Что требует закон?
Закон требует от субъектов критической информационной инфраструктуры (государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей):
Аттестация объектов КИИ
Законом 187-ФЗ прямо не предъявляются требования по аттестации объектов КИИ по требованиям безопасности информации (по требованиям ФСТЭК России).
В законе имеются две статьи относительно оценки безопасности объектов КИИ и гос. контроля, но в них не идет речь об оценке эффективности применяемых мер защиты информации в форме аттестации по требованиям безопасности информации ФСТЭК России:
- Статья 12. Оценка безопасности критической информационной инфраструктуры.
- Статья 13. Государственный контроль в области обеспечения безопасности значимых объектов критической информационной инфраструктуры.
В статье 12 говориться об оценке безопасности объектов КИИ, как о мерах оценки сведений с объектов КИИ с целью анализа компьютерных атак и прогнозирования воздействий на иные объекты КИИ.
В статье 13 говорится о плановых и внеплановых проверках соблюдения требований закона и подзаконных нормативно-правовых актов.
Итого: самим законом не предъявляются конкретные требования о необходимости проведения оценки защищенности объектов КИИ в форме аттестации по требованиям безопасности информации ФСТЭК России.
А вот приказом ФСТЭК № 239 установлено, что, если объект КИИ одновременно является и государственной информационной системой, то его оценка защищенности проводится в форме аттестации по требованиям приказа ФСТЭК № 17 от 11 февраля 2013 года. В иных случаях аттестация может быть проведена по собственному решению субъекта КИИ.
Требования к объектам КИИ
Самим законом предъявляются только общие требования к системе безопасности объектов КИИ:
- Предотвращение неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления и распространения защищаемой информации;
- Недопущение воздействия на технические средства обработки информации;
- Восстановление функционирования;
- Непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.
К составу работ по обеспечению безопасности объекта предъявляются следующие требования:
- Планирование, разработка, совершенствование и осуществление внедрения мероприятий по обеспечению безопасности значимых объектов критической информационной инфраструктуры;
- Принятие организационных и технических мер для обеспечения безопасности значимых объектов критической информационной инфраструктуры;
- Установление параметров и характеристик программных и программно-аппаратных средств, применяемых для обеспечения безопасности значимых объектов критической информационной инфраструктуры.
Конкретные же требования к объектам КИИ устанавливаются подзаконными нормативно-правовыми актами ФСТЭК России:
- Приказ ФСТЭК № 235 «Об утверждении требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры российской федерации и обеспечению их функционирования» от 21 декабря 2017 года.
- Приказ ФСТЭК № 239 «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры российской федерации» от 25 декабря 2017 года.
Приказ ФСТЭК № 239 содержит 16 категорий мер защиты к объектам КИИ и конкретные требования к классам защищенности средств защиты информации, которые должны применяться на объектах КИИ. Состав мер защиты зависит от категории значимости объекта КИИ (напомним, 187-ФЗ устанавливает всего три категории 1, 2 и 3).
Приказом ФСТЭК № 235 «Об утверждении требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры российской федерации и обеспечению их функционирования» установлены следующие требования:
Сами требования можно посмотреть на официальном сайте ФСТЭК России в разделе:
Техническая защита информации \ Обеспечение безопасности критической информационной инфраструктуры \ Приказы
Или по ссылке: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/obespechenie-bezopasnosti-kriticheskoj-informatsionnoj-infrastruktury/288-prikazy
Проверки объектов КИИ
Законом установлен государственный контроль объектов КИИ. Контроль осуществляется уполномоченным федеральным органом исполнительной власти путем плановых и внеплановых проверок субъектов критической информационной инфраструктуры. При контроле проверяется соблюдение установленных законом требований и принятыми в соответствии с ним подзаконными нормативно-правовыми актами.
Плановые проверки проводятся по истечении трех лет с момента:
- Внесения сведений об объекте критической информационной инфраструктуры в реестр значимых объектов критической информационной инфраструктуры;
- Окончания осуществления последней плановой проверки в отношении значимого объекта критической информационной инфраструктуры.
