Краткий обзор нормативной базы по критическим информационным инфраструктурам

 

Основные документы

Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее – 187-ФЗ) [1], вступивший в силу с 1 января 2018 г. регулирует отношения в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации (далее также – критическая информационная инфраструктура, КИИ) в целях ее устойчивого функционирования при проведении в отношении ее компьютерных атак. Под безопасностью критической информационной инфраструктуры в 187-ФЗ понимается состояние защищенности критической информационной инфраструктуры, обеспечивающее ее устойчивое функционирование при проведении в отношении ее компьютерных атак. Под компьютерной атакой понимается целенаправленное воздействие программных и (или) программно-аппаратных средств на объекты критической информационной инфраструктуры, сети электросвязи, используемые для организации взаимодействия таких объектов, в целях нарушения и (или) прекращения их функционирования и (или) создания угрозы безопасности обрабатываемой такими объектами информации. Под объектами критической информационной инфраструктуры понимаются информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры (ст. 2, п. 7 187-ФЗ). В свою очередь субъектами критической информационной инфраструктуры являются государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей (ст. 2, п. 8 187-ФЗ).

Таким образом, 187-ФЗ и его подзаконные акты можно и нужно применять для обеспечения безопасности функционирования систем электронного банкинга.

Рассмотрим основные положения этих документов.

Постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» [2]. Вводится перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, а также определяется порядок категорирования этих объектов. Категорирование осуществляется субъектами критической информационной инфраструктуры в отношении принадлежащих им на праве собственности, аренды или ином законном основании объектов критической информационной инфраструктуры, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры. Устанавливаются 3 категории значимости. Самая высокая категория – первая, самая низкая – третья. Определен перечень исходных данных для категорирования. Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом критической информационной инфраструктуры перечня объектов. Перечень объектов в течение 5 рабочих дней после утверждения направляется в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры (ФСТЭК России). Определен перечень сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости (либо об отсутствии необходимости присвоения ему одной из таких категорий), направляемых в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры. Форма направления сведений о результатах присвоения объекту критической информационной инфраструктуры Российской Федерации одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий утверждена приказом ФСТЭК России от 22 декабря 2017 г. № 236 [3].

Следует отметить, что проект данного постановления Правительства Российской Федерации был согласован с Центральным Банком Российской Федерации.

По информации ФСТЭК России в настоящее время насчитывается более 250 систем банковской сферы и иных сфер финансового рынка, подлежащих категорированию в качестве объектов критической информационной инфраструктуры. Как минимум половина из этих систем так или иначе относится к системам электронного банкинга, и доля их будет только увеличиваться.

Основными проблемными вопросами категорирования, с которыми приходится сталкиваться субъекту критической информационной инфраструктуры, являются:

  • определение принадлежности к субъектам критической информационной инфраструктуры;
  • определение критических процессов;
  • определение перечня объектов критической информационной инфраструктуры, подлежащих категорированию;
  • определение необходимости согласования перечня объектов критической информационной инфраструктуры с государственным органом или российским юридическим лицом;
  • подготовка сведений о результатах категорирования объектов критической информационной инфраструктуры.

Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования утверждены приказом ФСТЭК России от 21 декабря 2017 г. № 235 [4]. Документ определяет требования к силам, программным и программно-аппаратным средствам обеспечения безопасности значимых объектов критической информационной инфраструктуры, к организационно-распорядительным документам, к функционированию системы безопасности в части организации работ.

Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры утверждены приказом ФСТЭК России от 25 декабря 2017 г. № 239 [5]. Документом в зависимости от категории значимости и угроз безопасности информации определены следующие организационные и технические меры, подлежащие реализации:

  • идентификация и аутентификация;
  • управление доступом;
  • ограничение программной среды;
  • защита машинных носителей информации;
  • аудит безопасности;
  • антивирусная защита;
  • предотвращение вторжений (компьютерных атак);
  • обеспечение целостности;
  • обеспечение доступности;
  • защита технических средств и систем;
  • защита информационной (автоматизированной) системы и ее компонентов;
  • планирование мероприятий по обеспечению безопасности;
  • управление конфигурацией;
  • управление обновлениями программного обеспечения;
  • реагирование на инциденты информационной безопасности;
  • обеспечение действий в нештатных (непредвиденных) ситуациях;
  • информирование и обучение персонала.

Средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации, применяются в случаях, установленных законодательством Российской Федерации, а также в случае принятия решения субъектом критической информационной инфраструктуры.

В иных случаях применяются средства защиты информации, прошедшие оценку соответствия в форме испытаний или приемки, которые проводятся субъектами критической информационной инфраструктуры самостоятельно или с привлечением организаций, имеющих в соответствии с законодательством Российской Федерации лицензии на деятельность в области защиты информации.

В случае использования в значимом объекте сертифицированных на соответствие требованиям по безопасности информации средств защиты информации (это 6 видов средств защиты: межсетевые экраны, системы обнаружения вторжений, средства антивирусной защиты, средства доверенной загрузки, средства контроля съемных машинных носителей информации, операционные системы):

а) в значимых объектах 1 категории применяются средства защиты информации не ниже 4 класса защиты, а также средства вычислительной техники не ниже 5 класса;

б) в значимых объектах 2 категории применяются средства защиты информации не ниже 5 класса защиты, а также средства вычислительной техники не ниже 5 класса;

в) в значимых объектах 3 категории применяются средства защиты информации 6 класса защиты, а также средства вычислительной техники не ниже 5 класса.

При этом в значимых объектах 1 категории значимости применяются сертифицированные средства защиты информации, соответствующие (вместо 4-го уровня НДВ) 4 или более высокому уровню доверия. В значимых объектах 2 категории значимости применяются сертифицированные средства защиты информации, соответствующие 5 или более высокому уровню доверия. В значимых объектах 3 категории значимости применяются сертифицированные средства защиты информации, соответствующие 6 или более высокому уровню доверия.

В случае если значимый объект является государственной информационной системой или информационной системой персональных данных, меры по обеспечению безопасности значимого объекта и меры защиты информации (персональных данных) принимаются в соответствии с более высокой категорией значимости, классом защищенности или уровнем защищенности персональных данных.

Таким образом, объекты КИИ (автоматизированные и информационные системы в их составе) подлежат защите также, как ГИС и ИСПДн высоких классов защищенности.

Постановление Правительства Российской Федерации от 17 февраля 2018 г. № 162 «Об утверждении Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры» [6]. Правилами устанавливается порядок осуществления федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, и его территориальными органами мероприятий по государственному контролю в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации. Государственный контроль осуществляется путём проведения плановых и внеплановых выездных проверок. Проверка проводится должностными лицами органа государственного контроля, которые указаны в приказе органа государственного контроля о проведении проверки. Срок проведения плановой проверки не должен превышать 20 рабочих дней. Срок проведения внеплановой проверки не должен превышать 10 рабочих дней. Информация об организации проверок, в том числе об их планировании, о проведении и результатах таких проверок, в органы прокуратуры не направляется, за исключением информации о результатах проверок, проведённых на основании требования прокурора об осуществлении внеплановой проверки в рамках проведения надзора за исполнением законов по поступившим в органы прокуратуры материалам и обращениям.

 

Другие документы

Необходимо упомянуть также еще ряд документов ФСТЭК России и ФСБ России.

Приказ ФСТЭК России от 06.12.2017 №227 «Об утверждении Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации» [7].

Приказ ФСТЭК России от 11.12.2017 №229 «Об утверждении формы акта проверки, составляемого по итогам проведения госконтроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» [8]. Содержание этих документов очевидно из названий.

Приказ ФСБ России от 24 июля 2018 г. N 366 «О Национальном координационном центре по компьютерным инцидентам» [9]. Инициирует создание Национального координационного центра по компьютерным инцидентам (НКЦКИ), определяет его задачи и права.

Приказ ФСБ России от 24.07.2018 № 367 «Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации…» [10]. Устанавливает набор параметров инцидентов для передачи в НКЦКИ (не позднее 24 часов с момента их обнаружения) и способы передачи информации.

Приказ ФСБ России от 24.07.2018 № 368 «Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации…» [11]. Определяет способы передачи информации об инциденте другим субъектам КИИ и получения сведений субъектами КИИ об атаках. Обмен информацией с иностранными организациями осуществляет НКЦКИ.

Приказ ФСБ России от 06.05.2019 № 196 «Об утверждении Требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты» [12]. Определяет требования к функциональным возможностям и характеристикам технических средств, необходимых для решения задач центров ГосСОПКА.

Приказ ФСБ России от 19.06.2019 № 281 «Об утверждении порядка, технических условий установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты…» [13]. Обязывает субъекта КИИ согласовывать с НКЦКИ установку средств ГосСОПКА и уведомлять о приеме их в эксплуатацию. Определяет необходимые для согласования сведения. Срок согласования — до 45 календарных дней.

Приказ ФСБ России от 19.06.2019 № 282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак…» [14]. Определяет состав плана реагирования на инциденты и принятия мер по ликвидации последствий, разрабатываемого субъектом КИИ. Обязует информировать НКЦКИ о результатах реагирования и ликвидации последствий не позднее 48 часов после завершения мероприятий.

 

Преступления и наказания

Федеральным законом от 26.07.2017 г. № 194-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации и статью 151 Уголовно-процессуального кодекса Российской Федерации в связи с принятием Федерального закона “О безопасности критической информационной инфраструктуры Российской Федерации”» [15] внесены изменения, предусматривающие ответственность физических и юридических лиц:

  • создание, распространение и (или) использование ПО или иной компьютерной информации для неправомерного воздействия на КИИ:
    • принудительные работы до 5 лет / лишение свободы до 5 лет / штраф до 1 млн руб.
  • Неправомерный доступ к информации КИИ, если он повлёк вред:
    • принудительные работы до 5 лет / лишение свободы до 6 лет / штраф до 1 млн руб.
  • Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой законом информации КИИ либо правил доступа, если оно повлекло причинение вреда для КИИ:
    • принудительные работы до 5 лет / лишение свободы до 6 лет / запрет занимать должности до 3 лет.
  • Группой лиц или с использованием служебного положения:
    • лишение свободы до 8 лет / запрет занимать должности до 3 лет.
  • Если повлекло тяжкие последствия:
    • лишение свободы до 10 лет / запрет занимать должности до 5 лет.

К счастью, специалисты «на местах» не предоставлены сами себе в этой ситуации, в различных учебных центрах и центрах повышения квалификации проводятся курсы повышения квалификации по программам, разработанным в соответствии с «Методическими рекомендациями по разработке программ профессиональной переподготовки и повышения квалификации специалистов, работающих в области обеспечения безопасности значимых объектов критической информационной инфраструктуры, противодействия иностранным техническим разведкам и технической защиты информации» [16], утвержденными ФСТЭК России 16 апреля 2018 г., и примерной программой повышения квалификации «Программа повышения квалификации специалистов, работающих в области обеспечения безопасности значимых объектов критической информационной инфраструктуры» [17], утвержденной ФСТЭК России 17 декабря 2018 г. Разработка программы в соответствии с приведенными документами от ФСТЭК означает, что все положения, модули и темы программы утверждены регуляторами, и соответствуют нормативной методической базе.

 

СПИСОК ЛИТЕРАТУРЫ:

  1. Федеральный закон 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
  2. Постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений»
  3. Приказ ФСТЭК России от 22 декабря 2017 г. № 236 «Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий (в ред. Приказа ФСТЭК России от 21 марта 2019 г. № 59) [электронный ресурс]. URL: https://fstec.ru/normotvorcheskaya/akty/53-prikazy/1590-prikaz-fstek-rossii-ot-22-dekabrya-2017-g-n-236 (дата обращения: 16.08.2019).
  4. Приказ ФСТЭК России от 11 декабря 2017 г. № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования».
  5. Приказ ФСТЭК России от 25 декабря 2017 г. № 239 Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации (в ред. приказа ФСТЭК России от 26 марта 2019 г. № 60) [электронный ресурс]. URL: https://fstec.ru/normotvorcheskaya/akty/53-prikazy/1592-prikaz-fstek-rossii-ot-25-dekabrya-2017-g-n-239 (дата обращения: 16.08.2019).
  6. Постановление Правительства Российской Федерации от 17 февраля 2018 г. № 162 «Об утверждении Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры» [электронный ресурс]. URL: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/obespechenie-bezopasnosti-kriticheskoj-informatsionnoj-infrastruktury/287-postanovleniya/1617-postanovlenie-pravitelstva-rossijskoj-federatsii-ot-17-fevralya-2018-g-n-163 (дата обращения: 20.08.2019).
  7. Приказ ФСТЭК России от 06.12.2017 №227 «Об утверждении Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации» [электронный ресурс]. URL: https://fstec.ru/normotvorcheskaya/akty/53-prikazy/1587-prikaz-fstek-rossii-ot-6-dekabrya-2017-g-n-227 (дата обращения: 16.08.2019).
  8. Приказ ФСТЭК России от 11.12.2017 №229 «Об утверждении формы акта проверки, составляемого по итогам проведения госконтроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» [электронный ресурс]. URL: https://fstec.ru/normotvorcheskaya/akty/53-prikazy/1475-prikaz-fstek-rossii-ot-11-dekabrya-2017-g-n-229 (дата обращения: 16.08.2019).
  9. Приказ ФСБ России от 24 июля 2018 г. N 366 «О Национальном координационном центре по компьютерным инцидентам» [электронный ресурс]. URL: http://base.garant.ru/72041506/ (дата обращения: 16.08.2019).
  10. Приказ ФСБ России от 24.07.2018 № 367 «Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации» [электронный ресурс]. URL: http://base.garant.ru/72041504/ (дата обращения: 16.08.2019).
  11. Приказ ФСБ России от 24.07.2018 № 368 «Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и Порядка получения субъектами критической информационной инфраструктуры Российской Федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения» [электронный ресурс]. URL: http://base.garant.ru/72041500/ (дата обращения: 16.08.2019).
  12. Приказ ФСБ России от 06.05.2019 № 196 «Об утверждении Требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты» [электронный ресурс]. URL: http://base.garant.ru/72257648/ (дата обращения: 16.08.2019).
  13. Приказ ФСБ России от 19.06.2019 № 281 «Об утверждении порядка, технических условий установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, за исключением средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации» [электронный ресурс]. URL: http://www.consultant.ru/cons/cgi/online.cgi?req=doc&base=LAW&n=329209&fld=134&dst=1000000001,0&rnd=0.3852266461376137#029900630554834295 (дата обращения: 20.08.2019).
  14. Приказ ФСБ России от 19.06.2019 № 282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации» [электронный ресурс]. URL: http://www.consultant.ru/cons/cgi/online.cgi?req=doc&base=LAW&n=329210&fld=134&dst=1000000001,0&rnd=0.9251330703791609#06741709231220478 (дата обращения: 20.08.2019).
  15. Федеральный закон от 26.07.2017 г. № 194-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации и статью 151 Уголовно-процессуального кодекса Российской Федерации в связи с принятием Федерального закона “О безопасности критической информационной инфраструктуры Российской Федерации”» [электронный ресурс]. URL: https://rg.ru/2017/07/31/uk-dok.html (дата обращения: 16.08.2019).
  16. Информационное сообщение ФСТЭК России от 23 апреля 2018 г. N 240/11/1868 «О разработанных ФСТЭК России Методических рекомендациях по разработке программ профессиональной переподготовки и повышения квалификации специалистов, работающих в области обеспечения безопасности значимых объектов критической информационной инфраструктуры, противодействия иностранным техническим разведкам и технической защиты информации» от 23 апреля 2018 г. N 240/11/1868 [электронный ресурс]. URL: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/obuchenie-spetsialistov/1559-informatsionnoe-soobshchenie-fstek-rossii-ot-23-aprelya-2018-g-n-240-11-1868 (дата обращения: 16.08.2019).
  17. Информационное сообщение ФСТЭК России от 17 декабря 2018 г. N 240/11/5453 «О разработанной ФСТЭК России примерной программе повышения квалификации специалистов, работающих в области обеспечения безопасности значимых объектов критической информационной инфраструктуры» [электронный ресурс]. URL: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/obuchenie-spetsialistov/1761-informatsionnoe-soobshchenie-fstek-rossii-ot-17-dekabrya-2018-g-n-240-11-5453 (дата обращения: 16.08.2019).