что относится к критической информационной инфраструктуре россии
Что такое критическая информационная инфраструктура. Объясняем простыми словами
Критическая информационная инфраструктура (КИИ) — программное обеспечение, системы управления и средства связи, которыми пользуются банки, госструктуры, предприятия топливно-энергетического комплекса и другие организации, повреждение сетей которых может привести к серьёзным последствиям для граждан и экономики.
Сферу КИИ регулирует закон «О безопасности критической информационной инфраструктуры». Согласно ему, все критически важные структуры обязаны встроиться в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак, а также обезопасить свои системы от киберпреступников. Предполагается, что новые правила заработают с 1 января 2023 года для софта и с 2024 года — для оборудования. За несоответствие требований к безопасности критически важных объектов компаниям грозит административная и даже уголовная ответственность.
Пример употребления на «Секрете»
«В ГЛОНАСС добавили, что КОНСУЛ можно использовать для беспилотного и автомобильного транспорта, перемещения объектов в морских портах и на объектах критической информационной инфраструктуры».
(Из материала «Секрета» о попытке создания в России новой безопасной системы навигации.)
Нюансы
Несмотря на то что сети КИИ, как правило, закрыты и отделены от публичного сегмента Сети, их владельцы ошибочно считают, что такой изоляции достаточно для защиты от кибератак. Но это не так, показало исследование компании «Ростелеком-Солар». Согласно его результатам, каждая десятая критически важная IT-система в России оказалась заражена вредоносными программами. От хакерских атак не удалось защититься ни банкам, ни госорганам, ни оборонным и транспортным объектам.
Затраты российских предприятий на переход на отечественное программное обеспечение (ПО) оценили в 1 трлн рублей. Сейчас таких денег у бизнеса нет, поэтому Российский союз промышленников и предпринимателей (РСПП) попросил исключить из требования по обязательному импортозамещению софта хотя бы некритические объекты, включая банки.
Критическая информационная
 | |
| Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 N 187-ФЗ |
Субъекты КИИ обязаны провести категорирование своих объектов, обеспечить их безопасность и подключиться к ГОССОПКА в целях формирования устойчивой к компьютерным атакам критической информационной инфраструктуры РФ.
Какие организации относятся к субъектам КИИ?
Что такое ГОССОПКА?
Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ представляет собой единый территориально распределенный комплекс, включающий силы и средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.
Что нужно сделать организациям, чтобы соблюдать закон?
Компания БелИнфоНалог оказывает услуги по выполнению требований 187-ФЗ:
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Руслан Рахметов, Security Vision
В данной статье мы рассмотрим аспекты проведения категорирования объектов критической информационной инфраструктуры (далее ОКИИ) на основании Постановления Правительства РФ от 8 февраля 2018 г. № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений».
Осуществление процедуры категорирования обязательно для всех организаций, которые являются субъектом критической информационной инфраструктуры (далее субъект КИИ). Напомним, что субъектами КИИ являются организации, которым на законном основании принадлежат ОКИИ и которые осуществляют свою деятельность в одной или нескольких значимых для государства сферах: здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности. Здесь важно отметить, что не каждая организация, осуществляющая деятельность в обозначенных выше сферах, будет являться субъектом КИИ, так как необходимым условием является именно владение на законном основании ОКИИ.
Общая последовательность осуществления субъектом КИИ процедуры категорирования ОКИИ представлена на схеме:
1. Создание комиссии по категорированию
На первом этапе необходимо сформировать специальную комиссию по категорированию ОКИИ. Возглавлять данную комиссию должен руководитель субъекта КИИ или уполномоченное им лицо. В качестве уполномоченного лица обычно выступает сотрудник, отвечающий за безопасность организации. Также в состав комиссии включаются следующие категории сотрудников субъекта КИИ:
— сотрудники, являющиеся специалистами в сфере деятельности Субъекта КИИ,
— сотрудники, осуществляющие эксплуатацию основных систем и оборудования,
— сотрудники, обеспечивающие безопасность ОКИИ,
— сотрудники подразделения по защите государственной тайны,
— сотрудники подразделения по гражданской обороне и защите от чрезвычайных ситуаций.
Таким образом, в состав комиссии может входить любой специалист субъекта КИИ, квалификация и опыт которого необходимы для проведения корректной оценки показателей критериев значимости ОКИИ. Кроме того, в комиссию по категорированию могут включаться представители государственных органов и российских юридических лиц, выполняющих функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности, по согласованию с государственными органами и российскими юридическими лицами.
Действует данная комиссия на постоянной основе, то есть на весь период действия статуса «субъект КИИ». В рамках своей деятельности она осуществляет выявление критических процессов и выявление ОКИИ, моделирует действия нарушителя, анализирует уязвимости, выявляет угрозы безопасности информации, даёт оценку возможных последствий компьютерных атак на ОКИИ и устанавливает каждому ОКИИ одну из категорий значимости либо принимает решение об отсутствии необходимости присвоения им категорий значимости.
Создание комиссии по категорированию ОКИИ оформляется в виде стандартного распорядительного документа – приказа.
2. Выявление критических процессов субъекта КИИ
На данном этапе ранее созданной комиссии необходимо провести аналитическую работу по определению основных процессов в рамках осуществления видов деятельности организации – субъекта КИИ. В качестве источника информации по существующим процессам в организации могут служить устав, учредительная документация, лицензии, сертификаты, организационно-штатная структура, положения различных подразделений и прочее. Далее, на основании полученной информации, комиссии следует выявить среди всех процессов только те, которые являются критическими. Под критическими процессами следует понимать те процессы, нарушение функционирования которых может привести к негативным социальным, экономическим, политическим и экологическим последствиям, а также негативно повлиять на обеспечение обороны страны, безопасности государства и правопорядка.
Примеры некоторых типовых критических процессов в зависимости от сферы деятельности можно посмотреть в методических рекомендациях, которые приведены в конце статьи.
3. Составление перечня ОКИИ
В рамках текущего этапа комиссии по категорированию необходимо осуществить инвентаризацию инфраструктуры своей организации с целью выявления информационных систем (далее ИС), автоматизированных систем управления (далее АСУ) или информационно-телекоммуникационных сетей (далее ИТКС), которые обеспечивают выполнение критических процессов субъекта КИИ. Здесь важно корректно выстроить взаимосвязи и иерархию с ИС, АСУ, ИТКС таких типов сущностей, как:
— программно-аппаратное средство (пользовательский компьютер, сервер, телекоммуникационное оборудование, средство беспроводного доступа),
— общесистемное программное обеспечение (клиентское, серверная операционная система, средство виртуализации),
— прикладное программное обеспечение,
— средство защиты информации.
Полученная по итогам инвентаризации информация будет необходима для последующих процедур и формирования результатов категорирования по форме Приказа ФСТЭК России от 22 декабря 2017 г. N 236.
4. Направление во ФСТЭК России перечня ОКИИ
На данном этапе необходимо осуществить оформление полученного перечня ОКИИ, подлежащих категорированию в соответствии с рекомендуемой ФСТЭК России формой (см. Информационное сообщение ФСТЭК России от 24 августа 2018 г. N 240/25/3752), которая утверждается руководителем субъекта КИИ или уполномоченным лицом, а также регулятором сферы деятельности субъекта КИИ. Утвержденную форму на бумажном и электронном носителе необходимо направить на согласование во ФСТЭК России.
5. Присвоение категории значимости ОКИИ
По итогам прошлого этапа направления утвержденного перечня ОКИИ у субъекта возникает обязательство, а именно: в течение одного года с момента утвержденного перечня ОКИИ осуществить процедуру присвоения категории значимости ОКИИ.
В рамках процедуры категорирования комиссия субъекта КИИ:
— выполняет моделирование действий нарушителей и рассматривает иные источники угроз безопасности информации в отношении ОКИИ,
— производит анализ угроз безопасности информации и уязвимостей, которые могут привести к возникновению компьютерных инцидентов на ОКИИ.
Далее комиссия по категорированию производит оценку возможных последствий в результате возникновения компьютерных инцидентов каждого ОКИИ на основании 14-ти показателей значимости ОКИИ РФ и их значений, которые приведены в Постановлении Правительства РФ № 127. Важно отметить, что категория значимости ОКИИ присваивается по максимальному значению одного из критерия значимости.
Результирующим документом данного процесса является утвержденный комиссией субъекта КИИ акт категорирования ОКИИ с присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий. Содержание данного документа базируется на форме из Приказа ФСТЭК России от 22 декабря 2017 г. N 236.
6. Направление во ФСТЭК России результата присвоения категории ОКИИ
На последнем этапе комиссии по категорированию необходимо в течение 10-ти дней со дня утверждения актов категорирования ОКИИ направить результаты в ФСТЭК России по форме Приказа ФСТЭК России от 22 декабря 2017 г. N 236 «Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий».
— Безопасность объектов критической информационной инфраструктуры организации (общие рекомендации). От Межрегиональной общественной организации «Ассоциация руководителей служб информационной безопасности».
— Методические рекомендации по определению и категорированию объектов критической информационной инфраструктуры топливно-энергетического комплекса. От Минэнерго России.
— Методические рекомендации по категорированию объектов критической информационной инфраструктуры, принадлежащих. субъектам критической информационной инфраструктуры, функционирующим в сфере связи. От Общественно-государственного объединения «Ассоциация документальной электросвязи».
— Методические рекомендации по категорированию объектов КИИ. От компании «СТЭП ЛОДЖИК».
Частые вопросы про безопасность КИИ и 187-ФЗ
субъекты критической информационной инфраструктуры — государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.
Федеральный закон вступает в силу с 1 января 2018 года
Категорирование объекта критической информационной инфраструктуры представляет собой установление соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения.
значимый объект критической информационной инфраструктуры — объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры.
социальная значимость, выражающаяся в оценке возможного ущерба, причиняемого жизни или здоровью людей, возможности прекращения или нарушения функционирования объектов обеспечения жизнедеятельности населения, транспортной инфраструктуры, сетей связи, а также максимальном времени отсутствия доступа к государственной услуге для получателей такой услуги;
политическая значимость, выражающаяся в оценке возможного причинения ущерба интересам Российской Федерации в вопросах внутренней и внешней политики;
экономическая значимость, выражающаяся в оценке возможного причинения прямого и косвенного ущерба субъектам критической информационной инфраструктуры и (или) бюджетам Российской Федерации;
экологическая значимость, выражающаяся в оценке уровня воздействия на окружающую среду;
значимость объекта критической информационной инфраструктуры для обеспечения обороны страны, безопасности государства и правопорядка.
Сколько категорий значимости установлено?
Устанавливаются три категории значимости объектов критической информационной инфраструктуры — первая, вторая и третья.
Если объект критической информационной инфраструктуры не соответствует критериям значимости, показателям этих критериев и их значениям, ему не присваивается ни одна из таких категорий.
Обзор законодательства РФ о критической информационной инфраструктуре
Часть 1. Категорирование объектов КИИ и обязанности субъектов КИИ
Общие положения
Список терминов и определений в области КИИ
Ниже приведен список терминов и их определений, используемых в области регулирования и обеспечения безопасности КИИ :
Категорирование объектов КИИ
В соответствии с п.3 ч.2 ст.7 187-ФЗ устанавливаются три категории значимости объектов КИИ – первая (самая высокая), вторая и третья (самая низкая).
В соответствии с п.11 127-П для проведения категорирования решением руководителя субъекта критической информационной инфраструктуры создается комиссия по категорированию.
Комиссия по категорированию в ходе своей работы:
Ч.2 ст.9 187-ФЗ предусматривает следующие обязанности субъектов КИИ :
Ч.3 ст.9 187-ФЗ предусматривает следующие дополнительные обязанности для субъектов, которым принадлежат значимые объекты КИИ :
Часть 2. Система безопасности значимых объектов КИИ
Общие положения
В соответствии с п. 31 П-239 1) в значимом объекте не допускаются:
Система безопасности значимых объектов КИИ
Основные задачи Системы безопасности значимых объектов КИИ (ч.2 ст.10 187-ФЗ и п.6 П-235):
Также в соответствии с п. 15 П-239 целью обеспечения безопасности значимого объекта является обеспечение его устойчивого функционирования в проектных режимах работы в условиях реализации в отношении значимого объекта угроз безопасности информации. Исходя из вышеописанного, можно сделать вывод, что основными характеристиками безопасности для значимых объектов КИИ в первую очередь являются доступность и целостность и уже потом конфиденциальность.
На стадиях (этапах) жизненного цикла в ходе создания (модернизации), эксплуатации и вывода из эксплуатации значимого объекта проводятся:
При проектировании подсистемы безопасности значимого объекта:
В соответствии с п. 11.3 П-239 разработка рабочей (эксплуатационной) документации на значимый объект осуществляется в соответствии с техническим заданием на создание значимого объекта и (или) техническим заданием (частным техническим заданием) на создание подсистемы безопасности значимого объекта на основе проектной документации.
Рабочая (эксплуатационная) документация на значимый объект должна содержать:
В соответствии с п.22 П-239 в значимых объектах в зависимости от их категории значимости и угроз безопасности информации должны быть реализованы следующие организационные и технические меры:
Состав мер по обеспечению безопасности значимых объектов в зависимости от категории значимости приведен в приложении к П-239.
В соответствии с п.26 П-239 при отсутствии возможности реализации отдельных мер по обеспечению безопасности и (или) невозможности их применения к отдельным объектам и субъектам доступа, в том числе вследствие их негативного влияния на функционирование значимого объекта в проектных режимах значимого объекта, должны быть разработаны и внедрены компенсирующие меры, обеспечивающие блокирование (нейтрализацию) угроз безопасности информации с необходимым уровнем защищенности значимого объекта. При этом в ходе разработки организационных и технических мер по обеспечению безопасности значимого объекта должно быть обосновано применение компенсирующих мер, а при приемочных испытаниях (аттестации) оценена достаточность и адекватность данных компенсирующих мер для блокирования (нейтрализации) угроз безопасности информации.
В качестве компенсирующих мер могут быть рассмотрены меры по обеспечению промышленной, функциональной и (или) физической безопасности значимого объекта, поддерживающие необходимый уровень его защищенности.
Часть 3. Анализ угроз безопасности информации и защита объектов КИИ
Анализ угроз безопасности информации значимого объекта КИИ
Анализ угроз безопасности информации должен включать:
В качестве исходных данных для анализа угроз безопасности информации используется банк данных угроз безопасности информации, ведение которого осуществляется ФСТЭК России.
Модель угроз безопасности информации должна содержать краткое описание архитектуры значимого объекта, характеристику источников угроз безопасности информации, в том числе модель нарушителя, и описание всех угроз безопасности информации, актуальных для значимого объекта.
Описание каждой угрозы безопасности информации должно включать:
Для определения угроз безопасности информации и разработки модели угроз безопасности информации должны применяться методические документы, разработанные и утвержденные ФСТЭК России.
В соответствии с п. 17 П-239 в значимых объектах объектами, подлежащими защите от угроз безопасности информации (объектами защиты), являются:
В соответствии с п.18 П-239 обеспечение безопасности значимого объекта достигается путем принятия в рамках подсистемы безопасности значимого объекта совокупности организационных и технических мер, направленных на блокирование (нейтрализацию) угроз безопасности информации, реализация которых может привести к прекращению или нарушению функционирования значимого объекта и обеспечивающего (управляемого, контролируемого) им процесса, а также нарушению безопасности обрабатываемой информации (нарушению доступности, целостности, конфиденциальности информации).
В соответствии с п.19 П-239 меры по обеспечению безопасности выбираются и реализуются в значимом объекте с учетом угроз безопасности информации применительно ко всем объектам и субъектам доступа на аппаратном, системном, прикладном и сетевом уровнях, в том числе в среде виртуализации.
В соответствии с п.23 П-239 при адаптации базового набора мер по обеспечению безопасности значимого объекта для каждой угрозы безопасности информации, включенной в модель угроз, сопоставляется мера или группа мер, обеспечивающие блокирование одной или нескольких угроз безопасности или снижающие возможность ее реализации исходя из условий функционирования значимого объекта. В случае если базовый набор мер не позволяет обеспечить блокирование (нейтрализацию) всех угроз безопасности информации, в него дополнительно включаются меры, приведенные в приложении к П-239.
В соответствии с п.25 П-239 если принятые в значимом объекте меры по обеспечению промышленной, функциональной безопасности и (или) физической безопасности достаточны для блокирования (нейтрализации) отдельных угроз безопасности информации, дополнительные меры, выбранные в соответствии с пунктами 22 и 23 П-239, могут не применяться. При этом в ходе разработки организационных и технических мер по обеспечению безопасности значимого объекта должна быть обоснована достаточность применения мер по обеспечению промышленной безопасности или физической безопасности для блокирования (нейтрализации) соответствующих угроз безопасности информации. Исходя из вышеописанного, можно сделать вывод, что Модель угроз является ключевым документом для определения состава мер защиты значимых объектов КИИ в соответствии с требованиями П-239.
Исходя из вышеописанного, можно сделать вывод, что Модель угроз является ключевым документом для определения состава мер защиты значимых объектов КИИ в соответствии с требованиями П-239.
В соответствии с п.32 П-236 4) при использовании в значимых объектах новых информационных технологий и выявлении дополнительных угроз безопасности информации, для которых не определены меры по обеспечению безопасности, должны разрабатываться компенсирующие меры в соответствии с требованиями П-239.
Организационные меры защиты значимых объектов КИИ
Организационно-распорядительные документы по безопасности значимых объектов должны определять: