- Защита критической информационной инфраструктуры (КИИ)
- Три шага на пути к выполнению закона №187-ФЗ
- Категорирование объектов КИИ
- Ответственность
- Интеграция с ГосСОПКА
- Создание системы обеспечения безопасности объектов КИИ. Услуги компании по обеспечению безопасности критической информационной инфраструктуры:
- Безопасность КИИ: коротко о главном
- Кто мы, кии или не кии?
- Что делать если вы субъект кии?
- Что будет если этого не делать?
- Субъекты критической информационной инфраструктуры 187 фз
- Объявление
- Федеральный закон от 26.07.2017 г. № 187-фз
- Закон о критической информационной инфраструктуре. Главное
- Категории значимости
- Реестр критической информационной инфраструктуры
- Ответственность за нарушение безопасности информационных систем
- Критическая информационная инфраструктура 2019 год
- Что такое критическая информационная инфраструктура?
- О чем говорит 187-фз «о безопасности критической информационной инфраструктуры»?
- Что такое ГосСОПКА?
- Как правильно обеспечить безопасность объектов критической информационной инфраструктуры. Советы практикам
- Доклад на VI Федеральной конференции «Critical Communications Russia — Инновационные цифровые технологии для обеспечения безопасности государства, общества, бизнеса»
- Вторая половина закона – это создание Государственной системы обнаружения, предупреждения, ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА)
- Есть три категории значимости объектов – требования к обеспечению безопасности для каждой категории объектов изложены в приказе ФСТЭК №239 от 25 декабря 2017 года. Уже 26 марта 2018 года этот приказ прошел согласование в Минюсте
- С 1 апреля 2018 года фстэк подписал и передал в минюст приказы о порядка сертификации программно-аппаратных комплексов.
- Безопасность критической информационной инфраструктуры
- Нормативная база
- Способы определения субъектности
- Как происходит процесс категорирования объектов КИИ?
- Сроки
- Все ли успели к 1 августа?
- Кто попадает в сферу действия закона?
- Какие документы необходимо направить во ФСТЭК?
- Имеются ли сходства российского законодательства по защите КИИ с аналогичным в других странах?
- Закон о безопасности КИИ: проблемы в толковании определений
- Какие объекты отнесут к КИИ?
- Кто является субъектом КИИ?
- Информационное сообщение ФСТЭК России от 24 августа 2018 г. N 240/25/3752 — ФСТЭК России
- Рекомендуемая форма перечня объектов критической информационной инфраструктуры Российской Федерации, подлежащих категорированию
- Перечень объектов критической информационной инфраструктуры Российской Федерации, подлежащих категорированию
- О требованиях к средствам защиты объектов критической информационной инфраструктуры рф
- Что такое критическая инфраструктура
- Требования к средствам защиты информационных систем
- Ответственность за защиту критической инфраструктуры
- Что дальше
Защита критической информационной инфраструктуры (КИИ)
В современном мире объекты КИИ постоянно подвергаются кибератакам со стороны злоумышлеников. Наблюдается стабильный рост числа инцидентов информационной безопасности.
Для повышения устойчивости функционирования объектов КИИ предприятия, поддерживающих основные бизнес-процессы производства, целесообразно реализовать комплекс мероприятий по обеспечению информационной безопасности.
Описанные ниже особенности функционирования объектов КИИ способствуют возникновению большого количества уязвимостей и создают благоприятные возможности для успешной реализации атак:
- длительный срок службы оборудования
- разнородность применяемых решений автоматизации
- слабость интегрированных функций безопасности оборудования, ПО, протоколов обмена информацией
- использование устаревшего оборудования и ПО
- длительное время устранения выявленных уязвимостей
- отсутствие процесса обновления ПО
- скрытые или явные каналы удаленного сопровождения
- низкий уровень компетенции персонала и разработчиков систем автоматизации в области информационной безопасности
- интеграция с корпоративными системами
Реализация угроз информационной безопасности для объектов КИИ может привести к самым разным негативным последствиям для организации и ее руководителей:
Простои технологического оборудования, нарушение непрерывности основных бизнес-процессов, снижение качества выпускаемой продукции. Как итог — прямые финансовые убытки.
Аварии различной степени тяжести. Финансовые потери в случае аварийной остановки систем.
Штрафы из-за невыполнения контрактных обязательств перед третьими лицами. Потеря репутации.
Административная ответственность из-за невыполнения требований Федерального законодательства.
О решении
Компания «Газинформсервис» реализует полный комплекс работ, который соответствует требованиям законодательства, обеспечивает требуемый уровень безопасности и снижает риски нанесения ущерба в следствие реализации угроз ИБ.
Приказом ФСТЭК России от 14.03.
2014 № 31 утверждены «Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды», обязательные к исполнению для предприятий, относимых к таким категориям объектов.
Три шага на пути к выполнению закона №187-ФЗ
Категорирование объектов КИИ
Интеграция с ГосСОПКА
Создание системы обеспечения безопасности объектов КИИ
Категорирование объектов КИИ
Объект КИИ
Под объектом КИИ понимаются информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.
Субъектом КИИ являются:
- государственные органы
- государственные учреждения
- российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления
Категорирование включает в себя:
- Создание комиссии по категорированию
- Сбор исходных данных для проведения категорирования
- Определение перечня объектов, подлежащих категорированию
- Проведение категорирования объектов КИИ
- Составление Акта категорирования объекта КИИ
- Направление сведений в ФСТЭК России
Необходимые исходные данные для категорирования:
- сведения об объекте КИИ (назначение, архитектура объекта, применяемые ПО и ТС, взаимодействие с другими объектами КИИ, наличие и характеристики доступа к сетям связи)
- сведения об основных бизнес-процессах
- состав информации, обрабатываемой объектами КИИ
- декларация промышленной безопасности ОПО, декларация безопасности гидротехнического сооружения и паспорт объекта ТЭК
- сведения о взаимодействии объекта КИИ с другими объектами КИИ
- угрозы безопасности информации в отношении объекта КИИ
- данные о компьютерных инцидентах, произошедших ранее на объектах КИИ соответствующего типа
Для того, чтобы произвести идентификацию объектов КИИ — необходимо:
Определить виды деятельности общества
Выделить основные виды деятельности общества
Идентифицировать процессы общества для основного вида деятельности
Определить объекты, на которых реализуются процессы
Определить собственника объекта
Сформировать перечень автоматизированных систем, которые управляют основными процессами на объекте
Определить состав автоматизированных систем (провести инвентаризацию)
Включить автоматизированные системы в реестр объектов КИИ общества
В течение 2018 года необходимо провести категорирование и передать информацию во ФСТЭК для включения объекта в реестр (крайний срок категорирования — 20 февраля 2019 года). Первые плановые проверки ФСТЭК начнет проводить через 3 года после внесения значимого объекта в реестр объектов КИИ.
Структура ИБ объектов КИИ
Ответственность
Наиболее тяжкие преступления в отношении объекта КИИ наказываются лишением свободы сроком до 10 лет.
Если субъект КИИ не выполнил необходимые мероприятия по обеспечению безопасности объекта КИИ, и это повлекло причинение вреда объекту КИИ — виновным лицам субъекта КИИ может грозить лишение свободы сроком до 6 лет.
