Что требует закон?

Закон требует от субъектов критической информационной инфраструктуры (государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей):

Аттестация объектов КИИ

Законом 187-ФЗ прямо не предъявляются требования по аттестации объектов КИИ по требованиям безопасности информации (по требованиям ФСТЭК России).

В законе имеются две статьи относительно оценки безопасности объектов КИИ и гос. контроля, но в них не идет речь об оценке эффективности применяемых мер защиты информации в форме аттестации по требованиям безопасности информации ФСТЭК России:

  1. Статья 12. Оценка безопасности критической информационной инфраструктуры.
  2. Статья 13. Государственный контроль в области обеспечения безопасности значимых объектов критической информационной инфраструктуры.

В статье 12 говориться об оценке безопасности объектов КИИ, как о мерах оценки сведений с объектов КИИ с целью анализа компьютерных атак и прогнозирования воздействий на иные объекты КИИ.

В статье 13 говорится о плановых и внеплановых проверках соблюдения требований закона и подзаконных нормативно-правовых актов.

Итого: самим законом не предъявляются конкретные требования о необходимости проведения оценки защищенности объектов КИИ в форме аттестации по требованиям безопасности информации ФСТЭК России.

А вот приказом ФСТЭК № 239 установлено, что, если объект КИИ одновременно является и государственной информационной системой, то его оценка защищенности проводится в форме аттестации по требованиям приказа ФСТЭК № 17 от 11 февраля 2013 года. В иных случаях аттестация может быть проведена по собственному решению субъекта КИИ.

Скачать коммерческое предложение на аттестацию КИИ
СКАЧАТЬ PDF

Требования к объектам КИИ

Самим законом предъявляются только общие требования к системе безопасности объектов КИИ:

  1. Предотвращение неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления и распространения защищаемой информации;
  2. Недопущение воздействия на технические средства обработки информации;
  3. Восстановление функционирования;
  4. Непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.

К составу работ по обеспечению безопасности объекта предъявляются следующие требования:

  1. Планирование, разработка, совершенствование и осуществление внедрения мероприятий по обеспечению безопасности значимых объектов критической информационной инфраструктуры;
  2. Принятие организационных и технических мер для обеспечения безопасности значимых объектов критической информационной инфраструктуры;
  3. Установление параметров и характеристик программных и программно-аппаратных средств, применяемых для обеспечения безопасности значимых объектов критической информационной инфраструктуры.

Конкретные же требования к объектам КИИ устанавливаются подзаконными нормативно-правовыми актами ФСТЭК России:

  1. Приказ ФСТЭК № 235 «Об утверждении требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры российской федерации и обеспечению их функционирования» от 21 декабря 2017 года.
  2. Приказ ФСТЭК № 239 «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры российской федерации» от 25 декабря 2017 года.

Приказ ФСТЭК № 239 содержит 16 категорий мер защиты к объектам КИИ и конкретные требования к классам защищенности средств защиты информации, которые должны применяться на объектах КИИ. Состав мер защиты зависит от категории значимости объекта КИИ (напомним, 187-ФЗ устанавливает всего три категории 1, 2 и 3).

Приказом ФСТЭК № 235 «Об утверждении требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры российской федерации и обеспечению их функционирования» установлены следующие требования:

Сами требования можно посмотреть на официальном сайте ФСТЭК России в разделе:
Техническая защита информации \ Обеспечение безопасности критической информационной инфраструктуры \ Приказы

Или по ссылке: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/obespechenie-bezopasnosti-kriticheskoj-informatsionnoj-infrastruktury/288-prikazy

Проверки объектов КИИ

Законом установлен государственный контроль объектов КИИ. Контроль осуществляется уполномоченным федеральным органом исполнительной власти путем плановых и внеплановых проверок субъектов критической информационной инфраструктуры. При контроле проверяется соблюдение установленных законом требований и принятыми в соответствии с ним подзаконными нормативно-правовыми актами.

Плановые проверки проводятся по истечении трех лет с момента:

  1. Внесения сведений об объекте критической информационной инфраструктуры в реестр значимых объектов критической информационной инфраструктуры;
  2. Окончания осуществления последней плановой проверки в отношении значимого объекта критической информационной инфраструктуры.

