Федеральный закон 187

11.11.2018 Выкл. Автор admin

О мерах по выполнению положений Федерального закона от 26 июля 2017 года № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»

1. Принятый 26 июля 2017 года Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее — Закон) устанавливает общие принципы правового регулирования отношений в области обеспечения безопасности критической информационной инфраструктуры (далее — КИИ) Российской Федерации. Закон вступает в силу с 1 января 2018 года и носит рамочный характер. В частности, Закон НЕ ОПРЕДЕЛЯЕТ:

  • перечень объектов КИИ, на которые распространяются требования закона;
  • порядок и критерии категорирования (определения значимости) объектов КИИ;

федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации;

федеральный орган исполнительной власти, уполномоченный в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;

требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры;

временные параметры (сроки) реализации положений закона;

порядок осуществления государственного контроля и надзора в области обеспечения безопасности значимых объектов критической информационной инфраструктуры;

порядок и критерии оценки безопасности критической информационной инфраструктуры;

ряд других положений, необходимых для практической реализации требований закона.

2. Для практической реализации положений Закона предусматривается разработка комплекса подзаконных актов (указаны в Приложении 1 ), сроки принятия которых могут составлять 1,5-2,5 года с момента вступления Закона в силу. До принятия этих нормативных правовых актов практическая реализации требований Закона в полном объеме НЕВОЗМОЖНА.

Необходимо также учитывать, что в соответствии со ст. 54 Конституции РФ, закон, устанавливающий или отягчающий ответственность, обратной силы не имеет. В соответствии с этим обязательные требования, принятые во исполнение Закона, будут распространяться на объекты КИИ или вновь вводимые в эксплуатацию, или подвергаемые модернизации после утверждения соответствующих требований. Подобный подход к срокам и порядку реализации вновь вводимых требований неоднократно анонсировала ФСТЭК России в разъяснениях к соответствующим нормативным актам, подчёркивая, что изданные в установленном порядке нормативные правовые акты не имеют обратной силы и применяются к отношениям, возникшим после вступления соответствующих актов в силу.

О прогнозировании состава технических требований, которые могут распространяться на объекты КИИ, отнесённые к одной из категорий значимости

В соответствии со ст. 2 Закона можно прогнозировать, что к объектам КИИ потенциально могут быть отнесены наиболее важные объекты, в том числе функционирующие сфере электроэнергетики.

В случае отнесения объектов к КИИ одной из категорий значимости, на них будут распространяться «требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры, а также требования к созданию систем безопасности таких объектов и обеспечению их функционирования». В настоящее время такие требования не разработаны и не определён орган исполнительной власти, уполномоченный на их разработку. Тем не менее, можно прогнозировать следующий подход к формированию таких требований: в отношении категорированных объектов, функционирующих в сфере транспорта, связи, энергетики, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности — требования будут сформированы на базе приказа ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды», при этом для категорированных объектов КИИ требования приказа ФСТЭК России от 14 марта 2014 г. № 31 будут иметь обязательную силу и будут согласованы с соответствующими категориями значимости объектов КИИ.

О порядке информирования ГосСОПКА о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак

В соответствии со ст. 9 Закона на субъектов критической информационной возложена обязанность:

«незамедлительно информировать о компьютерных инцидентах федеральный орган исполнительной власти, уполномоченный в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, в установленном указанным федеральным органом исполнительной власти порядке».

Однако в настоящее время:

а) орган исполнительной власти, уполномоченный в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации в настоящее время формально ещё не определён. Вместе с тем, в соответствии с Указом Президента от 15 января 2013г. №31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации», функции по созданию такой системы возложены на ФСБ России. Очевидно, что и в дальнейшем государственную политику в области обеспечения функционирования системы будет определять ФСБ России;

б) порядок информирования о компьютерных инцидентах официально не установлен. Вместе с этим, ФСБ России подготовлены «Методические рекомендации по созданию ведомственных и корпоративных центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации», которые содержат необходимые рекомендации по взаимодействию и перечень передаваемых в рамках функционирования системы сведений. В настоящее время данный документ носит рекомендательный характер, но активно применяется при взаимодействии с ведомственными и корпоративными сегментами. Очевидно, что он будет положен в основу предусмотренных Законом документов.

С учётом изложенного, при создании ведомственного сегмента и организации взаимодействия, считаем целесообразным ориентироваться на указанные выше «Методические рекомендации…» вплоть до официального опубликования нормативного правового акта, регламентирующего порядок информирования федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры, после чего необходимо провести корректировку принятых мер по выстраиванию процесса реагирования на компьютерные атаки.

О мерах ответственности за нарушение требований Закона

Федеральным законом от 26 июля 2017 года № 194-ФЗ в УК РФ с 1 января 2018 г. введена новая статья 274.1 «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации», в частности предусматривающая:

«3. Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, или информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи, относящихся к критической информационной инфраструктуре Российской Федерации, либо правил доступа к указанным информации, информационным системам, информационно-телекоммуникационным сетям, автоматизированным системам управления, сетям электросвязи, если оно повлекло причинение вреда критической информационной инфраструктуре Российской Федерации, —

наказывается принудительными работами на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового либо лишением свободы на срок до шести лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.».

Однако в настоящее время объекты КИИ, нарушение правил эксплуатации которых может квалифицироваться как преступление, предусмотренное ст. 274.1 УК РФ, не определены.

О степени секретности сведений о мерах защиты КИИ

Федеральным законом от 26 июля 2017 № 193-ФЗ внесены изменения в Закон РФ «О государственной тайне», согласно которым сведения «о мерах по обеспечению безопасности критической информационной инфраструктуры Российской Федерации и о состоянии её защищенности от компьютерных атак» включены в Перечень сведений, составляющих государственную тайну. Какие конкретно сведения будут отнесены к этой категории и порядок работы с этими сведениями субъектов КИИ — российских юридических лиц и (или) индивидуальных предпринимателей, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления в настоящее время не определено.

Вероятно, такой порядок будет впоследствии разъяснён уполномоченных органом исполнительной власти. Можно прогнозировать, что в отношении таких сведений будет принят порядок работы с ними, аналогичный порядку работы со сведениями «о мерах по обеспечению защищенности критически важных объектов и потенциально опасных объектов инфраструктуры Российской Федерации от террористических актов».

О рекомендациях по обеспечению безопасности информации в АСУ ТП на текущий период времени

Существующий федеральный закон от 21 июля 2011 г. № 256-ФЗ «О безопасности объектов топливно-энергетического комплекса» (в соответствии со ст. 11 этого закона устанавливается необходимость создания на объектах топливно-энергетического комплекса системы защиты информации и информационно-телекоммуникационных сетей от неправомерных доступа, уничтожения, модифицирования, блокирования информации и иных неправомерных действий) говорит только о необходимости создания системы защиты и не определяет конкретные требования к системе защиты АСУ ТП.

В целях повышения уровня защищённости АСУ ТП рекомендуется принять меры защиты, указанные в документе «Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды» утверждённые приказом ФСТЭК России от 14 марта 2014 г. № 31 (в настоящее время эти Требования носят рекомендательный характер).

Для этого владельцу (оператору) АСУ ТП рекомендуется определить класс защищённости АСУ ТП в соответствии с Приложением № 1 к Требованиям, утверждённые приказом ФСТЭК России от 14 марта 2014 г. № 31, выбрать и реализовать необходимые меры защиты, предусмотренные для выбранного класса.

При реализации мер защиты АСУ ТП рекомендуется в качестве приоритетных использовать меры защиты:

    физическую/логическую изоляцию технологического контура АСУ ТП от корпоративной сети и сетей связи общего пользования, в том числе с применением средств однонаправленной передачи данных (data diode);

ограничение физического доступа к элементам АСУ ТП, реализацию мер физической защиты;

ограничение доступа и управление доступом легальных пользователей к ресурсам АСУ ТП, минимизацию привилегий пользователей;

контроль действий пользователей АСУ ТП;

организацию резервного копирования конфигурационных файлов, информационных образов систем, а также журналов регистрации событий, организацию контроля их неизменности;

контроль целостности сетевого сегмента АСУ ТП, обнаружение несанкционированно подключенных устройств и линий связи;

обеспечение действий в нештатных (непредвиденных) ситуациях (инцидентах информационной безопасности) в ходе эксплуатации АСУ ТП.

Также необходимо учитывать, что согласно Требованиям, утверждённым приказом ФСТЭК России от 14 марта 2014 г. № 31, в системах защиты АСУ ТП могут применяться несертифицированные средства защиты информации. Сертифицированных СЗИ для АСУ ТП в настоящее время практически нет, поэтому применение существующих несертифицированных СЗИ решает проблему по крайней мере на этом временном (переходном) этапе.

Обращаем внимание, что в соответствии со ст. 54 Конституции РФ, закон, устанавливающий или отягчающий ответственность, обратной силы не имеет. В соответствии с этим обязательные требования, принятые во исполнение Закона, будут распространяться на объекты КИИ, вновь вводимые в эксплуатацию или подвергаемые модернизации после утверждения соответствующих требований. Подобный подход к срокам и порядку реализации вновь вводимых требований неоднократно анонсировала ФСТЭК России в разъяснениях к соответствующим нормативным актам, подчёркивая, что изданные в установленном порядке нормативные правовые акты не имеют обратной силы и применяются к отношениям, возникшим после вступления соответствующих актов в силу.

Приложение 1. Общий перечень подзаконных актов, необходимых для практической реализации положений Закона

а) указы Президента РФ о назначении:

    федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации;

федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.

б) постановления Правительства РФ:

    об утверждении показателей критериев значимости объектов критической информационной инфраструктуры и их значения, а также порядок и сроки осуществления их категорирования;

о порядке осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры;

о порядке подготовки и использования ресурсов единой сети электросвязи Российской Федерации для обеспечения функционирования значимых объектов критической информационной инфраструктуры.

в) нормативные правовые акты Федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации:

    о порядке ведения реестра значимых объектов критической информационной инфраструктуры и ведет данный реестр;

об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий;

о требованиях по обеспечению безопасности значимых объектов критической информационной инфраструктуры, а также требованиях к созданию систем безопасности таких объектов и обеспечению их функционирования;

об утверждении формы акта проверки, составляемого по итогам проведения государственного контроля.

г) нормативные правовые акты Федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации:

    о создании национального координационного центра по компьютерным инцидентам и утверждении положения о нем;

об определении перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, и порядке её представления;

об утверждении порядка информирования федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры;

об утверждении порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры, между субъектами критической информационной инфраструктуры и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, а также порядок получения субъектами критической информационной инфраструктуры информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения;

об установлении требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты;

об утверждении порядка, технических условий установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, за исключением средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры.

д) нормативные правовые акты Федерального органа исполнительной власти, осуществляющего функции по выработке и реализации государственной политики и нормативно-правовому регулированию в области связи (Минкомсвязи):
об утверждении порядка, технических условий установки и эксплуатации средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры.

Чего ждать отрасли ИБ от 187-ФЗ?

Федеральный закон N187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» вступает в силу с 1 января 2018 г. Однако реальное применение его возможно только после разработки и принятия группы подзаконных актов, конкретизирующих практику применения, увязывающих с ним ранее принятые законы. Чего же ждут от этих документов субъекты критических информационных инфраструктур (КИИ) и другие заинтересованные участники российского рынка ИБ?

Следует отметить, что графика подготовки ожидаемых документов в открытом доступе нет, хотя известно, что основная их часть должна быть готова к 01.01.2018, и потому ответы на ожидания участников отрасли появляются неожиданно. Так, в самом конце ноября Президент РФ подписал указ о назначении ФСТЭК России координирующим органом в организации ИБ КИИ страны, ответственным в том числе за сведение воедино всех регуляторных требований в этой области.

Увязывая между собой требования к ИБ КИИ со стороны ФСБ, МО РФ, МЧС, Минэнерго, ЦБ РФ, Минкомсвязи и других регуляторов, важно соблюсти отраслевую специфику каждой регулируемой предметной области, поскольку чрезмерные обобщения регуляторных требований чреваты формальным их выполнением (как это долгие годы происходило с требованиями закона «О персональных данных»).

В ближайшее время регуляторы обещают приемлемую для практического использования методику категоризации объектов КИИ. Готовятся также требования к построению систем ИБ объектов КИИ, к организации процессов обеспечения ИБ КИИ (где важной частью объявлена организация взаимодействия субъектов КИИ с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак — ГосСОПКА). В актуальной повестке дня регуляторов также стандартизация событий ИБ и данных, регистрируемых средствами защиты информации, и обмена этими данными. ФСТЭК России обещает продолжить обсуждение ожидаемых документов с экспертным сообществом.

Эксперты обращают внимание на то, что сведения о мерах защиты КИИ отнесены сегодня к государственной тайне. Отсутствие необходимой конкретизации применения этого режима дополнительно усложняет и без того непростые процессы обеспечения ИБ КИИ.

Так, этот режим сложно организовать на объектах гражданского профиля, к которым относятся многие из структур КИИ. Это электростанции, системы управления транспортом, гидротехнические сооружения, крупные финансовые организации, узлы связи. К тому же до 90% из них находится в частной собственности. Использование на них импортного оборудования и программного обеспечения, услуг иностранных специалистов, и без того отягченное политикой импортозамещения, станет из-за режима гостайны еще более сложным. А без них сегодня не обойтись. Высказывается экспертное мнение о том, что для большинства объектов КИИ логичнее ограничиться менее строгим режимом конфиденциальности.

Нехватка ИБ-специалистов в России, по данным Минтруда, составляет сегодня примерно 60 тыс. человек, а с учетом специализации на обеспечении ИБ КИИ дефицит ощущается еще острее. В стране, по оценкам некоторых экспертов, всего два учебных центра готовят специалистов по данному профилю. Актуальность вопроса понятна регуляторам, однако пока он остается нерешенным, и приходится констатировать, что первые назначенцы ответственными за ИБ на объектах КИИ будут учиться на собственных ошибках.

Для многих объектов КИИ критически важными являются последствия ИБ-инцидентов, отражающиеся на безопасности людей и окружающей среды. Участники рынка ожидают внесения разумной конкретности в ответственность (прежде всего уголовную), которая позволила бы не допускать перегибов при назначении наказаний за ИБ-инциденты на объектах КИИ. Персоналу объектов КИИ нужны от регуляторов четкие регламенты, определяющие порядок действий при кибератаках.

Как заявляют представители регуляторов, с их стороны есть понимание задачи не допустить зарегулирования направления обеспечения ИБ КИИ. По их словам, у них нет заинтересованности выставлять нереализуемые требования к процессам организации ИБ КИИ. В качестве хорошего примера для остальных отраслей называются действия ЦБ РФ в области регулирования ИБ в финансовой отрасли.

Предполагается, что первопроходцами в организации процесса обеспечения ИБ КИИ выступят объекты КИИ, относящиеся к госсобственности: процесс там проще организовать и контролировать, в том числе и потому, что обеспечение ИБ на них будет производиться за счет госбюджетных средств.

Закон о безопасности КИИ: вопросы и ответы

1 января, с наступлением нового 2018 года, в России вступил в действие закон «О безопасности критической информационной инфраструктуры». Начиная с 2013 года, еще на этапе проекта, этот закон бурно обсуждался ИБ-сообществом и вызывал много вопросов относительно практической реализации выдвигаемых им требований. Теперь, когда эти требования вступили в силу и многие компании столкнулись с необходимостью их выполнения, необходимо ответить на самые животрепещущие вопросы.

Для чего нужен этот закон?

Новый Закон предназначен для регулирования деятельности по обеспечению безопасности объектов информационной инфраструктуры РФ, функционирование которых критически важно для экономики государства. Такие объекты в законе называются объектами критической информационной инфраструктуры (КИИ). Согласно документу, к объектам КИИ могут быть отнесены информационные системы и сети, а также автоматизированные системы управления, функционирующие в сфере:

  • здравоохранения;
  • науки;
  • транспорта;
  • связи;
  • энергетики;
  • банковской и иных сферах финансового рынка;
  • топливно-энергетического комплекса;
  • атомной энергии;
  • оборонной и ракетно-космической промышленности;
  • горнодобывающей, металлургической и химической промышленности.

Объекты КИИ, а также сети электросвязи, используемые для организации взаимодействия между ними, составляют понятие критической информационной инфраструктуры .

Что является целью закона № 187-ФЗ и как он должен работать?

Главной целью обеспечения безопасности КИИ является устойчивое функционирование КИИ, в том числе при проведении в отношении нее компьютерных атак. Главным принципом обеспечения безопасности является предотвращение компьютерных атак.

До появления нового закона о КИИ в сфере ИБ существовало похожее понятие «ключевые системы информационной инфраструктуры» (КСИИ). Однако с 1 января 2018 года понятие КСИИ было официально заменено на понятие «значимые объекты КИИ».

Какие организации попадают в сферу действия этого закона?

Требования закона о безопасности КИИ затрагивают те организации (государственные органы и учреждения, юридические лица и индивидуальных предпринимателей), которым принадлежат (на праве собственности, аренды или ином законном основании) объекты КИИ или которые обеспечивают их взаимодействие. Такие организации в законе называются субъектами КИИ .

Какие действия должны предпринять субъекты КИИ для выполнения закона?

Согласно документу, субъекты КИИ должны:

  • провести категорирование объектов КИИ;
  • обеспечить интеграцию (встраивание) в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА);
  • принять организационные и технические меры по обеспечению безопасности объектов КИИ.

Что в себя включает категорирование объектов КИИ?

Категорирование объекта КИИ предполагает определение его категории значимости на основе ряда критериев и показателей. Всего устанавливается три категории: первая, вторая или третья. Если объект КИИ не соответствует ни одному из установленных критериев, ему не присваивается ни одна из категорий. Те объекты КИИ, которым была присвоена одна из категорий, называются в законе значимыми объектами КИИ.

По завершению категорирования сведения о его результатах должны направляться субъектом КИИ во ФСТЭК для ведения реестра значимых объектов КИИ. В реестр включается следующая информация:

  • наименование значимого объекта КИИ;
  • наименование субъекта КИИ;
  • сведения о взаимодействии значимого объекта КИИ и сетей электросвязи;
  • сведения о лице, эксплуатирующем значимый объект КИИ;
  • присвоенная категория значимости;
  • сведения о программных и программно-аппаратных средствах, используемых на значимом объекте КИИ;
  • меры, применяемые для обеспечения безопасности значимого объекта КИИ.

Важно отметить, что если в процессе категорирования было определено отсутствие категории значимости у объекта КИИ, результаты категорирования все равно должны быть представлены во ФСТЭК. Регулятор проверяет представленные материалы и при необходимости направляет замечания, которые должен учесть субъект КИИ. Если субъект КИИ не предоставит данные о категорировании, ФСТЭК вправе потребовать эту информацию.

Порядок ведения реестра значимых объектов КИИ будет определен соответствующим приказом, проект которого уже опубликован.

Как проводить категорирование объектов КИИ?

Показатели критериев значимости, порядок и сроки категорирования будут определяться соответствующим постановлением правительства, проект которого также уже подготовлен. В соответствии с текущей версией документа, процедура категорирования включает в себя:

  • определение всех процессов, выполняемых субъектом КИИ в рамках своей деятельности;
  • выявление критических процессов, нарушение или прекращение которых может привести к негативным последствиям в масштабах страны;
  • определение перечня объектов КИИ, подлежащих категорированию, — данный этап должен быть выполнен в течение 6 месяцев со дня вступления постановления правительства в силу;
  • оценку показателей критериев значимости в соответствии с установленными значениями — всего проектом постановления правительства предусматривается 14 показателей, определяющих социальную, политическую, экономическую значимость объекта КИИ и его значимость для обеспечения обороны страны, безопасности государства и правопорядка;
  • установление соответствия объектов КИИ значениям показателей и присвоение каждому из них одной из категорий значимости либо принятие решения об отсутствии необходимости присвоения им одной из категорий значимости.

Категорирование должно проводиться как для существующих, так и для создаваемых или модернизируемых объектов КИИ специальной комиссией из работников субъекта КИИ. Решение комиссии оформляется соответствующим актом и в течение 10 дней после его утверждения сведения о результатах категорирования должны быть направлены во ФСТЭК. Максимальный срок категорирования объектов КИИ — 1 год со дня утверждения субъектом КИИ перечня объектов КИИ.

Этот порядок является предварительным и должен быть уточнен после утверждения соответствующего постановления правительства.

Что такое ГосСОПКА и для чего она нужна?

ГосСОПКА представляет собой единый территориально распределенный комплекс, включающий силы и программно-технические средства обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее — силы и средства ОПЛ КА).

К силам ОПЛ КА относятся:

  • уполномоченные подразделения ФСБ;
  • национальный координационный центр по компьютерным инцидентам, который создается ФСБ для координации деятельности субъектов КИИ по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных инцидентов;
  • подразделения и должностные лица субъектов КИИ, которые принимают участие в обнаружении и предупреждении компьютерных инцидентов.

ГосСОПКА предназначена для обеспечения и контроля безопасности КИИ в России и дипломатических представительствах страны за рубежом.

В данной системе должна собираться и агрегироваться вся информация о компьютерных атаках и инцидентах, получаемая от субъектов КИИ. Перечень информации и порядок ее предоставления в ГосСОПКА будет определен соответствующим приказом, проект которого был представлен на общественное обсуждение. Согласно текущей версии документа, срок предоставления информации о кибератаке составляет 24 часа с момента обнаружения. Кроме того, в рамках ГосСОПКА организуется обмен информацией о компьютерных атаках между всеми субъектами КИИ и международными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты.

Технически ГосСОПКА будет представлять собой распределенную систему из центров ГосСОПКА, развернутых субъектами КИИ, объединенных в иерархическую структуру по ведомственно-территориальному признаку и подключенных к ним технических средств (средств ОПЛ КА), установленных в конкретных объектах КИИ. При этом центры ГосСОПКА могут быть ведомственными, то есть организованными государственными органами, и корпоративными — построенными государственными и частными корпорациями, операторами связи и другими организациями-лицензиатами в области защиты информации.

Кто является собственником ГосСОПКА?

Для ГосСОПКА не предусматривается единый собственник: каждый из центров ГосСОПКА будет принадлежать отдельному владельцу, вложившему свои средства в его построение. Государство будет выступать только в качестве регулятора и координатора.

Что подразумевается под интеграцией с ГосСОПКА?

Интеграция в ГосСОПКА требует от субъекта КИИ:

  • информировать о компьютерных инцидентах ФСБ, а также ЦБ, если организация осуществляет деятельность в банковской сфере и иных сферах финансового рынка;
  • оказывать содействие ФСБ в обнаружении, предупреждении и ликвидации последствий компьютерных атак, установлении причин и условий возникновения компьютерных инцидентов.

Кроме того, по решению субъекта КИИ на территории объекта КИИ может быть размещено оборудование ГосСОПКА. В этом случае субъект дополнительно обеспечивает его сохранность и бесперебойную работу. Иными словами, субъектом КИИ может быть организован собственный центр ГосСОПКА.

Может ли субъект КИИ не создавать собственный центр ГосСОПКА?

Решение о создании собственного центра ГосСОПКА субъект КИИ принимает самостоятельно, то есть создание центра ГосСОПКА не является обязательным — более того, данный шаг должен быть согласован с ФСБ.

Однако для значимых объектов КИИ субъектам КИИ придется реализовать меры по обнаружению и реагированию на компьютерные инциденты. А для этого в любом случае потребуются специальные технические средства и квалифицированный персонал, которые, по сути, и являются составляющими собственного центра ГосСОПКА.

Что требуется для построения собственного центра ГосСОПКА?

Согласно «Методическим рекомендациям по созданию ведомственных и корпоративных центров ГосСОПКА», для построения собственного центра ГосСОПКА необходимо обеспечить функционирование совокупности технических средств и процессов, выполняющих следующий ряд задач:

  • инвентаризация информационных ресурсов;
  • выявление уязвимостей информационных ресурсов;
  • анализ угроз информационной безопасности;
  • повышение квалификации персонала информационных ресурсов;
  • прием сообщений о возможных инцидентах от персонала и пользователей информационных ресурсов;
  • обеспечение процесса обнаружения компьютерных атак;
  • анализ данных о событиях безопасности;
  • регистрация инцидентов;
  • реагирование на инциденты и ликвидация их последствий;
  • установление причин инцидентов;
  • анализ результатов устранения последствий инцидентов.

Для этого в составе технических средств ОПЛ КА могут использоваться:

  • средства обнаружения и предотвращения вторжений, в том числе обнаружения целевых атак;
  • специализированные решения по защите информации для индустриальных сетей и финансового сектора;
  • средства выявления и устранения DDoS-атак;
  • средства сбора, анализа и корреляции событий;
  • средства анализа защищенности;
  • средства антивирусной защиты;
  • средства межсетевого экранирования;
  • средства криптографической защиты информации для защищенного обмена информацией с другими центрами ГосСОПКА.

Технические средства должны быть интегрированы в единый комплекс, управляемый из центра ГосСОПКА и взаимодействующий с другими центрами ГосСОПКА. Помимо технического обеспечения, для создания центра ГосСОПКА необходимо разработать соответствующие методические документы, включающие настройки средств обеспечения ИБ, решающие правила средств обнаружения компьютерных атак, правила корреляции событий, инструкции для персонала и т. п.

Центр ГосСОПКА может быть реализован субъектом КИИ как самостоятельно (с использованием собственных технических и кадровых ресурсов), так и с привлечением сторонних специалистов путем передачи на аутсорсинг части функций, например, анализа угроз информационной безопасности, повышения квалификации персонала, приема сообщений об инцидентах, анализа защищенности и расследования инцидентов.

Что требуется для обеспечения безопасности объектов КИИ?

Для объектов КИИ, не являющихся значимыми, в обязательном порядке должна быть обеспечена только интеграция с ГосСОПКА (канал обмена информацией). Остальные мероприятия по обеспечению безопасности объекта КИИ реализуются по усмотрению субъекта.

Для значимых объектов КИИ помимо интеграции в ГосСОПКА субъекты КИИ должны:

  • создать систему безопасности значимого объекта КИИ — требования ФСТЭК к созданию систем безопасности и мерам защиты значимых объектов КИИ уже подготовлены и находятся на стадии обсуждения и согласования;
  • реагировать на компьютерные инциденты — порядок реагирования на компьютерные инциденты должен быть подготовлен ФСБ до конца апреля текущего года;
  • предоставлять на объект КИИ беспрепятственный доступ регуляторам и выполнять их предписания по результатам проверок (законом предусматриваются как плановые, так и внеплановые проверки).

Система безопасности значимого объекта КИИ представляет собой комплекс организационных и технических мер. Порядок создания системы и требования к принимаемым мерам безопасности будут определяться ФСТЭК. Согласно подготовленному проекту приказа этого ведомства, состав мер по обеспечению безопасности значимого объекта КИИ будет определяться по результатам его категорирования с возможностью адаптации и дополнения набора мер защиты с учетом специфики объекта КИИ.

Кто контролирует выполнение требований закона о безопасности КИИ?

Основные функции контроля в области обеспечения безопасности объектов КИИ, включая нормативно-правовое регулирование, возложены на ФСТЭК и ФСБ. ФСТЭК отвечает за ведение реестра значимых объектов КИИ, формирование и контроль реализации требований по обеспечению их безопасности. ФСБ обеспечивает регулирование и координацию деятельности субъектов КИИ по развертыванию сил и средств ОПЛ КА, осуществляет сбор информации о компьютерных инцидентах и оценку безопасности КИИ, а также разрабатывает требования к средствам ОПЛ КА.

В отдельных случаях, касающихся сетей электросвязи и субъектов КИИ в банковской и иных сферах финансового рынка, разрабатываемые ФСТЭК и ФСБ требования должны согласовываться с Минкомсвязью ЦБ соответственно.

Порядок госконтроля в области обеспечения безопасности значимых объектов КИИ будет определен соответствующим постановлением правительства, проект которого уже подготовлен.

А если требования этого закона не будут выполнены?

Вместе с утверждением федерального закона от 26.07.2017 № 187-ФЗ «О безопасности КИИ» в российский Уголовный Кодекс была добавлена ст. 274.1, устанавливающая уголовную ответственность должностных лиц субъекта КИИ за несоблюдение принятых правил эксплуатации технических средств объекта КИИ или нарушение порядка доступа к ним вплоть до лишения свободы сроком на 6 лет.

Пока данная статья не предусматривает ответственности за невыполнение необходимых мероприятий по обеспечению безопасности объекта КИИ, однако в случае наступления последствий (аварий и чрезвычайных ситуаций, повлекших за собой крупный ущерб) непринятие таких мер подпадает под ст. 293 УК РФ «Халатность». Дополнительно следует ожидать изменений в административном законодательстве в области определения штрафных санкций для юридических лиц за неисполнение закона о безопасности КИИ. С большой долей уверенности можно говорить о том, что именно введение существенных денежных штрафов будет стимулировать субъекты КИИ к выполнению требований обсуждаемого закона. [ics-cert.kaspersky.ru]

Редакция благодарит «Лабораторию Касперского» за разрешение на перепечатку статьи.

Подзаконные акты к 187-ФЗ о безопасности КИИ [UPD. 10.01.2018]

Федеральный закон о безопасности критической информационной инфраструктуры 187-ФЗ после принятия этим летом породил массу вопросов практической направленности, ответы на которые должны будут быть даны в соответствующих подзаконных нормативных правовых актах (НПА).

График подготовки этих нормативных правовых актов был утверждён Зам.Председателя Правительства РФ 28 августа 2017 г. (План-график подготовки нормативных правовых актов Президента Российской Федерации, Правительства Российской Федерации и федеральных органов исполнительной власти, необходимых для реализации норм Федерального закона от 26 июля 2017 г. N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и Федерального закона от 26 июля 2017 г. N 193-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации», утверждён Заместителем Председателя Правительства Российской Федерации от 28 августа 2017 г. N 5985п-П10).

Сам План-график в открытом доступе не публиковался, но ещё на этапе внесения законопроекта о безопасности КИИ в Госдуму в составе общего пакета документов шёл Перечень нормативных правовых актов Президента Российской Федерации, Правительства Российской Федерации и федеральных органов исполнительной власти, подлежащих признанию утратившими силу, приостановлению, изменению или принятию в связи с проектом федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации».

Опираясь на данный перечень, можно получить представление о том, какие дополнительные НПА и в какие сроки должны быть приняты.

Для удобства свёл их все в таблицу и, так как проекты некоторых документов уже опубликованы (готовятся к публикации), привёл соответствующие ссылки.

Читайте так же:  Займ получен в рублях а возврат в долларах