Дата: 13.11.2021 г.
Автор статьи: Максим Прохоров — Директор по развитию бизнеса в Альтирикс Групп
Кто субъект и где ваш объект?
На основании статьи 2 Федерального закона от 26.07.2017 N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее — 187-ФЗ):
Объекты критической информационной инфраструктуры (КИИ) — информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.
Субъекты критической информационной инфраструктуры — государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в определенных сферах, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.
К таким сферам относятся:
- здравоохранение,
- наука,
- транспорт,
- связь,
- энергетика,
- банковская сфера и иные сферы финансового рынка,
- топливно-энергетический комплекс,
- атомная энергия,
- оборонная промышленность,
- ракетно-космическая промышленность,
- горнодобывающая промышленность,
- металлургическая промышленность,
- химическая промышленность.
На основании Постановления Правительства РФ от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» (далее — ПП-127) категорированию подлежат объекты критической информационной инфраструктуры, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры в областях (сферах), установленных пунктом 8 статьи 2 Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации».
Таким образом, принадлежность к субъектам КИИ определяется только по наличию объектов КИИ, которые на праве собственности, аренды или на ином законном основании принадлежат государственным органам, государственным учреждениям, российским юридическим лицам и (или) индивидуальным предпринимателям.
В случае если организация осуществляет деятельность, не относящуюся ни к одной из 13 сфер, или у руководства организации имеются сомнения на тему принадлежности к субъектам КИИ, рекомендуется:
- создать комиссию из числа работников, наиболее полно владеющими информацией об эксплуатируемых в организации ИС, АСУ, ИТС;
- провести обследование на предмет выявления таких ИС, АСУ, ИТС и отнесения их к конкретным сферам деятельности;
- оформить протокол заседания комиссии; акт выявления ИС, АСУ, ИТС; заключение по результатам обследования;
- если принадлежность к субъектам КИИ не установлена — сформированный комплект документов положить на хранение на случай запросов регуляторов или проверок;
- если принадлежность к субъектам КИИ установлена — перейти к реализации следующих мероприятий.
Пример из практики: организация функционирует в сфере машиностроения, которая не входит в перечень из 13 сфер, попадающих под действие 187-ФЗ, но на территории организации располагается собственная электростанция, которая обеспечивает энергией производство — таким образом организация будет являться субъектом КИИ, т.к. электростанция относится к сфере энергетики. С момента отнесения организации к субъектам КИИ, все ИС, АСУ, ИТС, принадлежащие ей на праве собственности, аренды или ином законном основании, становятся объектами КИИ.
Выполнение требований 187-ФЗ
Много обсуждений на тему как выполнить требования, но зачем это нужно и для чего? Особенной чертой 187-ФЗ является защита не только инфраструктуры самого субъекта КИИ в случае компьютерной атаки, но и не недопущение негативных последствий для нашего государства. Итак, посмотрим из чего состоит 187-ФЗ, а состоит он из множества нормативно-правовых актов, приказов, постановлений правительства. Если выстроить все эти документы в единую цепочку, можно реализовать его комплексно и в полном объёме в виде нескольких крупных этапов:
- Обследование и категорирование объектов КИИ.
- Формирование требований к системе безопасности объектов КИИ.
- Проектирование системы безопасности объектов КИИ.
- Пусконаладка системы безопасности и организация взаимодействия с ГосСОПКА.
На этапе обследования и категорирования объектов КИИ на основании показателей критериев значимости и их значений, утвержденных ПП-127, необходимо определить категории значимости объектов КИИ (всего их 3, где 3 — наименьшая, 1 — наивысшая) и перейти ко второму этапу, но можно не попасть ни в одну из категорий и такой объект КИИ не будет считаться значимым. Держим в уме, что в случае компьютерного инцидента необходимо уведомить НКЦКИ (горячая линия, факс или письмо).
