Кто осуществляет присвоение категории конфиденциальности

Обновлено: 04.07.2024

Новый Закон предназначен для регулирования отношений в области обеспечения безопасности объектов информационной инфраструктуры РФ, функционирование которых критически важно для экономики государства. Такие объекты в законе называются объектами критической информационной инфраструктуры (далее – объекты КИИ). Согласно Закону, к объектам КИИ могут быть отнесены информационные системы и сети, а также автоматизированные системы управления, функционирующие в сфере: • здравоохранения; • науки; • транспорта; • связи; • энергетики; • банковской и иных сферах финансового рынка; • топливно-энергетического комплекса; • атомной энергии; • оборонной и ракетно-космической промышленности; • горнодобывающей, металлургической и химической промышленности. Объекты КИИ, а также сети электросвязи, используемые для организации взаимодействия между ними, составляют понятие критической информационной инфраструктуры.

Главной целью обеспечения безопасности КИИ является устойчивое функционирование КИИ при проведении в отношении нее компьютерных атак.

Требования Закона затрагивают те организации (государственные органы и учреждения, юридические лица и индивидуальных предпринимателей), которым принадлежат (на праве собственности, аренды или ином законном основании) объекты КИИ или которые обеспечивают их взаимодействие. Такие организации в Законе называются субъектами КИИ.

Согласно закону, субъекты КИИ должны:

· провести категорирование объектов КИИ, принять организационные и технические меры по обеспечению безопасности объектов КИИ.

· обеспечить взаимодействие с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА);

Категорированию подлежат объекты КИИ, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов КИИ.

Категорирование объекта КИИ предполагает определение его категории значимости на основе ряда критериев и показателей. Всего устанавливается три категории – первая, вторая или третья (в порядке убывания значимости). Если объект КИИ не соответствует ни одному из установленных критериев, ему категория не присваивается. Те объекты КИИ, которым была присвоена одна из категорий, называются в законе значимыми объектами КИИ.

Результаты категорирования объектов КИИ должны направляться субъектом КИИ во ФСТЭК России для ведения реестра значимых объектов КИИ. В реестр включается следующая информация:

· наименование значимого объекта КИИ;

· наименование субъекта КИИ;

· сведения о взаимодействии значимого объекта КИИ и сетей электросвязи;

· сведения о лице, эксплуатирующем значимый объект КИИ;

· присвоенная категория значимости;

· сведения о программных и программно-аппаратных средствах, используемых на значимом объекте КИИ;

· меры, применяемые для обеспечения безопасности значимого объекта КИИ.

Важно отметить, что если в процессе категорирования было определено отсутствие категории значимости у объекта КИИ, результаты категорирования все равно должны быть представлены во ФСТЭК России. Регулятор проверяет представленные материалы и при необходимости направляет замечания, которые должен учесть субъект КИИ.

Если субъект КИИ не предоставит данные о категорировании, ФСТЭК России вправе потребовать эту информацию.

Согласно Правилам, процедура категорирования включает в себя:

1. Определение субъектом КИИ перечня всех процессов, выполняемых в рамках своей деятельности.

2. Выявление критических процессов, то есть тех процессов, нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка.

3. Определение объектов КИИ, которые обрабатывают информацию, необходимую для обеспечения критических процессов, управления и контроля ими.

4. Формирование перечня объектов КИИ, подлежащих категорированию. Перечень объектов для категорирования подлежит согласованию с ведомством-регулятором, утверждается субъектом КИИ и в течение 5 рабочих дней после утверждения направляется во ФСТЭК России.

5. Оценку масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах КИИ в соответствии с показателями, указанных в Правилах. Всего предусматривается 14 показателей, определяющих социальную, политическую, экономическую значимость объекта КИИ, а также его значимость для обеспечения правопорядка, обороны и безопасности страны.

6. Присвоение каждому из объектов КИИ одной из категорий значимости в соответствии с наивысшим значением показателей, либо принятие решения об отсутствии необходимости присвоения категории.

Категорирование должно проводиться как для существующих, так и для создаваемых или модернизируемых объектов КИИ специальной комиссией под председательством руководителя субъекта КИИ (или уполномоченного им лица), его работников и, при необходимости, приглашённых специалистов ведомств-регуляторов в соответствующей сфере. Решение комиссии оформляется соответствующим актом и в течение 10 дней после его утверждения направляется во ФСТЭК России. Предоставленные материалы в тридцатидневный срок со дня получения проверяются регулятором на соответствие порядку осуществления категорирования и оценивается правильность присвоения категории.

Категория значимого объекта КИИ может быть изменена по мотивированному решению ФСТЭК России в рамках государственного контроля безопасности значимых объектов КИИ, в случае изменения самого объекта КИИ, а также в связи с реорганизацией субъекта КИИ (в том числе ликвидацией, изменением его организационно-правовой формы и т.д.).

ГосСОПКА представляет собой единый территориально распределенный комплекс, включающий силы и программно-технические средства обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее – силы и средства ОПЛ КА).

К силам ОПЛ КА относятся:

· уполномоченные подразделения ФСБ России, в том числе Национальный координационный центр по компьютерным инцидентам, который создается ФСБ России для координации деятельности субъектов КИИ по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных инцидентов (НКЦКИ);

· подразделения и должностные лица субъектов КИИ, которые принимают участие в обнаружении, предупреждении и ликвидации последствий компьютерных атак и в реагировании на компьютерные инциденты.

