Нормативные документы по ИБ. Часть 10. Обзор российского законодательства в области защиты критической информационной инфраструктуры - окончание

Руслан Рахметов, Security Vision

В предыдущих публикациях мы осветили основные положения защиты КИИ, рассмотрели работу системы ГосСОПКА и принципы защиты АСУТП, описали требования по обеспечению безопасности значимых объектов КИИ. В этой публикации мы продолжим говорить о безопасности критической информационной инфраструктуры, а именно рассмотрим другие, не менее важные документы по вопросу защиты КИИ, а также поговорим об ответственности за нарушение законодательных требований в данной области и обсудим решения Security Vision, которые помогут обеспечить соответствие нормам безопасности КИИ.

Итак, кроме рассмотренных ранее нормативных актов (187-ФЗ, ПП-127, Приказы ФСТЭК России №31 и №239), в настоящий момент безопасность объектов критической информационной инфраструктуры законодательно регулируют следующие документы:

1. Указ Президента Российской Федерации от 15.01.2013 г. № 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации», послуживший отправной точкой создания ГосСОПКА и НКЦКИ.

2. Указ Президента Российской Федерации от 22.12.2017 г. № 620 «О совершенствовании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации», определивший круг задач, решаемых ГосСОПКА, и наделивший ФСБ РФ новыми полномочиями в части защиты КИИ.

3. Концепция Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (утверждена Президентом РФ 12.12.2014 № К 1274), в которой были определены назначения, функции и принципы создания ГосСОПКА, описана структура Центров ГосСОПКА и функции НКЦКИ.

4. Положение о лицензировании деятельности по технической защите конфиденциальной информации, утвержденное постановлением Правительства Российской Федерации от 03.02.2012 г. № 79 в части перечня работ и услуг по мониторингу информационной безопасности средств и систем мониторинга.

5. Постановление Правительства Российской Федерации от 17.02.2018 № 162 «Об утверждении Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» регламентирует осуществление контроля над субъектами КИИ со стороны ФСТЭК России путем осуществления плановых и внеплановых выездных проверок выполнения требований 187-ФЗ и подзаконных НПА, при этом внеплановая проверка может проводится по факту возникновения компьютерного инцидента на значимом объекте критической информационной инфраструктуры, повлекшего негативные последствия. Указано, что сотрудники органа государственного контроля при проведении проверок могут пользоваться сертифицированными программными и программно-аппаратными средствами контроля. В целом, нормы данного Постановления напоминают регламент проведения проверок Роскомнадзором.

6. Приказ ФСТЭК России от 06.12.2017 г. № 227 «Об утверждении Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации».

7. Приказ ФСТЭК России от 21.12.2017 г. № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования» перечисляет требования к структурным подразделениям, ответственным за обеспечение безопасности значимых объектов КИИ, к программным и программно-аппаратным средствам защиты КИИ, к организационно-распорядительной документации и к функционированию самой системы безопасности значимых объектов КИИ.

8. Приказ ФСТЭК России от 22.12.2017 г. № 236 «Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры Российской Федерации одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий».

9. Приказ ФСТЭК России от 11.12.2017 г. № 229 «Об утверждении формы акта проверки, составляемого по итогам проведения государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».

10. Приказ ФСБ РФ от 24.07.2018 г. № 366 «О Национальном координационном центре по компьютерным инцидентам» содержит основные цели, задачи и права НКЦКИ.

11. Приказ ФСБ РФ от 24.07.2018 г. № 367 «Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации» регламентирует объем передаваемой в ГосСОПКА информации, в том числе касающейся произошедших компьютерных инцидентов. Данный приказ говорит о том, что информация по произошедшему инциденту (дата, время, технические подробности и последствия инцидента и его связь с другими инцидентами, месторасположение объекта КИИ, наличие связи между выявленной атакой и инцидентом) должна быть передана субъектом КИИ в систему ГосСОПКА в срок не позднее 24 часов с момента обнаружения компьютерного инцидента.

12. Приказ ФСБ РФ от 24.07.2018 г. № 368 «Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и Порядка получения субъектами критической информационной инфраструктуры Российской Федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения». Данный документ регламентирует порядок обмена информацией об инцидентах (в объеме, соответствующему нормам Приказа №367), при этом обмен информацией с международными компаниями и организациями (например, с CERT'ами) идет через НКЦКИ, а субъекты КИИ могут также взаимодействовать между собой напрямую. Можно упрощенно говорить, что таким образом в масштабах страны реализован механизм обмена индикаторами компрометации (англ. Indicators Of Compromise, IOCs), а также информацией о средствах и способах проведения атак и методах их предупреждения и обнаружения (Tactics, Techniques and Procedures, TTPs).

13. Приказ ФСБ РФ от 06.05.2019 № 196 «Об утверждении требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты» описывает требования к функционалу (включая реализацию функций безопасности, визуализации, построения сводных отчетов и хранения информации) средств обнаружения, предупреждения, ликвидации последствий и поиска признаков компьютерных атак на объектах КИИ.

14. Приказ ФСБ РФ от 19.06.2019 № 281 «Об утверждении Порядка, технических условий установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, за исключением средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации» регламентирует взаимодействие субъектов КИИ и ФСБ РФ в части установки «сенсоров» ГосСОПКА на объектах КИИ, при этом субъект КИИ обязан обеспечить функционирование средств ГосСОПКА в непрерывном и бесперебойном режиме.

