнителей указана Федеральная служба безопасности РФ .

Планируемый срок принятия законопроекта - январь 2020 года. Ознакомиться с документом можно .

ФСТЭК предлагает запретить обработку за рубежом информации, относящейся к КИИ России

Проект содержит целый ряд разнообразных уточнений, среди которых особо выделяются требования, связанные с оборудованием, программным обеспечением и процедурами обработки информации объектов критической инфраструктуры.

В частности, предлагается дополнить пункт 31 приказа следующим абзацем:

Входящие в состав значимого объекта 1 категории значимости программные и программно-аппаратные средства, осуществляющие хранение и обработку информации, должны размещаться на территории Российской Федерации (за исключением случаев, когда размещение указанных средств осуществляется в зарубежных обособленных подразделениях субъекта критической информационной инфраструктуры (филиалах, представительствах), а также случаев, установленных законодательством Российской Федерации и (или) международными договорами Российской Федерации).

Предыдущая версия приказа таких ограничений не накладывала.

Фактически это означает запрет на осуществление за пределами территории России обработку данных, относящихся к объектам критической инфраструктуры первой категории важности, за вычетом оговариваемых исключений, - отметил Дмитрий Гвоздев , генеральный директор компании «Информационные технологии будущего ». - В целом этот документ носит уточняющий характер. Выработка нормативов и правил, по которым должна функционировать критическая инфраструктура России - это процесс, который еще очень далек от завершения: количество заинтересованных сторон велико, а риски - слишком высоки, поэтому регламентация должна быть максимально подробной. Соответственно, новые поправки, дополнения и уточнения будут вноситься и впредь, и довольно долго.

Кроме этого, документ предполагает обязать наиболее значимые предприятия критической инфраструктуры применять только маршрутизаторы , сертифицированные на соответствие требованиям по безопасности информации. Речь, правда, идет только о вновь создаваемых или модернизируемых объектах КИИ и только первой (максимальной) категории значимости.

Оговаривается, что в случае отсутствия технической возможности применять только сертифицированные устройства в качестве граничных маршрутизаторов (то есть, тех, через которые осуществляется доступ из локальной сети в интернет), защищенность реально используемых устройств должна будет оцениваться в рамках приемки или испытаний значимых объектов.

Полный текст проекта приказа доступен по этой ссылке .

2018

За 2018 год на РФ было совершено около 4,3 млрд кибератак

«Приказываю утвердить прилагаемый порядок информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации», - следует из приказа.

Как отмечается в пояснительной записке, проект направлен на совершенствование правового регулирования в сфере координации деятельности субъектов критической информационной инфраструктуры Российской Федерации по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.

Согласно приказу, в случае компьютерного инцидента субъекты критической информационной инфраструктуры РФ обязаны незамедлительно проинформировать об этом Национальный координационный центр по компьютерным инцидентам (НКЦКИ). Если подключение к данной технической инфраструктуре отсутствует, информация должна быть направлена посредством факсимильной, электронной и телефонной связи на адреса или телефонные номера НКЦКИ, указанные на сайте ведомства.

Помимо этого, в случае, если инцидент произошел на объекте КИИ, осуществляющем деятельность в банковской и других сферах финансового рынка, необходимо также проинформировать Центробанк РФ.

Субъекты КИИ также должны будут разработать план реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак и не реже одного раза в год проводить тренировки по отработке мероприятий плана.

Информацию о защищенности КИИ от кибератак отнесли к гостайне

Указ дополняет перечень сведений, отнесенных к гостайне, утвержденный указом президента РФ от 30 ноября 1995 года № 1203 «Об утверждении перечня сведений, отнесенных к государственной тайне», новым пунктом. Согласно документу, к таким данным теперь относятся сведения, раскрывающие меры по обеспечению безопасности критической информационной инфраструктуры РФ и информация, раскрывающая состояние защищенности КИИ от компьютерных атак.

Полномочиями по распоряжению такими данными наделены ФСБ и Федеральная служба по техническому и экспортному контролю .

2017: Что грозит за неправомерное воздействие на критическую ИТ-инфраструктуру России

Согласно нормативно-правовым актам 187-ФЗ, под новые требования подпадают финансовые , транспортные , энергетические , телекоммуникационные компании , а также организации в сфере). После этого перечень объектов подается в виде уведомления во ФСТЭК России , а для каждого объекта из перечня субъектом КИИ определяется категория значимости, после чего результаты категорирования направляются на согласование во ФСТЭК. Исходя из определенных категорий, владельцу объектов КИИ в дальнейшем необходимо выстраивать защиту.

К неправомерному воздействию относится создание, распространение и/или использование компьютерных программ либо иной компьютерной информации, которая заведомо используется для уничтожения блокирования, модификации, копирования информации в критической инфраструктуре, или нейтрализации средств защиты указанной информации.

