ru
ru en
Кибербезопасность

Закон о безопасности КИИ: вопросы и ответы

, ,
Специалисты Kaspersky Lab ICS CERT сделали на собственном сайте разбор федерального закона от 26 июня 2017 года № 187-ФЗ в вопросах и ответах. ЦПС републикует эту статью с разрешения компании.

1 января, с наступлением нового 2018 года, в России вступил в действие закон «О безопасности критической информационной инфраструктуры». Начиная с 2013 года, еще на этапе проекта, этот закон бурно обсуждался ИБ-сообществом и вызывал много вопросов относительно практической реализации выдвигаемых им требований. Теперь, когда эти требования вступили в силу и многие компании столкнулись с необходимостью их выполнения, необходимо ответить на самые животрепещущие вопросы.

Для чего нужен этот закон?

Новый Закон предназначен для регулирования деятельности по обеспечению безопасности объектов информационной инфраструктуры РФ, функционирование которых критически важно для экономики государства. Такие объекты в законе называются объектами критической информационной инфраструктуры (КИИ). Согласно документу, к объектам КИИ могут быть отнесены информационные системы и сети, а также автоматизированные системы управления, функционирующие в сфере:

  • здравоохранения;
  • науки;
  • транспорта;
  • связи;
  • энергетики;
  • банковской и иных сферах финансового рынка;
  • топливно-энергетического комплекса;
  • атомной энергии;
  • оборонной и ракетно-космической промышленности;
  • горнодобывающей, металлургической и химической промышленности.

Объекты КИИ, а также сети электросвязи, используемые для организации взаимодействия между ними, составляют понятие критической информационной инфраструктуры.

Что является целью закона № 187-ФЗ и как он должен работать?

Главной целью обеспечения безопасности КИИ является устойчивое функционирование КИИ, в том числе при проведении в отношении нее компьютерных атак. Главным принципом обеспечения безопасности является предотвращение компьютерных атак.

КИИ или КСИИ?

До появления нового закона о КИИ в сфере ИБ существовало похожее понятие «ключевые системы информационной инфраструктуры» (КСИИ). Однако с 1 января 2018 года понятие КСИИ было официально заменено на понятие «значимые объекты КИИ».

Какие организации попадают в сферу действия этого закона?

Требования закона о безопасности КИИ затрагивают те организации (государственные органы и учреждения, юридические лица и индивидуальных предпринимателей), которым принадлежат (на праве собственности, аренды или ином законном основании) объекты КИИ или которые обеспечивают их взаимодействие. Такие организации в законе называются субъектами КИИ.

Какие действия должны предпринять субъекты КИИ для выполнения закона?

Согласно документу, субъекты КИИ должны:

  • провести категорирование объектов КИИ;
  • обеспечить интеграцию (встраивание) в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА);
  • принять организационные и технические меры по обеспечению безопасности объектов КИИ.

Что в себя включает категорирование объектов КИИ?

Категорирование объекта КИИ предполагает определение его категории значимости на основе ряда критериев и показателей. Всего устанавливается три категории: первая, вторая или третья. Если объект КИИ не соответствует ни одному из установленных критериев, ему не присваивается ни одна из категорий. Те объекты КИИ, которым была присвоена одна из категорий, называются в законе значимыми объектами КИИ.

По завершению категорирования сведения о его результатах должны направляться субъектом КИИ во ФСТЭК для ведения реестра значимых объектов КИИ. В реестр включается следующая информация:

  • наименование значимого объекта КИИ;
  • наименование субъекта КИИ;
  • сведения о взаимодействии значимого объекта КИИ и сетей электросвязи;
  • сведения о лице, эксплуатирующем значимый объект КИИ;
  • присвоенная категория значимости;
  • сведения о программных и программно-аппаратных средствах, используемых на значимом объекте КИИ;
  • меры, применяемые для обеспечения безопасности значимого объекта КИИ.

Важно отметить, что если в процессе категорирования было определено отсутствие категории значимости у объекта КИИ, результаты категорирования все равно должны быть представлены во ФСТЭК. Регулятор проверяет представленные материалы и при необходимости направляет замечания, которые должен учесть субъект КИИ. Если субъект КИИ не предоставит данные о категорировании, ФСТЭК вправе потребовать эту информацию.

Порядок ведения реестра значимых объектов КИИ будет определен соответствующим приказом, проект которого уже опубликован.

Как проводить категорирование объектов КИИ?

Показатели критериев значимости, порядок и сроки категорирования будут определяться соответствующим постановлением правительства, проект которого также уже подготовлен. В соответствии с текущей версией документа, процедура категорирования включает в себя:

  • определение всех процессов, выполняемых субъектом КИИ в рамках своей деятельности;
  • выявление критических процессов, нарушение или прекращение которых может привести к негативным последствиям в масштабах страны;
  • определение перечня объектов КИИ, подлежащих категорированию, — данный этап должен быть выполнен в течение 6 месяцев со дня вступления постановления правительства в силу;
  • оценку показателей критериев значимости в соответствии с установленными значениями — всего проектом постановления правительства предусматривается 14 показателей, определяющих социальную, политическую, экономическую значимость объекта КИИ и его значимость для обеспечения обороны страны, безопасности государства и правопорядка;
  • установление соответствия объектов КИИ значениям показателей и присвоение каждому из них одной из категорий значимости либо принятие решения об отсутствии необходимости присвоения им одной из категорий значимости.

