03 февраля 2021

Обеспечение безопасности КИИ. Что год текущий нам готовит…

    В наступившем 2021-м году стартуют несколько важных новаций в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации. Причём речь идёт не только об изменениях и дополнениях в нормативных документах, регламентирующих соответствующую деятельность, но и про, так сказать, вполне реальную жизнь.

    Перечень новаций 2021 выглядит следующим образом:

    • субъекты КИИ должны создать силы обеспечения безопасности значимых объектов КИИ (далее — ЗО КИИ);
    • вносятся изменения в Кодекс Российской Федерации об административных правонарушениях (КоАП) за нарушения в области обеспечения безопасности КИИ;
    • начинает работать государственный (инспекторский) контроль обеспечения безопасности КИИ со стороны ФСТЭК России.

    О силах обеспечения безопасности значимых объектов КИИ

    Создание сил обеспечения безопасности ЗО КИИ и требования к ним прописаны в Приказе ФСТЭК России от 21 декабря 2017 г. № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования» (далее — Требования) и уточнены в Приказе ФСТЭК России от 27 марта 2019 г. № 64 о внесении изменений в Требования.

    Состав сил безопасности КИИ

    Согласно Требованиям, к силам обеспечения безопасности ЗО КИИ относятся:

    • подразделения (работники) субъекта КИИ, ответственные за обеспечение безопасности ЗО КИИ;
    • подразделения (работники), эксплуатирующие и обеспечивающие функционирование (сопровождение, обслуживание, ремонт) ЗО КИИ;
    • иные подразделения (работники), участвующие в обеспечении безопасности ЗО КИИ.

    Ответственным за организацию и работу сил обеспечения безопасности ЗО КИИ является руководитель субъекта КИИ (или лицо, им уполномоченное). Он определяет состав, структуру и функциональные обязанности таких сил, в частности, создаёт или определяет структурное подразделение, ответственное за обеспечение безопасности ЗО КИИ или назначает отдельных работников для решения соответствующих задач.

    Задачи подразделения

    Структурное подразделение по безопасности, специалисты по безопасности должны:

    • обеспечивать безопасность ЗО КИИ в соответствии с предъявленными к данному объекту требованиями[1]: реализовывать соответствующие организационные меры, применять средства защиты информации;
    • анализировать угрозы безопасности информации и выявлять уязвимости в ЗО КИИ;
    • осуществлять реагирование на компьютерные инциденты в ЗО КИИ;
    • организовывать проведение оценки соответствия ЗО КИИ требованиям по безопасности;
    • готовить предложения по повышению уровня безопасности ЗО КИИ, совершенствованию функционирования соответствующих систем безопасности и организационно-распорядительных документов.

    Для выполнения перечисленных функций субъектами КИИ могут привлекаться организации-лицензиаты ФСТЭК России.

    Возложение на силы обеспечения безопасности ЗО КИИ функций и задач, не связанных с их непосредственной деятельностью, не допускается.

    При необходимости по решению руководителя субъекта КИИ (уполномоченного лица) силы обеспечения безопасности ЗО КИИ могут быть созданы в обособленных подразделениях (филиалах, представительствах, дочерних организациях) субъекта КИИ, в которых эксплуатируются соответствующие объекты.

    Требования к работникам

    Работники сил обеспечения безопасности ЗО КИИ должны соответствовать следующим требованиям:

    • у руководителя: высшее профессиональное образование по специальности в области информационной безопасности или иное высшее профессиональное образование в совокупности с документом о профессиональной переподготовке по направлению «Информационная безопасность» (со сроком обучения не менее 360 часов), наличие стажа работы в сфере информационной безопасности не менее 3 лет;
    • у штатных работников: высшее профессиональное образование по специальности в области информационной безопасности или иное высшее профессиональное образование в совокупности с документом о повышении квалификации по направлению «Информационная безопасность» (со сроком обучения не менее 72 часов);
    • прохождение не реже одного раза в 5 лет обучения по программам повышения квалификации по направлению «Информационная безопасность».

    Субъект КИИ не реже одного раза в год должен проводить организационные мероприятия по повышению уровня знаний работников по вопросам обеспечения безопасности КИИ и о возможных угрозах безопасности информации.

    Внесение изменений в КоАП

    Начнём с главного: данные изменения были одобрены Государственной Думой Российской Федерации 27.01.2021 г., второе чтение пока не назначено, поправки принимаются до 25.02.2021 г.

    В КоАП добавлены новые статьи:

    • Статья 13.12.1: нарушение требований в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации;
    • Статья 19.7.15: непредоставление сведений, предусмотренных законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации.

    Статья 13.12.1

    Статья 13.12.1 состоит из пяти пунктов:

    1. Нарушение порядка категорирования объектов КИИ (за исключением случаев, предусмотренных частью 1 статьи 19.7.15): административный штраф для должностных лиц — 10-50 тыс. руб.; для юридических лиц — 50-100 тыс. руб., уполномоченное ведомство — ФСТЭК России.
    2. Нарушение требований к созданию и обеспечению функционирования систем безопасности ЗО КИИ (если нет признаков уголовно наказуемого деяния): административный штраф для должностных лиц — 10-40 тыс. руб.; для юридических лиц — 50-100 тыс. руб., уполномоченное ведомство — ФСТЭК России.
    3. Нарушение требований по обеспечению безопасности ЗО КИИ (если нет признаков уголовно наказуемого деяния): административный штраф для должностных лиц — 10-50 тыс. руб.; для юридических лиц — 50-100 тыс. руб., уполномоченное ведомство — ФСТЭК России.
    4. Нарушение порядка информирования и реагирования на компьютерные инциденты, принятия мер по ликвидации последствий компьютерных атак на ЗО КИИ: административный штраф для должностных лиц — 10-50 тыс. руб.; для юридических лиц — 150-200 тыс. руб., уполномоченное ведомство — ФСБ России.
    5. Нарушение порядка обмена информацией о компьютерных инцидентах между субъектами КИИ (в том числе — с иностранными и международными организациями): административный штраф для должностных лиц — 20-50 тыс. руб.; для юридических лиц — 150-200 тыс. руб., уполномоченное ведомство — ФСБ России.

    Статья 19.7.15

    Статья 19.7.15 состоит из двух пунктов:

    1. Непредоставление или нарушение сроков представления во ФСТЭК России сведений о результатах категорирования: административный штраф для должностных лиц — ‎10-50 тыс. руб.; для юридических лиц — 50-100 тыс. руб., уполномоченное ведомство — ФСТЭК России;
    2. непредставление или нарушение порядка либо сроков представления в систему ГосСОПКА: административный штраф для должностных лиц — ‎10-50 тыс. руб.; для юридических лиц — 100-500 тыс. руб., уполномоченное ведомство — ФСБ России.

    Предлагаемые размеры штрафов позволяют сделать вывод, что утаивание информации об инцидентах и попытки сделать вид, что «ничего не было!» регуляторы считают более тяжкими административными правонарушениями, чем ошибки при реализации требований нормативных документов по обеспечению безопасности КИИ.

    Предполагаемый срок введения в действие нового КоАП — конец I-го — начало II-го полугодия 2021 года.

    Государственный контроль обеспечения безопасности КИИ

    Нормативный документ, регламентирующий соответствующую деятельность, — Постановление Правительства Российской Федерации от 17 февраля 2018 г. № 162 «Об утверждении Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» (далее — Правила государственного контроля).

    Ключевые моменты Правил государственного контроля

    Уполномоченным федеральным органом, осуществляющим государственный контроль обеспечения безопасности КИИ, является ФСТЭК России и её территориальные органы.

    Цель государственного контроля — проверка соблюдения субъектами КИИ положений нормативных документов по обеспечению безопасности КИИ.

    Государственный контроль осуществляется путем проведения плановых и внеплановых выездных проверок, осуществляемых комиссиями в составе не менее двух сотрудников ФСТЭК России в случае плановых проверок и одним сотрудником данной службы в случае внеплановой проверки.

    Плановые проверки

    ФСТЭК России формирует ежегодный план, который должен быть утверждён до 20 декабря года, предшествующего году проведения плановых проверок. Основаниями для осуществления плановой проверки являются истечение 3 лет со дня:

    • внесения сведений об объекте КИИ в реестр ЗО КИИ;
    • окончания осуществления последней плановой проверки в отношении ЗО КИИ.

    Таким образом, в 2021-м году плановые проверки могут быть проведены на ЗО КИИ, информация о присвоении категории значимости которым была внесена в реестр ЗО КИИ в 2018-м году.

    Субъект КИИ уведомляется о проведении плановой проверки не менее, чем за 3 рабочих дня до начала ее проведения, любым доступным способом, обеспечивающим возможность подтверждения факта такого уведомления.

    Внеплановые проверки

    Основаниями для осуществления внеплановой проверки являются:

    • истечение срока выполнения субъектом КИИ предписания ФСТЭК России об устранении выявленного нарушения требований по обеспечению безопасности;
    • возникновение компьютерного инцидента на ЗО КИИ, повлекшего негативные последствия;
    • поручение Президента или Правительства Российской Федерации, требование прокурора.

    Субъект КИИ уведомляется о проведении внеплановой проверки не менее, чем за 24 часа до начала ее проведения любым доступным способом, обеспечивающим возможность подтверждения факта такого уведомления. В случае если поводом для внеплановой проверки стал компьютерный инцидент на ЗО КИИ, ФСТЭК России вправе приступить к ней незамедлительно.

    Оформление результатов проверки

    По результатам проверки составляется соответствующий акт, на основании которого в случае выявления нарушения требований по обеспечению безопасности проверяемому субъекту КИИ выдаётся предписание об устранении выявленного нарушения с указанием срока его устранения. К акту проверки прилагаются протоколы или заключения по результатам контрольных мероприятий, проведенных с использованием программных и аппаратно-программных средств контроля, а также предписания об устранении выявленных нарушений и иные связанные с результатами проверки документы или их копии.

    В случае проведения внеплановой проверки на основании требования прокурора копия акта проверки с копиями приложений высылается в соответствующий орган прокуратуры.

    В случае грубых нарушений Правил государственного контроля результаты соответствующей проверки не могут являться доказательствами нарушения субъектом КИИ требований по обеспечению безопасности и подлежат отмене на основании заявления данного субъекта КИИ. К таким грубым нарушениям относятся:

    • отсутствие оснований для проведения проверки;
    • нарушение срока уведомления о проведении проверки;
    • нарушение срока проведения проверки;
    • проведение проверки без приказа ФСТЭК России;
    • невручение руководителю субъекта КИИ или уполномоченному им должностному лицу акта проверки;
    • проведение плановой проверки, не включенной в ежегодный план проведения плановых проверок.

    Заключение

    С учётом изложенного можно смело говорить о том, что деятельность ФСТЭК России по обеспечению безопасности КИИ перестаёт носить чисто бюрократический, «бумажный» характер (сопровождение нормативной базы, рассмотрение и согласование документов, подготовленных субъектами КИИ, ведение реестра ЗО КИИ и т.д.) и переходит в практическую плоскость, включая инструменты давления в виде нового КоАП. В связи с этим субъектам КИИ, у которых имеются ЗО КИИ, следует оценить, насколько точно и корректно ими выполняются положения соответствующей нормативной базы. Особенно это актуально для тех субъектов КИИ, которые провели категорирование в 2018-м году.




    [1] — См. Приказы ФСТЭК России 239-2017/60-2019/35-2020 об утверждении и внесении изменений в Требования по обеспечению безопасности КИИ.

    Авторы
    • avatar

      Руководитель направления по работе с государственными органами РФ и СНГ, Kaspersky ICS CERT