ГосСОПКА предназначена для обеспечения и контроля безопасности КИИ в Российской Федерации и в дипломатических представительствах страны за рубежом.

В данной системе должна собираться и агрегироваться вся информация о компьютерных атаках и инцидентах, получаемая от субъектов КИИ. Перечень информации и порядок ее предоставления в ГосСОПКА будет определен соответствующим приказом, проект которого был представлен на общественное обсуждение. Согласно текущей версии документа, срок предоставления информации о кибератаке составляет 24 часа с момента обнаружения.

Кроме того, в рамках ГосСОПКА организуется обмен информацией о компьютерных атаках между всеми субъектами КИИ, а также международными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты.

Технически ГосСОПКА будет представлять собой распределённую систему из центров ГосСОПКА, развёрнутых субъектами КИИ, объединённых в иерархическую структуру по ведомственно-территориальному признаку, и подключённых к ним технических средств (средств ОПЛ КА), установленных в конкретных объектах КИИ. При этом центры ГосСОПКА могут быть ведомственными, то есть организованными государственными органами, а также корпоративными – построенными государственными и частными корпорациями, операторами связи и другими организациями-лицензиатами в области защиты информации.

Для ГосСОПКА не предусматривается единый собственник: каждый из центров ГосСОПКА будет принадлежать отдельному владельцу, вложившему свои средства в его построение. Государство же будет выступать только в качестве регулятора и координатора.

Интеграция в ГосСОПКА требует от субъекта КИИ:

· информировать о компьютерных инцидентах ФСБ России, а также Центральный Банк Российской Федерации, если организация осуществляет деятельность в банковской сфере и иных сферах финансового рынка;

· оказывать содействие ФСБ России в обнаружении, предупреждении и ликвидации последствий компьютерных атак, установлении причин и условий возникновения компьютерных инцидентов.

Кроме того, по решению субъекта КИИ на территории объекта КИИ может быть размещено оборудование ГосСОПКА. В этом случае субъект дополнительно обеспечивает его сохранность и бесперебойную работу. Иными словами, субъектом КИИ может быть организован собственный центр ГосСОПКА.

Решение о создании собственного центра ГосСОПКА субъект КИИ принимает самостоятельно. То есть создание центра ГосСОПКА не является обязательным, и, более того, данный шаг должен быть согласован с ФСБ России.

Однако для значимых объектов КИИ субъектам КИИ придется реализовать меры по обнаружению и реагированию на компьютерные инциденты. А для этого в любом случае потребуются специальные технические средства и квалифицированный персонал, которые, по сути, и являются составляющими собственного центра ГосСОПКА.

Центр ГосСОПКА должен обеспечивать выполнение следующих функций:

· инвентаризацию информационных ресурсов;

· выявление уязвимостей информационных ресурсов;

· анализ угроз информационной безопасности;

· повышение квалификации персонала информационных ресурсов;

· обеспечение процесса обнаружения компьютерных атак;

· анализ данных о событиях безопасности;

· реагирование на инциденты и ликвидация их последствий;

· установление причин инцидентов;

· анализ результатов устранения последствий инцидентов.

Для этого в составе технических средств ОПЛ КА могут использоваться:

· средства обнаружения и предотвращения компьютерных атак;

· специализированные решения по защите информации для индустриальных сетей, финансового сектора, сетей связи;

· средства противодействия DDoS-атакам;

· средства сбора, анализа и корреляции событий;

· средства анализа защищенности;

· средства антивирусной защиты;

· средства межсетевого экранирования;

· средства криптографической защиты информации для защищенного обмена информацией с НКЦКИ и другими центрами ГосСОПКА.

Технические средства должны быть интегрированы в единый комплекс, управляемый из центра ГосСОПКА и взаимодействующий с НКЦКИ и другими центрами ГосСОПКА.

Помимо технического обеспечения для создания центра ГосСОПКА необходимо разработать соответствующие методические документы, включающие настройки средств обеспечения ИБ, решающие правила средств обнаружения компьютерных атак, правила корреляции событий, инструкции для персонала и т.п.

Для объектов КИИ, не являющихся значимыми, в обязательном порядке должна быть обеспечена только взаимодействие с НКЦКИ и интеграция с ГосСОПКА (канал обмена информацией). Остальные мероприятия по обеспечению безопасности объекта КИИ реализуются на усмотрение соответствующего субъекта КИИ.

Для значимых объектов КИИ, помимо интеграции в ГосСОПКА субъекты КИИ должны:

· создать систему безопасности значимого объекта КИИ;

· реагировать на компьютерные инциденты;

· предоставлять на объект КИИ беспрепятственный доступ регуляторам и выполнять их предписания по результатам проверок. Законом предусматриваются как плановые, так и внеплановые проверки.

Система безопасности значимого объекта КИИ представляет собой комплекс организационных и технических мер.

ФСТЭК России отвечает за ведение реестра значимых объектов КИИ, формирование и контроль реализации требований по обеспечению их безопасности.

ФСБ России обеспечивает регулирование и координацию деятельности субъектов КИИ по развёртыванию сил и средств ОПЛ КА, осуществляет сбор информации о компьютерных инцидентах и оценку безопасности КИИ, а также разрабатывает требования к средствам ОПЛ КА.

В отдельных случаях, касающихся сетей электросвязи и субъектов КИИ в банковской и иных сферах финансового рынка, разрабатываемые ФСТЭК России и ФСБ России требования должны согласовываться с Минкомсвязью России и Центральным Банком Российской Федерации соответственно.

Также ФСТЭК России планирует внесение изменений в КоАП о нарушениях, связанных с неисполнением положений Закона.

Реализация требований 187-ФЗ предполагает реализацию не только технических мер защиты, но и большую работу по определению объектов КИИ и их категорированию, разработке и согласованию с регуляторами регламентов и плана взаимодействия и реагирования на инциденты, формированию кадрового состава и распределения ролей сил обеспечения безопасности значимых объектов КИИ, проектированию и внедрению системы безопасности значимых объектов КИИ. В этой части мы рекомендуем воспользоваться услугами компаний, специализирующихся на консалтинговой деятельности по данным вопросам.

В части реализации требования по обмену данными с НКЦКИ рекомендуем рассмотреть решение Kaspersky Unified Monitoring and Analysis Platform, имеющее функциональную возможность подключения к технической инфраструктуре НКЦКИ.

В случае создания собственного центра ГосСОПКА рекомендуем к использованию такие решения, как Kaspersky Unified Monitoring and Analysis Platform, Kaspersky Anti Targeted Attack, Kaspersky MDR, Kaspersky Security Center, KICS for Networks, Kaspersky Threat Intelligence (в том числе потоки данных об угрозах). При этом в каждом конкретном случае требуется согласование с ФСБ РФ конкретных средств ГосСОПКА, планируемых к использованию.

Приведенные в приказе требования помогают реализовывать такие решения, как Kaspersky Unified Monitoring and Analysis Platform, Kaspersky Anti Targeted Attack, Kaspersky MDR, Kaspersky Security Center, KICS for Networks, Kaspersky Threat Intelligence (в том числе потоки данных об угрозах). При этом в каждом конкретном случае требуется согласование с ФСБ РФ конкретных средств ГосСОПКА, планируемых к использованию.

Таким образом, категорирование - это некая процедура, в ходе которой объект КИИ оценивается по некоторой совокупности показателей и исходя из значений этих показателей ему присваивается категория значимости, либо принимается мотивированное решение о ее отсутствии. На основании установленной категории значимости (при ее наличии) определяется базовый набор мер по обеспечению безопасности.

Процедура категорирования определяется Правилами категорирования объектов критической информационной инфраструктуры Российской Федерации (утв. Постановлением Правительства РФ от 8 февраля 2018 г. № 127), далее по тексту – Правила категорирования.

Автор обращает внимание на важность данного момента, т.к. в практике ему нередко приходилось сталкиваться с таким мнением, что информационные системы, автоматизированные системы или информационно-телекоммуникационные сети, которые не обрабатывают информацию, необходимую для обеспечения критических процессов и не осуществляют управление, контроль или мониторинг критических процессов, якобы, не являются объектами КИИ. Данная точка зрения представляется неверной. Перечисленные системы являются объектами КИИ, однако они не подлежат включению в перечень объектов КИИ, подлежащих категорированию и, соответственно, самому категорированию.

Проведение категорирования

Схематично процедуру категорирования можно представить в следующем виде:

Рисунок 1 – Процедура категорирования

Рассмотрим процедуру категорирования более подробно:

Этап 1. Формирование комиссии по категорированию.

Одним из проблемных вопросов на сегодняшний день является формирование комиссии по категорированию. Несмотря на то, что состав комиссии прописан в п. 11 Правил категорирования, на практике возникают следующие, требующие решения, вопросы:

Кто должен возглавлять комиссию по категорированию?

Пунктом 13 Правил категорирования установлено, что комиссию по категорированию возглавляет руководитель субъекта КИИ или уполномоченное им лицо. При этом, относительно того, кто должен быть уполномоченным лицом, единой позиции нет. Исходя из практического опыта автора, можно сказать, что данным лицом является, как правило, работник, отвечающий за безопасность организации (руководитель службы безопасности, руководитель службы информационной безопасности, заместитель директора по безопасности и т.п.), либо главный инженер промышленного предприятия. По мнению автора, уполномоченным лицом должен быть работник из числа топ менеджмента, в чьи функциональные обязанности входит курирование вопросов обеспечения безопасности.

Какие дополнительные специалисты должны входить в комиссию помимо перечисленных в п. 11 Правил категорирования?

Указанное дополнение позволяет включать в комиссии всех имеющихся у субъекта КИИ специалистов, знания и навыки которых необходимы для корректного расчета и оценки показателей критериев значимости. Прежде всего это касается специалистов финансово-экономического подразделения, необходимых для расчета показателей экономической значимости (раздел 3) и представления их для рассмотрения членами комиссии по категорированию, а также специалистов юридических подразделений для проверки корректности соблюдения процедуры и оформления документов.

Можно ли создавать разные комиссии в филиалах территориально распределенной организации ?

Этап 2. Подготовка перечня объектов КИИ подлежащих категорированию.

В соответствии с п. 14 Правил категорирования для формирования перечня объектов КИИ подлежащих категорированию комиссии по категорированию необходимо:

а) определить процессы, в рамках выполнения функций (полномочий) или осуществления видов деятельности субъекта КИИ.

б) выявить те из них, которые являются критическими, т.е. их нарушение и (или) прекращение может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка.

в) выявить объекты КИИ, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов, для включения в перечень объектов;

То есть, в перечень объектов КИИ, подлежащих категорированию, включаются только те объекты, которые обрабатывают информацию, необходимую для обеспечения критических процессов и (или) осуществляют их управление, контроль или мониторинг, а, следовательно, они и подлежат категорированию.

В рамках же самой процедуры категорирования осуществляется выявление критических процессов, а затем из перечня объектов КИИ вычленяются объекты КИИ, подлежащие категорированию.

Как определить, относится процесс к критическим или нет? Поскольку категорированию подлежат только объекты КИИ, которые автоматизируют критические процессы, на практике перед субъектом КИИ встает вопрос о том, как определить, что тот или иной процесс является критическим.

Действующее законодательство в области КИИ не содержит методики выявления критических процессов, а значит, вопрос отнесения того или иного процесса к критическому остается исключительно на усмотрение субъекта КИИ.

В связи с этим возникают разные подходы к выявлению критических процессов:

По мнению автора, определение критичности процесса должно базироваться на общей логике закона. Речь идет о том, что к критическим нужно относить те процессы, нарушение нормального функционирования которых может привести к последствиям, указанным в Перечне показателей критериев значимости объектов КИИ (утв. постановлением Правительства РФ от 08.02.2018 № 127), и, соответственно, выделять конкретные объекты КИИ, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов.

Этап 3. Оценка объектов КИИ в соответствии с показателями критериев значимости и присвоение каждому из объектов КИИ категории, либо принятие решения об отсутствии необходимости ее присвоения.

На данном этапе комиссия оценивает объекты КИИ по всем показателям критериев значимости утвержденным постановлением Правительства РФ от 08.02.2018 № 127 и, в зависимости от полученных в ходе оценки значений, принимает решение о присвоении объекту КИИ одной из категории значимости, либо об ее отсутствии. Здесь следует отметить следующие важные, с практической точки зрения, моменты:

2. Оценка каждого конкретного объекта КИИ по показателям критериев значимости осуществляется членами комиссии по категорированию, как правило (во всяком случае автор пока не встречал иного), экспертным методом. Каких-либо утвержденных методик проведения расчетов по данным показателям, в настоящее время, нет.

3. Как осуществлять присвоение категории значимости объекту КИИ: с учетом мер защиты или без?

В настоящее время рядом экспертов высказывается мнение о том, что при присвоении объекту КИИ категории значимости, необходимо учитывать принятые на объекте меры защиты.

При этом, на практике, нередки ситуации, когда меры защиты изначально встроены в объект КИИ при его создании, реализуются с момента ввода его в эксплуатацию и не отделимы от объекта КИИ (архитектурные компоненты).

Иными словами, реализация мер обеспечения информационной безопасности не оказывает влияние на присвоение объекту КИИ категории значимости. При определении категории значимости в расчет берутся последствия от уже реализованной гипотетической компьютерной атаки и сравниваются с перечнем показателей критериев значимости – какому показателю соответствует, такая категория и присваивается. Логика этого вполне очевидна и понятна, в расчет категории значимости берутся те последствия, к которым приведет успешная реализация в отношении объекта КИИ компьютерной атаки. В свою очередь, меры защиты лишь позволяют избежать указанной атаки или существенно затруднить ее реализацию и не могут влиять на причиненный в результате нее ущерб.

Этап 4. Подготовка итоговых документов по результатам категорирования.

По итогам своей работы, комиссия по категорированию подготавливает два документа:

1. Акт о категорировании. Перечень информации о субъекте и объектах КИИ, которая должна быть включена в акт определяется п. 16 Правил категорирования.

Акт подписывается членами комиссии по категорированию и утверждается руководителем субъекта КИИ и только им, а не председателем комиссии, в случае если комиссию возглавляет не руководитель субъекта КИИ, а уполномоченное им лицо.

Субъект критической информационной инфраструктуры обеспечивает хранение акта до вывода из эксплуатации объекта критической информационной инфраструктуры или до изменения категории значимости. Направление акта во ФСТЭК России не требуется.

2. Сведения о результатах присвоения объекту КИИ одной из категорий значимости, либо об отсутствии необходимости присвоения ему одной из таких категорий. Данные сведения в течение 10 дней со дня утверждения акта направляются во ФСТЭК России. Форма сведений утверждена приказом ФСТЭК России от 22.12.2017 № 236.

Таким образом, важно понимать, что акт и сведения это два абсолютно разных документа, содержание которых и действия, осуществляемые с ними, также различны.

Сроки категорирования

Согласно п. 15 Правил максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом КИИ перечня объектов.

Относительно субъектов КИИ – российских юридических лиц и (или) индивидуальных предпринимателей срок утверждения перечня объектов КИИ, подлежащих категорированию (до 1 сентября 2020 года) носит рекомендательный характер.

Таким образом, по мнению автора, поскольку срок законодательно не установлен (не обязателен), субъект КИИ из числа российских юридических лиц и (или) индивидуальных предпринимателей, вправе сам выбирать приемлемый для него срок подготовки и отправки перечня. С учетом того, что формирование перечня объектов КИИ является одним из этапов процесса категорирования (п. 5 Правил) можно говорить о том, что, по сути, реальный срок категорирования в большинстве случаев будет превышать один год, а в ряде случаев будет составлять и несколько лет.

При этом, следует иметь в виду, что в ходе процедуры категорирования может измениться реестр объектов КИИ подлежащих категорированию, например, появятся новые объекты КИИ, либо часть будет выведена из эксплуатации и т.п. Результатом чего может стать несовпадение сведений, содержащихся в итоговых актах категорирования и направленном ранее во ФСТЭК России перечне объектов КИИ, что, по мнению автора, непременно повлечет вопросы регулятора.

__________________
В данной публикации использовались материалы, опубликованные автором ранее в Журнале Information Security №2/2019

Аттестация объектов информатизации: методики проведения, нюансы и лайфхаки

Постоянное совершенствование методов несанкционированного доступа к информации, а также значительный ущерб от такого рода действий привели к целенаправленному и систематическому совершенствованию технологий обеспечения информационной безопасности и механизмов реагирования. Для некоторых объектов информатизации оценка защищенности и соответствия их установленным законом требованиям происходит путем аттестации.

Чтобы понимать принципы и порядок проведения аттестации, в первую очередь, следует рассмотреть документы, направленные на сам процесс аттестации (положения, стандарты), а также внимательно изучить требования ФСТЭК для соответствующего типа объекта информатизации.

При проведении проверки оформляется ряд документов по аттестационным испытаниям, а именно программа и методики.

Оценка соответствия подразумевает определение соответствия всех применяемых средств защиты объекта. Среди прочего, учитываются и его эксплуатационные условия.

Кому может понадобиться?

Действующими на территории РФ нормативными актами определено, что аттестация может быть как добровольный, так и обязательной. Последняя необходима в следующих случаях:

• При проведении обработки информации муниципальных и государственных ИС (если обрабатывается информация ограниченного доступа, не содержащая сведений, составляющих государственную тайну).

• При обработке информация, которая относится к информации ограниченного доступа (для коммерческой тайны – обязательных аттестационных испытаний нет).
• Если системы используются для управления объектами, представляющими экологическую опасность.

• Для лицензирующей деятельности, которая касается предоставления лицензий.

Остальные случаи не требуют обязательной аттестации: её можно провести добровольно. Для этого следует обратиться в организацию, производящий такую аттестацию, и заключить с ним соответствующий договор. Обычно основной целью добровольной аттестации выступает получение официального документа, подтверждающего полное соответствие уровня систем и средств защиты информации существующим стандартам.

Важно помнить, что ИС разных типов и классов должны соответствовать разным требованиям. Несоблюдение соответственных требований может повлечь за собой ответственность. Действующее законодательство подразумевает разный спектр санкций в этом вопросе. В некоторых случаях это штрафы, в других возможна и уголовная ответственность.

Порой случаются недоразумения, когда информационную систему по ошибке причисляют к ГИСам. Это приводит к применению излишних мер зашиты системы. Чтобы избежать такой ошибки, стоит проводить следующие действия:

• Выяснить, существует ли нормативный акт, требующий создания ИС.

• Проверить, создается ли она с целью обмена информацией или для реализации полномочий госоргана. Цель создания может быть также определена ФЗ.

• Определить, является ли информационное наполнение документированной информация, предоставляемой физлицами, организациями, госорганам или органами местного самоуправления.

Аттестация ГИС: подготовка, порядок действий, нововведения

Сначала оформляется приказ о необходимости защиты информации в ГИС и акт ее классификации. Также разрабатываются модель угроз и модель нарушителя, а еще техзадание на систему защиты информации (далее - СЗИ).

Следующие действия предполагают создание технического проекта и эксплуатационной документации на СЗИ, при надобности проводится макетирование и тестирование такой системы. Техпроект должен состоять из документов, определенных соответствующими ГОСТами, либо документов, определенных Заказчиком в ТЗ.

В ходе практической части работ закупаются (с последующей установкой и настройкой) средства защиты информации и проводится ряд сопутствующих мероприятий. Так, должна быть разработана документация организационно-распорядительного характера, реализованы меры защиты информации, определены уязвимости ГИС. Завершается этот этап предварительными испытаниями, опытной эксплуатацией, приемочными испытаниями СЗИ.

На завершающем этапе оценивается организационно-распорядительная, эксплуатационная документация и условия работы ГИС, анализируются ее уязвимости и испытывается СЗИ. Процесс и результаты отображаются в соответствующих документах: программе, методике и протоколе испытаний, заключении и аттестате соответствия.

Определение класса ГИС

ГИС присваивается один из трех классов защищенности, основанных на масштабе ГИС и важности информации, которая в ней обрабатывается.

Порядок определения класса можно прочитать в приложении 1 приказа ФСТЭК №17 . Оператор выясняет размер ущерба, который может быть нанесен владельцу информации, чтобы определиться с уровнем значимости информации. Также выясняется масштаб ГИС (может быть федеральным, региональным, объектовым). результирующим документом является акт классификации ГИС.

Готовимся к аттестации

Остановимся подробнее на важных моментах подготовки к аттестации ГИС, придерживаясь описанной выше схемы.

Итак. Начать рассмотрение вопроса нужно с обследования ГИС, по итогу которого составляется акт. Далее определяются требования к защите информации с утверждением техзадания.

На стадии проектирования разрабатывается частный техпроект и эксплуатационная документация (как использовать средства защиты информации в зависимости от роли пользователя) на СЗИ в составе ГИС, макетируется и тестируется СЗИ (предполагается использование тестового стенда, средств защиты и моделирования реальных условий эксплуатации ГИС).

Продолжаем мероприятия согласно порядку. Закупаются (плюс установка и настройка) сертифицированные СЗИ, формируется пакет документации организационно-распорядительного характера (по защите информации и режимным мерам), осуществляются организационные мероприятия по защите информации. Также надо проанализировать уязвимости ГИС, на базе этого составляется программа, методика, протокол и заключение испытаний. Ну а дальше черед предварительных испытаний, опытной эксплуатации и приемочных испытаний СЗИ в составе ГИС.

Обращаем ваше внимание на некоторые новшества приказа ФСТЭК №17 :

• Должностные лица, проектировавшие и внедрявшие СЗИ, не имеют права проводить аттестацию.

• Перечень классов защищенности СЗИ ограничиваются только тремя.

• Любой класс СЗИ требует принятия мер защиты информации.

Выбор техсредств защиты ГИС

Зная класс защищенности ГИС, можно выбрать класс СЗИ для применения. Например, если имеется 3 класс защищенности, тогда требуются средства защиты информации 6 класса, а средства вычислительной техники – не ниже 5 класса (п. 26 приказа ФСТЭК №17).

Для того, чтобы найти средства защиты, сертифицированные по новым требованиям, можно ввести в строку поиска определенные сокращения:

• ИТ.МЭ. для межсетевых экранов.
• ИТ.СДЗ. для средств доверенной загрузки.
• ИТ.САВЗ. для антивирусных средств защиты.
• ИТ.ОС. для операционных систем.
• ИТ.СОВ. для систем обнаружения вторжений.
• ИТ.СКН. для средств контроля носителей информации.

Аттестация КИИ: порядок, тонкости и лайфхаки

Дорожну карту по выполнению ФЗ-187 можете найти здесь!

Что требует Закон

Закон о безопасности КИИ (187-ФЗ ) не установил четкие требования относительно аттестации объектов критической информационной инфраструктуры согласно требованиям [ФСТЭК] безопасности информации. Так, в ст. 12 и 13 говорится о проведении проверок выполнения требований нормативных актов, об оценке информации с объектов КИИ, анализе компьютерных атак, прогнозе влияния на остальные объекты КИИ.

Необходимость проведения оценки защищенности объекта КИИ в формате аттестации согласно требованиям безопасности информации отображена лишь в тексте приказа ФСТЭК № 239 от 25.12.2017. Там сказано: когда объект КИИ – ГИС, то оценка его защищенности проводится в виде аттестации по нормам приказа ФСТЭК № 17 от 11.02.2013. Остальные ситуации предполагают, что аттестацию можно проводить по желанию субъекта КИИ.

Каким образом соответствовать требованиям?

Когда объект КИИ эксплуатируется, владельцу нужно обеспечить безопасность информации: анализировать угрозы, планировать мероприятия защиты и противодействия, реагировать на атаки, обучать персонал.

На что обратить внимание?

При категорировании важно обращать внимание на положения Закона о безопасности КИИ и правила категорирования ( Постановление Правительства № 127 ) . При этом не стоит забегать вперед: только получив от уполномоченного органа подтверждение правильного категорирования и внесения объекта в реестр объектов КИИ, осуществлять меры по защите объектов КИИ.

Стоит упомянуть о возможности использования результатов предшествующей аттестации согласно приказу ФСТЭК № 17, что значительно снизит сложность подготовительных работ, а также стоимость приобретения средств защиты.

В ситуации с критической информационной инфраструктурой, моделируя угрозы, следует использовать базовую модель угроз и методику определения актуальных угроз безопасности информации в ключевых системах информинфраструктуры, утвержденные ФСТЭК 18.05.2007. С другой стороны, необходимо соблюдать приказы ФСТЭК №№ 235, 239 при условии, когда объект критической информационной инфраструктуры – автоматизированная система управления технологическими процессами.

Сложности подготовки

Если объект категорирован неверно, уполномоченный федеральный орган может отказаться регистрировать его в реестре КИИ. А без подтверждения о правильности категорирования и внесения в реестр КИИ официально начинать работы по защите (подготовке) объекта КИИ нельзя. Отказ может последовать и в том случае, если будут предоставлены неполные или неточные сведения об объекте.

Кроме того, необходимо внедрить множество программных и программно-аппаратных систем защиты информации, что требует наличие соответствующей компетенции обслуживающего персонала при внедрении и дальнейшем сопровождении этих систем.

Очередности осуществления мероприятий относительно подготовки к аттестации КИИ выглядит следующим образом:

Когда техзадание на создание подсистемы безопасности уже разработано, нужна подготовка модели угроз безопасности информации, проекта подсистемы безопасности, рабочая (эксплуатационная) документация на нее.

Далее следуют практические шаги: реализация организационных и технических мер по обеспечению безопасности объекта и введению его в эксплуатацию. Субъекту КИИ предстоит закупка и установка средств защиты информации, разработка соответствующей документации, проведение испытаний подсистемы безопасности с анализом уязвимостей.

А когда подготовка объекта КИИ будет полностью завершена, к проведению аттестации привлекается лицензиат ФСТЭК.

Аттестации АСУ ТП: на что обратить внимание

В целом порядок аттестации состоит из таких этапов:

• изучение объекта в предварительном порядке;

• создание методик и программы испытаний для него;

• непосредственно испытание объекта;

• проведения оформления, регистрации и последующая выдача документа о прохождении аттестации.

Во время испытаний проводится разработка следующих аттестационных документов:

• программы, а также методики проведения испытаний;

• создание протокола аттестации;

• заключения, которое создаётся по результатам прохождения аттестации;
• сам аттестат соответствия.

На сегодняшний день требования для АСУ ТП закреплены в приказе № 31 ФСТЭК РФ .

Насколько обоснованы устоявшиеся мнения по вопросу аттестации по принципу типовых сегментов?

Как обычно и бывает, процесс аттестации по принципу типовых сегментов воспринимается большинством людей однобоко, и общее впечатление о нем основано на устоявшихся мнениях, растиражированных во многих публикациях в интернете.

Но насколько верны умозаключения их авторов? И есть ли реальное обоснование этим мнениям? Об этом читайте дальше.

Это звучит реально и выполнимо, но несколько странно. Все становится на свои места после ознакомления с пунктом 17.3 Приказа Федеральной службы по техническому и экспортному контролю РФ № 17 от 11.02.2013 и ГОСТ РО 0043-003-2012

Согласно приказу, в сегментах информсистемы, на которые распространяется аттестат соответствия, (…) обеспечивается соблюдение эксплуатационной документации на систему защиты информации информсистемы и организационно-распорядительных документов по защите информации.

Вопрос риторический, а озвученное мнение не выдерживает никакой критики.

Чтобы в этом убедиться, достаточно ознакомиться с пунктом 7 Приказа, согласно которому требования могут применяться для защиты информации, содержащейся в негосударственных информсистемах. Кроме того, ГОСТ РО 0043-003-2012 уже в своем названии говорит про аттестацию объектов информатизации, не ограничиваясь только государственными.

Следующая ситуация. Даже когда аттестат касается серверной части, каналов связи, автоматизированного РМ, нельзя распространить его, к примеру, на ноутбук. Последний, хоть и аналог аттестованного ранее компьютера, является переносным устройством с более широким ресурсом подключений, отсутствующим в автоматизированном РМ, а значит не соответствует сегменту информсистемы, по отношению к которому проводились испытания, к тому же для них не определены одинаковые классы защищенности, угрозы безопасности информации, не осуществлены одинаковые проектные решения по информсистеме.

Следующий случай. В компании создано несколько информсистем: первая посвящена работникам, вторая – клиентам, третья – еще чему-то. Так вот, имея одну аттестованную информсистему, расширить сертификат на остальные не выйдет. Причина раскрывается в Приказе: различные проектные решения по информсистеме и ее системе защиты исключают соответствие одного сегмента иному сегменту, по отношению к которому проводились аттестационные испытания.

Значит, перед аттестацией нужно сделать масштабную подготовку, чтобы заранее предусмотреть разумный максимум вариаций типовых сегментов, потом же соответствующим образом подготовить документацию.

Если оператор информсистемы может сделать всю необходимую подготовительную работу, то лицензиат однозначно не нужен. Именно при использовании типовых сегментов оператор может сократить расходы, ведь тогда отсутствует нужда в осуществлении полномасштабного аттестационного испытания, написании проектной документации про систему защиты информации, а также не требуется разработка дополнительной модели угроз.

Технические средства не вечны, более того, их срок службы обычно сильно ограничен, поэтому ситуация с заменой вышедшего из строя оборудования не редкость.

Нормативная база не требует от техники, используемой в типовых сегментах, полной идентичности, а лишь: одного класса защищенности, одних угроз безопасности, проектных решений по информсистеме.

КТО МЫ, КИИ ИЛИ НЕ КИИ?

Какие критерии указывают что вы субъект КИИ?

• здравоохранение;
• наука;
• транспорт;
• связь;
• энергетика;
• банковская сфера и иные финансовые сферы;
• топливно-энергетический комплекс;
• область атомной энергии;
• оборонная промышленность;
• ракетно-космическая промышленность;
• горнодобывающая промышленность;
• металлургическая промышленность;
• химическая промышленность;
• юридически лица и/или ИП, которые обеспечивают взаимодействие указанных систем или сетей.

Если ваша организация относится к сфере здравоохранения (ОКВЭД 86), рекомендуем для начала ознакомиться с этим материалом: КИИ В ЗДРАВООХРАНЕНИИ. КАК ОПРЕДЕЛИТЬ И ЧТО ДЕЛАТЬ ДАЛЬШЕ!

Второй критерий – лицензии и иные разрешительные документы на различные виды деятельности которые относятся к вышеперечисленным сферам и которые будут в фокусе внимания согласно ФЗ №-187 .

Третий критерий – учредительные документы организаций, к ним относятся уставы, положения организаций (если речь идет о государственных органах), в которых может быть прописан вид деятельности указывающий на принадлежность к критичным отраслям.

Попали под один критерий из трёх? Поздравляем, вы субъект КИИ! Но нужно помнить, что каждый случай разбирается индивидуально и эта тема отдельного обсуждения, посвященная категорированию объектов критической информационной инфраструктуры которую рассмотрим в следующих статьях.

У каждого субъекта КИИ есть объекты КИИ:

• информационные системы;
• автоматизированные системы управления технологическими процессами;
• информационно-телекоммуникационные сети.

функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

• Банковская сфера и иные сферы финансового рынка
• Топливно-энергетический комплекс;
• Атомная промышленность;
• Военно-промышленный комплекс;
• Ракетно-космическая промышленность;
• Горнодобывающая промышленность;
• Металлургическая промышленность;
• Химическая промышленность;
• Наука, транспорт, связь;
• ЮЛ и ИП которые взаимодействуют с системами критической информационной инфраструктуры.

• Информационные системы;
• Информационно-телекоммуникационные сети;
• Автоматизированные системы управления технологическими процессами (АСУ ТП).

Объекты критической информационной инфраструктуры обеспечивают функционирование управленческих, технологических, производственных, финансово-экономических и иных процессов субъектов КИИ.

Процесс определения принадлежности к субъекту критической информационной инфраструктуры не так прост, как может показаться на первый взгляд. Как мы говорили выше, есть много неочевидных факторов, которые могут влиять на результат, например, открытые дополнительные, не основные, виды деятельности по ОКВЭД или действующие лицензии, которые могут отнести вас субъекту критической информационной инфраструктуре. Мы рекомендуем провести более детальное погружение в вопрос определения принадлежности к субъекту КИИ.

ЧТО ДЕЛАТЬ ЕСЛИ ВЫ СУБЪЕКТ КИИ?

С субъектом и объектом критической информационной инфраструктуры разобрались. Что необходимо сделать вам, как субъекту КИИ, дальше?

Категории значимости присваиваются исходя из показателей критериев значимости, которых пять:

• социальная;
• политическая;
• экономическая;
• экологическая;
• значимость для обеспечения обороны страны, безопасности государства и правопорядка.

Кстати, вот так выглядит типовой пакет документации по КИИ подготовленный по результатам работ по категорированию. И это документация организации, у которой 0-я категория значимости объектов.

На этом этапе есть один нюанс, после утверждения перечня объектов КИИ подлежащих категорированию, субъект КИИ в течении 5 дней обязан известить об этом ФСТЭК России. С этого момента на проведение процедур категорирования отводится максимум 1 год. Если объект КИИ не подпадает под один из показателей критериев значимости, то у него отсутствует необходимость присвоения категории значимости, но тем не менее предприятие является субъектом КИИ у которого отсутствуют критически значимые объекты КИИ.

Пройдите экспресс-тест и определите категорию значимости ваших объектов КИИ. По результату теста вы получите значение категории объекта КИИ или её отсутствие и полезный бонус.

Третий этап, заключительный. Пожалуй, один из самых трудоёмких и дорогих – выполнение требований по обеспечению безопасности значимых объектов КИИ. Не будем вдаваться сейчас в детали, а перечислим ключевые стадии по обеспечению безопасности объектов КИИ:

• разработка технического задания;
• разработка модели угроз информационной безопасности;
• разработка технического проекта;
• разработка рабочей документации;
• ввод в действие.

ЧТО БУДЕТ ЕСЛИ ЭТОГО НЕ ДЕЛАТЬ?

• по истечению 3-х лет со дня внесения сведений об объекте КИИ в реестр;
• по истечению 3-х лет со дня осуществления последней плановой проверки.

Внеплановые проверки будут проводиться в случае:

• по истечению срока выполнения субъектом КИИ предписания об устранении выявленного нарушения;
• возникновения компьютерного инцидента, повлекшего негативные последствия;
• по поручению Президента РФ или Правительства РФ, либо на основании требования Прокуратуры РФ.

Если ФСТЭК выявит нарушение, будет выписано предписание с конкретным сроком устранения, который можно будет продлить по уважительным причинам, а вот в случаи с Прокуратурой РФ будет все сложнее, т.к. она придёт к вам уже с постановлением об административном правонарушении, ссылаясь на статью 19.5 ч.1 КоАП РФ о невыполнении в установленный срок постановления госнадзорного органа.

Мы пишем о том, что делаем!

• аудит существующей инфраструктуры;
• классификацию имеющихся информационных активов;
• оценку рисков информационной безопасности;
• разработку модели угроз информационной безопасности;
• проведение категорирования объектов критической информационной инфраструктуры ;
• определение уровня соответствия требованиям регуляторов по защите информации;
• разработку плана поэтапной реализации требований законодательства по обеспечению безопасности объектов КИИ;
• формирование бюджета на мероприятия по защите информации.

Читайте также:

  
• Подсчет выслуги лет военнослужащего при увольнении кто производит
  
• Что такое сословные привилегии
  
• К чему снится кража сигарет
  
• Массовые публичные мероприятия как форма политического участия граждан в управлении государством
  
• Скрытая повестка кто убийца