При наличии значимых объектов КИИ или в случае принятия решения субъектом КИИ о прямом подключении к инфраструктуре НКЦКИ, помимо консалтинговых работ необходимо подобрать и спроектировать технические решения (средства защиты информации), осуществить их поставку и ввод в эксплуатацию. «Большой брат» следит за всеми субъектами КИИ, получает информацию об инцидентах от субъектов, специалисты НКЦКИ изучают каждый инцидент в отдельности: откуда появился, техническая реализация, меры противодействия, и формируют рекомендации, что необходимо предпринять субъектам КИИ, чтобы нейтрализовать угрозу или последствия компьютерной атаки, и рассылают информационные сообщения всем субъектам КИИ схожей сферы и инфраструктуры.
Для прозрачности и полноты проводимых работ, помимо установленных законодательством мероприятий и документов регуляторов, мы рекомендуем разрабатывать ряд других документов, которые в дальнейшем могут быть использованы для успешного прохождения проверок или для повторных работ в случае изменений в инфраструктуре. Например, Методика обследования и выявления критических процессов, в которой четко прописывается как происходит сбор информации, интервьюирование, качественная оценка рисков и т.д., т.е. данный документ — еще одно подтверждение, что субъект КИИ подошел к данным работам ответственно.
Коротко об ответственности
В эпоху цифровизации и кибервойн не стоит недооценивать влияние защищенности объектов КИИ на безопасность государства в целом. Мы видим ужесточение ответственности и увеличение количества публичных дел. Так, например, с 01.09.2021 вступили в силу изменения в УК РФ.
Вы можете обратиться к нам за консультацией, в случае если вам пришел запрос от регуляторов или Прокуратуры, произошел компьютерный инцидент. Наши специалисты помогут с разбором инцидента и подготовкой ответов на запросы. Подробнее об ответственности.
Комиссия по категорированию объектов КИИ
Любой большой проект начинается с формирования комиссии. ПП-127 устанавливает состав комиссии, но на практике следовать ПП-127 не всегда возможно. Это зависит от множества факторов:
- отсутствие отдельных должностей, в том числе подразделений ИТ и ИБ;
- нежелание работников входить в состав комиссии, ввиду возможной ответственности;
- сложная орг. структура организации: множество филиалов и (или) управляемых юридических лиц.
Перед стартом работ мы рекомендуем провести обучение (вводное собрание) для всех работников организации, кто так или иначе будет задействован в сборе информации или войдет в состав комиссии, чтобы все участники процесса находились в одном информационном поле: для чего необходимо выполнение 187-ФЗ, как строится реализация, ответственность каждого работника, какая информация потребуется в ходе реализации. На этом этапе осуществляется:
- анализ видов деятельности организации и штатной расстановки;
- соотнесение штатной расстановки должностям (ролям), определенным в ПП-127;
- формирование предложений по замещению отсутствующих должностей (ролей);
- разработка сопутствующих документов (Приказ о создании комиссии, Положение о комиссии, Руководство ответственного за организацию мероприятий по обеспечению безопасности КИИ, Протокол заседания комиссии, Программа обследования объектов КИИ и выявления критических процессов);
- согласование состава комиссии и документов с юридическим департаментом организации;
- вводное собрание (инструктаж) для всех участников.
Данный подход помогает собрать и структурировать данные в полном объеме и дальнейшие шаги значительно упрощаются как для исполнителя, так и субъекта КИИ. Опираясь на наш опыт в реализации проектов по защите КИИ, значительная часть времени уходит не на сбор данных и разработку документации, а непосредственно на согласование отчетных документов.
Категорирование объектов КИИ
За три года реализации проектов по защите КИИ мы выработали универсальный подход, детали которого подробно описаны в нашей Методике обследования объектов КИИ и выявления критических процессов. Общий алгоритм работ вы можете увидеть на схеме ниже.
Линейное представление выглядит следующим образом:
Ключевым отличием нашей Методики является наличие этапа качественной оценки рисков на основе национального стандарта ГОСТ Р 58771-2019 «Менеджмент риска. Технологии оценки риска.». Таким образом мы попытались закрыть «пробел» в НПА, на основании которых необходимо выявить критические процессы, но отсутствуют конкретные инструкции по выполнению данного требования.
Проектирование системы безопасности ЗОКИИ (СБ ЗОКИИ)
На старте работ по проектированию необходимо определить способ выполнения для наиболее эффективного достижения целей исходя из имеющихся временных, финансовых и иных ограничений и обеспечить обоснованный выбор средств защиты, в том числе за счет практического опыта внедрения и тесного взаимодействия со всеми значимыми представителями на рынке решений по защите информации.
Практическая применимость и эффективность создаваемой системы защиты достигается, в том числе, за счет:
- риск-ориентированного подход при категорировании и оценке угроз;
- моделирования угроз с учетом цепочек атак (Kill Chain);
- адаптации БДУ ФСТЭК России с учетом MITRE ATT&CK и OWASP;
- формирования технического задания, проектной, рабочей, эксплуатационной и организационно-распорядительной документации, опираясь в первую очередь на уже применяющиеся в инфраструктуре решения по защите информации, в том числе встроенные в общесистемное и прикладное программное обеспечение ЗОКИИ;
- обязательного тестирования решений на стендах или сегментах ЗОКИИ;
- анализа защищенности перед приемкой системы безопасности в постоянную эксплуатацию.
Подробнее про проектирование СБ ЗОКИИ. Подробнее про анализ защищенности.
При разработке технических мер по защите информации Альтирикс Групп в приоритетном порядке применяет средства защиты информации, встроенные в программное обеспечение и (или) программно-аппаратные средства значимых объектов (при их наличии). Таким образом в большинстве случаев снижается стоимость владения создаваемой системы безопасности ЗОКИИ.
Импортозамещение
Одно из первых упоминаний об импортозамещении прозвучало в Постановлении Правительства Российской Федерации от 16 ноября 2015 года № 1236 «Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд» (далее — ПП-1236), вступившим в силу с 1 января 2016 года, и которое устанавливает запрет на госзакупки иностранного ПО. В соответствии с ПП-1236 заказчики обязаны закупать российское ПО, кроме случаев, когда ПО с необходимыми функциональными, техническими или эксплуатационными характеристиками в России отсутствует. При этом такую потребность необходимо будет обосновать в порядке, предусмотренном законом о контрактной системе в сфере госзакупок.
Не так давно был выложен обновленный текст Постановления Правительства «Об утверждении требований к программному обеспечению, телекоммуникационному оборудованию и радиоэлектронной продукции, используемым на объектах критической информационной инфраструктуры, и порядка перехода на преимущественное использование российского программного обеспечения, телекоммуникационного оборудования и радиоэлектронной продукции».
Тезисно:
- Переход на российское ПО и оборудование должен произойти до 1-го января 2023 года.
- Под требования попадают все объекты КИИ независимо от их категории значимости.
- Требования касаются не только нового ПО и оборудования, но и уже функционирующих в инфраструктуре.
- Необходимость включения ПО в реестр.
В текущей ситуации крайне важно смотреть наперед и быть проактивными, чтобы не пришлось перестраивать инфраструктуру под новые реалии.
В связи с комплексным подходом, учитывая масштаб работ по выполнению требований 187-ФЗ и введение импортозамещения, возникает вопрос о бюджете — вся ответственность и финансирование лежит на субъекте КИИ.
Составить План импортозамещения
Субсидии для субъектов КИИ
Постановление Правительства Российской Федерации от 22.11.2019 № 1497 «О внесении изменений в государственную программу Российской Федерации «Информационное общество» (утверждена Постановлением Правительства РФ от 15 апреля 2014 г. № 313) дополняется новым приложением № 31, содержащим:
- Правила предоставления и распределения субсидий из федерального бюджета бюджетам субъектов Российской Федерации на доведение уровня безопасности объектов критической информационной инфраструктуры до установленных законодательством Российской Федерации требований.
- Правилами проведения конкурсного отбора проектов (мероприятий), направленных на доведение уровня безопасности объектов до установленных законодательством Российской Федерации требований.
Критерием отбора субъектов Российской Федерации для предоставления субсидии является наличие проектов (мероприятий), направленных на доведение уровня безопасности объектов до установленных законодательством Российской Федерации требований. Размер субсидии определяется по результатам конкурсного отбора указанных проектов (мероприятий). Размер субсидии определяется конкурсной комиссией по результатам конкурсного отбора указанных проектов. Участниками конкурсного отбора являются субъекты Российской Федерации, реализующие в органах государственной власти субъектов Российской Федерации и (или) подведомственных им учреждениях проекты.
Критерием отбора проектов является значимость объектов, исходя из присвоенной категории. В случае необходимости отбора объектов одинаковой категории значимости критериями отбора являются значения показателей критериев значимости объектов, исходя из которых объекту была присвоена категория значимости; доля использования отечественного ПО и оборудования в процессе реализации проектов.
В августе 2019 года Минкомсвязь объявила итоги конкурса заявок на субсидирование региональных проектов повышения безопасности объектов КИИ. Комиссия рассмотрела 36 представленных на конкурсный отбор заявок субъектов Российской Федерации. Всего было выбрано 12 победителей. Общая сумма субсидий на два года составила 250 миллионов рублей. В 2020 году профинансированы (на 150 миллионов) объекты 1 и 2 категории значимости, в 2021 году должны были быть профинансированы (100 миллионов) – 3 категории значимости, но отбор на 2021 год позднее был отменен Минкомсвязи России.
Пока еще сохраняется временной зазор для подготовки необходимого пакета документации с обоснованием о необходимости выделения субсидий. Главный момент — выполнить все работы, включая техническое проектирование и бюджетную оценку. Это то, что касается гос. органов.
Заключение
На момент написания настоящей статьи можно обозначить следующие тренды:
- Все больше организаций осознает важность информационной безопасности в повседневной деятельности, в том числе на фоне роста кибератак и перехода на дистанционный режим работы.
- Важность обеспечения ИБ также осознают разработчики ПО и оборудования ЗОКИИ, в особенности АСУ ТП — дополняют существующий функционал встроенными функциями по защите информации.
- Ужесточается государственное регулирование и контроль в сфере информационной безопасности — письма «счастья» из Прокуратуры РФ, публичные судебные дела и т.п.
- На рынке сохраняется дефицит квалифицированных кадров.
- Несмотря на требования к импортозамещению, среди российского ПО и оборудования по-прежнему отсутствуют достойные альтернативы многим зарубежным решениям.
- Повышается осведомленность регулятора, т.к. он имел возможность изучить большое количество документов от субъектов КИИ — согласовать отсутствие категории стало сложнее.
- Финансирования от государства по-прежнему недостаточно — всего 150 млн. руб. для 12-ти субъектов КИИ за 3 года.
Субъекты КИИ должны полагаться исключительно на себя и все вышеописанные тренды говорят в пользу того, что лучше двигаться маленькими шагами в сторону реализации требований, чем не делать ничего.
Наши рекомендации субъектам КИИ
В обязательном порядке в 2023 году завершить работы по обследованию объектов КИИ и их категорированию, а также по проектированию системы безопасности ЗОКИИ, чтобы исключить риски административной и уголовной ответственности. При этом стоит учитывать, что экономия на мероприятиях по защите КИИ в будущем может привести к дополнительным затратам в связи с необходимостью повторного обследования, затяжного согласования с ФСТЭК России, необходимостью модернизации некачественно спроектированной системы безопасности, например, без учета требований импортозамещения и т.п. Также не стоит исключать полезный эффект от этих мероприятий, т.к. количество кибератак растет.
В случае ожидания субсидий, само их наличие подстегивает рост цен на продукцию и услуги, что также ставит под вопрос ожидание таких выплат.
В случае если все мероприятия по защите КИИ выполняются силами субъекта КИИ, также целесообразно привлечь внешних экспертов из числа интеграторов. Несмотря на то, что ФСТЭК России не рекомендует привлекать интеграторов на работы по категорированию объектов КИИ, необходимо учитывать, что интеграторы имеют опыт и кругозор во всех сферах действия 187-ФЗ и играют большую роль в повышении осведомленности работников всех без исключения субъектов КИИ, продвигая тему информационной безопасности. Не стоит недооценивать их роль в развитии ИБ в стране.