Анализ основных российских и зарубежных нормативных документов в области информационной безопасности. Часть 7. Обзор российского законодательства в области защиты критической информационной инфраструктуры

 

Руслан Рахметов, Security Vision

Кроме проблематики защиты персональных данных существует и еще одна актуальная тема, касающаяся большого количества российских компаний и организаций - мы говорим о защите критической информационной инфраструктуры. Защищенность и устойчивость ИТ-систем как отдельных крупных компаний, так и целых отраслей промышленности в современном мире имеет для независимости и даже для существования страны решающее значение. В настоящее время непрерывно фиксируются попытки осуществления целенаправленных и изощренных кибератак на объекты инфраструктуры в государственном масштабе. Более того, отдельные государства всерьез рассматривают возможность нанесения превентивного кибер-удара по независимым странам, и не обращать внимания на такие факты было бы весьма недальновидно. Создание государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, а также подписание Федерального Закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и разработка соответствующих подзаконных актов послужили логичным ответом на вызовы современных реалий и киберугроз в мировом масштабе. Рассмотрим этот аспект информационной безопасности подробнее.

Итак, начало работ по защите информационной инфраструктуры в государственном масштабе было положено с подписанием Указа Президента Российской Федерации от 15 января 2013 г. № 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации». Далее, в июле 2017 г. был подписан Федеральный Закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», который вступил в силу с 1 января 2018 года. Данный закон ввел несколько новых определений и расширил толкование старых применительно к сфере действия. Так, под критической информационной инфраструктурой (далее - КИИ) понимаются информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов КИИ, а также сети электросвязи, используемые для организации их взаимодействия. К субъектам КИИ относятся организации здравоохранения, науки, транспорта, связи, энергетики, банковской сферы (системно значимые кредитные организации, операторы платёжных систем, системно значимые инфраструктурные организации финансового рынка), топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, а также российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей. Компьютерная атака определяется как целенаправленное вредоносное воздействие на объекты КИИ для нарушения или прекращения их функционирования, а компьютерный инцидент - как факт нарушения или прекращения функционирования объекта КИИ и (или) нарушения безопасности обрабатываемой объектом информации.

Также стоит отметить, что для компаний сферы топливно-энергетического комплекса существуют свои нормы, которые определены Федеральным Законом от 21 июля 2011 г. № 256-ФЗ «О безопасности объектов топливно-энергетического комплекса», которые также диктуют необходимость обеспечения безопасности информационных систем объектов топливно-энергетического комплекса путем создания систем защиты информации и информационно-телекоммуникационных сетей от неправомерных доступа, уничтожения, модифицирования, блокирования информации и иных неправомерных действий, а также необходимость обеспечения функционирования таких систем.

ФСТЭК России была назначена федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры РФ. На ФСБ РФ были возложены функции федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (далее - ГосСОПКА). Кроме этого, в ведении ФСБ РФ находится Национальный координационный центр по компьютерным инцидентам (НКЦКИ), который  координирует деятельность субъектов КИИ и является составной частью сил, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, а техническая инфраструктура НКЦКИ используется для функционирования системы ГосСОПКА. Говоря простыми словами, НКЦКИ является государственным CERT (Computer Emergency Response Team), а ГосСОПКА - это «большой SIEM» в масштабе РФ. Функционирует это следующим образом: информация по произошедшему компьютерному инциденту в объеме, соответствующем положениям Приказа ФСБ РФ № 367 (дата, время, технические подробности и последствия инцидента и его связь с другими инцидентами, месторасположение объекта КИИ, наличие связи между выявленной атакой и инцидентом), должна быть передана субъектом КИИ в систему ГосСОПКА в срок не позднее 24 часов с момента обнаружения компьютерного инцидента. При этом прослеживается тенденция перехода к автоматизированной отправке данных.

Далее было подписано Постановление Правительства РФ от 8 февраля 2018 г. №127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также Перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений», которые предъявляют конкретные требования для субъектов КИИ по проведению категорирования объектов КИИ в их зоне ответственности, а также содержат перечень критериев значимости объектов КИИ - количественных показателей для корректного выбора категории значимости. Категория значимости объекта КИИ может принимать одно из трех значений (где самая высокая категория - первая, самая низкая - третья) и зависит от количественных показателей значимости этого объекта в социальной, политической, экономической и оборонной сферах. Например, если компьютерный инцидент на объекте КИИ может привести к причинению ущерба жизни и здоровью более 500 гражданам, то объекту присваивается максимальная первая категория, а если вредному экологическому воздействию в результате инцидента может быть подвергнуто от 2 тыс. до 1 млн. граждан, то объекту присваивается минимальная третья категория.

Итак, объекты КИИ следует категорировать. Это выполняется постоянно действующей внутренней комиссией по категорированию субъекта КИИ, которая также производит и документально оформляет следующие действия:

  • выявляет объекты КИИ, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы (условно назовем их «основные процессы субъектов КИИ») в рамках деятельности субъекта КИИ;

  • выявляет критические процессы, нарушение или прекращение которых может привести к негативным последствиям в социальной, политической, экономической и оборонной сферах;

  • устанавливает объекты КИИ, которые обрабатывают информацию для описанных выше процессов и/или осуществляют управление, контроль или мониторинг критических процессов (условно назовем их «вспомогательные объекты КИИ»);

  • строит модели нарушителей и угроз, при этом комиссии следует рассматривать наихудшие сценарии атак с максимальными негативными последствиями;

  • оценивает возможные последствия, учитывая взаимосвязи между объектами и зависимости между ними;

  • присваивает каждому объекту одну из трех категорий значимости либо выносит мотивированное решение о неприсвоении такой категории, с составлением акта категорирования объекта КИИ либо акта об отсутствии необходимости присвоения ему категории значимости.

Результаты категорирования отправляются во ФСТЭК России, где проверяются правильность порядка категорирования и корректность присвоения категории значимости, и в случае отсутствия замечаний полученные сведения вносятся в реестр объектов КИИ. Предусмотрен периодический (1 раз в 5 лет) и плановый (при изменении показателей критериев значимости) пересмотр установленных категорий значимости.