Категорирование должно проводиться как для существующих, так и для создаваемых или модернизируемых объектов КИИ специальной комиссией из работников субъекта КИИ. Решение комиссии оформляется соответствующим актом и в течение 10 дней после его утверждения сведения о результатах категорирования должны быть направлены во ФСТЭК. Максимальный срок категорирования объектов КИИ — 1 год со дня утверждения субъектом КИИ перечня объектов КИИ.

Этот порядок является предварительным и должен быть уточнен после утверждения соответствующего постановления правительства.

Что такое ГосСОПКА и для чего она нужна?

ГосСОПКА представляет собой единый территориально распределенный комплекс, включающий силы и программно-технические средства обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее — силы и средства ОПЛ КА).

К силам ОПЛ КА относятся:

  • уполномоченные подразделения ФСБ;
  • национальный координационный центр по компьютерным инцидентам, который создается ФСБ для координации деятельности субъектов КИИ по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных инцидентов;
  • подразделения и должностные лица субъектов КИИ, которые принимают участие в обнаружении и предупреждении компьютерных инцидентов.

ГосСОПКА предназначена для обеспечения и контроля безопасности КИИ в России и дипломатических представительствах страны за рубежом.

В данной системе должна собираться и агрегироваться вся информация о компьютерных атаках и инцидентах, получаемая от субъектов КИИ. Перечень информации и порядок ее предоставления в ГосСОПКА будет определен соответствующим приказом, проект которого был представлен на общественное обсуждение. Согласно текущей версии документа, срок предоставления информации о кибератаке составляет 24 часа с момента обнаружения. Кроме того, в рамках ГосСОПКА организуется обмен информацией о компьютерных атаках между всеми субъектами КИИ и международными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты.

Технически ГосСОПКА будет представлять собой распределенную систему из центров ГосСОПКА, развернутых субъектами КИИ, объединенных в иерархическую структуру по ведомственно-территориальному признаку и подключенных к ним технических средств (средств ОПЛ КА), установленных в конкретных объектах КИИ. При этом центры ГосСОПКА могут быть ведомственными, то есть организованными государственными органами, и корпоративными — построенными государственными и частными корпорациями, операторами связи и другими организациями-лицензиатами в области защиты информации.

Кто является собственником ГосСОПКА?

Для ГосСОПКА не предусматривается единый собственник: каждый из центров ГосСОПКА будет принадлежать отдельному владельцу, вложившему свои средства в его построение. Государство будет выступать только в качестве регулятора и координатора.

Что подразумевается под интеграцией с ГосСОПКА?

Интеграция в ГосСОПКА требует от субъекта КИИ:

  • информировать о компьютерных инцидентах ФСБ, а также ЦБ, если организация осуществляет деятельность в банковской сфере и иных сферах финансового рынка;
  • оказывать содействие ФСБ в обнаружении, предупреждении и ликвидации последствий компьютерных атак, установлении причин и условий возникновения компьютерных инцидентов.

Кроме того, по решению субъекта КИИ на территории объекта КИИ может быть размещено оборудование ГосСОПКА. В этом случае субъект дополнительно обеспечивает его сохранность и бесперебойную работу. Иными словами, субъектом КИИ может быть организован собственный центр ГосСОПКА.

Может ли субъект КИИ не создавать собственный центр ГосСОПКА?

Решение о создании собственного центра ГосСОПКА субъект КИИ принимает самостоятельно, то есть создание центра ГосСОПКА не является обязательным — более того, данный шаг должен быть согласован с ФСБ.

Однако для значимых объектов КИИ субъектам КИИ придется реализовать меры по обнаружению и реагированию на компьютерные инциденты. А для этого в любом случае потребуются специальные технические средства и квалифицированный персонал, которые, по сути, и являются составляющими собственного центра ГосСОПКА.

Что требуется для построения собственного центра ГосСОПКА?

Согласно «Методическим рекомендациям по созданию ведомственных и корпоративных центров ГосСОПКА», для построения собственного центра ГосСОПКА необходимо обеспечить функционирование совокупности технических средств и процессов, выполняющих следующий ряд задач:

  • инвентаризация информационных ресурсов;
  • выявление уязвимостей информационных ресурсов;
  • анализ угроз информационной безопасности;
  • повышение квалификации персонала информационных ресурсов;
  • прием сообщений о возможных инцидентах от персонала и пользователей информационных ресурсов;
  • обеспечение процесса обнаружения компьютерных атак;
  • анализ данных о событиях безопасности;
  • регистрация инцидентов;
  • реагирование на инциденты и ликвидация их последствий;
  • установление причин инцидентов;
  • анализ результатов устранения последствий инцидентов.

