Алгоритм Безапосности: издание для профессионалов
Санкт-Петербург:
тел./факс: (812) 331-12-60 office@algoritm.org
Москва:
тел./факс: (499) 641-05-26moscow@algoritm.org

Главная
Новости
О журнале
Архив
Свежий номер
Реклама
Подписка
Контакты
Сотрудничество
 

Если вы хотите стать распространителем нашего журнала

 
 
 
 
 

"Алгоритм Безопасности" № 5, 2018 год.

в архиве 6-18
Содержание

Особенности обеспечения безопасности критической информационной инфраструктуры
Л.С. Раткин


Особенности обеспечения безопасности критической информационной инфраструктуры

Раткин Леонид Сергеевич, главный специалист Центра фундаментальных исследований Физико-технического отделения НИЦ «Курчатовский институт», к.т.н.

В 2018 году в Москве в выставочном комплексе «Крокус-Экспо» в рамках Международного форума «Технологии безопасности» была проведена Восьмая конференция «Актуальные вопросы защиты информации». Специальная сессия с участием представителей Федеральной службы по техническому и экспортному контролю (ФСТЭК) России была посвящена обеспечению безопасности критической информационной инфраструктуры.

Секционное заседание открыл начальник Управления ФСТЭК России Д.Н. Шевцов. Дмитрий Николаевич рассмотрел перспективы реализации ФСТЭК России федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», вступившего в силу с 01.01.2018 и затрагивающего сферы здравоохранения, банковского дела, финансово-экономических институтов, горнодобывающей промышленности, науки и образования, топливно-нергетического комплекса (ТЭК), металлургии, транспорта, атомной промышленности, химических технологий, телекоммуникаций и связи, ракетно-космической отрасли и оборонных производств. Система нормативно-правовых документов (НПД) для обеспечения безопасности объектов критической информационной инфраструктуры (КИИ), помимо федерального закона от 26.07.2917 № 187-ФЗ, включает НПД Президента РФ: Указ Президента РФ «О внесении изменений в Перечень сведений, отнесенных государственной тайне, утвержденный Указом Президента РФ от 30.11.1995 № 1203», Указ Президента РФ «О внесении изменений в Указ Президента РФ от 15.01.2013 № 31с «О создании государственной системы обнаружения, предупреждения и ликвидации компьютерных атак» и Указ Президента РФ от 25.11.2017 № 569 «О внесении изменений в Положение о Федеральной службе по техническому и экспортному контролю, утвержденное Указом Президента РФ от 16.08.2004 № 1085». Также в Системе — НПД Правительства РФ: Постановление Правительства РФ «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» от 08.02.2018 № 127 и два проекта Постановлений Правительства РФ — «Об утверждении порядка осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры» и «Об утверждении порядка подготовки и использования ресурсов единой сети электросвязи Российской Федерации для обеспечения функционирования значимых объектов КИИ». Среди отраслевых НПД федеральных органов исполнительной власти — пять Приказов ФСТЭК России: «Об утверждении Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации» от 06.12.2017 № 227; «Об утверждении формы акта проверки, составляемого по итогам проведения государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры» от 11.12.2017 № 229; «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования» от 21.12.2017 № 235; «Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий» от 22.12.2017 № 236; «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» от 25.12.2017 № 239. Также выпущены шесть Приказов ФСБ РФ: «Об утверждении Положения о Национальном координационном центре по компьютерным инцидентам»; «Об утверждении порядка об обмене информацией о компьютерных инцидентах между субъектами КИИ»; «Об утверждении перечня информации, представляемой в ГосСОПКА, и порядка ее представления»; «Об утверждении порядка информирования ФСБ России о компьютерных инцидентах и реагирования на них»; «Об утверждении порядка, технических условий, установки и эксплуатации средств обнаружения, предупреждения и ликвидации компьютерных атак»; «Об утверждении требований к средствам обнаружения, предупреждения и ликвидации компьютерных атак». Минкомсвязи России выпустил Приказ «Об утверждении порядка, технических условий, установки и эксплуатации средств обнаружения, предупреждения и ликвидации компьютерных атак на сетях связи». Согласно Указу Президента РФ от 25.11.2017 № 569 «О внесении изменений в Положение о Федеральной службе по техническому и экспортному контролю, утвержденное Указом Президента Российской Федерации от 16.08.2004 № 1085», ФСТЭК России является федеральным органом исполнительной власти, осуществляющим реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные контрольные функции в сфере госбезопасности по вопросам обеспечения безопасности КИИ РФ. Постановление Правительства РФ от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» подготовлено в соответствии с п. 1 ч. 2 ст. 6 федерального закона № 187-ФЗ. Проект Постановления Правительства РФ «Об утверждении Порядка осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» подготовлен в соответствии с п. 2 ч. 2 ст. 6 федерального закона № 187-ФЗ 

