Контакты
Подписка 2022
МЕНЮ
Контакты
Подписка

Актуальные вопросы построения защиты объектов КИИ

Константин Саматов, 12/08/22

С момента вступления в силу Федерального закона “О безопасности критической информационной инфраструктуры” прошло уже более четырех лет, и все субъекты критической информационной инфраструктуры уже создали или, как минимум, должны были создать системы безопасности своих значимых объектов КИИ. Однако жизнь не стоит на месте, появляются новые объекты КИИ и новые вопросы, связанные с построением и совершенствованием системы их защиты. Кроме того, весной 2022 г. появились новые нормативно-правовые акты, так или иначе оказывающие влияние на защиту объектов КИИ.

Автор: Константин Саматов, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности

Категорирование вновь создаваемых объектов КИИ

Несмотря на то что предусмотрены отдельные нормы, посвященные категорированию вновь создаваемых объектов, в Правилах категорирования объектов КИИ, утвержденных постановлением Правительства РФ No 127 от 08.02.2018 г., тем не менее не все так однозначно.

Перед специалистами субъекта КИИ на практике встают следующие вопросы:

  1. Как быть с объектами КИИ, создаваемыми длительное время, технические требования к которым утверждены до апреля 2019 г.?
  2. Что делать в случае, если уже существующий объект начал участвовать в автоматизации критического процесса?
  3. При каких условиях осуществлять пересмотр категории значимости? И т.п.

Подробнее ответы на эти вопросы были рассмотрены автором в одной из статей журнала "Information Security/ Информационная безопасность", No 2, 2021 г.

Масштабирование системы безопасности значимых объектов КИИ

На практике проблема обычно заключается в том, что не всегда возможно обеспечить защиту вновь создаваемого объекта КИИ или модернизируемого объекта, в случае изменения его архитектуры, аппаратно-программными средствами ранее созданной СБ ЗОКИИ. Часть этих средств будет несовместима с новыми архитектурными и/или программно-аппаратными решениями. В целом решение данной проблемы заключается в том, чтобы на этапе создания грамотно спроектировать необходимые решения и интеграцию с существующей СБ ЗОКИИ, а в случае невозможности интеграции с существующими подсистемами безопасности предусмотреть в рамках вновь создаваемых или модернизируемых ЗОКИИ новые подсистемы безопасности.

Кроме того, совсем недавно появилась и такая проблема: не все средства защиты, входящие в состав созданных СБ ЗОКИИ, можно будет применять в будущем. И здесь мы плавно переходим к следующему вопросу.

Импортозамещение аппаратной части и программного обеспечения

Тема импортозамещения достаточно стара, автор уже касался ее на страницах данного журнала [1], однако весной 2022 г. в данной сфере произошли достаточно серьезные изменения, связанные с ускорением импортозамещения в части объектов КИИ. Так, было издано два указа президента РФ.

  1. Указ Президента РФ No 166 от 30.03.2022 г. "О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации".
  2. Указ Президента РФ No 250 от 01.05.2022 г. "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации".

Что важного для субъекта КИИ содержат данные указы? В соответствии с ними с 1 января 2025 г.:

  1. Органам государственной власти и компаниям с госучастием [2] запрещается использовать иностранное программное обеспечение на принадлежащих им значимых объектах КИИ. Иными словами, органы и организации, попавшие в указанную категорию, – а это большое количество крупных субъектов КИИ – должны до 1 января 2025 г. полностью импортозаместить программную часть своих значимых объектов КИИ. Причем исключительно российским программным обеспечением, никакое иностранное ПО, в том числе из "дружественных" стран, не допускается.
  2. Субъектам КИИ запрещается использовать средства защиты информации, странами происхождения которых являются иностранные государства, совершающие недружественные действия в отношении Российской Федерации, российских юридических и физических лиц, либо производителями которых являются организации, подконтрольные таким государствам (аффилированные с ними). Таким образом, с 1 января 2025 г. субъектам КИИ нельзя будет использовать средства защиты информации из зарубежных государств, входящих в список недружественных [3], для всех принадлежащих им информационных ресурсов (неважно, относятся они к значимым объектам КИИ или нет). С учетом того что совершение недружественных действий представляет собой переменную величину, зависящую от времени и геополитической ситуации, фактически указанный запрет означает явный приоритет российских средств защиты информации и возможность использования зарубежных только в случаях крайней необходимости.

Однако вопрос применения тех или иных средств защиты информации связан не только с импортозамещением, но и со следующим, четвертым, вопросом – оценкой соответствия средств защиты информации.

Оценка соответствия средств защиты информации

С 1 января 2023 г. вступают в силу требования приказа ФСТЭК России No 35 от 20.02.2020 г., вносящего изменения и дополнительные меры в Требования по обеспечению безопасности значимых объектов КИИ, утвержденные приказом ФСТЭК России No 239 от 25.12.2017 г.

  1. Необходимость соответствия средств защиты информации, не встроенных в общесистемное или прикладное программное обеспечение (наложенных), применяемых на значимых объектах КИИ по шестому или более высокому уровню доверия. Оценка средств защиты информации по уровням доверия осуществляется в форме сертификации, проводимой производителем (разработчиком), либо самостоятельно субъектом КИИ в форме оценки соответствия, процедура которой практически не отличается от сертификации. Ввиду сложности, трудозатратности и длительности по времени проведения оценки соответствия по уровням доверия для субъектов КИИ, не обладающих опытом сертификации (своей продукции или приобретаемых средств защиты) и не имеющих в своем составе испытательных лабораторий, экономически более выгодно приобретать сертифицированные средства защиты информации в случаях:
    - создания нового значимого объекта КИИ;
    - модернизации значимого объекта КИИ в рамках отдельного частного технического задания (технического проекта);
    - замены текущих (внедренных до 01.01.2023 г.) средств защиты информации: замена на аналог, смена версии, покупка новых лицензий.
  2. Для общесистемного программного обеспечения и встроенных в него средств защиты информации, применяемых на значимых объектах КИИ, необходимость соответствия требованиям к уровню доверия не установлена, в связи с чем для обеспечения безопасности (в том числе после 01.01.2023 г.) допускается использование средств защиты информации, встроенных в общесистемное программное обеспечение, при условии их соответствия требованиям к функциям безопасности, установленным в техническом задании на создание значимого объекта КИИ и (или) техническом задании (частном техническом задании) на создание подсистемы безопасности значимого объекта КИИ.
  3. Для прикладного программного обеспечения, планируемого для внедрения в рамках создания, модернизации, реконструкции или ремонта значимого объекта КИИ и обеспечивающего выполнение его функций по назначению, устанавливается необходимость его соответствия требованиям по безопасности (требованиям по безопасной разработке программного обеспечения, требованиям к испытаниям по выявлению уязвимостей в программном обеспечении, требованиям к поддержке безопасности программного обеспечения).

В заключение наряду с проблемными вопросами хотелось бы отметить и положительный момент, влияющий на построение системы защиты объектов КИИ. Уже упоминавшийся автором Указ Президента РФ No 250 от 01.05.2022 г. возложил на руководителя субъекта КИИ персональную ответственность за обеспечение информационной безопасности (п. 2 Указа).

По сути, данная норма означает, что теперь большинство руководителей, уделявших второстепенное внимание вопросам информационной безопасности, станут задумываться о необходимости вникать в вопросы защиты объектов информационной инфраструктуры, а значит, диалог между менеджментом и руководителем службы информационной безопасности теперь будет складываться более конструктивно.

Помимо этого, по мнению автора, следует ожидать:

  • большего внимания к запросам подразделения информационной безопасности;
  • увеличения штатной численности подразделения информационной безопасности, более легкого обоснования руководителю такой необходимости и меньшего сопротивления со стороны смежных подразделений; 
  • увеличения бюджетов на информационную безопасность и менее сложного их обоснования.

  1. Саматов К.М. Проблемы импортозамещения объектов КИИ // Information Security/Информационная безопасность. 2021. No 6. С. 16–17.
  2. Подробнее о критериях отнесения к данной категории см. ст. 1 ч. 2 Федерального закона No 223-ФЗ от 18.07.2011 г. “О закупках товаров, работ, услуг отдельными видами юридических лиц”.
  3. В настоящее время такой перечень утвержден распоряжением Правительства РФ No 430-р от 05.03.2022 г. “Об утверждении перечня иностранных государств и территорий, совершающих недружественные действия в отношении Российской Федерации, российских юридических и физических лиц”.
Темы:ИмпортозамещениеКИИЖурнал "Информационная безопасность" №3, 2022
Статьи по той же темеСтатьи по той же теме

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2022
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ

More...