Внеплановые проверки проводятся в случае:
- Истечения срока выполнения субъектом критической информационной инфраструктуры выданного уполномоченным федеральным органом исполнительной власти предписания об устранении выявленного нарушения требований по обеспечению безопасности КИИ;
- Возникновения компьютерного инцидента, повлекшего негативные последствия, на КИИ;
- Выхода приказа (распоряжения) руководителя уполномоченного федерального органа исполнительной власти.
По результатам плановой или внеплановой проверки уполномоченный федеральный орган исполнительной власти утверждает акт о проверке и выдает предписание об устранении выявленных нарушений с указанием сроков их устранения.
Что конкретно нужно сделать чтобы соответствовать требованиям КИИ?
Нужно сделать немало!
Для начала нужно категорировать свой объект КИИ. Для этого необходимо:
В ходе эксплуатации объекта КИИ необходимо выполнение следующих мероприятий:
Внимание: категорирование осуществляется строго в соответствии со статьей 7 (семь) 187-ФЗ и постановлением Правительства Российской Федерации от 8 февраля 2018 г. N 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации».
Лайфхак по успешной аттестации (подготовке) объекта КИИ
Начнем с того, что ФСТЭК утвердил рекомендуемую форму перечня объектов КИИ, которую организации, имеющие объекты КИИ, должны направить во ФСТЭК России. А также дал рекомендации, как направлять перечень для ускорения принятия решения о включении объекта в реестр объектов КИИ. Данное информационное письмо можно найти на сайте ФСТЭК в разделе про КИИ.
Помимо пункта 7 самого 187-ФЗ, устанавливающего порядок категорирования объектов КИИ, необходимо руководствоваться специально разработанными правилами по категорированию, утвержденными постановлением Правительства № 127.
Проводить работы по защите объектов КИИ правильно только после категорирования объекта КИИ и получения от уполномоченного федерального органа подтверждения о правильном установлении категории объекта и внесения объекта в реестр объектов КИИ.
Методология работ по подготовке (защите) объекта КИИ в целом пересекается с работами по 17 приказу ФСТЭК, и поэтому, если объект ранее аттестовался по 17 приказу, то результаты работ можно смело использовать, конечно же, выполнив соответствующие доработки. Но в целом трудоемкость и необходимость закупки средств защиты будет меньше, чем для тех объектов, которые ранее не защищались.
ФСТЭК информационным сообщением № 240/22/2339 от 4 мая 2018 года сообщил, что, пока не утверждены специальные методические документы по моделированию угроз применительно к КИИ, можно руководствоваться ранее утвержденными документами для ключевых систем:
- Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры, утвержденная ФСТЭК России 18 мая 2007 г.
- Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры, утвержденная ФСТЭК России 18 мая 2007 г.
Если объект КИИ является автоматизированной системой управления технологическими процессами, то защищать (подготавливать) такие объекты необходимо только в соответствии с требованиями приказов ФСТЭК № 239 и № 235.
Все применяемые на объектах КИИ средства защиты информации должны быть с оценкой соответствия требованиям безопасности информации в формах обязательной сертификации, испытаний или приемки.
Это означает, что на каждое используемое средство защиты должны быть документы, подтверждающие их соответствие требованиям безопасности информации. Максимальное доверие у регуляторов, конечно же, к средствам защиты, сертифицированным в системах сертификации ФСБ и ФСТЭК России. Поэтому, чтобы не было вопросов, рекомендуется в обязательном порядке использовать только средства защиты с сертификатами указанных регуляторов.
Камни преткновения
Кратко обозначим основные проблемы при подготовке объектов КИИ:
Пунктом 20 приказа ФСТЭК № 239 предусмотрена возможность привлечения на договорной основе лицензиата ФСТЭК России с лицензией на техническую защиту конфиденциальной информации, что позволит владельцу объекта КИИ избежать лишней головной боли.
Перечень объектов КИИ
ФСТЭК России информационным сообщением № 240/25/3752 от 24 августа 2018 года утвердил рекомендуемую форму перечня объектов КИИ и дал рекомендации по направлению указанного перечня:
- перечень объектов формируется по рекомендуемой ФСТЭК форме и утверждается руководителем субъекта КИИ;
- при направлении перечня на бумаге необходимо также приложить его электронную версию и электронную копию сведений о результатах присвоения объекту категории значимости.
И самое главное: было разъяснено, что направлять во ФСТЭК информацию об отсутствии объектов КИИ или о том, что организация не является субъектом КИИ, не требуется!
Указанное разъяснение можно посмотреть на сайте ФСТЭК в разделе:
Техническая защита информации / Обеспечение безопасности критической информационной инфраструктуры / Иные /
Как проводится подготовка к аттестации?
Подготовка к аттестации проводится в соответствии с приказом ФСТЭК № 239 в следующем порядке:
- установление требований к обеспечению безопасности значимого объекта;
- разработка организационных и технических мер по обеспечению безопасности значимого объекта;
- внедрение организационных и технических мер по обеспечению безопасности значимого объекта и ввод его в действие.
На этапе установления требований к обеспечению безопасности значимого объекта необходимо:
- разработать техническое задание на создание подсистемы безопасности.
На этапе разработки организационных и технических мер по обеспечению безопасности значимого объекта необходимо:
- разработать модель угроз безопасности информации;
- спроектировать подсистему безопасности (разработать технический проект на подсистему безопасности);
- разработать рабочую (эксплуатационную) документацию на подсистему безопасности.
На этапе внедрения организационных и технических мер по обеспечению безопасности значимого объекта и ввода его в действие необходимо:
Только по завершении подготовки объекта КИИ можно инициировать процедуру аттестации с привлечением лицензиата ФСТЭК России на договорной основе. Работы по аттестации проводятся в соответствии с требованиями, установленными приказом ФСТЭК № 17.
Регулятор в области КИИ
На основании Указа Президента Российской Федерации от 25 ноября 2017 г. N 569 уполномоченным федеральным органом в области обеспечения безопасности критической информационной инфраструктуры является ФСТЭК России.
Сайт: fstec.ru
Адрес: 105066, г. Москва, ул. Старая Басманная, д. 17
Телефон отдела защиты информации: 8 (499) 263-27-75
Сколько стоит аттестация?
Стоимость аттестации зависит от множества критериев. В первую очередь от того, проводились ли ранее работы по аттестации объекта КИИ.
Полный набор критериев, от которых зависит стоимость аттестации выглядит следующим образом:
- количественные характеристики (количество объектов вычислительной техники, сетевого и коммуникационного оборудования);
- качественные характеристики (состав используемого прикладного программного обеспечения, типы аппаратных платформ и др.);
- применяемые технологии обработки информации (терминальный доступ, беспроводной доступ, SAAS, облачные технологии и др.);
- распределенность информационной системы (географическая/территориальная).
Только проведя оценку по каждому критерию, можно определить стоимость аттестации объекта КИИ.
Чтобы был понятен диапазон разброса цен, скажем, что стоимость аттестации объекта КИИ в зависимости от критериев, приведенных выше, может составлять от 300 тыс. до 3 млн. и более.
8(800)-550-44-71
Кто может проводить аттестацию?
Аттестацию объекта КИИ может проводить только лицензиат ФСТЭК России со следующими пунктами (видами) в лицензии на техническую защиту конфиденциальной информации:
- Контроль защищенности конфиденциальной информации от утечки по техническим каналам в:
- средствах и системах информатизации.
- Контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации.
- Аттестационные испытания и аттестация на соответствие требованиям по защите информации:
- средств и систем информатизации.
Лицензионные требования к лицензиату предъявляются постановлением Правительства № 79 «О лицензировании деятельности по технической защите конфиденциальной информации».
А подготовку объекта КИИ (формирование требований, проектирование и внедрение системы защиты) имеет право проводить только лицензиат ФСТЭК со следующими видами работ в лицензии:
- Контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации)
- Проектирование в защищенном исполнении:
- средств и систем информатизации;
- Установка, монтаж, испытания, ремонт средств защиты информации программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации).
Ответственность в области КИИ
В связи с вступлением в силу закона 187-ФЗ было внесено изменение в уголовный кодекс Российской Федерации, а в частности была добавлена статья 274.1 «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации».
Данная статья устанавливает три типа деяний, влекущих за собой ответственность нарушителя:
Как выглядит аттестат на КИИ?
Вот так: