16 февраля 2021

    Закон о безопасности КИИ в вопросах и ответах (обновление)

      1-го января 2018 года вступил в действие федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» (далее — Закон). Потом была разработана и введена в действие обширная нормативная база по его реализации, на изучение и понимание которой потребуется длительное время и специальные навыки в области информационной безопасности. Вместе с тем, у ряда людей существует необходимость быстро сложить представление об основных положениях Закона и подзаконной нормативной базы, так сказать, в общих чертах. Для них предназначен данный материал, который даёт ответы на наиболее часто задаваемые вопросы по обозначенной теме.

      Данная публикация — обновление аналогичного материала, опубликованного в феврале 2018 года.

      Для чего нужен Закон?

      Новый Закон предназначен для регулирования деятельности в области обеспечения безопасности объектов информационной инфраструктуры Российской Федерации, функционирование которых критически важно для страны. Такие объекты в законе называются объектами критической информационной инфраструктуры (далее — объекты КИИ). Согласно Закону, к объектам КИИ могут быть отнесены информационные системы и сети, а также автоматизированные системы управления, функционирующие в сфере:

      • здравоохранения;
      • науки;
      • транспорта;
      • связи;
      • энергетики;
      • банковской и иных сферах финансового рынка;
      • топливно-энергетического комплекса;
      • атомной энергии;
      • оборонной и ракетно-космической промышленности;
      • горнодобывающей, металлургической и химической промышленности.

      Объекты КИИ, а также сети электросвязи, используемые для организации взаимодействия между ними, составляют понятие критической информационной инфраструктуры.

      Что является целью Закона и как он должен работать?

      Главной целью обеспечения безопасности КИИ является устойчивое функционирование КИИ при проведении в отношении нее компьютерных атак. Одним из ключевых принципов обеспечения безопасности является предотвращение данных воздействий и защита от них.

      Какие организации попадают в сферу действия Закона?

      Требования Закона затрагивают те организации (государственные органы и учреждения, юридические лица и индивидуальных предпринимателей), которым принадлежат (на праве собственности, аренды или ином законном основании) объекты КИИ или которые обеспечивают их взаимодействие. Такие организации в Законе называются субъектами КИИ.

      Организация является субъектом КИИ, если виды деятельности, прописанные в уставных документах данной организации, относятся к области здравоохранения, науки, транспорта, связи, энергетики, банковской и финансовой деятельности, топливно-энергетического комплекса, атомной энергии, оборонной и ракетно-космической промышленности, горнодобывающей, металлургической и химической промышленности. Например, предприятия водоснабжения, которые занимаются деятельностью трубопроводного транспорта (код ОКВЭД 49.50), распределение воды через распределительные трубопроводы, грузовым автотранспортом или прочими транспортными средствами (код ОКВЭД 36.00) и/или сбором и транспортировкой сточных вод (код ОКВЭД 37.00) должны серьёзно отнестись к выполнению положений Закона.

      Какие действия должны предпринять субъекты КИИ для выполнения Закона?

      Согласно Закону, субъекты КИИ должны:

      • провести категорирование объектов КИИ;
      • принять организационные и технические меры по обеспечению безопасности значимых объектов КИИ;
      • обеспечить взаимодействие с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (далее — ГосСОПКА).

      Что подлежит категорированию?

      Категорированию подлежат объекты КИИ — информационные системы, информационно-телекоммуникационные системы, автоматизированные системы управления технологическими процессами, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов КИИ.

      Что в себя включает категорирование объектов КИИ?

      Категорирование объекта КИИ предполагает определение его категории значимости на основе ряда критериев и показателей. Всего устанавливается три категории — первая, вторая или третья (в порядке убывания значимости). Если объект КИИ не соответствует ни одному из установленных критериев, ему категория не присваивается. Те объекты КИИ, которым была присвоена одна из категорий, называются значимыми объектами КИИ.

      Результаты категорирования объектов КИИ должны направляться субъектом КИИ во ФСТЭК России для ведения реестра значимых объектов КИИ. В реестр включается следующая информация:

      • наименование значимого объекта КИИ;
      • наименование субъекта КИИ;
      • сведения о взаимодействии значимого объекта КИИ и сетей электросвязи;
      • сведения о лице, эксплуатирующем значимый объект КИИ;
      • присвоенная категория значимости;
      • сведения о программных и программно-аппаратных средствах, используемых на значимом объекте КИИ;
      • меры, применяемые для обеспечения безопасности значимого объекта КИИ.

      Важно отметить, что если в процессе категорирования было определено отсутствие категории значимости у объекта КИИ, результаты категорирования все равно должны быть представлены во ФСТЭК России. Регулятор проверяет представленные материалы и при необходимости направляет замечания, которые должен учесть субъект КИИ.

      Если субъект КИИ не предоставит данные о категорировании, ФСТЭК России вправе потребовать эту информацию.

      Как проводить категорирование объектов КИИ?

      Правила категорирования, показатели критериев значимости, а также порядок и сроки проведения соответствующих работ были установлены Постановлением Правительства Российской Федерации от 08.02.2018 г. № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» и уточнены в Постановлении Правительства Российской Федерации от 13.04.2019 г. № 452 «О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127» (далее — Правила). Правила регламентируют процедуру категорирования, а также содержат перечень критериев и их показатели для значимых объектов КИИ первой, второй и третьей категории значимости.

      Согласно Правилам, процедура категорирования включает в себя:

      1. Определение субъектом КИИ перечня всех процессов, выполняемых в рамках своей деятельности.
      2. Выявление критических процессов, то есть тех процессов, нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка.
      3. Определение объектов КИИ, которые обрабатывают информацию, необходимую для обеспечения критических процессов, управления и контроля ими.
      4. Формирование перечня объектов КИИ, подлежащих категорированию. Перечень объектов для категорирования подлежит согласованию с ведомством-регулятором, утверждается субъектом КИИ и в течение 5 рабочих дней после утверждения направляется во ФСТЭК России.
      5. Оценку масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах КИИ в соответствии с показателями, указанных в Правилах. Всего предусматривается 14 показателей, определяющих социальную, политическую, экономическую значимость объекта КИИ, а также его значимость для обеспечения правопорядка, обороны и безопасности страны.
      6. Присвоение каждому из объектов КИИ одной из категорий значимости в соответствии с наивысшим значением показателей, либо принятие решения об отсутствии необходимости присвоения категории.

      Категорирование должно проводиться как для существующих, так и для создаваемых или модернизируемых объектов КИИ специальной комиссией под председательством руководителя субъекта КИИ (или уполномоченного им лица), его работников и, при необходимости, приглашённых специалистов ведомств-регуляторов в соответствующей сфере. Решение комиссии оформляется соответствующим актом и в течение 10-ти дней после его утверждения направляется во ФСТЭК России. Предоставленные материалы в тридцатидневный срок со дня получения проверяются регулятором на соответствие порядку осуществления категорирования и оценивается правильность присвоения категории.

      Категория значимого объекта КИИ может быть изменена по мотивированному решению ФСТЭК России в рамках государственного контроля безопасности значимых объектов КИИ, в случае изменения самого объекта КИИ, а также в связи с реорганизацией субъекта КИИ (в том числе ликвидацией, изменением его организационно-правовой формы и т.д.).

      Что такое ГосСОПКА и для чего она нужна?

      ГосСОПКА представляет собой единый территориально распределенный комплекс, включающий силы и программно-технические средства обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее — силы и средства ОПЛ КА).

      К силам ОПЛ КА относятся:

      • уполномоченные подразделения ФСБ России, в первую очередь — Национальный координационный центр по компьютерным инцидентам, основной задачей которого является координация деятельности субъектов КИИ по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных инцидентов (далее — НКЦКИ);
      • подразделения и должностные лица субъектов КИИ, которые принимают участие в обнаружении, предупреждении и ликвидации последствий компьютерных атак и в реагировании на компьютерные инциденты.

      ГосСОПКА предназначена для контроля безопасности КИИ в Российской Федерации и в дипломатических представительствах страны за рубежом.

      В данной системе должна собираться и агрегироваться информация о компьютерных атаках и инцидентах, получаемая от субъектов КИИ. Перечень информации и порядок ее предоставления в ГосСОПКА определены в Приказе ФСБ России от 24 июля 2018 г. № 367 «Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации».

      Также этот приказ регламентирует обмен информацией в рамках ГосСОПКА между субъектами КИИ, в том числе — с международными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты.

      Технически ГосСОПКА представляет собой распределённую систему из центров ГосСОПКА, развёрнутых субъектами КИИ, объединённых в иерархическую структуру по ведомственно-территориальному признаку, и подключённых к ним технических средств (средств ОПЛ КА), установленных в конкретных объектах КИИ. При этом центры ГосСОПКА могут быть ведомственными, то есть организованными государственными органами, а также корпоративными — построенными государственными и частными корпорациями, операторами связи и другими организациями-лицензиатами в области защиты информации.

      Кто является собственником ГосСОПКА?

      Единого собственника ГосСОПКА нет. Каждый из центров ГосСОПКА принадлежит отдельному владельцу, вложившему свои средства в его создание. Государство же в лице НКЦКИ выступает только в качестве регулятора и координатора.

      Что подразумевается под интеграцией с ГосСОПКА?

      Интеграция в ГосСОПКА требует от субъекта КИИ:

      • установить двухсторонние рабочие и договорные отношения с НКЦКИ;
      • информировать о компьютерных инцидентах НКЦКИ, а также Центральный Банк Российской Федерации, если организация осуществляет деятельность в банковской сфере и иных сферах финансового рынка;
      • оказывать содействие НКЦКИ в обнаружении, предупреждении и ликвидации последствий компьютерных атак, установлении причин и условий возникновения компьютерных инцидентов.

      Кроме того, по решению субъекта КИИ на территории объекта КИИ может быть размещено оборудование ГосСОПКА. В этом случае субъект дополнительно обеспечивает его сохранность и бесперебойную работу. Также субъект КИИ может создать собственный центр ГосСОПКА.

      Может ли субъект КИИ не создавать собственный центр ГосСОПКА?

      Решение о создании собственного центра ГосСОПКА субъект КИИ принимает самостоятельно по согласованию с НКЦКИ.

      Однако для значимых объектов КИИ субъектам КИИ необходимо реализовать меры по обнаружению и реагированию на компьютерные инциденты. А для этого в любом случае потребуются специальные технические средства и квалифицированный персонал, которые, по сути, и являются составляющими собственного центра ГосСОПКА.

      Что требуется для построения собственного центра ГосСОПКА?

      Центр ГосСОПКА должен обеспечивать выполнение следующих функций:

      • инвентаризацию информационных ресурсов;
      • выявление уязвимостей информационных ресурсов;
      • анализ угроз информационной безопасности;
      • повышение квалификации персонала информационных ресурсов;
      • прием сообщений о возможных инцидентах от персонала и пользователей информационных ресурсов;
      • обеспечение процесса обнаружения компьютерных атак;
      • анализ данных о событиях безопасности;
      • регистрацию инцидентов;
      • реагирование на инциденты и ликвидация их последствий;
      • установление причин инцидентов;
      • анализ результатов устранения последствий инцидентов.

      Для этого в составе технических средств ОПЛ КА могут использоваться:

      • средства обнаружения и предотвращения компьютерных атак;
      • специализированные решения по защите информации для индустриальных сетей, финансового сектора, сетей связи;
      • средства противодействия DDoS-атакам;
      • средства сбора, анализа и корреляции событий;
      • средства анализа защищенности;
      • средства антивирусной защиты;
      • средства межсетевого экранирования;
      • средства криптографической защиты информации для защищенного обмена информацией с НКЦКИ и другими центрами ГосСОПКА.

      Технические средства должны быть интегрированы в единый комплекс, управляемый из центра ГосСОПКА и взаимодействующий с НКЦКИ и другими центрами ГосСОПКА.

      Помимо технического обеспечения для создания центра ГосСОПКА необходимо разработать соответствующие методические документы, включающие настройки средств обеспечения ИБ, решающие правила средств обнаружения компьютерных атак, правила корреляции событий, инструкции для персонала и т.п.

      Центр ГосСОПКА может быть реализован субъектом КИИ как самостоятельно (с использованием собственных технических и кадровых ресурсов), так и с привлечением сторонних специалистов путем передачи на аутсорсинг части функций, например, анализ угроз информационной безопасности, повышение квалификации персонала, прием сообщений об инцидентах, анализ защищенности и расследование инцидентов.

      Необходимые для создания центра ГосСОПКА нормативные документы и соответствующие методические документации нужно запросить у НКЦКИ.

      Что требуется для обеспечения безопасности объектов КИИ?

      Для объектов КИИ, не являющихся значимыми, в обязательном порядке должна быть обеспечена только взаимодействие с НКЦКИ и интеграция с ГосСОПКА (канал обмена информацией). Остальные мероприятия по обеспечению безопасности объекта КИИ реализуются на усмотрение соответствующего субъекта КИИ.

      Для значимых объектов КИИ, помимо интеграции в ГосСОПКА субъекты КИИ должны:

      • создать систему безопасности значимого объекта КИИ;
      • реагировать на компьютерные инциденты;
      • предоставлять на объект КИИ беспрепятственный доступ регуляторам и выполнять их предписания по результатам проверок. Законом предусматриваются как плановые, так и внеплановые проверки.

      Вопросы создания систем безопасности значимого объекта КИИ регламентирует Приказ ФСТЭК России от 21.12.2017 г. № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования» с дополнениями и изменениями в соответствии с Приказом ФСТЭК России от 27.03.2019 г. № 64. Требования по безопасности информации определяются в соответствии с Приказом ФСТЭК России от 25.12.2017 г. № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации», в который дополнения и изменения были внесены уже дважды: Приказом ФСТЭК России от 26.03.2019 г. № 60 и Приказом ФСТЭК России от 20.02.2020 г. № 35.

      Кто контролирует выполнение требований Закона?

      ФСТЭК России отвечает за ведение реестра значимых объектов КИИ, формирование и государственный контроль реализации требований по обеспечению их безопасности. Порядок госконтроля в области обеспечения безопасности значимых объектов КИИ определен соответствующим постановлением Правительства Российской Федерации от 17.02.2018 №162. Сам такой госконтроль с выездом на значимые объекты КИИ ФСТЭК России начинает с 2021-го года.

      ФСБ России обеспечивает регулирование и координацию деятельности субъектов КИИ по развёртыванию сил и средств ОПЛ КА, осуществляет сбор информации о компьютерных инцидентах и оценку безопасности КИИ, а также разрабатывает требования к средствам ОПЛ КА.

      В отдельных случаях, касающихся сетей электросвязи и субъектов КИИ в банковской и иных сферах финансового рынка, разрабатываемые ФСТЭК России и ФСБ России требования должны согласовываться с Минцифры России и Центральным Банком Российской Федерации соответственно.

      Что с гостайной? Требуется ли засекречивать информацию об обеспечении безопасности КИИ и взаимодействию с ГосСОПКА?

      Закон не вводит дополнительных требований по защите гостайны и не содержит положений о необходимости засекречивать такую информацию. Степень её конфиденциальности определяет субъект КИИ в зависимости от степени конфиденциальности информации, обрабатываемой на его объектах КИИ (если объект КИИ обрабатывает секретную информацию, то данные о его защите также будут секретными).

      А если требования Закона не будут выполнены?

      В Уголовный кодекс Российской Федерации была добавлена новая статья 274.1, которая устанавливает уголовную ответственность должностных лиц субъекта КИИ за несоблюдение установленных правил эксплуатации технических средств объекта КИИ или нарушение порядка доступа к ним вплоть до лишения свободы сроком до 10-ти лет.

      Также ФСТЭК России подготовлены изменения в Кодекс Российской Федерации об административных правонарушениях (КоАП) за нарушения в области обеспечения безопасности КИИ, которые предусматривают административные штрафы для физических лиц в диапазоне 10-50 тыс. руб., для юридических лиц — 50-500 тыс. руб. Данные изменения в январе 2021-го года прошли первое чтение в Госдуме, поэтому ко второй половине 2021-года могут уже заработать.

      Авторы
      • Дмитрий Сатанин

        Руководитель направления по работе с государственными органами РФ и СНГ, Kaspersky ICS CERT