Внеплановые проверки проводятся в случае:

  1. Истечения срока выполнения субъектом критической информационной инфраструктуры выданного уполномоченным федеральным органом исполнительной власти предписания об устранении выявленного нарушения требований по обеспечению безопасности КИИ;
  2. Возникновения компьютерного инцидента, повлекшего негативные последствия, на КИИ;
  3. Выхода приказа (распоряжения) руководителя уполномоченного федерального органа исполнительной власти.

По результатам плановой или внеплановой проверки уполномоченный федеральный орган исполнительной власти утверждает акт о проверке и выдает предписание об устранении выявленных нарушений с указанием сроков их устранения.

Что конкретно нужно сделать чтобы соответствовать требованиям КИИ?

Нужно сделать немало!
Для начала нужно категорировать свой объект КИИ. Для этого необходимо:

В ходе эксплуатации объекта КИИ необходимо выполнение следующих мероприятий:

Внимание: категорирование осуществляется строго в соответствии со статьей 7 (семь) 187-ФЗ и постановлением Правительства Российской Федерации от 8 февраля 2018 г. N 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации».

Лайфхак по успешной аттестации (подготовке) объекта КИИ

Начнем с того, что ФСТЭК утвердил рекомендуемую форму перечня объектов КИИ, которую организации, имеющие объекты КИИ, должны направить во ФСТЭК России. А также дал рекомендации, как направлять перечень для ускорения принятия решения о включении объекта в реестр объектов КИИ. Данное информационное письмо можно найти на сайте ФСТЭК в разделе про КИИ.

Помимо пункта 7 самого 187-ФЗ, устанавливающего порядок категорирования объектов КИИ, необходимо руководствоваться специально разработанными правилами по категорированию, утвержденными постановлением Правительства № 127.

Проводить работы по защите объектов КИИ правильно только после категорирования объекта КИИ и получения от уполномоченного федерального органа подтверждения о правильном установлении категории объекта и внесения объекта в реестр объектов КИИ.

Методология работ по подготовке (защите) объекта КИИ в целом пересекается с работами по 17 приказу ФСТЭК, и поэтому, если объект ранее аттестовался по 17 приказу, то результаты работ можно смело использовать, конечно же, выполнив соответствующие доработки. Но в целом трудоемкость и необходимость закупки средств защиты будет меньше, чем для тех объектов, которые ранее не защищались.

ФСТЭК информационным сообщением № 240/22/2339 от 4 мая 2018 года сообщил, что, пока не утверждены специальные методические документы по моделированию угроз применительно к КИИ, можно руководствоваться ранее утвержденными документами для ключевых систем:

  • Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры, утвержденная ФСТЭК России 18 мая 2007 г.
  • Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры, утвержденная ФСТЭК России 18 мая 2007 г.

Если объект КИИ является автоматизированной системой управления технологическими процессами, то защищать (подготавливать) такие объекты необходимо только в соответствии с требованиями приказов ФСТЭК № 239 и № 235.

Все применяемые на объектах КИИ средства защиты информации должны быть с оценкой соответствия требованиям безопасности информации в формах обязательной сертификации, испытаний или приемки.
Это означает, что на каждое используемое средство защиты должны быть документы, подтверждающие их соответствие требованиям безопасности информации. Максимальное доверие у регуляторов, конечно же, к средствам защиты, сертифицированным в системах сертификации ФСБ и ФСТЭК России. Поэтому, чтобы не было вопросов, рекомендуется в обязательном порядке использовать только средства защиты с сертификатами указанных регуляторов.

Камни преткновения

Кратко обозначим основные проблемы при подготовке объектов КИИ:

Пунктом 20 приказа ФСТЭК № 239 предусмотрена возможность привлечения на договорной основе лицензиата ФСТЭК России с лицензией на техническую защиту конфиденциальной информации, что позволит владельцу объекта КИИ избежать лишней головной боли.

Перечень объектов КИИ

ФСТЭК России информационным сообщением № 240/25/3752 от 24 августа 2018 года утвердил рекомендуемую форму перечня объектов КИИ и дал рекомендации по направлению указанного перечня:

  • перечень объектов формируется по рекомендуемой ФСТЭК форме и утверждается руководителем субъекта КИИ;
  • при направлении перечня на бумаге необходимо также приложить его электронную версию и электронную копию сведений о результатах присвоения объекту категории значимости.

И самое главное: было разъяснено, что направлять во ФСТЭК информацию об отсутствии объектов КИИ или о том,  что организация не является субъектом КИИ, не требуется!

Указанное разъяснение можно посмотреть на сайте ФСТЭК в разделе:
Техническая защита информации / Обеспечение безопасности критической информационной инфраструктуры / Иные /

Или по ссылке: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/obespechenie-bezopasnosti-kriticheskoj-informatsionnoj-infrastruktury/290-inye/1668-informatsionnoe-soobshchenie-fstek-rossii-ot-24-avgusta-2018-g-n-240-25-3752

Как проводится подготовка к аттестации?

Подготовка к аттестации проводится в соответствии с приказом ФСТЭК № 239 в следующем порядке:

  • установление требований к обеспечению безопасности значимого объекта;
  • разработка организационных и технических мер по обеспечению безопасности значимого объекта;
  • внедрение организационных и технических мер по обеспечению безопасности значимого объекта и ввод его в действие.

На этапе установления требований к обеспечению безопасности значимого объекта необходимо:

  •  разработать техническое задание на создание подсистемы безопасности.

На этапе разработки организационных и технических мер по обеспечению безопасности значимого объекта необходимо:

  • разработать модель угроз безопасности информации;
  • спроектировать подсистему безопасности (разработать технический проект на подсистему безопасности);
  • разработать рабочую (эксплуатационную) документацию на подсистему безопасности.

На этапе внедрения организационных и технических мер по обеспечению безопасности значимого объекта и ввода его в действие необходимо:

Только по завершении подготовки объекта КИИ можно инициировать процедуру аттестации с привлечением лицензиата ФСТЭК России на договорной основе. Работы по аттестации проводятся в соответствии с требованиями, установленными приказом ФСТЭК № 17.

Регулятор в области КИИ

На основании Указа Президента Российской Федерации от 25 ноября 2017 г. N 569 уполномоченным федеральным органом в области обеспечения безопасности критической информационной инфраструктуры является ФСТЭК России.

Сайт: fstec.ru
Адрес: 105066, г. Москва, ул. Старая Басманная, д. 17
Телефон отдела защиты информации: 8 (499) 263-27-75

Сколько стоит аттестация?

Стоимость аттестации зависит от множества критериев. В первую очередь от того, проводились ли ранее работы по аттестации объекта КИИ.

Полный набор критериев, от которых зависит стоимость аттестации выглядит следующим образом:

  • количественные характеристики (количество объектов вычислительной техники, сетевого и коммуникационного оборудования);
  • качественные характеристики (состав используемого прикладного программного обеспечения, типы аппаратных платформ и др.);
  • применяемые технологии обработки информации (терминальный доступ, беспроводной доступ, SAAS, облачные технологии и др.);
  • распределенность информационной системы (географическая/территориальная).

Только проведя оценку по каждому критерию, можно определить стоимость аттестации объекта КИИ.

Чтобы был понятен диапазон разброса цен, скажем, что стоимость аттестации объекта КИИ в зависимости от критериев, приведенных выше, может составлять от 300 тыс. до 3 млн. и более.

Вы можете узнать стоимость работ по аттестации вашего объекта КИИ по телефону:
8(800)-550-44-71
ЗАКАЗАТЬ ЗВОНОК

Кто может проводить аттестацию?

Аттестацию объекта КИИ может проводить только лицензиат ФСТЭК России со следующими пунктами (видами) в лицензии на техническую защиту конфиденциальной информации:

  • Контроль защищенности конфиденциальной информации от утечки по техническим каналам в:
    • средствах и системах информатизации.
  • Контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации.
  • Аттестационные испытания и аттестация на соответствие требованиям по защите информации:
    • средств и систем информатизации.

Лицензионные требования к лицензиату предъявляются постановлением Правительства № 79 «О лицензировании деятельности по технической защите конфиденциальной информации».

А подготовку объекта КИИ (формирование требований, проектирование и внедрение системы защиты) имеет право проводить только лицензиат ФСТЭК со следующими видами работ в лицензии:

  • Контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации)
  • Проектирование в защищенном исполнении:
    • средств и систем информатизации;
  • Установка, монтаж, испытания, ремонт средств защиты информации программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации).

Ответственность в области КИИ

В связи с вступлением в силу закона 187-ФЗ было внесено изменение в уголовный кодекс Российской Федерации, а в частности была добавлена статья 274.1 «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации».

Данная статья устанавливает три типа деяний, влекущих за собой ответственность нарушителя:

Заказать обратный звонок и получить полное понимание за 10 минут
ЗАКАЗАТЬ ОБРАТНЫЙ ЗВОНОК

Как выглядит аттестат на КИИ?

Вот так:

Аттестация КИИ