15. Приказ ФСБ РФ от 19.06.2019 № 282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации» обязывает субъектов КИИ информировать ФСБ РФ, отсылая уведомления НКЦКИ об инцидентах (посредством ГосСОПКА или альтернативными способами) обо всех компьютерных инцидентах на объекте КИИ в зоне ответственности субъекта. Кроме того, если субъект подчиняется нормам ЦБ РФ, то информация об инцидентах направляется также и в ФинЦЕРТ. При этом заданы достаточно жесткие временные рамки: информация об инциденте на значимом объекте КИИ должна быть передана в течение 3 часов с момента обнаружения, а на незначимом - в течение 24 часов. Кроме того, результаты мероприятий по реагированию на инциденты требуется передать в течение 48 часов после завершения этих мероприятий. Данный документ не лишен новаций: так, в п.10 говорится о необходимости не реже одного раза в год проводить тренировки (киберучения) по отработке мероприятий плана реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак.

Помимо вышеперечисленных, ФСБ РФ также выпустила ряд других документов, регламентирующих обеспечение информационной безопасности критических информационных инфраструктур, которые, однако, в настоящий момент недоступны для свободного ознакомления:

• Методические рекомендации ФСБ РФ по созданию ведомственных и корпоративных центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.

• Методические рекомендации ФСБ РФ по обнаружению компьютерных атак на информационные ресурсы Российской Федерации.

• Методические рекомендации ФСБ РФ по установлению причин и ликвидации последствий компьютерных инцидентов, связанных с функционированием информационных ресурсов Российской Федерации.

• Методические рекомендации НКЦКИ ФСБ РФ по проведению мероприятий по оценке степени защищенности от компьютерных атак.

• Требования к подразделениям и должностным лицам субъектов ГосСОПКА.

• Регламент взаимодействия подразделений ФСБ РФ и субъектов ГосСОПКА при осуществлении информационного обмена в области обнаружения, предупреждения и ликвидации последствий компьютерных атак. Ответственность за неправомерное воздействие на КИИ РФ предусмотрена статьей 274.1 Уголовного Кодекса. Данная статья была введена Федеральным Законом № 194 от 26.07.2017 г. и действует с 01.01.2018 г. В соответствии с данной статьей уголовно наказуемы:

• создание, распространение и использование программ для неправомерного воздействия на КИИ;

• неправомерный доступ к информации в КИИ с последовавшим причинением вреда КИИ;

• нарушение правил эксплуатации средств хранения, обработки, передачи информации в КИИ или правил доступа к информации в КИИ с последовавшим причинением вреда КИИ;

• указанные выше действия, совершенные группой лиц по предварительному сговору, или в составе организованной группы, или с использованием служебного положения;

• указанные выше действия, если они повлекли тяжкие последствия (т.е. причинен ущерб на сумму более 1 миллиона рублей); при этом наступает ответственность в виде лишения свободы на срок до десяти лет, что автоматически переводит данное деяние в разряд тяжких преступлений со сроком давности до 10 лет.

Следует иметь ввиду, что действие данной статьи распространяется как на значимые, так и на незначимые объекты КИИ. Размер причиненного вреда является оценочным признаком и определяется судом. Расследует данные преступления  следственное управление ФСБ РФ, а мерой пресечения на период следствия является помещение под арест в СИЗО. Стоит также отметить, что «прародитель» данной статьи - статья 274 - в настоящий момент имеет достаточно ограниченное применение в силу нечеткости формулировок и отсылочного характера, так что количество уголовных дел по ней исчисляется единицами (а до 2013 года их не было вообще), при этом публично известная правоприменительная практика по новой статье 274.1 на данный момент отсутствует.

Поговорим далее о решениях Security Vision, которые помогут обеспечить соответствие нормам обеспечения безопасности КИИ.

Продукт Security Vision КИИ предназначен для выполнения требований нормативных актов по защите КИИ. Он, в частности, помогает осуществлять:

• проведение процессов категорирования объектов КИИ;

• формирование частных моделей угроз, отчетности и сведений;

• проведение контрольных мероприятий по реализации и адаптации мер обеспечения защиты объектов КИИ;

• взаимодействие с НКЦКИ (ГосСОПКА) через API: отправку сведений о контролируемых информационных ресурсах, о компьютерных инцидентах, получение уведомлений об угрозах или признаках компьютерных инцидентов.

Продукт Security Operation Center [SOC] позволяет осуществить построение ситуационного центра информационной безопасности (SOC) в масштабе организации или страны, при этом соблюдая нормы регламента взаимодействия НКЦКИ и субъектов ГосСОПКА при осуществлении информационного обмена в области обнаружения, предупреждения и ликвидации последствий компьютерных атак.

Решение Incident Response Platform [IRP] – программный продукт для автоматизации действий по реагированию на инциденты кибер-безопасности. Комплектация предназначена для построения полноценной системы управления информационной безопасностью и реагирования на инциденты в организации. Управление и автоматизация процессов позволяют выстроить как реактивную, так и проактивную защиту, а также существенно сократить время реагирования на инциденты ИБ путем выполнения заранее заданных шагов по сдерживанию или устранению быстроразвивающихся угроз и уменьшить объем ручного труда сотрудников Центров ГосСОПКА.

Немаловажно также и то, что платформа Security Vision является полностью отечественной разработкой и включена в Единый реестр российских программ для электронных вычислительных машин и баз данных, что в текущих реалиях особо важно и позволяет использовать данное решение в задачах государственной важности, таких как обнаружение, предупреждение и ликвидация последствий компьютерных атак на информационные ресурсы Российской Федерации.