Интеграция с ГосСОПКА
Реализация требований ГосСОПКА приводит к необходимости создания Корпоративного Центра управления ИБ. «Газинформсервис» представляет подход к созданию корпоративного центра ГоСОПКА, на основе Security Operation Center (SOC) с учетом международного опыта и отечественной экспертизы.
Создание системы обеспечения безопасности объектов КИИ. Услуги компании по обеспечению безопасности критической информационной инфраструктуры:
- Консалтинг по разработке плана мероприятий и рекомендаций по приведению объектов заказчика в соответствии с требованиями Федерального закона N 187-ФЗ от 26.07.2017.
Источник: https://www.gaz-is.ru/reshenija/resheniya/zashchita-kii.html
Безопасность КИИ: коротко о главном
Федеральный закон №-187 «О безопасности критической информационной инфраструктуры (КИИ) Российской Федерации» который вступил в силу 01 января 2018 г.
постепенно набирает обороты и пополняется новыми подзаконными актами, которые часто не облегчают жизнь ИБ-специалисту.
Давайте разберёмся в ситуации, что ожидается и что необходимо предпринять.
Предлагаем сэкономить Ваше время и предложить информационный материал согласно вашего интереса!
Для это выберите одно из ниже приведенных определений:
Кто мы, кии или не кии?
Первым делом необходимо выяснить, подпадает ли организация под понятие «субъект КИИ» и сделать это можно посмотрев законодательство. Не нашли себя, выдохните, у вас немного меньше головной боли.
Какие критерии указывают что вы субъект КИИ?
Первый критерий – ОКВЭД организации.
Общероссийский классификатор видов экономической деятельности (ОКВЭД), они, а их может быть много у одного предприятия, открываются в любой момент деятельности, поэтому актуальный список вы можете посмотреть в выписке ЕГРЮЛ предприятия или информационно-справочных сервисах «Контур Фокус», «Спарк» и пр. ОКВЭД явно укажет, к какой сфере деятельности относится ваше предприятие и подпадает ли под перечень следующих отраслей указанных в ФЗ №-187:
- здравоохранение;
- наука;
- транспорт;
- связь;
- энергетика;
- банковская сфера и иные финансовые сферы;
- топливно-энергетический комплекс;
- область атомной энергии;
- оборонная промышленность;
- ракетно-космическая промышленность;
- горнодобывающая промышленность;
- металлургическая промышленность;
- химическая промышленность;
- юридически лица и/или ИП, которые обеспечивают взаимодействие указанных систем или сетей.
Если ваша организация относится к сфере здравоохранения (ОКВЭД 86), рекомендуем для начала ознакомиться с этим материалом:
- КИИ В ЗДРАВООХРАНЕНИИ. КАК ОПРЕДЕЛИТЬ И ЧТО ДЕЛАТЬ ДАЛЬШЕ!
Второй критерий – лицензии и иные разрешительные документы на различные виды деятельности которые относятся к вышеперечисленным сферам и которые будут в фокусе внимания согласно ФЗ №-187 .
Третий критерий – учредительные документы организаций, к ним относятся уставы, положения организаций (если речь идет о государственных органах), в которых может быть прописан вид деятельности указывающий на принадлежность к критичным отраслям.
Пример из нашего опыта проведения работ по категорированию. Компания по основному виду экономической деятельности имела код ОКВЭД 46.73.
6 «Торговля оптовая прочими строительными материалами и изделиями», на первый взгляд ни чего особенного, в перечень отраслей согласно ФЗ №-187 не попадает и можно «спать спокойно».
Но при детальном изучении устава и лицензий на виды деятельности оказалось, что у компании есть лицензия на деятельность по перевозке грузов железнодорожным транспортом и собственный парк железнодорожного транспорта.
Исходя из данных обстоятельств, предприятие относится к отрасли «транспорт» и следовательно, необходимо выполнять требования ФЗ №-187.
Попали под один критерий из трёх? Поздравляем, вы субъект КИИ! Но нужно помнить, что каждый случай разбирается индивидуально и эта тема отдельного обсуждения, посвященная категорированию объектов критической информационной инфраструктуры которую рассмотрим в следующих статьях.
Нормативно-правовой акт четко определяет, что «к субъектам критической информационной инфраструктуры относятся государственные органы и учреждения, а так же российские юридические лица и/или индивидуальные предприниматели которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления».
У каждого субъекта КИИ есть объекты КИИ:
- информационные системы;
- автоматизированные системы управления технологическими процессами;
- информационно-телекоммуникационные сети.
функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.
СУБЪЕКТЫ КИИ:
|
ОБЪЕКТЫ КИИ:
|
Объекты КИИ обеспечивают функционирование управленческих, технологических, производственных, финансово-экономических и иных процессов субъектов КИИ.
Процесс определения принадлежности к субъекту КИИ не так прост, как может показаться на первый взгляд.
Как мы говорили выше, есть много неочевидных факторов, которые могут влиять на результат, например, открытые дополнительные, не основные, виды деятельности по ОКВЭД или действующие лицензии, которые могут отнести вас субъекту критической информационной инфраструктуре. Мы рекомендуем провести более детальное погружение в вопрос определения принадлежности к субъекту КИИ.
Что делать если вы субъект кии?
С субъектом и объектом КИИ разобрались. Что необходимо сделать вам, как субъекту КИИ, дальше?
Первый этап. Необходимо создать внутреннюю комиссию по категорированию и определить состав участников из наиболее компетентных специалистов по вашим бизнес-процессам.
Почему делается акцент на бизнес-процессы и уровни компетенции участников? Только «владелец» бизнес-процесса знает все нюансы, которые могут привести к их нарушению и последующим негативным последствиям.
Этот владелец или компетентное уполномоченное лицо должен быть в составе комиссии для присвоения правильной категории значимости процессу.
Второй этап.
На этом этапе собираются исходные данные, проводится предпроектное обследование и на основании полученных данных, комиссия принимает решение о наличии перечня объектов КИИ, подлежащих категорированию и присваивает категорию значимости. Согласно Постановлению Правительства РФ от 08.02.2018 N 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» категорий значимости три, 1-я самая высокая.
Категории значимости присваиваются исходя из показателей критериев значимости, которых пять:
- социальная;
- политическая;
- экономическая;
- экологическая;
- значимость для обеспечения обороны страны, безопасности государства и правопорядка.
На этом этапе есть один нюанс, после утверждения перечня объектов КИИ подлежащих категорированию, субъект КИИ в течении 5 дней обязан известить об этом ФСТЭК России. С этого момента на проведение процедур категорирования отводится максимум 1 год.
Если объект КИИ не подпадает под один из показателей критериев значимости, то у него отсутствует необходимость присвоения категории значимости, но тем не менее предприятие является субъектом КИИ у которого отсутствуют критически значимые объекты КИИ.
Результатом второго этапа является «Акт категорирования объекта КИИ», который подписывается членами комиссии и утверждается руководителем субъекта КИИ.
Акт должен содержать полные сведения об объекте КИИ и хранится субъектом до последующего пересмотра критериев значимости.
С момента подписания акта, субъект КИИ в течении 10 дней направляет сведения о результатах категорирования по утверждённой форме в ФСТЭК России (на момент написания статьи форма на стадии согласования окончательного варианта).
В течении 30 дней ФСТЭК проверяет соблюдение порядка и правильности категорирования и в случае положительного заключения, вносит сведения в реестр значимых объектов КИИ с последующим уведомлением субъекта КИИ в 10-ти дневный срок.
Третий этап, заключительный. Пожалуй, один из самых трудоёмких и дорогих – выполнение требований по обеспечению безопасности значимых объектов КИИ. Не будем вдаваться сейчас в детали, а перечислим ключевые стадии по обеспечению безопасности объектов КИИ:
- разработка технического задания;
- разработка модели угроз информационной безопасности;
- разработка технического проекта;
- разработка рабочей документации;
- ввод в действие.
Что будет если этого не делать?
Источник: https://www.ec-rs.ru/blog/ib/bezopasnost-kii-korotko-o-glavnom
Субъекты критической информационной инфраструктуры 187 фз
Обязать всех выделять бюджеты и бояться проверок можно, но без должного финансирования, в том числе со стороны государства, сложно добиться реальных результатов», — считает эксперт.
Что же касается перспектив закон, то, по мнению Антона Тарана, об этом говорить пока сложно.
С одной стороны, чисто теоретически, систематизация, координация и стандартизация никому еще не вредили, и если будущая система будет реально работать, а издержки для экономики субъектов КИИ не будут превышать потенциальные риски, то можно ожидать повышения уровня безопасности. С другой, говорить об оценке эффективности закона будет очень сложно, пока не будут определены количественные показатели обеспечения безопасности. Главную же проблему закона он видит в издержках для бизнеса.
А именно, в законе указали, что к ГосСОПКЕ должны подключаться все субъекты КИИ, причем вне зависимости, есть ли у них значимые объекты КИИ или нет».
Начальник информационно-аналитического управления Московской городской Думы Антон Таран среди ключевых идей закона выделяет необходимость создания единого центра мониторинга и управления ИБ для важных с точки зрения государства ИТ-систем.
« Важно Сегодня центральная власть может не знать, что на какой-нибудь центр управления ТЭЦ в Ханты-Мансийске напали хакеры и вывели на два часа из строя систему пожаротушения. А теперь будут знать и как-то реагировать», — пояснил он.
Действительно, теперь закон напрямую обязывает службы ИБ таких объектов передавать информацию о зафиксированных атаках в ФСБ.
Объявление
В случае отнесения объектов к КИИ одной из категорий значимости, на них будут распространяться «требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры, а также требования к созданию систем безопасности таких объектов и обеспечению их функционирования». В настоящее время такие требования не разработаны и не определён орган исполнительной власти, уполномоченный на их разработку.
Тем не менее, можно прогнозировать следующий подход к формированию таких требований: в отношении категорированных объектов, функционирующих в сфере транспорта, связи, энергетики, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности — требования будут сформированы на базе приказа ФСТЭК России от 14 марта 2014 г.
Федеральный закон от 26.07.2017 г. № 187-фз
Для практической реализации положений Закона предусматривается разработка комплекса подзаконных актов (указаны в Приложении 1), сроки принятия которых могут составлять 1,5-2,5 года с момента вступления Закона в силу. До принятия этих нормативных правовых актов практическая реализации требований Закона в полном объеме НЕВОЗМОЖНА.
Необходимо также учитывать, что в соответствии со ст. 54 Конституции РФ, закон, устанавливающий или отягчающий ответственность, обратной силы не имеет.
В соответствии с этим обязательные требования, принятые во исполнение Закона, будут распространяться на объекты КИИ или вновь вводимые в эксплуатацию, или подвергаемые модернизации после утверждения соответствующих требований.
Как пояснил директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов, под КИИ понимаются ИТ-системы государственных и коммерческих организаций, сбои в которых (в том числе в результате хакерских атак) могут привести к тяжелым социальным, политическим, экологическим и прочим последствиям. С точки зрения директора по ИБ компании РТ-ИНФОРМ (Центр компетенций по ИТ и ИБ госкорпорации Ростех) Александра Евтеева, важным является то, что закон определяет порядок категорирования значимых объектов КИИ, порядок госконтроля в области обеспечения их безопасности, права и обязанности организаций, которым принадлежат субъекты КИИ. В плане регулирования отношений в области обеспечения безопасности КИИ в условиях проведения хакерских атак закон выделяет два направления — обеспечение безопасности и противодействие атакам.
Средствами,предназначеннымидляобнаружения, предупрежденияиликвидациипоследствийкомпьютерныхатаки реагированиянакомпьютерныеинциденты,являютсятехнические, программные, программно-аппаратные и иные средства дляобнаружения (в томчиследляпоискапризнаковкомпьютерныхатаквсетях электросвязи, используемых для организации взаимодействияобъектов критическойинформационнойинфраструктуры),предупреждения, ликвидациипоследствийкомпьютерныхатаки(или)обмена информацией,необходимойсубъектамкритическойинформационной инфраструктуры при обнаружении, предупреждении и(или)ликвидации последствий компьютерных атак, а такжекриптографическиесредства защиты такой информации. 4.
Как обычно бывает, довольно подробно прописаны алгоритмы администрирования и функционал уполномоченных органов, поскольку от этого зависит дальнейшее нормотворчество и зоны ответственности, а соответственно и бюджетополучатели. Пока не понятно, каковы будут затраты бюджета на создание и функционирование системы.
Внимание Учитывая, что законом предусмотрено создание национального координационного центра по компьютерным инцидентам, затраты все же предстоят. Если только это не будет виртуальный центр». С тем, что исполнение потребует существенных затрат как со стороны владельцев информационных систем, так и со стороны государства, согласны все эксперты.
Но Дмитрий Кузнецов уверен, что такие расходы просто необходимы: «Проблема ИБ многими организациями игнорировалась. Необязательность защиты привела к тому, что во многих жизненно важных информационных системах отсутствуют элементарные механизмы защиты.
АСУ ТП могут применяться несертифицированные средства защиты информации. Сертифицированных СЗИ для АСУ ТП в настоящее время практически нет, поэтому применение существующих несертифицированных СЗИ решает проблему по крайней мере на этом временном (переходном) этапе.
- Обращаем внимание, что в соответствии со ст. 54 Конституции РФ, закон, устанавливающий или отягчающий ответственность, обратной силы не имеет. В соответствии с этим обязательные требования, принятые во исполнение Закона, будут распространяться на объекты КИИ, вновь вводимые в эксплуатацию или подвергаемые модернизации после утверждения соответствующих требований.
Подобный подход к срокам и порядку реализации вновь вводимых требований неоднократно анонсировала ФСТЭК России в разъяснениях к соответствующим нормативным актам, подчёркивая, что изданные в установленном порядке нормативные правовые акты не имеют обратной силы и применяются к отношениям, возникшим после вступления соответствующих актов в силу. О прогнозировании состава технических требований, которые могут распространяться на объекты КИИ, отнесённые к одной из категорий значимости В соответствии со ст.
