Защита критической информационной инфраструктуры (конспект лекции)

Защита критической информационной инфраструктуры (конспект лекции)

Цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»

CC BY 4.0 © Рахметов Р. для ООО «Интеллектуальная безопасность» (Security Vision), 2021


Предыстория:

Защита КСИИ (ключевых систем информационных инфраструктур), 2007-2014 гг.

КСИИ – это информационно-управляющая или информационно-телекоммуникационная система, которая осуществляет управление критически важным объектом (процессом), или информационное обеспечение управления таким объектом (процессом), или официальное информирование граждан, и в результате деструктивных информационных воздействий на которую может сложиться чрезвычайная ситуация, или будут нарушены выполняемые системой функции управления со значительными негативными последствиями.

Для обеспечения безопасности информации в КСИИ, в ФСТЭК России была разработана и утверждена система методических документов (ДСП, 2007 г.):

  • Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры;

  • Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры;

  • Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры;

  • Рекомендации по обеспечению безопасности информации в ключевых системах информационной инфраструктуры;

  • Положение о реестре ключевых систем информационной инфраструктуры.

 

С выходом новых документов по защите АСУТП и КИИ старые документы по защите КСИИ можно применять с некоторыми ограничениями:

  1. Информационное сообщение ФСТЭК России о применении документов о защите КСИИ для обеспечения защиты АСУТП: разрешается использовать документы по КСИИ в качестве дополнительного методического материала, а КСИИ, введенные в эксплуатацию до вступления в силу требований по защите АСУТП, могут эксплуатироваться без доработки их системы защиты.
  2. Информационное сообщение ФСТЭК России о применении документов о защите КСИИ для обеспечения защиты КИИ: разрешается использовать документы «Базовая модель угроз безопасности информации в КСИИ» и «Методика определения актуальных угроз безопасности информации в КСИИ» для моделирования угроз на значимых объектах КИИ, а «Общие требования по обеспечению безопасности информации в КСИИ» и «Рекомендации по обеспечению безопасности информации в КСИИ» утратили силу.

 

Основные документы по защите КИИ

Указ Президента Российской Федерации от 15 января 2013 г. № 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации».

Федеральный Закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», вступил в силу с 1 января 2018 года, ввел ряд новых определений:

Критическая информационная инфраструктура (КИИ): информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов КИИ, а также сети электросвязи, используемые для организации их взаимодействия.

К субъектам КИИ относятся организации здравоохранения, науки, транспорта, связи, энергетики, банковской сферы (системно значимые кредитные организации, операторы платёжных систем, системно значимые инфраструктурные организации финансового рынка), топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, а также российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

Объекты критической информационной инфраструктуры (ОКИИ) - информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.

Значимый объект критической информационной инфраструктуры (ЗОКИИ) - объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры.

Безопасность критической информационной инфраструктуры - состояние защищенности критической информационной инфраструктуры, обеспечивающее ее устойчивое функционирование при проведении в отношении ее компьютерных атак.

Компьютерная атака - целенаправленное вредоносное воздействие на объекты КИИ для нарушения или прекращения их функционирования и (или) создания угрозы безопасности обрабатываемой информации.

Компьютерный инцидент - факт нарушения или прекращения функционирования объекта КИИ и (или) нарушения безопасности обрабатываемой объектом информации, , в том числе произошедший в результате компьютерной атаки.

ФСТЭК России: назначен федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности КИИ РФ.

ФСБ РФ: возложены функции федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (далее - ГосСОПКА).

В ведении ФСБ РФ находится Национальный координационный центр по компьютерным инцидентам (НКЦКИ).

НКЦКИ координирует деятельность субъектов КИИ и является составной частью сил, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, а техническая инфраструктура НКЦКИ используется для функционирования системы ГосСОПКА.

Постановление Правительства РФ от 8 февраля 2018 г. №127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также Перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений»:

  • предъявляются конкретные требования для субъектов КИИ по проведению категорирования объектов КИИ в их зоне ответственности,

  • содержится перечень критериев значимости объектов КИИ — количественных показателей для корректного выбора категории значимости.

 

Категория значимости объекта КИИ зависит от количественных показателей значимости этого объекта в социальной, политической, экономической и оборонной сферах. Категория значимости может принимать одно из трех значений (где самая высокая категория — первая, самая низкая — третья). ОКИИ может быть признан незначимым, если не соответствует ни одному из трех значений. Например, если компьютерный инцидент на объекте КИИ может привести к причинению ущерба жизни и здоровью более 500 гражданам, то объекту присваивается максимальная первая категория, а если транспортные услуги в результате инцидента могут стать недоступны для 2 тыс. — 1 млн. граждан, то объекту присваивается минимальная третья категория.

 

Категория значимости объекта КИИ (по ПП-127)

table_kii.png

Категорирование объекта КИИ выполняется постоянно действующей внутренней комиссией по категорированию, которая:

  • выявляет объекты КИИ, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы (условно назовем их «основные процессы субъектов КИИ») в рамках деятельности субъекта

  • выявляет критические процессы, нарушение или прекращение которых может привести к негативным последствиям в социальной, политической, экономической и оборонной сферах

  • устанавливает объекты КИИ, которые обрабатывают информацию для описанных выше процессов и/или осуществляют управление, контроль или мониторинг критических процессов (условно назовем их «вспомогательные объекты КИИ»)

  • строит модели нарушителей и угроз, при этом комиссии следует рассматривать наихудшие сценарии атак с максимальными негативными последствиями
  • оценивает возможные последствия, учитывая взаимосвязи между объектами и зависимости между ними;

  • присваивает каждому объекту одну из трех категорий значимости либо выносит мотивированное решение о неприсвоении такой категории, с составлением акта категорирования объекта КИИ либо акта об отсутствии необходимости присвоения ему категории значимости.

 

Результаты категорирования отправляются во ФСТЭК России, где проверяются правильность порядка категорирования и корректность присвоения категории значимости, и в случае отсутствия замечаний полученные сведения вносятся в реестр объектов КИИ. Предусмотрен периодический (1 раз в 5 лет) и плановый (при изменении показателей критериев значимости) пересмотр установленных категорий значимости.

 

ГосСОПКА

В соответствии с разработанным в ФСБ РФ документом №149/2/7-200 от 24 декабря 2016 г. «Методические рекомендации по созданию ведомственных и корпоративных центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации», функциями ГосСОПКА являются:

  • инвентаризация информационных ресурсов

  • выявление уязвимостей информационных ресурсов

  • анализ угроз информационной безопасности

  • повышение квалификации персонала информационных ресурсов

  • прием сообщений о возможных инцидентах от персонала и пользователей информационных ресурсов

  • обнаружение компьютерных атак

  • анализ данных о событиях безопасности

  • регистрация инцидентов

  • реагирование на инциденты и ликвидация их последствий

  • установление причин инцидентов

  • анализ результатов устранения последствий инцидентов.

 

Механизм работы ГосСОПКА: Информация по произошедшему компьютерному инциденту в объеме, соответствующем положениям Приказа ФСБ РФ № 367 (дата, время, технические подробности и последствия инцидента и его связь с другими инцидентами, месторасположение объекта КИИ, наличие связи между выявленной атакой и инцидентом), должна быть передана субъектом КИИ в систему ГосСОПКА в срок не позднее 24 часов с момента обнаружения компьютерного инцидента.

 

Систему ГосСОПКА мы утрированно можем называть «большим SIEM» в масштабе всей страны. Центры ГосСОПКА будет корректно сравнивать скорее с Центрами мониторинга информационной безопасности (SOC).

Центры системы ГосСОПКА подразделяются на ведомственные и корпоративные:

  • ведомственные Центры осуществляют лицензируемую деятельность по защите информационных ресурсов в интересах органов государственной власти

  • корпоративные Центры осуществляют лицензируемую деятельность по защите информационных ресурсов в собственных интересах, а также имеют право предоставлять услуги по предупреждению, обнаружению и ликвидации последствий компьютерных атак.

 

Субъект КИИ, относящийся к органу государственной власти, должен подключиться к соответствующему ведомственному Центру ГосСОПКА. У субъекта КИИ, не являющегося органом государственной власти, есть возможность либо осуществить самостоятельное подключение к системе ГосСОПКА, либо создать свой собственный корпоративный Центр ГосСОПКА, либо подключиться к уже созданному коммерческому Центру, оказывающему услуги по подключению к системе ГосСОПКА.

 

При самостоятельном подключении к Центру ГосСОПКА субъекту КИИ предстоит решить следующие задачи:

  • создание собственного Центра мониторинга информационной безопасности с учетом требований нормативных документов ФСБ РФ, ФСТЭК России, иных нормативно-правовых актов

  • внедрение и поддержка технических средств и решений, соответствующих методическим рекомендациям ФСБ РФ по созданию ведомственных и корпоративных центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации

  • внедрение и поддержка технических средств и решений, соответствующих требованиям к лицензиату ФСТЭК России для осуществления деятельности по мониторингу информационной безопасности средств и систем мониторинга

  • получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации (ТЗКИ) в части перечня работ и услуг по мониторингу информационной безопасности средств и систем мониторинга (в случае предоставления коммерческих услуг другим организациям или при работе в составе холдинговой структуры)

  • получение лицензии ФСБ РФ на деятельность по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (в случае предоставления коммерческих услуг другим организациям или при работе в составе холдинговой структуры)

  • осуществление взаимодействия с НКЦКИ в соответствии с регламентом взаимодействия подразделений ФСБ РФ и субъектов ГосСОПКА при осуществлении информационного обмена в области обнаружения, предупреждения и ликвидации последствий компьютерных атак

  • привлечение, обучение, удержание сотрудников Центра мониторинга информационной безопасности

  • разработка и непрерывная актуализация сценариев атак и мониторинга

  • аналитика событий и инцидентов, построение отчетности.

 

Подключение к коммерческому центру ГосСОПКА

 

Подключение к внешнему (коммерческому) центру ГосСОПКА, который оказывает соответствующие услуги, позволяет передать большинство вышеописанных задач специализированной организации. От заказчика потребуется лишь подключить источники событий к коммерческому центру ГосСОПКА, согласовать формат и регламент взаимодействия, а также своевременно уведомлять об изменениях в своей ИТ-инфраструктуре.

 

Кроме того, воспользовавшись услугами внешнего центра ГосСОПКА, организация перекладывает на исполнителя риски несоответствия законодательству РФ в области ведения незаконного предпринимательства (ст. 171 УК РФ) в части ведения деятельности без соответствующих лицензий ФСБ РФ и/или ФСТЭК России.

 

АСУТП

АСУТП - автоматизированные системы управления производственными и технологическими процессами.

Приказ ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды» (в ред. Приказа ФСТЭК России от 9 августа 2018 г. № 138) устанавливает законодательные требования в области обеспечения безопасности АСУТП.

 

Несмотря на наличие двух казалось бы дублирующихся направлений защиты КИИ (187-ФЗ по КИИ с подзаконными актами и Приказ №31 по АСУТП), в настоящее время государственные регуляторы придерживаются следующей точки зрения:

  • если объект КИИ признан значимым (т.е. ему присвоена одна из трех категорий значимости), то используется Приказ ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»

  • если объект КИИ признан незначимым (т.е. категория значимости не была присвоена), то по решению субъекта КИИ можно применять как Приказ №31 по АСУТП, так и Приказ №239 по КИИ.

 

Приказ №31 ФСТЭК России от 14.03.2014

Объектами защиты в АСУТП являются:

  • информация о параметрах или состоянии управляемого объекта или процесса

  • все сопутствующие технические средства (рабочие станции, серверы, каналы связи, контроллеры),

  • ПО и средства защиты.

 

Предпринимаемые организационные и технические меры по защите АСУТП должны, в первую очередь, обеспечивать доступность и целостность обрабатываемой в АСУТП информации, а обеспечение конфиденциальности логично ставится на второе место.

 

Принимаемые меры должны быть гармонизированы с мерами по обеспечению других видов безопасности, например, промышленной, пожарной, экологической, и не должны оказывать отрицательного влияния на штатный режим функционирования АСУТП.

 

СЗИ, используемые в АСУТП, должны пройти оценку соответствия. Формы оценки соответствия средств защиты информации установлены частью 3 статьи 7 Федерального закона от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании»:

  • испытания

  • подтверждение соответствия (обязательная сертификация, добровольная сертификация, декларирование соответствия)

  • приемка и ввод в эксплуатацию, иные формы.

 

Организационные шаги по защите информации в АСУТП:

  • формирование требований к ЗИ

  • разработка и внедрение системы защиты АСУТП

  • обеспечение ЗИ в ходе эксплуатации АСУТП и при выводе её из эксплуатации.

 

На этапе формирования требований проводится важная работа по классификации АСУТП: системе присваивается один из трех классов защищенности (самый низкий класс — третий, самый высокий — первый).

Класс защищенности определяется в зависимости от уровня значимости (критичности) обрабатываемой информации, т.е. степени возможного ущерба от нарушения её свойств безопасности (целостность, доступность и, если применимо, конфиденциальность).

 

Степень ущерба же может быть:

  • высокой (ЧП федерального или межрегионального масштаба)

  • средней (ЧП регионального или межмуниципального масштаба)

  • низкой (происшествие носит локальный характер).

 

На этапе формирования требований определяются угрозы безопасности АСУТП путем составления модели угроз:

  • выявляются источники угроз

  • оцениваются возможности нарушителей (т.е. создается модель нарушителя)

  • анализируются уязвимости используемых систем

  • определяются возможные способы реализации угроз и последствия этого, при этом следует использовать БДУ ФСТЭК России.

 

Важность создания модели нарушителя на данном этапе заключается еще и в том, что применяемые меры защиты в АСУТП 1-го класса защищенности должны обеспечивать нейтрализацию действий нарушителя с высоким потенциалом, в АСУТП 2-го класса защищенности — нарушителя с потенциалом не ниже среднего, в АСУТП 3-го класса защищенности — нарушителя с низким потенциалом.

Алгоритм выбора и применения мер для обеспечения безопасности (аналогичный Приказам ФСТЭК России №21 и №17):

  • выбор базового набора мер на основании предложенного списка

  • адаптация выбранного базового набора мер, предполагающая исключение нерелевантных базовых мер в зависимости от особенностей информационных систем и использующихся технологий

  • адаптированный базовый набор мер уточняется для нейтрализации актуальных угроз не выбранными ранее мерами

  • дополнение уточненного адаптированного базового набора мерами, установленными иными применимыми нормативными правовыми документами.

 

При этом в Приказе №31 подчеркивается важность непрерывности технологических процессов: можно применять компенсирующие защитные меры в случае прогнозируемого негативного влияния на штатный режим функционирования АСУТП.

 

При внедрении технических средств защиты информации прежде всего следует использовать штатный защитный функционал используемых в АСУТП систем, а уже затем — наложенные СЗИ. Требования к классам СЗИ и СВТ и уровням контроля отсутствия НДВ в зависимости от класса защищенности АСУТП описаны в п.24 Приказа №31.

 

Группы мер по обеспечению безопасности АСУТП, которые должны быть применены в зависимости от требуемого класса защищенности АСУТП:

  • идентификация и аутентификация

  • управление доступом

  • ограничение программной среды

  • защита машинных носителей информации

  • аудит безопасности

  • антивирусная защита

  • предотвращение вторжений (компьютерных атак)

  • обеспечение целостности

  • обеспечение доступности

  • защита технических средств и систем

  • защита информационной (автоматизированной) системы и ее компонентов

  • реагирование на компьютерные инциденты

  • управление конфигурацией

  • управление обновлениями программного обеспечения

  • планирование мероприятий по обеспечению безопасности

  • обеспечение действий в нештатных ситуациях

  • информирование и обучение персонала.

 

Безопасность значимых объектов КИИ (ЗОКИИ)

Приказ ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» регламентирует способы защиты ЗОКИИ.

Требования Приказа ФСТЭК России №239 предъявляются к информационным системам, автоматизированным системам управления и информационно-телекоммуникационным сетям значимых объектов КИИ.

Критерии отнесения объектов КИИ к значимым описаны в Постановлении Правительства №127.

Кроме значимых объектов, по решению субъекта КИИ нормы рассматриваемого документа могут применяться и к незначимым объектам, равно как и требования Приказа №31.

В Приказе №239 отдельно указано, что объекты КИИ, обрабатывающие ПДн, подпадают также и под нормы защиты ПДн.

В случае, если объект КИИ является ГосИС, то применяются нормы Приказа ФСТЭК России №17 по защите ГИС и проводится аттестация значимого объекта КИИ.


Приказ №239 ФСТЭК России от 25.12.2017

Разработка мер ЗИ значимого объекта КИИ должна включать в себя анализ угроз безопасности и разработку модели угроз, а внедряемые меры защиты не должны оказывать негативного влияния на функционирование самого объекта.

Как и в Приказе №31, анализ угроз должен включать:

  • выявление источников угроз

  • оценку возможностей нарушителей (т.е. создание модели нарушителя)

  • анализ уязвимостей используемых систем (в том числе и тестирование на проникновение — пентест)

  • определение возможных способов реализации угроз и их последствий, при этом следует использовать БДУ ФСТЭК России.

 

В случае разработки нового ПО как части подсистемы безопасности значимого объекта КИИ следует применять стандарты безопасной разработки программного обеспечения.

При использовании СЗИ приоритет отдается штатному защитному функционалу, а при реагировании на компьютерные инциденты требуется отправлять информацию о них в систему ГосСОПКА.

Организационные и технические меры, предусмотренные положениями Приказа №239 в зависимости от категории значимости объекта КИИ и угроз безопасности информации:

  • идентификация и аутентификация

  • управление доступом

  • ограничение программной среды

  • защита машинных носителей информации

  • аудит безопасности

  • антивирусная защита

  • предотвращение вторжений (компьютерных атак)

  • обеспечение целостности

  • обеспечение доступности

  • защита технических средств и систем

  • защита информационной (автоматизированной) системы и ее компонентов

  • планирование мероприятий по обеспечению безопасности

  • управление конфигурацией

  • управление обновлениями программного обеспечения

  • реагирование на инциденты информационной безопасности

  • обеспечение действий в нештатных ситуациях

  • информирование и обучение персонала.

 

Алгоритм выбора и применения мер защиты:

  • выбор базового набора мер для соответствующей категории значимости объекта КИИ на основании предложенного в Приказе списка

  • адаптация выбранного базового набора мер, предполагающая исключение нерелевантных базовых мер в зависимости от использующихся технологий и характеристик объекта КИИ

  • включение в набор других мер, необходимых для нейтрализации актуальных угроз

  • адаптированный набор дополняется мерами, установленными иными применимыми нормативными правовыми документами, например, по защите информации в ГИС, ИСПДн, криптографической защите информации и т.д.

 

Если на объекте КИИ уже применяются меры промышленной, функциональной или физической безопасности, достаточные для нейтрализации актуальных угроз информационной безопасности, то дополнительные меры защиты можно не применять.

Подчеркиваются важность непрерывности функционирования объекта КИИ и отсутствие негативного влияния на него со стороны применяемых мер: субъект КИИ может применять более подходящие компенсирующие меры взамен базовых, которые при этом будут блокировать актуальные для объекта КИИ угрозы безопасности. Кроме того, компенсирующие меры должны применяться и при использовании новых ИТ-решений и выявлении новых угроз, не учтенных разработчиками Приказа.

Можно применять СЗИ, прошедшие оценку на соответствие требованиям по безопасности в форме испытаний, приемки или обязательной сертификации. Испытания и приемка проводятся субъектами КИИ самостоятельно либо с помощью лицензиатов ФСТЭК России. При использовании сертифицированных СЗИ требования к ним следующие: на объектах 1-й категории значимости следует применять СЗИ не ниже 4-го класса защиты, на объектах 2-й категории — СЗИ не ниже 5-го класса, а на объектах 3-й категории — СЗИ не ниже 6-го класса; при этом на значимых объектах всех категорий требуется применять СВТ не ниже 5-го класса.

Приведены требования и к уровням доверия СЗИ. Уровни доверия (далее — УД) определяются в соответствии с Приказом ФСТЭК России №131 от 30 июля 2018 г., в котором установлены шесть УД (самый низкий – 6-ой, самый высокий – 1-ый).

На объектах 1-й категории значимости следует применять СЗИ, соответствующие 4-му или более высокому УД, на объектах 2-й категории — СЗИ, соответствующие 5-му или более высокому УД, а на объектах 3-й категории — СЗИ, соответствующие 6-му или более высокому УД.

Изменения в Приказе №239, внесенные Приказом №35 от 20.02.2020 (вступят в силу с 01.01.2023): не встроенные в общесистемное и прикладное ПО средства защиты информации, оценка соответствия которых проводится в форме испытаний или приемки, должны соответствовать 6 или более высокому уровню доверия. Утверждается программа и методика испытаний, оформляется протокол испытаний.

Указывается на важность использования СЗИ, которые обеспечиваются гарантийной и/или технической поддержкой, а также на возможные ограничения по использованию программного/аппаратного обеспечения или СЗИ (видимо, имеются ввиду санкционные риски).

Указано, что на значимом объекте КИИ требуется запретить удаленный и локальный бесконтрольный доступ для обновления или управления лицами, не являющимися работниками субъекта КИИ, работниками его дочерних и зависимых обществ. В случае невозможности исключения удаленного доступа, требуется осуществлять контроль над подключающимися устройствами, передающейся информацией, мониторинг действий (пункт внесен Приказом №35).

Требуется запретить бесконтрольную передачу информации из объекта КИИ производителю или иным лицам.

Кроме этого, все программные и аппаратные средства объекта КИИ 1 и 2 категории значимости должны располагаться на территории РФ (за исключением оговоренных законодательством случаев).

Дополнения в Приказ №239, внесенные Приказом №35 от 20.02.2020 (вступят в силу с 01.01.2023):

Требования к прикладному ПО в ЗОКИИ:

  • безопасная разработка ПО (анализ угроз безопасности информации, использование методологий безопасной разработки ПО)

  • выявление уязвимостей в ПО (статический анализ исходного кода, фаззинг-тестирование, динамический анализ кода)

  • устранение уязвимостей производителем ПО

  • поддержка производителя (информирование покупателей, обновление ПО).

 

Ответственность

Ответственность за неправомерное воздействие на КИИ РФ предусмотрена статьей 274.1 Уголовного Кодекса. Данная статья была введена Федеральным Законом № 194 от 26.07.2017 г. и действует с 01.01.2018 г. В соответствии с данной статьей уголовно наказуемы:

  • создание, распространение и использование программ для неправомерного воздействия на КИИ;

  • неправомерный доступ к информации в КИИ с последовавшим причинением вреда КИИ

  • нарушение правил эксплуатации средств хранения, обработки, передачи информации в КИИ или правил доступа к информации в КИИ с последовавшим причинением вреда КИИ

  • указанные выше действия, совершенные группой лиц по предварительному сговору, или в составе организованной группы, или с использованием служебного положения

  • указанные выше действия, если они повлекли тяжкие последствия (т.е. причинен ущерб на сумму более 1 миллиона рублей); при этом наступает ответственность в виде лишения свободы на срок до десяти лет, что автоматически переводит данное деяние в разряд тяжких преступлений со сроком давности до 10 лет.

Действие данной статьи распространяется как на значимые, так и на незначимые объекты КИИ. Также данная норма не учитывает, какова была категория значимости атакованного объекта КИИ, как не учитывает и того, был ли он вообще прокатегорирован. Размер причиненного вреда является оценочным признаком и определяется судом. Расследует данные преступления следственное управление ФСБ РФ, а мерой пресечения на период следствия является помещение под арест в СИЗО.

 

Также рассматриваются изменения в КоАП РФ, предполагающие введение двух новых статей и существенных денежных штрафов за их нарушение:

  • Статья 13.12.1 «Нарушение требований в области обеспечения безопасности КИИ РФ» будет предусматривать ответственность за нарушение порядка категорирования объектов КИИ, нарушение требований к созданию и обеспечению функционирования систем безопасности значимых объектов КИИ, нарушение требований по обеспечению безопасности значимых объектов КИИ, а также нарушение порядка информирования, реагирования и обмена информацией о компьютерных инцидентах.

  • Статья 19.7.15 «Непредставление сведений, предусмотренных законодательством в области обеспечения безопасности КИИ РФ» предполагает ответственность за нарушение порядка предоставления сведений о категорировании объектов КИИ во ФСТЭК России, а также за невыполнение норм по обмену информацией с ГосСОПКА.


Интересные публикации