Кроме этого, санкции повлечет за собой неправомерный доступ к охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре РФ, если он повлек причинения вреда этой инфраструктуре.

Наказания предусмотрены так же за нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной структуре, информационных систем, информационной-телекоммникационных сетей, автоматизированных систем управления и сетей электросвязи, относящихся к критической информационной инфраструктуре страны.

За создание вредоносных программ для воздействия на инфраструктуру нарушителей ждут принудительные работы на срок до пяти лет с возможным ограничением свободы на срок до двух лет либо лишение свободы на срок от двух до пяти лет со штрафом в размере от пятисот тысяч до одного миллиона рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет. За неправомерный доступ к охраняемой компьютерной информации предполагаются принудительные работы на срок до пяти лет со штрафом от 500 тысяч до миллиона рублей, с возможным ограничением свободы на срок до двух лет либо лишение свободы на срок от двух до шести лет со штрафом в размере от пятисот тысяч до одного миллиона рублей.

За нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации последуют принудительные работы сроком до пяти лет с возможным лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет. Предусматривается также возможное лишение свободы на срок до шести лет.

Если указанные деяния совершены группой лиц по предварительном сговору, организованной группой или лицом с использованием своего служебного положения, тяжесть наказания значительно возрастает: закон предусматривает тюремный срок продолжительностью от трех до восьми лет с возможным лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.

Если те же деяния, совершенные группой лиц по предварительному сговору или с использованием служебного положения, повлекли тяжкие последствия, виновные получат срок от пяти до десяти лет с лишением права занимать определенные должности или заниматься опредленной деятельностью на срок до пяти лет или без такового.

Появление такого закона более чем закономерно в текущих условиях, - считает Георгий Лагода , генеральный директор компании SEC Consult Services . - Атаки на критическую инфраструктуру перестали быть абстракцией, это гиперактуальная проблема для всех стран, включая Россию. Закон явно нацелен на предотвращение внутренних атак или нарушений, которые повышают уязвимость инфраструктуры. Эффективность этого закона может быть предметом дискуссий, но обнадеживает уже тот факт, что существование проблемы признано на законодательном уровне. »

• Законопроект № 47571-7 О безопасности критической информационной инфраструктуры Российской Федерации
• Законопроект № 47579-7 О внесении изменений в законодательные акты Российской Федерации в связи с принятием Федерального закона » О безопасности критической информационной инфраструктуры Российской Федерации»
• Законопроект № 47591-7 О внесении изменений в Уголовный кодекс Российской Федерации и Уголовно-процессуальный кодекс Российской Федерации в связи с принятием Федерального закона » О безопасности критической информационной инфраструктуры Российской Федерации»

Это части одной истории, поэтому для простоты все 3 законопроекта будем называть:

Законопроект О безопасности критической информационной инфраструктуры

Кто занимался данной тематикой, знают, что до настоящего момента тематика безопасности критической информационной инфраструктуры (далее - КИИ) регулируется системой ведомственных документов. По данной тематике шли и идут проекты.

Учитывая, что в том или ином виде законопроект о безопасности КИИ превратится в закон в самое ближайшее время, то смысла вспоминать былое уже нет. Ведь вся существующая система документации, согласно законопроекту должна быть пересмотрена.

Одних только приложений к законопроекту 17 штук.

Официально законопроект вносится Правительством РФ. Данный факт плюс общее содержание проекта приводят к мысли о главенствующей роли ФСБ в подготовке и продвижении данного документа. Об этом чуть позже.

Итак, законопроект вводит целый ряд важных понятий, такие как:

• государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации
• компьютерная атака
• компьютерный инцидент
• критическая информационная инфраструктура Российской Федерации
• силы обнаружения, предупреждения и ликвидации последствий компьютерных атак
• средства обнаружения, предупреждения и ликвидации последствий компьютерных атак

Искреннее недоумение у меня вызывает понятие - российские технологии , а также технические, в том числе предназначенные для поиска признаков компьютерных атак в сетях электросвязи, программные, лингвистические, правовые, организационные средства, средства сбора и анализа информации, поддержки принятия управленческих решений (ситуационные центры), предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак .

Т.е. средства обнаружения, предупреждения и ликвидации последствий компьютерных атак - это российские технологии? Вот как так можно писать? Ну да ладно, не будем придираться, надеюсь поправят, тем более что дальнейший текст проекта логичен.

Законопроект вводит две сущности:

• Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности КИИ (назовем для сокращения ФО1);
• Федеральный орган исполнительной власти, уполномоченный в области создания государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и обеспечения ее функционирования (далее ФО2);

Пояснений пока нет, но очевидно роль ФО1 достанется ФСТЭК, ФО2 - ФСБ. Это вытекает из описания их деятельности.

Так вот, президент РФ определяет данные органы исполнительной власти и основные направления в области обеспечения безопасности КИИ. На этом фоне появление новой Доктрины информационной безопасности выглядит еще более логичным в общем потоке новостей.

ФО1, проводит проверку правильности категорирования, устанавливает требования к безопасности по каждой категории НО! за исключением объектов связи и информационно-телекоммуникационных сетей, для этого в проекте закона есть Федеральный орган исполнительной власти в области связи (видимо речь о Минкомсвязи).

У ФО2 задачи поинтереснее:

• Координирует деятельность субъектов КИИ
• Организует и проводит проверку защищенности КИИ
• Утверждает порядок реагирования на инциденты
• Утверждает порядок обмена информацией
• Работает с объектами связи
• Устанавливает требования к техническим средствам

В самом проекте закона есть описание системы безопасности значимого объекта КИИ. Такая система безопасности должна включать в себя:

• Предотвращение неправомерного доступа, уничтожения, модифицирования и т.п информации
• Недопущение воздействия, которое может привести к нарушению или прекращению функционирования объекта КИИ
• Обнаружение и предупреждение компьютерных атак
• Восстановление работоспособности
• Сбор, анализ и хранение сведений о проведенных компьютерных атаках
• !!! Непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации

Координацию деятельности по компьютерным атакам осуществляет Национальный координационный центр по компьютерным инцидентам (читай ФСБ).

Оценку состояния защищенности КИИ осуществляет ФО2.

Теперь по государственному контролю обеспечения безопасности КИИ. Это статья 13. Проверки проводит ФО1. Описаны основания для плановых и внеплановых проверок. Плановые проверки проходят не чаще одного раза в 3 года. Внеплановые проверки проводятся в случаях:

• неисполнения предписания
• возникновения компьютерного инцидента
• по поручению Правительства, Президента или по требованию прокурора.

Закон вступает в силу с 1 января 2017. Статьи по категорированию, правам и обязанностям субъектов КИИ, по системе безопасности, а также проверкам и ответственности с 1 января 2018 года.

Теперь по ответственности. В УК РФ предлагается внести новую статью 271.1 Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации . Максимальный срок по статье до 10 лет. В приложенном отзыве Верховного суда по внесению статьи 271.1 в УК РФ есть такая ОЧЕНЬ правильная ремарка:

Вызывает некоторые опасения то, что в диспозиции проектной статьи для определения последствий общественно-опасных деяний используются признаки только субъективно-оценочного характера, и что это может стать причиной трудностей у правоприменителя при установлении причинённого вреда.

Но это так, читателям на подумать.

Законопроект с высокой долей вероятности примут до конца года. Законопроект серьезный и факт его принятия повлечет серьезные последствия.

«О безопасности критической информационной инфраструктуры». Начиная с 2013 года, еще на этапе проекта, этот закон бурно обсуждался ИБ-сообществом и вызывал много вопросов относительно практической реализации выдвигаемых им требований. Теперь, когда эти требования вступили в силу и многие компании столкнулись с необходимостью их выполнения, необходимо ответить на самые животрепещущие вопросы.

Для чего нужен этот закон?

Новый Закон предназначен для регулирования деятельности по обеспечению безопасности объектов информационной инфраструктуры РФ, функционирование которых критически важно для экономики государства. Такие объекты в законе называются объектами критической информационной инфраструктуры (КИИ). Согласно документу, к объектам КИИ могут быть отнесены информационные системы и сети, а также автоматизированные системы управления, функционирующие в сфере:

• здравоохранения;
• науки;
• транспорта;
• связи;
• энергетики;
• банковской и иных сферах финансового рынка;
• топливно-энергетического комплекса;
• атомной энергии;
• оборонной и ракетно-космической промышленности;
• горнодобывающей, металлургической и химической промышленности.

Объекты КИИ, а также сети электросвязи, используемые для организации взаимодействия между ними, составляют понятие критической информационной инфраструктуры .

Что является целью закона № 187-ФЗ и как он должен работать?

Главной целью обеспечения безопасности КИИ является устойчивое функционирование КИИ, в том числе при проведении в отношении нее компьютерных атак. Главным принципом обеспечения безопасности является предотвращение компьютерных атак.

КИИ или КСИИ?

До появления нового закона о КИИ в сфере ИБ существовало похожее понятие «ключевые системы информационной инфраструктуры» (КСИИ). Однако с 1 января 2018 года понятие КСИИ было официально заменено на понятие «значимые объекты КИИ».

Какие организации попадают в сферу действия этого закона?

Требования закона о безопасности КИИ затрагивают те организации (государственные органы и учреждения, юридические лица и индивидуальных предпринимателей), которым принадлежат (на праве собственности, аренды или ином законном основании) объекты КИИ или которые обеспечивают их взаимодействие. Такие организации в законе называются субъектами КИИ .

Какие действия должны предпринять субъекты КИИ для выполнения закона?

Согласно документу, субъекты КИИ должны:

• провести категорирование объектов КИИ;
• обеспечить интеграцию (встраивание) в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА);
• принять организационные и технические меры по обеспечению безопасности объектов КИИ.

Что в себя включает категорирование объектов КИИ?

Категорирование объекта КИИ предполагает определение его категории значимости на основе ряда критериев и показателей. Всего устанавливается три категории: первая, вторая или третья. Если объект КИИ не соответствует ни одному из установленных критериев, ему не присваивается ни одна из категорий. Те объекты КИИ, которым была присвоена одна из категорий, называются в законе значимыми объектами КИИ.

• наименование значимого объекта КИИ;
• наименование субъекта КИИ;
• сведения о взаимодействии значимого объекта КИИ и сетей электросвязи;
• сведения о лице, эксплуатирующем значимый объект КИИ;
• присвоенная категория значимости;
• сведения о программных и программно-аппаратных средствах, используемых на значимом объекте КИИ;
• меры, применяемые для обеспечения безопасности значимого объекта КИИ.

Важно отметить, что если в процессе категорирования было определено отсутствие категории значимости у объекта КИИ, результаты категорирования все равно должны быть представлены во ФСТЭК. Регулятор проверяет представленные материалы и при необходимости направляет замечания, которые должен учесть субъект КИИ. Если субъект КИИ не предоставит данные о категорировании, ФСТЭК вправе потребовать эту информацию.

Порядок ведения реестра значимых объектов КИИ будет определен соответствующим приказом, проект которого уже опубликован .

Как проводить категорирование объектов КИИ?

Показатели критериев значимости, порядок и сроки категорирования будут определяться соответствующим постановлением правительства, проект которого также уже подготовлен . В соответствии с текущей версией документа, процедура категорирования включает в себя:

• определение всех процессов, выполняемых субъектом КИИ в рамках своей деятельности;
• выявление критических процессов, нарушение или прекращение которых может привести к негативным последствиям в масштабах страны;
• определение перечня объектов КИИ, подлежащих категорированию, - данный этап должен быть выполнен в течение 6 месяцев со дня вступления постановления правительства в силу;
• оценку показателей критериев значимости в соответствии с установленными значениями - всего проектом постановления правительства предусматривается 14 показателей, определяющих социальную, политическую, экономическую значимость объекта КИИ и его значимость для обеспечения обороны страны, безопасности государства и правопорядка;
• установление соответствия объектов КИИ значениям показателей и присвоение каждому из них одной из категорий значимости либо принятие решения об отсутствии необходимости присвоения им одной из категорий значимости.

Категорирование должно проводиться как для существующих, так и для создаваемых или модернизируемых объектов КИИ специальной комиссией из работников субъекта КИИ. Решение комиссии оформляется соответствующим актом и в течение 10 дней после его утверждения сведения о результатах категорирования должны быть направлены во ФСТЭК. Максимальный срок категорирования объектов КИИ - 1 год со дня утверждения субъектом КИИ перечня объектов КИИ.

Этот порядок является предварительным и должен быть уточнен после утверждения соответствующего постановления правительства.

Что такое ГосСОПКА и для чего она нужна?

А если требования этого закона не будут выполнены?

Вместе с утверждением федерального закона от 26.07.2017 № 187-ФЗ «О безопасности КИИ» в российский Уголовный Кодекс была добавлена ст. 274.1, устанавливающая уголовную ответственность должностных лиц субъекта КИИ за несоблюдение принятых правил эксплуатации технических средств объекта КИИ или нарушение порядка доступа к ним вплоть до лишения свободы сроком на 6 лет.

Пока данная статья не предусматривает ответственности за невыполнение необходимых мероприятий по обеспечению безопасности объекта КИИ, однако в случае наступления последствий (аварий и чрезвычайных ситуаций, повлекших за собой крупный ущерб) непринятие таких мер подпадает под ст. 293 УК РФ «Халатность». Дополнительно следует ожидать изменений в административном законодательстве в области определения штрафных санкций для юридических лиц за неисполнение закона о безопасности КИИ. С большой долей уверенности можно говорить о том, что именно введение существенных денежных штрафов будет стимулировать субъекты КИИ к выполнению требований обсуждаемого закона. [ics-cert.kaspersky.ru ]

Редакция благодарит «Лабораторию Касперского» за разрешение на перепечатку статьи.