2 Закона можно прогнозировать, что к объектам КИИ потенциально могут быть отнесены наиболее важные объекты, в том числе функционирующие сфере электроэнергетики.
На это, в частности, обращает внимание Дмитрий Кузнецов: «Владельцы промышленных предприятий и разработчики средств промышленной автоматизации осознали, насколько промышленность уязвима к атакам, и сейчас происходит кооперация между производителями систем АСУ ТП и компаниями, специализирующимися на анализе защищенности таких систем». В свою очередь, Василий Степаненко отмечает, что закон подразумевает не проведение некоторой одноразовой акции по усилению безопасности ИТ-систем, а постоянную работу в этом направлении: «Заказчикам нужно теперь постоянно разрабатывать и осуществлять мероприятия по обеспечению безопасности, планировать бюджеты на это, информировать ФСБ об инцидентах, расследовать инциденты и оказывать содействие представителям ФСБ и ФСТЭК».
Источник: http://advocatus54.ru/subekty-kriticheskoj-informatsionnoj-infrastruktury-187-fz/
Закон о критической информационной инфраструктуре. Главное
Виктория Федосеенко
27 января 2017 года Госдума приняла в первом чтении пакет правительственных законопроектов, которые касаются критической информационной инфраструктуры РФ.
Пакет вводит уголовное наказание за киберпреступления, предполагает создание госсистемы предупреждения и ликвидации кибератак, а также реестра объектов критической информационной инфраструктуры.
SmartBabr выбрал главное из многостраничного документа.
Законопроект был внесен в Госдуму 6 декабря 2016 года комитетом по информационной политике, информационным технологиям и связи. Все документы опубликованы на сайте федерального собрания. В пояснительной записке к законопроекту сказано:
«Cтабильность социально-экономического развития Российской Федерации и ее безопасность, по сути, поставлены в прямую зависимость от надежности и безопасности функционирования информационно-телекоммуникационных сетей и информационных систем (…).
Принятие законопроекта позволит создать правовую и организационную основу для эффективного функционирования системы безопасности (…
) а также существенно снизит общественно-политические, финансовые и иные негативные последствия для Российской Федерации в случае проведения против нее компьютерных атак».
Законопроект вводит несколько новых понятий. Среди них:
Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ – «единый централизованный, территориально распределенный комплекс, включающий силы и средства обнаружения, предупреждения и ликвидации последствий компьютерных атак».
Компьютерная атака – «целенаправленное воздействие программными средствами на информационные системы, информационно-телекоммуникационные сети, средства связи и автоматизированные системы управления технологическими процессами, осуществляемое в целях нарушения их функционирования и (или) нарушения безопасности обрабатываемой ими информации»;
Критическая информационная инфраструктура РФ – «совокупность объектов критической информационной инфраструктуры, а также сетей электросвязи, используемых для организации взаимодействия объектов критической инфраструктуры между собой».
Объекты критической информационной инфраструктуры – «информационные системы, информационно-телекоммуникационные сети государственных органов, а также информационные системы, информационно-телекоммуникационные сети и автоматизированые системы управления технологическими процессами, функционирующие в оборонной промышленности, области здравоохранения,транспорта, связи, кредитно-финансовой сфере, энергетике, топливной промышленности, атомной промышленности, ракетно-космической промышленности и химической промышленности».
Согласно законопроекту, на значимых объектах критической информационной инфраструктуры и в сетях электросвязи должны быть установлены технические средства государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.
Категории значимости
Всем объектам критической информационной инфраструктуры будет присвоена категория значимости – высокая, средняя или низкая.
Категории будут присваиваться исходя из социальной значимости (ущерб здоровью людей, влияние на работу объектов жизнеобеспечения, транспортной инфраструктуры и т.д.), а также исходя из политической, экономической и экологической значимости. Критерии устанавливаются Правительством Российской Федерации.
Для каждой категории федеральный орган должен установить требования по обеспечению безопасности.
Реестр критической информационной инфраструктуры
Закон также предполагает создание реестра критической информационной инфраструктуры, куда, в частности, будут вноситься сведения о программном обеспечении объекта, мерах и средствах, применяемых для обеспечения его безопасности.
Субъекты этого реестра, должны, помимо прочего, обеспечивать «беспрепятственный доступ должностных лиц федерального органа исполнительной власти (…) к значимому объекту критической информационной инфраструктуры».
Ответственность за нарушение безопасности информационных систем
Законопроект вводит уголовную, административную, гражданско-правовую и дисциплинарную ответственность за нарушение законодательства в области безопасности критической информационной инфраструктуры.
За создание программ для атак на объекты информационной инфраструктуры – штраф от пятисот тысяч до миллиона рублей либо принудительные работы или лишение свободы на срок до пяти лет;
За неправомерный доступ к охраняемой информации (с причинением вреда инфраструктуре) – штраф от одного до двух миллионов рублей или лишение свободы на срок до шести лет со штрафом от пятисот тысяч до одного миллиона рублей.
За нарушение правил эксплуатации технических средств критических систем – принудительные работы на срок до пяти лет с лишением права занимать определенные должности на срок до трех лет, либо лишение свободы на срок до шести лет.
Если совершение всех правонарушений повлекло тяжелые последствия или «создало угрозу их наступления» – оно наказывается лишением свободы на срок от пяти до десяти лет с лишением права занимать определенные должности на срок до пяти лет.
Согласно проекту, закон должен был вступить в силу 1 января 2017 года. Отдельные статьи закона – 1 января 2018 года. Новые сроки вступления закона в силу пока неизвестны.
На фото: центральный пульт управления Иркутской ГЭС – одним из критически важных объектов города. Понятие критический объект было определено в законодательстве РФ в 1994 году
Источник: Информационное агентство «Бабр»
9216
Безопасность, Госрегулирование интернета
Источник: https://smartbabr.com/?doc=1092
Критическая информационная инфраструктура 2019 год
Во второй половине 2018 года оформилась нормативная база в теме КИИ. Это дает нам возможность ответить на все основные вопросы.
Для начала определимся с основными понятиями.
Что такое критическая информационная инфраструктура?
Критическая информационная инфраструктура – это информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, а также сети электросвязи, используемые для организации их взаимодействия. Ключевым условием отнесения системы к КИИ является ее использование государственным органом или учреждением, либо российской компанией в следующих сферах:
- здравоохранение,
- наука,
- транспорт,
- связь,
- энергетика,
- банковский (финансовый) сектор,
- топливно-энергетический комплекс,
- атомная энергетика,
- оборонная промышленность,
- ракетно-космическая промышленность
- горнодобывающая промышленность,
- металлургическая промышленность
- химическая промышленность
Также к КИИ будут относиться системы, которые на праве собственности, аренды или на ином законном основании принадлежат российской компании или ИП, и обеспечивают взаимодействие указанных выше систем или сетей.
Понятие критической информационной инфраструктуры раскрыто в Федеральном законе №187-ФЗ от 26.07.2017 «О безопасности критической информационной инфраструктуры».
О чем говорит 187-фз «о безопасности критической информационной инфраструктуры»?
187-фз является базовым документом для всей тематики КИИ.
187-ФЗ:
- Вводит основные понятия
- Создает основу правового регулирования
- Определяет принципы обеспечения безопасности КИИ
- Вводит понятие Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее – ГосСОПКА)
- Вводит основу для создания Национального координационного центра по компьютерным инцидентам (далее — НКЦКИ)
- Описывает полномочия Президента и органов госвласти в области обеспечения безопасности КИИ
- Содержит базу для определения категорий объектов КИИ
- Создает законодательную основу ведения реестра значимых объектов КИИ
- Определяет права и обязанности субъектов КИИ
- Определяет задачи и требования системы обеспечения безопасности значимого объекта КИИ
- Закладывает основу оценки безопасности КИИ
- Распределяет права и обязанности по государственному контролю
Что такое ГосСОПКА?
ГосСОПКА — единый территориально распределенный комплекс, включающий силы и средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.
Данное определение мы видим в 187-ФЗ.
По своей сути, ГосСОПКА является территориально распределенной совокупностью центров (сил и средств), в числе которых — Национальный координационный центр по компьютерным инцидентам.
Если обобщить, то структура ГосСОПКА выглядит следующим образом:
Подробности можно получить из следующих документов:
- Указ Президента РФ от 15 января 2013 г. № 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации»
- «Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации» (утв. Президентом РФ 03.02.2012№803)
Источник: https://rtmtech.ru/articles/kriticheskaya-informatsionnaya-infrastruktura-2019/
Как правильно обеспечить безопасность объектов критической информационной инфраструктуры. Советы практикам
Валентин Масановец, заместитель директора НТЦ «Транссвязьбезопасность», АО «Федеральный центр науки и высоких технологий «Специальное научно-производственное объединение «Элерон», заведующий кафедры «Защита информации», Институт комплексной безопасности и специального приборостроения МИРЭА.
Доклад на VI Федеральной конференции «Critical Communications Russia — Инновационные цифровые технологии для обеспечения безопасности государства, общества, бизнеса»
Технологииинформационнойбезопасности – это две стороны взаимоувязанного процесса.
26 июля 2017 года принят федеральный закон 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Он вступил в силу с 1 января 2018 года.
Основные понятия закона: объекты критической информационной инфраструктуры (КИИ) – информационные системы, информационные телекоммуникационные сети, автоматизированные системы управления критической информационной инфраструктурой). Также в законе даны определения значимого объекта критической информационной инфраструктуры и самой критической информационной инфраструктуры. И также – субъектов критической информационной инфраструктуры, которыми являются государственные органы, государственные учреждения, российские юридические лица, индивидуальные предприниматели, которым на правах собственности и аренды принадлежат информационные системы.
Перечень сфер, где применим термин КИИ, состоит из 12 наименований, среди них здравоохранение, наука, связь и так далее.
Для того, чтобы определить, относится структура, например, связи к КИИ, необходимо изучить классификатор, который прописан в Уставе организации, а также – лицензии и другие документы.
Вторая половина закона – это создание Государственной системы обнаружения, предупреждения, ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА)
В рамках этого закона принят ряд постановлений Правительства России и приказов ФСТЭК. На Федеральную службу безопасности Российской Федерации в соответствии с законом возложено создание системы СОПКА.
Указом президента № 569 от 25 ноября 2017 года на ФСТЭКРоссиивозложена функция исполнительного органа в области обеспечения безопасности критической информационной инфраструктуры.
Как следует из закона, в течение года с момента выхода постановления Правительства Российской Федерации № 127 от 8 февраля 2018 года (где утверждены показатели категорирования), все структуры связи, которые эксплуатируют информационные сети, должны провести категорирование своих сетей.
Вкратце предусмотренный нормативами порядок категорирования выглядит следующим образом.
Создается комиссия по категорированию, собираются исходные данные, составляется предварительный перечень систем, подлежащих категорированию, его необходимо предварительно согласовать со ФСТЭК и затем официально предоставить в службу.
После пересылки официального письма во ФСЭК у заявителя есть год, чтобы провести само категорирование. Порядок категорирования определен постановлением правительства № 127.
В федеральном законе в общих чертах прописаны требования к обеспечению безопасности значимых объектов КИИ. При категорировании объектов КИИ необходимо определиться – или это просто объект КИИ, или это значимый объект КИИ.
Есть три категории значимости объектов – требования к обеспечению безопасности для каждой категории объектов изложены в приказе ФСТЭК №239 от 25 декабря 2017 года. Уже 26 марта 2018 года этот приказ прошел согласование в Минюсте
Требования по созданию систем безопасности для значимых объектов КИИ, к которым относятся системы связи, изложены в приказе № 235 от 21 декабря 2017 года, документ также прошел официальную регистрацию в Минюсте. Оба приказа ФСТЭК можно считать основными документами, по которым разработчики и эксплуатанты систем связи должны в будущем строить свою работу по безопасности.
Особенности реализации требований по безопасности таковы.
Кроме требований по безопасности значимых объектов, изложенных в приказе № 239, государственные информационные системы дополнительно к требованиям по обеспечению безопасности обязаны руководствоваться приказом ФСТЭК №17 от 2013 года, по обеспечению безопасности систем хранения персональных данных дополнительно необходимо руководствоваться рядом Постановлений правительства. Детально список нормативов изложен в руководящих документах ФСТЭК.
Дабы реализация новых положений относительно безопасности объектов КИИ не прошла так же, как это было в свое время с Законом о защите персональных данных, который несколько лет никто не выполнял, постановлением Правительства Российской Федерации сформулирован порядок осуществления государственного контроля в области обеспечения безопасности объектов КИИ. Контроль будет производиться плановый и внеплановый – в соответствии с приказом ФСТЭК № 162.
Вместе с законом в ряд нормативных актов Российской Федерации внесены отдельные изменения.
Перечень сведений, составляющих государственную тайну, Указом Президента №198 от 2 марта 2018 года внесена следующая формулировка: сведения, раскрывающие меры по обеспечению безопасности КИИ, и сведения, раскрывающие состояние защищенности КИИ, являются государственной тайной.
Учитывая, что связь относится к КИИ вне зависимости от того, значимый объект, или нет – все сведения о его защищенности и информационной безопасности являются гостайной. Точный перечень ограничений в настоящий момент разрабатывает ФСТЭК и ФСБ.
На сегодня издан ряд приказов ФСТЭК, в процессе согласования находятся 5 приказов ФСБ (в основном касаются ГосСОПКИ), одно Постановление правительства о единой сети электросвязи (распределение частот связи для объектов КИИ будет передано от Министерства обороны к Правительству РФ и будет регулироваться постановлениями по заявкам субъектов).
Чтобы гарантировать успешное выполнение требований 187-ФЗ, в уголовный кодекс введена статья 274 – о неправомерном воздействии на критическую информационную инфраструктуру Российской Федерации. Закон вступил в силу с 1 января 2018 года. Необходимо знать и помнить: статья касается не только значимых объектов КИИ, но и просто всей КИИ.
Поэтому в настоящее время весь жизненный цикл разработки и производства системы должен выполняться одним заказчиком.
С 1 апреля 2018 года фстэк подписал и передал в минюст приказы о порядка сертификации программно-аппаратных комплексов.
В соответствии с новыми требованиями, сертификат будет выдаваться на 5 лет, выдаваться на серийное производство.
В соответствии с приказом №239, по требованиям к созданию систем, все оборудование для производства таких систем будет необходимо сертифицировать на предмет контроля на наличие недекларированных возможностей в ПО (НДВ) по 4й категории.
К понятию систем электросвязи относятся и сети передачи данных – это прописано отдельным разделом в федеральном законе.
Министерство связи и все ведомства, кого касаются данные требования, обязаны в течение 3х месяцев переработать свою правовую базу и привести ее в соответствии с требованиями нового закона.
Корпоративные сети органов исполнительной власти. В эти корпоративные сети входят, как составные части, информационные сети подведомственных комитетов. В данном случае субъектов КИИ будет вся корпоративная система
Важно понимать: категорировать сеть будет тот, кто ее эксплуатирует.
И если у пользователя в эксплуатации находится участок корпоративной сети, он категорирует ее как пользователь, но данные о сети запрашивает у ее владельца.
Предоставление данных по категорированию во ФСТЭК – значительный и объемный документ, около 500-700 страниц.
Учитывая, что в приказе ФСТЭК №239 прописано всего 17 политик безопасности, в каждой порядка 10-15 пунктов, а всего во ФСТЭК зарегистрировано 207 уязвимостей. Если 207 умножить на 170, то можно представить то количество угроз, по каждой из которых придется давать разъяснения, для того, чтобы пройти процедуру категорирования.
Все системы – информационные и АСУ ТП – подлежат категорированию. Субъектом КИИ будет не какая-то отдельная сеть, а вся система передачи данных.
Подписывайтесь на канал ru-bezh.ru
в Яндекс.Дзен
Источник: https://ru-bezh.ru/kak-pravilno-obespechit-bezopasnost-obektov-kriticheskoj-informa
Безопасность критической информационной инфраструктуры
Основной регулятор – Федеральная служба по техническому и экспортному контролю (ФСТЭК России). В связи с введением законодательства полномочия ФСТЭК были расширены. Эта служба контролирует выполнение законодательства в части защиты КИИ.
Минкомсвязь России – регулятор в области связи. Объекты электросвязи также относятся к объектам КИИ.
Центральный Банк РФ регулирует финансовую и банковскую сферу.
В части подключения к ГосСОПКА регулятором является ФСБ России. Предварительное следствие по правонарушениям в области защиты КИИ ведут следователи ФСБ (соответствующие изменения внесены в уголовно-процессуальный кодекс).
Все законы, касающиеся безопасности КИИ, были приняты вместе с ФЗ-187 (О безопасности критической информационной инфраструктуры Российской Федерации), поправками к ФЗ-194 (изменения в Уголовный кодекс и Уголовно-процессуальный кодекс), ФЗ-193 (законодательство по государственной тайне).
Нормативная база
Был принят целый пакет нормативных актов.
Постановление Правительства № 127 (Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений) определяет порядок категорирования КИИ и перечня показателей критериев значимости (их 5). Каждому критерию присваиваются категории значимости (от 1 до 3). В постановлении были также утверждены сферы нарушений.
Способы определения субъектности
Существует 2 способа определения субъектности:
1) Оценка сферы деятельности организации.
Если сфера деятельности попадает в 13 сфер деятельности субъекта согласно ФЗ-187 (О безопасности критической информационной инфраструктуры Российской Федерации), то мы оцениваем только те информационные системы, которые используются организацией для осуществления этих видов деятельности.
2) Определение, какие информационные системы и АСУ (автоматизированные системы управления) могут осуществлять свои функции в указанных сферах деятельности. Только тогда принимается обоснованное решение о том, попадает организация под действие закона или нет.
Как происходит процесс категорирования объектов КИИ?
В процессе категорирования проверяется важность и значимость объектов.
В результате компьютерной атаки на объекты возникают последствия, и масштаб этих последствий оценивается согласно критериям, описанным в Постановлении Правительства № 127.
Последствия могут быть в социальной сфере, экологической; они могут влиять на гособоронзаказ.
После категорирования полученные сведения должны быть направлены во ФСТЭК. И ФСТЭК либо соглашается с результатами категорирования, которые произвела организация, и включает эти объекты в перечень объектов КИИ, либо мотивированно отказывает и направляет на доработку.
Сроки
В Постановлении Правительства № 127 определены сроки, в рамках которых должен быть направлен отказ о включении организаций в перечень объектов КИИ, а также сроки повторного направления сведений.
Здесь наступает административная ответственность о нарушении сроков и невыполнении предписаний регулятора (штраф до 20 тыс. рублей).
Раз в месяц регулятор может такой штраф предъявить до прохождения категорирования.
Первый формальный срок, который определен законодательством, – 1 год с момента определения субъектом перечня, его утверждения и направления во ФСТЭК до момента категорирования. 3 года до начала плановых проверок.
24 апреля 2018 года было принято решение коллегии ФСТЭК о том, что до 1 августа 2018 года необходимо направить перечень объектов и до 1 января 2019 года провести категорирование.
Все ли успели к 1 августа?
Решение коллегии доводилось до организации не напрямую, а через регуляторов «на местах».
Иногда информация о сроках попадала в министерство и, оно по нисходящей спускало это в регионы. В регионах эти сроки корректировались.
В основном все придерживаются сроков. Но не все органы власти доводят информацию своевременно.
Кто попадает в сферу действия закона?
Вся критическая инфраструктура – это совокупность объектов и сетей электросвязи, которые обеспечивают их взаимодействие.
Субъекты КИИ – государственные органы, учреждения, юридические лица и индивидуальные предприниматели, которым на праве собственности/аренды либо другом законном основании принадлежат объекты, функционирующие в определенной законом сфере.
Объекты КИИ – информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления.
Законом ФЗ-187 определены 13 сфер, в которых могут осуществлять свои функции объекты. Здесь появилось много разночтений.
Но на последнем совещании представитель ФСТЭК объяснил, что не совсем корректно идти от сферы действия субъекта, которая указана в его уставе.
Необходимо выявлять информационные системы, сети и автоматизированные системы управления, которые могут функционировать в указанных законом сферах. Только тогда принимать решение о том, попадает организация в сферу действия закона или нет.
Какие документы необходимо направить во ФСТЭК?
- Перечень объектов в свободной форме. В настоящее время идут обсуждения, в какой именно.
- Форма направления сведений во ФСТЭК определена указом ФСТЭК № 236. Отправляются как сведения о всех категорированных объектах, так и некатегорийных объектах. Результатом категорирования является акт категорирования объекта, утверждаемый субъектом. Этот акт хранится у субъекта до истечения срока категорирования либо вывода объекта из эксплуатации. Сроки категорирования, согласно законодательству, положено один раз в 5 лет пересматривать.
- Модель угроз и нарушителей. База для дальнейшего построения защиты.
- Создание системы защиты объектов. ФСТЭК утвердил два приказа: приказ № 235 (описывает создание системы защиты, требования к персоналу, регулярности мероприятий по безопасности) и № 239 (базовый набор мер по защите объектов КИИ).
Имеются ли сходства российского законодательства по защите КИИ с аналогичным в других странах?
Идем в ногу с США. Там также определяются критически важные отрасли. Назначаются регуляторы. Сталкиваются с такими же проблемами категорирования объектов. Разрабатываются требования по категорированию. Но все же наши подходы отличаются.
В Германии существует практика защиты объектов ядерной энергетики. Головным регулятором выступает МАгАтЭ (Международное агентство по атомной энергии).
Каждая страна Евросоюза дополнительно внутри страны разрабатывает свое законодательство.
Поэтому за ними трудно уследить, если ты не ведешь деятельность в этой стране.
Источник: https://softline.ru/about/blog/bezopasnost-kriticheskoy-informatsionnoy-infrastrukturyi
Закон о безопасности КИИ: проблемы в толковании определений
Автор Сергей в 7 ноября 2017. Новости
Остался месяц до вступления в силу нового закона о безопасности критической информационной инфраструктуры РФ, но вокруг него по-прежнему много неясностей, касающихся его исполнения. Какие именно информационные системы будут подпадать под регулирование, кто станет субъектом КИИ, и как провести категорирование объектов при столь размытых формулировках закона.
Какие объекты отнесут к КИИ?
Прежние результаты правотворческой работы ФСТЭК отличались большей конкретикой. Так, приказ 31 ясно очертил границы применения: это АСУ и информационные системы, обслуживающие критически важные и потенциально опасные объекты.
При этом есть точные критерии отнесения объектов к данным типам, ведется их реестр, есть указание на то, что приказ не регулирует ИС, где обрабатывается гостайна.
Приказ № 17 также не вызывает особых вопросов: чётко определена сфера применения требований, есть перечень государственных информационных систем, нет обработки гостайны.
В случае с Федеральным законом о КИИ всё иначе. Дано определение критической информационной инфраструктуры — это объекты КИИ а также электросети, используемые для передачи данных между ними.
Идём смотреть, что относится к таким объектам — и видим, что по определению закона все информационные системы, системы телекоммуникации и автоматизированного управления подпадают под требования закона 189-ФЗ, если принадлежат субъекту КИИ.
Проблема заключается в том, что по смыслу закона в существующей редакции все информационные системы, будь то программа 1С:Склад или портал организации для внутренних коммуникаций между сотрудниками будут относиться к КИИ, которым необходимо обеспечить повышенную безопасность. И не важно, что уязвимость данных программ никак прямо не влияет на управление важными и потенциально опасными процессами и не может повлечь наступления тяжких последствий и не влияют на безопасность людей или экологии, главное — их принадлежность определенному субъекту.
Кто является субъектом КИИ?
В законе о безопасности критической информационной инфраструктуры вроде бы определен круг субъектов:
И если с госорганами и учреждениями всё понятно, то как разграничить остальные компании и ИП на субъекты и не-субъекты КИИ? В статье есть попытка выделить их за счет отнесения к сферам и областям, либо жизненно важным для людей, либо потенциально опасным для людей и экологии (в случае нарушения безопасности и вмешательства в ИС с противоправной целью).
Можно попытаться выделить субъектов по наличию одновременно следующих признаков:
- владеет АСУ или ИС на праве собственности, аренды или ином законном основании;
- относится к одной из вышеназванных сфер деятельности.
Получается, что отнесение системы к КИИ будет зависеть не от назначения, важности и потенциальной опасности, а от принадлежности к одной из 13 отраслей, перечисленных в Федеральном законе о КИИ. И эта формулировка также создает ряд вопросов:
- Как и кто будет определять, относится ли компания или ИП к той или иной отрасли? Некоторые специалисты предполагают, что отнести ту или иную компанию к представителю отрасли можно будет по наличию/отсутствию лицензии на определенную деятельность.
- Почему к критической информационной инфраструктуре решили отнести лишь ИС и АСУ, обеспечивающие технологические и производственные процессы в важных сферах: атомной, оборонной, горнодобывающей и т.д., но не приняли во внимание другие ИС, применяемые, например, в сфере обороны и обеспечения правопорядка?
- Как будет регулироваться использование информационных систем или обеспечение взаимодействия между ними, если данные ИС и системы связи не находятся во владении субъектов, перечисленных выше, а, например, используются на условиях аутсорсинга?
Специалисты считают, что закон о безопасности критической информационной инфраструктуры в том виде, в каком он вступит в силу, исполнить будет проблематично.
По смыслу определений, данных в 1 статье, под действие закона попадают практически все ИС, прямо или косвенно связанные с указанными сферами.
Как именно отнести компанию или деятельность к перечисленным сферам — тоже неясно.
Есть риск, что регулятор будет трактовать положения Федерального закона о КИИ на свое усмотрение, пока не будет выработана единая практика или не приняты поправки и уточнения к закону.
Между тем, обеспечение безопасности объектов по закону о безопасности критической информационной инфраструктуры предполагает не только оформление лицензии ФСТЭК на работу с такими ИС, но и ряд дополнительных требований, постоянные проверки со стороны контролирующих органов, а это — дополнительные затраты и «постоянная боевая готовность» IT-отделов. Пока представители ФСТЭК никак не комментируют пробелы и не состыковки законодательства.
Задать вопрос
Трекбэк с Вашего сайта.
Источник: http://licenziya-fsb.com/zakon-o-kii
Информационное сообщение ФСТЭК России от 24 августа 2018 г. N 240/25/3752 — ФСТЭК России
Подробности Создано: 24 Августа 2018 13:59 31 Августа 2018 13:05 9267 + 1 — 0
С 1 января 2018 г. вступил в силу Федеральный закон от 26 июля 2017 г. N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
В соответствии со статьей 7 указанного Федерального закона и постановлением Правительства Российской Федерации от 8 февраля 2018 г.
N 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также Перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» субъекты критической информационной инфраструктуры осуществляют категорирование объектов критической информационной инфраструктуры Российской Федерации, в ходе которого формируют и направляют в ФСТЭК России перечни объектов критической информационной инфраструктуры, подлежащих категорированию.
Для единообразного подхода к формированию перечней объектов критической информационной инфраструктуры, подлежащих категорированию, рекомендуется:
1. Направлять в ФСТЭК России утвержденный руководителем субъекта критической информационной инфраструктуры (или уполномоченным лицом) перечень объектов критической информационной инфраструктуры, подлежащих категорированию, оформленный в соответствии с приложением 1.
2. Прикладывать при направлении в ФСТЭК России электронную копию перечня объектов критической информационной инфраструктуры, подлежащих категорированию, для сокращения срока оценки перечня (формат docx, xlsx).
3.
Прикладывать при представлении в ФСТЭК России электронную копию сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий для удобства формирования и ведения Реестра значимых объектов критической информационной инфраструктуры Российской Федерации (формат docx, xlsx).
Одновременно отмечаем, что предоставление информации об отсутствии в организации объектов критической информационной инфраструктуры или о том, что организация не является субъектом критической информационной инфраструктуры Российской Федерации в ФСТЭК России в соответствии с законодательством о безопасности критической информационной инфраструктуры Российской Федерации не требуется.
Заместитель директора
ФСТЭК России
В.Лютиков
Приложение 1
к информационному сообщнию ФСТЭК России
от 24 августа 2018 г. N 240/25/3752
Рекомендуемая форма перечня объектов критической информационной инфраструктуры Российской Федерации, подлежащих категорированию
УТВЕРЖДАЮ_________________________________________Должность руководителя субъекта критической информационной инфраструктуры Российской Федерации(далее – субъект) или уполномоченного им лица |
_________________________ _______________________________
Перечень объектов критической информационной инфраструктуры Российской Федерации, подлежащих категорированию
N п/п | Наименование объекта | Тип объекта1 | Сфера (область) деятельности, в которой функционирует объект 2 | Планируемый срок категорирования объекта | Должность, фамилия, имя, отчество (при наличии) представителя, его телефон, адрес электронной почты (при наличии)3 |
1. | |||||
2. | |||||
… | |||||
n. |
__________________________________________________
1 Указывается один из следующих типов объекта: информационная система, автоматизированная система управления, информационно-телекоммуникационная сеть.
2 Указывается сфера (область) в соответствии с пунктом 8 статьи 2 Федерального закона от 26 июля 2017 г. N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации инфраструктуры Российской Федерации».
3 Указываются должность, фамилия, имя, отчество (при наличии) должностного лица, с которым можно осуществить взаимодействие по вопросам категорирования объекта, его телефон, адрес электронной почты (при наличии). Для нескольких объектов может быть определено одно должностное лицо.
Источник: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/obespechenie-bezopasnosti-kriticheskoj-informatsionnoj-infrastruktury/290-inye/1668-informatsionnoe-soobshchenie-fstek-rossii-ot-24-avgusta-2018-g-n-240-25-3752
О требованиях к средствам защиты объектов критической информационной инфраструктуры рф
Атаки злоумышленников (например, прошлогодние WannaCry или недавние VPNfilter и Purgen, атакующий объекты здравоохранения) уже давно угрожают не только простым пользователям или корпоративным сетям, но и целым государствам. Речь в таких случаях зачастую идет о применении кибероружия хакерскими группами или спецслужбами для нанесения максимально возможного урона попавшему под атаку государству. С учетом информатизации энергосистем, систем управления технологическими процессами и других важных отраслей транспорта, промышленности, финансов и управления такие атаки могут иметь последствия в виде больших материальных потерь.
С первого января 2018 года в России процесс обеспечения безопасности таких информационных систем регулируется федеральным законом №187 «О безопасности критической информационной инфраструктуры Российской Федерации».
Что такое критическая инфраструктура
По закону, к объектам критической инфраструктуры (КИИ) относятся информационные системы, информационно-телекоммуникационные сети государственных органов, а также информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления технологическими процессами, функционирующие в оборонной промышленности, области здравоохранения, транспорта, связи, кредитно-финансовой сфере, энергетике, топливной, атомной, ракетно-космической, горнодобывающей, металлургической и химической промышленности.
Владельцы КИИ создают комиссию, которая категорирует объекты КИИ исходя из критериев, установленных Постановлением Правительства РФ от 08.02.2018 № 127.
Дальше происходит процедура проверки верного отнесения объекта к той или другой категории федеральным органом исполнительной власти, уполномоченным заниматься этим вопросом (эти функции выполняет ФСТЭК России).
Если категория присвоена правильно, ФСТЭК включает объект КИИ в реестр значимых объектов критической информационной инфраструктуры.
В настоящее время реестр таких объектов находится в процессе создания, но поэтапно в него могут войти большинство государственных систем и АСУ ТП значимых предприятий в упомянутых выше областях деятельности. Причем объекты КИИ могут быть как в государственной и муниципальной, так и в частной собственности.
Требования к средствам защиты информационных систем
Требования к средствам защиты КИИ в настоящее время дорабатываются и будут определяться приказом ФСБ России.
Согласно проекту приказа «Об утверждении Требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты» общие требования к средствам защиты основываются на следующих пунктах:
- отсутствие принудительного обновления и управления средствами защиты со стороны их производителей или третьих лиц;
- возможность обновления и гарантийной и технической поддержки российскими организациями, не находящихся под контролем иностранных физических или юридических лиц;
- соответствие техническим требованиям к собственной безопасности и реализуемым функциям, упомянутым в приказе.
Перечень требований приказа, обеспечивающих отечественное происхождение средств защиты информации, соответствует последним изменениям в критериях включения программ в «Единый реестр российских программ для электронных вычислительных машин и баз данных», принятых Министерством цифрового развития, связи и массовых коммуникаций РФ, в части средств класса «Средства обеспечения информационной безопасности».
Напомним, что решения компании Айдеко — Ideco ICS, Ideco Selecta — находятся в реестре российского ПО и относятся к данному классу программ.
Использование зарубежных средств для защиты КИИ (как программных, так и программно-аппаратных) исходя из требований законодательства невозможно.
Ответственность за защиту критической инфраструктуры
Согласно статьи 14 закона о безопасности КИИ, «нарушение требований настоящего Федерального закона и принятых в соответствии с ним иных нормативных правовых актов влечет за собой ответственность в соответствии с законодательством Российской Федерации».
В прошлом году были внесены изменения в УК РФ, и теперь ответственность за ущерб КИИ определяется в статье 274.1 «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации».
В частности, ответственность за эксплуатацию информационных систем КИИ определяется пунктами 3, 4 и 5.
3.
Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, или информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи, относящихся к критической информационной инфраструктуре Российской Федерации, либо правил доступа к указанным информации, информационным системам, информационно-телекоммуникационным сетям, автоматизированным системам управления, сетям электросвязи, если оно повлекло причинение вреда критической информационной инфраструктуре Российской Федерации,
— наказывается принудительными работами на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового либо лишением свободы на срок до шести лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
4.
Деяния, предусмотренные частью первой, второй или третьей настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой, или лицом с использованием своего служебного положения,
— наказываются лишением свободы на срок от трех до восьми лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
5.
Деяния, предусмотренные частью первой, второй, третьей или четвертой настоящей статьи, если они повлекли тяжкие последствия,
—наказываются лишением свободы на срок от пяти до десяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового.
При этом ответственность по данным статьям могут нести как непосредственные исполнители, так и руководство юридических лиц и государственных органов.
Что дальше
Процесс вступления в силу подзаконных актов, а также формирования реестра КИИ продолжается.
Значимым изменением является полный отказ от зарубежных средств защиты информации в сфере критической инфраструктуры РФ, а также серьезная ответственность за неправильную эксплуатацию информационных систем в случае успешно проведенных злоумышленниками атак, повлекших серьезный ущерб. Как российский производитель межсетевых экранов нового поколения и решений для контентной фильтрации мы стремимся развивать продукты для их соответствия высоким требованиям безопасности в критичных для государства областях.
Вопросы по необходимости соответствия ваших информационных систем новым требованиям вы можете задавать нашим менеджерам отдела продаж:
- по телефонам: 8 800 555 33 40, +7 (495) 987 32 70;
по электронной почте: sales@ideco.ru
Источник: https://ideco.ru/company/blog/kii