Контакты
Подписка
МЕНЮ
Контакты
Подписка

Бумажная vs реальная безопасность объектов КИИ, что важнее?

Игорь Писаренко, 20/09/19

Мы все живем в хрупком мире, во многом зависящем от информационных технологий, которые управляют технологическими процессами, энергетическими системами, транспортом, связью, финансами, обороной, безопасностью и многими другими отраслями нашей жизни, а их внедрение, автоматизация управления процессами сделало все эти отрасли уязвимыми перед компьютерными атаками.
 
Игорь Писаренко
Департамент информационной безопасности, ПАО Банк “ФК Открытие”, к.т.н., доцент
 

Проблема кибербезопасности сегодня очень актуальна, особенно если речь идет об объектах инфраструктуры, от которых напрямую зависит жизнедеятельность городов, отдельных регионов, а то и всей страны в целом.

Нарушение стабильной и бесперебойной работы систем критической информационной инфраструктуры (КИИ) не только создает угрозу здоровью и жизни людей, но и негативно влияет на экономическую, политическую и социальную устойчивость региона и государства в целом. Устойчивое и непрерывное функционирование КИИ при проведении на нее компьютерных атак – основополагающий принцип обеспечения информационной безопасности КИИ.

Вопросы регулирования

Общий ущерб от вредоносных программ, исходя из различных методик, оценивается в сумму от $300 млрд до $1 трлн, или 0,4–1,4% общемирового ежегодного ВВП.

В этих условиях государство должно брать на себя ведущую роль в обеспечении безопасности объектов КИИ, формировать силы и средства безопасности, выступать драйвером и контролером такой деятельности.

Вступивший в силу с 1 января 2018 г. Федеральный закон ФЗ-187 "О безопасности критической информационной инфраструктуры Российской Федерации" как раз и направлен на регулирование отношений в области обеспечения безопасности КИИ Российской Федерации в целях ее устойчивого функционирования при проведении в отношении ее компьютерных атак.

В плане регулирования отношений в области обеспечения безопасности КИИ в условиях проведения компьютерных атак ФЗ-187 выделяет два основных направления: обеспечение безопасности объектов КИИ и противодействие компьютерным атакам.

Законом в первую очередь определяется комплекс мероприятий по обеспечению безопасности объектов КИИ, в том числе категорирование объектов КИИ, требования к обеспечению безопасности значимых объектов КИИ, их оценка и государственный контроль в области обеспечения безопасности.

Основными задачами системы безопасности значимого объекта КИИ в соответствии с ФЗ-187 являются:

  •  предотвращение неправомерного доступа к информации, обрабатываемой значимым объектом КИИ, уничтожения такой информации, ее модифицирования, блокирования, копирования, предоставления и распространения, а также иных неправомерных действий в отношении такой информации;
  •  недопущение воздействия на технические средства обработки информации, в результате которого может быть нарушено и (или) прекращено функционирование значимого объекта КИИ;
  •  восстановление функционирования значимого объекта КИИ, обеспечиваемого в том числе за счет создания и хранения резервных копий необходимой для этого информации;
  •  непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.

Второе направление, важная новация закона – механизм реализации Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА), представляющей собой единый территориально распределенный комплекс, включающий силы и средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты. ГосСОПКА должна взять под государственный контроль все уже существующие системы информационной безопасности объектов КИИ и стать единым центром управления безопасностью этих объектов.

Организация и контроль

Законодательно определены два федеральных органа исполнительной власти, которые непосредственно организуют и контролируют исполнение ФЗ-187, это ФСТЭК России, которая в соответствии с Указом Президента Российской Федерации от 25.11.2017 № 569 отвечает за обеспечение безопасности объектов КИИ, и ФСБ России, которая в соответствии с Указом Президента Российской Федерации от 15.01.2013 № 31с отвечает за создание и функционирование ГосСОПКА, а также за обмен информацией о компьютерных инцидентах между субъектами КИИ. Кроме того, законом предусмотрено создание национального координационного центра по компьютерным инцидентам (НКЦКИ), который является центральным узлом ГосСОПКА, и предполагается создание отраслевых, региональных, корпоративных и других центров реагирования на компьютерные инциденты, объединенных форматами взаимодействия, разработанными в ФСБ России.

Правительство Российской Федерации и соответствующие федеральные органы исполнительной власти имеют полномочия формировать требования к организациям для обеспечения безопасности объектов КИИ. И такие требования по обеспечению безопасности на сегодняшний день уже сформированы в виде постановления Правительства Российской Федерации от 08.02.2018 № 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской федерации, а также Перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений" и ряда приказов ФСТЭК и ФСБ России, они обязуют субъекты КИИ проводить категорирование и обеспечивать безопасность значимых объектов КИИ, оповещать о компьютерных атаках, в установленные сроки предоставлять информацию регуляторам.

