Контакты
Подписка 2024

Бумажная vs реальная безопасность объектов КИИ, что важнее?

Игорь Писаренко, 20/09/19

Мы все живем в хрупком мире, во многом зависящем от информационных технологий, которые управляют технологическими процессами, энергетическими системами, транспортом, связью, финансами, обороной, безопасностью и многими другими отраслями нашей жизни, а их внедрение, автоматизация управления процессами сделало все эти отрасли уязвимыми перед компьютерными атаками.
 
Игорь Писаренко
Департамент информационной безопасности, ПАО Банк “ФК Открытие”, к.т.н., доцент
 

Проблема кибербезопасности сегодня очень актуальна, особенно если речь идет об объектах инфраструктуры, от которых напрямую зависит жизнедеятельность городов, отдельных регионов, а то и всей страны в целом.

Нарушение стабильной и бесперебойной работы систем критической информационной инфраструктуры (КИИ) не только создает угрозу здоровью и жизни людей, но и негативно влияет на экономическую, политическую и социальную устойчивость региона и государства в целом. Устойчивое и непрерывное функционирование КИИ при проведении на нее компьютерных атак – основополагающий принцип обеспечения информационной безопасности КИИ.

Вопросы регулирования

Общий ущерб от вредоносных программ, исходя из различных методик, оценивается в сумму от $300 млрд до $1 трлн, или 0,4–1,4% общемирового ежегодного ВВП.

В этих условиях государство должно брать на себя ведущую роль в обеспечении безопасности объектов КИИ, формировать силы и средства безопасности, выступать драйвером и контролером такой деятельности.

Вступивший в силу с 1 января 2018 г. Федеральный закон ФЗ-187 "О безопасности критической информационной инфраструктуры Российской Федерации" как раз и направлен на регулирование отношений в области обеспечения безопасности КИИ Российской Федерации в целях ее устойчивого функционирования при проведении в отношении ее компьютерных атак.

В плане регулирования отношений в области обеспечения безопасности КИИ в условиях проведения компьютерных атак ФЗ-187 выделяет два основных направления: обеспечение безопасности объектов КИИ и противодействие компьютерным атакам.

Законом в первую очередь определяется комплекс мероприятий по обеспечению безопасности объектов КИИ, в том числе категорирование объектов КИИ, требования к обеспечению безопасности значимых объектов КИИ, их оценка и государственный контроль в области обеспечения безопасности.

Основными задачами системы безопасности значимого объекта КИИ в соответствии с ФЗ-187 являются:

  •  предотвращение неправомерного доступа к информации, обрабатываемой значимым объектом КИИ, уничтожения такой информации, ее модифицирования, блокирования, копирования, предоставления и распространения, а также иных неправомерных действий в отношении такой информации;
  •  недопущение воздействия на технические средства обработки информации, в результате которого может быть нарушено и (или) прекращено функционирование значимого объекта КИИ;
  •  восстановление функционирования значимого объекта КИИ, обеспечиваемого в том числе за счет создания и хранения резервных копий необходимой для этого информации;
  •  непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.

Второе направление, важная новация закона – механизм реализации Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА), представляющей собой единый территориально распределенный комплекс, включающий силы и средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты. ГосСОПКА должна взять под государственный контроль все уже существующие системы информационной безопасности объектов КИИ и стать единым центром управления безопасностью этих объектов.

Организация и контроль

Законодательно определены два федеральных органа исполнительной власти, которые непосредственно организуют и контролируют исполнение ФЗ-187, это ФСТЭК России, которая в соответствии с Указом Президента Российской Федерации от 25.11.2017 № 569 отвечает за обеспечение безопасности объектов КИИ, и ФСБ России, которая в соответствии с Указом Президента Российской Федерации от 15.01.2013 № 31с отвечает за создание и функционирование ГосСОПКА, а также за обмен информацией о компьютерных инцидентах между субъектами КИИ. Кроме того, законом предусмотрено создание национального координационного центра по компьютерным инцидентам (НКЦКИ), который является центральным узлом ГосСОПКА, и предполагается создание отраслевых, региональных, корпоративных и других центров реагирования на компьютерные инциденты, объединенных форматами взаимодействия, разработанными в ФСБ России.

Правительство Российской Федерации и соответствующие федеральные органы исполнительной власти имеют полномочия формировать требования к организациям для обеспечения безопасности объектов КИИ. И такие требования по обеспечению безопасности на сегодняшний день уже сформированы в виде постановления Правительства Российской Федерации от 08.02.2018 № 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской федерации, а также Перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений" и ряда приказов ФСТЭК и ФСБ России, они обязуют субъекты КИИ проводить категорирование и обеспечивать безопасность значимых объектов КИИ, оповещать о компьютерных атаках, в установленные сроки предоставлять информацию регуляторам.

Все это касается различных аспектов так называемой бумажной безопасности, и здесь все достаточно полно зарегламентировано, остается только провести все указанные в законе и подзаконных актах мероприятия, задокументировать их и уведомить об этом ФСТЭК России. Причем таких мероприятий много, и их реализация потребует значительных усилий и ресурсов.

Реальная безопасность

Что касается реальной безопасности, здесь не все так гладко и просто.

Субъектов КИИ, по самым скромным подсчетам, в России несколько десятков тысяч, и каждый имеет свою структуру, систему защиты информации, особенности функционирования объектов КИИ, в том числе:

  •  уровень обеспечения ИБ;
  •  наличие в штате работников, ответственных за обеспечение безопасности значимых объектов КИИ;
  •  разнородность применяемых решений автоматизации;
  •  системы и средства обеспечения информационной безопасности;
  •  уровень компетенции персонала и разработчиков систем автоматизации в области ИБ;
  •  процедуры и политики обеспечения информационной безопасности.

Далеко не каждый субъект КИИ имеет требуемый Правилами категорирования объектов КИИ уровень обеспечения ИБ, возможность выделить работника безопасности, необходимые системы и СЗИ.

Но при этом нормативные акты регуляторов предъявляют достаточно жесткие требования к субъектам КИИ. Так, например, приказом ФСТЭК № 235 "Об утверждении Требований к созданию систем безопасности значимых объектов КИИ Российской Федерации и обеспечению их функционирования" субъектам КИИ предписано выделять ответственных за обеспечение безопасности значимых объектов КИИ, с обширным функционалом, требующим определенных компетенций в области информационной безопасности, внедрять программные и программно-аппаратные средства защиты информации, применять организационные меры защиты и разрабатывать значительное количество документов по безопасности значимых объектов КИИ. И далеко не каждый субъект КИИ может это выполнить.

Приказом ФСТЭК № 239 "Об утверждении Требований по обеспечению безопасности значимых объектов КИИ Российской Федерации" определены требования к применяемым мерам защиты для каждого класса значимых объектов (по 17 направлениям защиты), при этом реализация части указанных мер требует серьезных финансовых затрат, от финансирования введения в штат специалиста по безопасности до закупки и внедрения эффективных систем и средств обеспечения ИБ. Может получиться так, что кому-то придется либо фактически заново создавать систему безопасности, либо соотносить имеющуюся систему защиты информации с требованиями ФСТЭК в части КИИ и при необходимости ее дорабатывать с соответствующими затратами. Работы по подключению к ГосСОПКА, также потребуют определенных затрат от субъектов КИИ.

Таким образом, исполнение ФЗ-187 потребует существенных затрат как со стороны владельцев информационных систем, так и со стороны государства.

Уголовная ответственность

Можно также выделить еще один аспект "реальной" безопасности, определяющий уголовную ответственность по ст. 274.1 Уголовного кодекса Российской Федерации и предусматривающий ответственность за нарушения в сфере КИИ вплоть до лишения свободы сроком на 10 лет, в случае нарушений, повлекших тяжкие последствия. В законе о КИИ дается ясная трактовка: в случае, если объект КИИ не был защищен должным образом и ему был нанесен вред, должностные лица могут понести ответственность в рамках УК РФ.

Конечно, противопоставлять "бумажную" и "реальную" безопасность не совсем корректно: любая деятельность наряду с реальным выполнением организационных и технических мероприятий требует их планирования, контроля и отчетности, фиксации результатов. Понятно, что часть требований настоящего закона должна быть закрыта соответствующими перечнями объектов КИИ, актами категорирования, моделями угроз, техническими заданиями и заключениями соответствия, которые предоставляются регулятору. Другая часть требований закона может быть реализована внедрением и использованием программных и программно-аппаратных средств защиты.

Все это направлено на создание реальной, действующей системы безопасности объектов КИИ страны. И в этом плане ФЗ-187 безусловно важен и нужен и уже фактически работает: так, по информации директора НКЦКИ Н. Мурашова, в 2018 г. ГосСОПКА выявила более 4 млрд компьютерных атак на российскую критическую инфраструктуру. Только на информационную инфраструктуру чемпионата мира по футболу было совершено более 25 млн вредоносных воздействий.

Реализация закона должна позитивно сказаться на деятельности организаций, которые сегодня зачастую несут прямые потери от своего невнимания к проблемам безопасности, с учетом того, что в последние годы существенно увеличилось число компьютерных атак и злоумышленники постоянно находят новые способы их реализации. Тенденция последних лет – ужесточение требований информационной безопасности, особенно для госсектора и КИИ, – является необходимой ответной мерой злоумышленникам.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #3, 2019

Темы:ГосСОПКАКИИ

Инструменты и решения для защиты информации и предотвращения кибератак
Конференция | 2 апреля 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

  • Решения для криптографической защиты сетевого взаимодействия объектов КИИ на базе платформы m-TrusT
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    Специализированный компьютер с аппаратной защитой данных m-TrusT выпускается серийно и предоставляется вендорам СКЗИ для сертификации своих СКЗИ
  • Мантра о неизвлекаемом ключе. Криптографическая защита в КИИ
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    Остановимся на одном, на первый взгляд самоочевидном, требовании регулятора к СКЗИ высокого класса – неизвлекаемом ключе. Казалось бы, эта тема должна быть раскрыта в современных СКЗИ в полной мере, однако в ней есть важные для применения в КИИ особенности.
  • Проблемы импортозамещения компонентов объектов КИИ в 2024 году
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    В ноябре 2023 года практически завершилось формирование нормативно-правовой базы в части импортозамещения компонентов объектов КИИ.
  • Обзор изменений в ИБ-законодательстве. Сентябрь, октябрь 2023 г.
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Перечень НПА для оценки применения по ПДн. Требования по защите информации для провайдеров хостинга. Проекты стандартов по КИИ.  Сертификация безопасной разработки ПО для изготовителей СрЗИ. Изменения в порядке ведения реестра значимых объектов КИИ. 
  • Подходы и проблематика моделирования угроз для объектов КИИ
    Александр Пуха, начальник отдела аудита и консалтинга АМТ-ГРУП
    Необходимость анализа угроз для ОКИИ обусловлена как требованиями законодательства, так и практической значимостью для построения системы безопасности.
  • Обзор изменений в законодательстве в июле и августе 2023 г.
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Новые субъекты КИИ,  индикаторы риска нарушения требований при обработке ПДн, сертификация МЭ уровня сети и СУБД, импортозамещение в финансовой сфере, рекомендации Роскомнадзора, защита цифрового рубля, изменения в закон об ЭП

Саммит субъектов КИИ-1

Москва, 26 сентября

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать