03 февраля 2021

    Обеспечение безопасности КИИ. Что год текущий нам готовит…

      В наступившем 2021-м году стартуют несколько важных новаций в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации. Причём речь идёт не только об изменениях и дополнениях в нормативных документах, регламентирующих соответствующую деятельность, но и про, так сказать, вполне реальную жизнь.

      Перечень новаций 2021 выглядит следующим образом:

      • субъекты КИИ должны создать силы обеспечения безопасности значимых объектов КИИ (далее — ЗО КИИ);
      • вносятся изменения в Кодекс Российской Федерации об административных правонарушениях (КоАП) за нарушения в области обеспечения безопасности КИИ;
      • начинает работать государственный (инспекторский) контроль обеспечения безопасности КИИ со стороны ФСТЭК России.

      О силах обеспечения безопасности значимых объектов КИИ

      Создание сил обеспечения безопасности ЗО КИИ и требования к ним прописаны в Приказе ФСТЭК России от 21 декабря 2017 г. № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования» (далее — Требования) и уточнены в Приказе ФСТЭК России от 27 марта 2019 г. № 64 о внесении изменений в Требования.

      Состав сил безопасности КИИ

      Согласно Требованиям, к силам обеспечения безопасности ЗО КИИ относятся:

      • подразделения (работники) субъекта КИИ, ответственные за обеспечение безопасности ЗО КИИ;
      • подразделения (работники), эксплуатирующие и обеспечивающие функционирование (сопровождение, обслуживание, ремонт) ЗО КИИ;
      • иные подразделения (работники), участвующие в обеспечении безопасности ЗО КИИ.

      Ответственным за организацию и работу сил обеспечения безопасности ЗО КИИ является руководитель субъекта КИИ (или лицо, им уполномоченное). Он определяет состав, структуру и функциональные обязанности таких сил, в частности, создаёт или определяет структурное подразделение, ответственное за обеспечение безопасности ЗО КИИ или назначает отдельных работников для решения соответствующих задач.

      Задачи подразделения

      Структурное подразделение по безопасности, специалисты по безопасности должны:

      • обеспечивать безопасность ЗО КИИ в соответствии с предъявленными к данному объекту требованиями[1]: реализовывать соответствующие организационные меры, применять средства защиты информации;
      • анализировать угрозы безопасности информации и выявлять уязвимости в ЗО КИИ;
      • осуществлять реагирование на компьютерные инциденты в ЗО КИИ;
      • организовывать проведение оценки соответствия ЗО КИИ требованиям по безопасности;
      • готовить предложения по повышению уровня безопасности ЗО КИИ, совершенствованию функционирования соответствующих систем безопасности и организационно-распорядительных документов.

      Для выполнения перечисленных функций субъектами КИИ могут привлекаться организации-лицензиаты ФСТЭК России.

      Возложение на силы обеспечения безопасности ЗО КИИ функций и задач, не связанных с их непосредственной деятельностью, не допускается.

      При необходимости по решению руководителя субъекта КИИ (уполномоченного лица) силы обеспечения безопасности ЗО КИИ могут быть созданы в обособленных подразделениях (филиалах, представительствах, дочерних организациях) субъекта КИИ, в которых эксплуатируются соответствующие объекты.

      Требования к работникам

      Работники сил обеспечения безопасности ЗО КИИ должны соответствовать следующим требованиям:

      • у руководителя: высшее профессиональное образование по специальности в области информационной безопасности или иное высшее профессиональное образование в совокупности с документом о профессиональной переподготовке по направлению «Информационная безопасность» (со сроком обучения не менее 360 часов), наличие стажа работы в сфере информационной безопасности не менее 3 лет;
      • у штатных работников: высшее профессиональное образование по специальности в области информационной безопасности или иное высшее профессиональное образование в совокупности с документом о повышении квалификации по направлению «Информационная безопасность» (со сроком обучения не менее 72 часов);
      • прохождение не реже одного раза в 5 лет обучения по программам повышения квалификации по направлению «Информационная безопасность».

      Субъект КИИ не реже одного раза в год должен проводить организационные мероприятия по повышению уровня знаний работников по вопросам обеспечения безопасности КИИ и о возможных угрозах безопасности информации.

      Внесение изменений в КоАП

      Начнём с главного: данные изменения были одобрены Государственной Думой Российской Федерации 27.01.2021 г., второе чтение пока не назначено, поправки принимаются до 25.02.2021 г.

      В КоАП добавлены новые статьи:

      • Статья 13.12.1: нарушение требований в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации;
      • Статья 19.7.15: непредоставление сведений, предусмотренных законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации.

      Статья 13.12.1

      Статья 13.12.1 состоит из пяти пунктов:

      1. Нарушение порядка категорирования объектов КИИ (за исключением случаев, предусмотренных частью 1 статьи 19.7.15): административный штраф для должностных лиц — 10-50 тыс. руб.; для юридических лиц — 50-100 тыс. руб., уполномоченное ведомство — ФСТЭК России.
      2. Нарушение требований к созданию и обеспечению функционирования систем безопасности ЗО КИИ (если нет признаков уголовно наказуемого деяния): административный штраф для должностных лиц — 10-40 тыс. руб.; для юридических лиц — 50-100 тыс. руб., уполномоченное ведомство — ФСТЭК России.
      3. Нарушение требований по обеспечению безопасности ЗО КИИ (если нет признаков уголовно наказуемого деяния): административный штраф для должностных лиц — 10-50 тыс. руб.; для юридических лиц — 50-100 тыс. руб., уполномоченное ведомство — ФСТЭК России.
      4. Нарушение порядка информирования и реагирования на компьютерные инциденты, принятия мер по ликвидации последствий компьютерных атак на ЗО КИИ: административный штраф для должностных лиц — 10-50 тыс. руб.; для юридических лиц — 150-200 тыс. руб., уполномоченное ведомство — ФСБ России.
      5. Нарушение порядка обмена информацией о компьютерных инцидентах между субъектами КИИ (в том числе — с иностранными и международными организациями): административный штраф для должностных лиц — 20-50 тыс. руб.; для юридических лиц — 150-200 тыс. руб., уполномоченное ведомство — ФСБ России.

      Статья 19.7.15

      Статья 19.7.15 состоит из двух пунктов:

      1. Непредоставление или нарушение сроков представления во ФСТЭК России сведений о результатах категорирования: административный штраф для должностных лиц — ‎10-50 тыс. руб.; для юридических лиц — 50-100 тыс. руб., уполномоченное ведомство — ФСТЭК России;
      2. непредставление или нарушение порядка либо сроков представления в систему ГосСОПКА: административный штраф для должностных лиц — ‎10-50 тыс. руб.; для юридических лиц — 100-500 тыс. руб., уполномоченное ведомство — ФСБ России.

      Предлагаемые размеры штрафов позволяют сделать вывод, что утаивание информации об инцидентах и попытки сделать вид, что «ничего не было!» регуляторы считают более тяжкими административными правонарушениями, чем ошибки при реализации требований нормативных документов по обеспечению безопасности КИИ.

      Предполагаемый срок введения в действие нового КоАП — конец I-го — начало II-го полугодия 2021 года.

      Государственный контроль обеспечения безопасности КИИ

      Нормативный документ, регламентирующий соответствующую деятельность, — Постановление Правительства Российской Федерации от 17 февраля 2018 г. № 162 «Об утверждении Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» (далее — Правила государственного контроля).

      Ключевые моменты Правил государственного контроля

      Уполномоченным федеральным органом, осуществляющим государственный контроль обеспечения безопасности КИИ, является ФСТЭК России и её территориальные органы.

      Цель государственного контроля — проверка соблюдения субъектами КИИ положений нормативных документов по обеспечению безопасности КИИ.

      Государственный контроль осуществляется путем проведения плановых и внеплановых выездных проверок, осуществляемых комиссиями в составе не менее двух сотрудников ФСТЭК России в случае плановых проверок и одним сотрудником данной службы в случае внеплановой проверки.

      Плановые проверки

      ФСТЭК России формирует ежегодный план, который должен быть утверждён до 20 декабря года, предшествующего году проведения плановых проверок. Основаниями для осуществления плановой проверки являются истечение 3 лет со дня:

      • внесения сведений об объекте КИИ в реестр ЗО КИИ;
      • окончания осуществления последней плановой проверки в отношении ЗО КИИ.

      Таким образом, в 2021-м году плановые проверки могут быть проведены на ЗО КИИ, информация о присвоении категории значимости которым была внесена в реестр ЗО КИИ в 2018-м году.

      Субъект КИИ уведомляется о проведении плановой проверки не менее, чем за 3 рабочих дня до начала ее проведения, любым доступным способом, обеспечивающим возможность подтверждения факта такого уведомления.

      Внеплановые проверки

      Основаниями для осуществления внеплановой проверки являются:

      • истечение срока выполнения субъектом КИИ предписания ФСТЭК России об устранении выявленного нарушения требований по обеспечению безопасности;
      • возникновение компьютерного инцидента на ЗО КИИ, повлекшего негативные последствия;
      • поручение Президента или Правительства Российской Федерации, требование прокурора.

      Субъект КИИ уведомляется о проведении внеплановой проверки не менее, чем за 24 часа до начала ее проведения любым доступным способом, обеспечивающим возможность подтверждения факта такого уведомления. В случае если поводом для внеплановой проверки стал компьютерный инцидент на ЗО КИИ, ФСТЭК России вправе приступить к ней незамедлительно.

      Оформление результатов проверки

      По результатам проверки составляется соответствующий акт, на основании которого в случае выявления нарушения требований по обеспечению безопасности проверяемому субъекту КИИ выдаётся предписание об устранении выявленного нарушения с указанием срока его устранения. К акту проверки прилагаются протоколы или заключения по результатам контрольных мероприятий, проведенных с использованием программных и аппаратно-программных средств контроля, а также предписания об устранении выявленных нарушений и иные связанные с результатами проверки документы или их копии.

      В случае проведения внеплановой проверки на основании требования прокурора копия акта проверки с копиями приложений высылается в соответствующий орган прокуратуры.

      В случае грубых нарушений Правил государственного контроля результаты соответствующей проверки не могут являться доказательствами нарушения субъектом КИИ требований по обеспечению безопасности и подлежат отмене на основании заявления данного субъекта КИИ. К таким грубым нарушениям относятся:

      • отсутствие оснований для проведения проверки;
      • нарушение срока уведомления о проведении проверки;
      • нарушение срока проведения проверки;
      • проведение проверки без приказа ФСТЭК России;
      • невручение руководителю субъекта КИИ или уполномоченному им должностному лицу акта проверки;
      • проведение плановой проверки, не включенной в ежегодный план проведения плановых проверок.

      Заключение

      С учётом изложенного можно смело говорить о том, что деятельность ФСТЭК России по обеспечению безопасности КИИ перестаёт носить чисто бюрократический, «бумажный» характер (сопровождение нормативной базы, рассмотрение и согласование документов, подготовленных субъектами КИИ, ведение реестра ЗО КИИ и т.д.) и переходит в практическую плоскость, включая инструменты давления в виде нового КоАП. В связи с этим субъектам КИИ, у которых имеются ЗО КИИ, следует оценить, насколько точно и корректно ими выполняются положения соответствующей нормативной базы. Особенно это актуально для тех субъектов КИИ, которые провели категорирование в 2018-м году.




      [1] — См. Приказы ФСТЭК России 239-2017/60-2019/35-2020 об утверждении и внесении изменений в Требования по обеспечению безопасности КИИ.