Все это касается различных аспектов так называемой бумажной безопасности, и здесь все достаточно полно зарегламентировано, остается только провести все указанные в законе и подзаконных актах мероприятия, задокументировать их и уведомить об этом ФСТЭК России. Причем таких мероприятий много, и их реализация потребует значительных усилий и ресурсов.

Реальная безопасность

Что касается реальной безопасности, здесь не все так гладко и просто.

Субъектов КИИ, по самым скромным подсчетам, в России несколько десятков тысяч, и каждый имеет свою структуру, систему защиты информации, особенности функционирования объектов КИИ, в том числе:

  •  уровень обеспечения ИБ;
  •  наличие в штате работников, ответственных за обеспечение безопасности значимых объектов КИИ;
  •  разнородность применяемых решений автоматизации;
  •  системы и средства обеспечения информационной безопасности;
  •  уровень компетенции персонала и разработчиков систем автоматизации в области ИБ;
  •  процедуры и политики обеспечения информационной безопасности.

Далеко не каждый субъект КИИ имеет требуемый Правилами категорирования объектов КИИ уровень обеспечения ИБ, возможность выделить работника безопасности, необходимые системы и СЗИ.

Но при этом нормативные акты регуляторов предъявляют достаточно жесткие требования к субъектам КИИ. Так, например, приказом ФСТЭК № 235 "Об утверждении Требований к созданию систем безопасности значимых объектов КИИ Российской Федерации и обеспечению их функционирования" субъектам КИИ предписано выделять ответственных за обеспечение безопасности значимых объектов КИИ, с обширным функционалом, требующим определенных компетенций в области информационной безопасности, внедрять программные и программно-аппаратные средства защиты информации, применять организационные меры защиты и разрабатывать значительное количество документов по безопасности значимых объектов КИИ. И далеко не каждый субъект КИИ может это выполнить.

Приказом ФСТЭК № 239 "Об утверждении Требований по обеспечению безопасности значимых объектов КИИ Российской Федерации" определены требования к применяемым мерам защиты для каждого класса значимых объектов (по 17 направлениям защиты), при этом реализация части указанных мер требует серьезных финансовых затрат, от финансирования введения в штат специалиста по безопасности до закупки и внедрения эффективных систем и средств обеспечения ИБ. Может получиться так, что кому-то придется либо фактически заново создавать систему безопасности, либо соотносить имеющуюся систему защиты информации с требованиями ФСТЭК в части КИИ и при необходимости ее дорабатывать с соответствующими затратами. Работы по подключению к ГосСОПКА, также потребуют определенных затрат от субъектов КИИ.

Таким образом, исполнение ФЗ-187 потребует существенных затрат как со стороны владельцев информационных систем, так и со стороны государства.

Уголовная ответственность

Можно также выделить еще один аспект "реальной" безопасности, определяющий уголовную ответственность по ст. 274.1 Уголовного кодекса Российской Федерации и предусматривающий ответственность за нарушения в сфере КИИ вплоть до лишения свободы сроком на 10 лет, в случае нарушений, повлекших тяжкие последствия. В законе о КИИ дается ясная трактовка: в случае, если объект КИИ не был защищен должным образом и ему был нанесен вред, должностные лица могут понести ответственность в рамках УК РФ.

Конечно, противопоставлять "бумажную" и "реальную" безопасность не совсем корректно: любая деятельность наряду с реальным выполнением организационных и технических мероприятий требует их планирования, контроля и отчетности, фиксации результатов. Понятно, что часть требований настоящего закона должна быть закрыта соответствующими перечнями объектов КИИ, актами категорирования, моделями угроз, техническими заданиями и заключениями соответствия, которые предоставляются регулятору. Другая часть требований закона может быть реализована внедрением и использованием программных и программно-аппаратных средств защиты.

Все это направлено на создание реальной, действующей системы безопасности объектов КИИ страны. И в этом плане ФЗ-187 безусловно важен и нужен и уже фактически работает: так, по информации директора НКЦКИ Н. Мурашова, в 2018 г. ГосСОПКА выявила более 4 млрд компьютерных атак на российскую критическую инфраструктуру. Только на информационную инфраструктуру чемпионата мира по футболу было совершено более 25 млн вредоносных воздействий.

Реализация закона должна позитивно сказаться на деятельности организаций, которые сегодня зачастую несут прямые потери от своего невнимания к проблемам безопасности, с учетом того, что в последние годы существенно увеличилось число компьютерных атак и злоумышленники постоянно находят новые способы их реализации. Тенденция последних лет – ужесточение требований информационной безопасности, особенно для госсектора и КИИ, – является необходимой ответной мерой злоумышленникам.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #3, 2019

Темы:ГосСОПКАКИИ

Саммит субъектов КИИ-1

Москва, 26 сентября

Печатное издание
Интернет-портал
Стать автором
Комментарии

More...