Для этого в составе технических средств ОПЛ КА могут использоваться:

  • средства обнаружения и предотвращения вторжений, в том числе обнаружения целевых атак;
  • специализированные решения по защите информации для индустриальных сетей и финансового сектора;
  • средства выявления и устранения DDoS-атак;
  • средства сбора, анализа и корреляции событий;
  • средства анализа защищенности;
  • средства антивирусной защиты;
  • средства межсетевого экранирования;
  • средства криптографической защиты информации для защищенного обмена информацией с другими центрами ГосСОПКА.

Технические средства должны быть интегрированы в единый комплекс, управляемый из центра ГосСОПКА и взаимодействующий с другими центрами ГосСОПКА. Помимо технического обеспечения, для создания центра ГосСОПКА необходимо разработать соответствующие методические документы, включающие настройки средств обеспечения ИБ, решающие правила средств обнаружения компьютерных атак, правила корреляции событий, инструкции для персонала и т. п.

Центр ГосСОПКА может быть реализован субъектом КИИ как самостоятельно (с использованием собственных технических и кадровых ресурсов), так и с привлечением сторонних специалистов путем передачи на аутсорсинг части функций, например, анализа угроз информационной безопасности, повышения квалификации персонала, приема сообщений об инцидентах, анализа защищенности и расследования инцидентов.

Что требуется для обеспечения безопасности объектов КИИ?

Для объектов КИИ, не являющихся значимыми, в обязательном порядке должна быть обеспечена только интеграция с ГосСОПКА (канал обмена информацией). Остальные мероприятия по обеспечению безопасности объекта КИИ реализуются по усмотрению субъекта.

Для значимых объектов КИИ помимо интеграции в ГосСОПКА субъекты КИИ должны:

  • создать систему безопасности значимого объекта КИИ — требования ФСТЭК к созданию систем безопасности и мерам защиты значимых объектов КИИ уже подготовлены и находятся на стадии обсуждения и согласования;
  • реагировать на компьютерные инциденты — порядок реагирования на компьютерные инциденты должен быть подготовлен ФСБ до конца апреля текущего года;
  • предоставлять на объект КИИ беспрепятственный доступ регуляторам и выполнять их предписания по результатам проверок (законом предусматриваются как плановые, так и внеплановые проверки).

Система безопасности значимого объекта КИИ представляет собой комплекс организационных и технических мер. Порядок создания системы и требования к принимаемым мерам безопасности будут определяться ФСТЭК. Согласно подготовленному проекту приказа этого ведомства, состав мер по обеспечению безопасности значимого объекта КИИ будет определяться по результатам его категорирования с возможностью адаптации и дополнения набора мер защиты с учетом специфики объекта КИИ.

Кто контролирует выполнение требований закона о безопасности КИИ?

Основные функции контроля в области обеспечения безопасности объектов КИИ, включая нормативно-правовое регулирование, возложены на ФСТЭК и ФСБ. ФСТЭК отвечает за ведение реестра значимых объектов КИИ, формирование и контроль реализации требований по обеспечению их безопасности. ФСБ обеспечивает регулирование и координацию деятельности субъектов КИИ по развертыванию сил и средств ОПЛ КА, осуществляет сбор информации о компьютерных инцидентах и оценку безопасности КИИ, а также разрабатывает требования к средствам ОПЛ КА.

В отдельных случаях, касающихся сетей электросвязи и субъектов КИИ в банковской и иных сферах финансового рынка, разрабатываемые ФСТЭК и ФСБ требования должны согласовываться с Минкомсвязью ЦБ соответственно.

Порядок госконтроля в области обеспечения безопасности значимых объектов КИИ будет определен соответствующим постановлением правительства, проект которого уже подготовлен.

А если требования этого закона не будут выполнены?

Вместе с утверждением федерального закона от 26.07.2017 № 187-ФЗ «О безопасности КИИ» в российский Уголовный Кодекс была добавлена ст. 274.1, устанавливающая уголовную ответственность должностных лиц субъекта КИИ за несоблюдение принятых правил эксплуатации технических средств объекта КИИ или нарушение порядка доступа к ним вплоть до лишения свободы сроком на 6 лет.

Пока данная статья не предусматривает ответственности за невыполнение необходимых мероприятий по обеспечению безопасности объекта КИИ, однако в случае наступления последствий (аварий и чрезвычайных ситуаций, повлекших за собой крупный ущерб) непринятие таких мер подпадает под ст. 293 УК РФ «Халатность». Дополнительно следует ожидать изменений в административном законодательстве в области определения штрафных санкций для юридических лиц за неисполнение закона о безопасности КИИ. С большой долей уверенности можно говорить о том, что именно введение существенных денежных штрафов будет стимулировать субъекты КИИ к выполнению требований обсуждаемого закона. [ics-cert.kaspersky.ru]

Редакция благодарит «Лабораторию Касперского» за разрешение на перепечатку статьи.

Автор