Приказ ФСТЭК России от 11.12.2017 № 229 «Об утверждении формы акта проверки, составляемого по итогам проведения государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры» подготовлен в соответствии с п. 5 ч. 3 ст. 6 федерального закона № 187-ФЗ, Приказ ФСТЭК от 06.12.2017 № 227 «Об утверждении Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации» — в соответствии с п. 2 ч. 3 ст. 6 федерального закона № 187-ФЗ и определяет правила формирования Реестра значимых объектов (РЗО) КИИ РФ, сведения, которые вносятся в РЗО КИИ РФ и формирование регистрационного номера, вносимого в РЗО КИИ РФ. 

Приказ ФСТЭК России от 22.12.2017 № 236 «Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий» подготовлен в соответствии с п. 3 ч. 3 ст. 6 федерального закона № 187?ФЗ и определяет, какие сведения и в какой форме направляются в ФСТЭК России по результатам категорирования в РЗО КИИ РФ. 

Приказ ФСТЭК России от 21.12.2017 № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функциональности» подготовлен в соответствии с п. 4 ч. 3 ст. 6 федерального закона № 187-ФЗ и устанавливает требования к силам обеспечения безопасности значимых объектов (ЗО), определяет требования к программным и программно-аппаратным средствам, применяемым для обеспечения безопасности ЗО, и формулирует требования к организационно-распорядительным документам по безопасности ЗО. 

Показатели критериев значимости объектов КИИ РФ и их значения, а также порядок и сроки выполнения процедур по их категорированию рассматривались в докладе заместителя начальника Управления ФСТЭК России Е.Б. Торбенко. Елена Борисовна отметила, что существуют различные формы оценки соответствия средств защиты информации (СЗИ): сертификация (применяется в случаях, установленных законодательством РФ и по решению субъекта КИИ), а также испытания и приемка (в иных случаях) — самостоятельно или с привлечением организаций-лицензиатов. Среди форм оценки соответствия значимого объекта выделяют аттестацию (в случаях, если ЗО — государственная информационная система (ГИС) или обрабатывает информацию, составляющую государственную тайну, или по решению субъекта КИИ), и приемочные испытания — в иных случаях. 

Безопасность значимых объектов, в которых обрабатывается информация, составляющая государственную тайну, или которые являются ГИС, информационными системами персональных данных (ИСПД) или информационно-телекоммуникационными системами (ИТКС), обеспечивается в соответствии с Приказом ФСТЭК России от 25.12.2017 № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации», НПД о государственной тайне, Приказом ФСТЭК России от 11.02.2013 № 17, Постановлением Правительства РФ от 01.11.2012 № 1119 и НПД Минкомсвязи РФ. Среди методических документов ФСТЭК России следует отметить «Меры защиты информационных и автоматизированных систем и содержащейся в ней информации» (включая выбор и содержание мер ЗИ). Постановление Правительства РФ от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений», подготовленное в соответствии с п. 1 ч. 2 ст. 6 федерального закона № 187-ФЗ утверждает Правила категорирования объектов КИИ РФ, Перечень показателей критериев значимости объектов КИИ РФ и их значения. В обсуждении участвовали представители свыше 40 организаций, в процессе согласования участвовали 12 федеральных органов исполнительной власти (ФОИВ), ЦБ РФ, ГК «Росатом» и ГК «Роскосмос».

Категорирование — это установление соответствия каждого объекта КИИ критериям значимости и их показателям. Категорирование объектов КИИ выполняется с убъектами КИИ в о тношении принадлежащих им на праве собственности, аренды или ином законном основании объектов КИИ. Субъектом КИИ являются государственные органы, государственные учреждения, российские юридические лица, индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат объекты КИИ (ИС, ИТКС и автоматизированные системы управления — АСУ), функционирующие в 12 областях деятельности соответствующих ФОИВ: здравоохранение, наука, транспорт, связь, банковская сфера и иные сферы финансового рынка, ТЭК, атомная энергетика, оборонно-промышленный комплекс (ОПК), ракетно-космическая, горнодобывающая, металлургическая и химическая индустрии. При определении субъектов КИИ применяются Общероссийский классификатор видов экономической деятельности (ОКВЭД), лицензии и иные разрешительные документы на различные виды деятельности, а также уставы, положения организаций (государственных органов). Комиссия по категорированию создается решением руководителя субъекта КИИ или уполномоченными им лицами – работниками субъекта КИИ, специализирующимися в сфере IT и телекоммуникаций и/или эксплуатирующими основное технологическое оборудование с исполнением ими функций обеспечения информационной безопасности объектов КИИ. Также к числу уполномоченных руководителем субъекта КИИ относятся работники субъекта КИИ, обеспечивающие безопасность объектов КИИ, сотрудники подразделения по защите государственной тайны субъекта КИИ, и работники служб предприятия по гражданской обороне и чрезвычайным ситуациям. В состав могут включаться представители государственных органов и российских юридических лиц, выполняющих функции по разработке, проведению или реализации государственной политики и/или законодательному регулированию в установленной сфере деятельности. Важно отметить, что исходными данными для категорирования являются не только сведения об объекте КИИ, процессы в рамках выполнения функций субъекта КИИ, структура обрабатываемой объектами КИИ информации вместе с сервисами для объектов КИИ, но и декларация промышленной безопасности опасного производственного объекта, декларация безопасности гидротехнического сооружения, паспорт объекта ТЭК (на которых функционирует объект КИИ — если разработка предусмотрена НПД РФ), а также сведения о взаимодействии объекта КИИ с другими объектами КИИ и угрозы безопасности информации и данные о компьютерных инцидентах, произошедших ранее на объектах КИИ данного типа. Категорированию подлежат объекты КИИ, обеспечивающие управленческие, финансовокономические, производственные, технологические и иные процессы. Правилами категорирования объектов КИИ РФ предусмотрено определение всех процессов в рамках выполнения полномочий (функций) различных видов деятельности субъекта КИИ. Определение объектов КИИ, связанных с критическими процессами, согласовывается с регулятором в установленной сфере. На основании оценки масштаба возможных последствий присваивается одна из категорий значимости объекта КИИ или обосновывается отсутствие необходимости ее присвоения. Поскольку категорирование объектов КИИ РФ позволяет установить соответствие для каждого объекта КИИ между критериями значимости и их показателями, в
соответствии с ч. 2 ст. 7 федерального закона № 187-ФЗ от 26.07.2017, предусмотрена социальная, политическая, экономическая, экологическая значимости и «значимость для обеспечения обороны страны и безопасности государства и правопорядка». Перечень показателей критериев значимости объектов КИИ РФ и их значения утверждены Постановлением Правительства РФ № 127 от 08.02.2018: первая, вторая, третья категории и объекты, для которых отсутствует необходимость присвоения категории значимости. Согласно Правилам категорирования объектов КИИ РФ, прежде всего, необходимо выявить объекты КИИ, обрабатывающие информацию, необходимую для выполнения критических процессов, подготовить предложения в перечень объектов КИИ для категорирования, рассмотреть возможные действия нарушителей вместе с иными источниками угроз безопасности информации, проанализировать угрозы безопасности информации и уязвимости, которые могут привести к возникновению компьютерных инцидентов. Кроме того, важно оценить возможные последствия при возникновении компьютерных инцидентов на объекте КИИ в соответствии с показателями критериев значимости, а также установить соответствие объектов КИИ значениям показателей критериев значимости присвоить каждому из них одну из категорий значимости или ни одну из них. Акт категорирования должен содержать полный набор сведений об объекте, текст подписывается членами Комиссии и утверждается руководителем субъекта КИИ, который и хранит Акт.

Согласно Правилам категорирования объектов КИИ РФ (Приказ ФСТЭК от 22.12.2017 № 236 «Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий»), в ФСТЭК России направляются сведения об объекте КИИ, субъекте КИИ, о взаимодействии объекта КИИ и сетей электросвязи, об эксплуатирующих объект КИИ сотрудниках, об используемых на КИИ программных и программно-аппаратных средствах, об угрозах безопасности информации и категориях нарушителей в отношении объекта КИИ, о возможных последствиях в случае возникновения компьютерных инцидентов на объекте КИИ, о присвоенной объекту КИИ категории значимости, о результатах оценки показателей критериев значимости, а также организационные и технические меры, применяемые для обеспечения безопасности объекта КИИ. Направленные в ФСТЭК России сведения о результатах категорирования проверяются на правильность заполнения форм документов и точность присвоения категории. При выявлении ошибок или нарушении порядка в течение 10 дней ФСТЭК России возвращает сведения субъекту КИИ (на устранение недостатков отводится 10 дней), при соблюдении порядка ФСТЭК России в течение 30 дней вносит сведения в реестр ЗО КИИ с уведомлением субъекта в течение 10 дней.

Пересмотр категории значимости в ФСТЭК России проводится не реже, чем раз в 5 лет: изменение категории значимости предусмотрено ч. 12 ст. 7 федерального закона № 187 по мотивированному представлению ФСТЭК России, принятому по результатам проверки, проведенной в рамках процедур госконтроля, в случае изменения значимого объекта КИИ (если в результате объект перестал соответствовать критериям значимости и показателям их значений) или в связи с ликвидацией или реорганизацией субъекта КИИ и/или изменением его организационно-правовой формы.

Требования к созданию систем к созданию систем безопасности ЗО КИИ РФ и обеспечению их функционирования были темой выступления заместителя начальника отдела Управления ФСТЭК России А.В. Кубарева. Алексей Валентинович напомнил о том, что в соответствии с п. 4 ч. 3 ст. 6 федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» ФСТЭК России устанавливает требования к созданию систем для обеспечения безопасности их функционирования, а согласно ч. 1 ст. 10 того же НПД — «создает систему безопасности такого объекта и обеспечивает ее функционирование». При разработке Требований были учтены лучшие практики и российские и зарубежные НПД, мнения ведущих отечественных и иностранных экспертов. Требования прошли общественное обсуждение и согласованы с Банком России, утверждены Приказом ФСТЭК России от 21.12.2017 № 235. Система безопасности ЗО КИИ включает правовые, организационные, технические и иные меры для устойчивого функционирования ЗО КИИ РФ при проведении в отношении них компьютерных атак. Среди основных задач для обеспечения безопасности ЗО КИИ — непрерывное взаимодействие с ГосСОПКА, предотвращение неправомерного доступа к информации, обрабатываемой ЗО восстановление функционирования ЗО и недопущение воздействия на технические средства обработки и информации, что может нарушить или прекратить функционирование ЗО КИИ. Среди основных функций структурного подразделения по безопасности ЗО КИИ следует особо отметить повышение уровня компетенций по вопросам обеспечения безопасности КИИ и о возможных угрозах не реже 1 раза в год, подготовка предложений по совершенствованию функционирования систем безопасности и повышению уровня безопасности ЗО КИИ, оперативное реагирование на компьютерные инциденты, реализация требований по обеспечению безопасности ЗО КИИ, разработка предложений по совершенствованию НПД и других документов по безопасности ЗО КИИ и представление их руководителю субъекта КИИ, обладание глубокими знаниями и системными навыками для обеспечения безопасности ЗО КИИ, проведение оценки соответствия ЗО КИИ требованиям по безопасности, реализация организационных мер и применения СЗИ и их эксплуатации.

Выводы

1. Плановый госконтроль в сфере обеспечения безопасности значимых объектов КИИ проводится по истечении 3 лет со дня внесения сведений об объекте КИИ в Реестр или по истечении 3 лет со дня осуществления последней плановой проверки. Внеплановый госконтроль выполняется по истечении срока выполнения субъектом КИИ предписания об устранении выявленного нарушения, возникновении компьютерного инцидента с негативными последствиями или по Поручению Президента РФ или Правительства РФ либо на основании требований прокурора.

2. Правилами категорирования объектов КИИ РФ предусмотрено получение Комиссией по категорированию исходных (категорируемых) данных и перечня подлежащих категорированию объектов КИИ. Процедура категорирования объектов КИИ завершается составлением Акта категорирования объекта КИИ с направлением сведений о результатах категорирования в ФСТЭК России.

скачать
скачать

 

Rambler's Top100 Интернет портал. Каталог фирм. бжд. Охрана. Обеспечение безопасности. Безопасность предприятия. Оборудование. Видеонаблюдение.