Контакты
Подписка 2025

Ответы на актуальные вопросы о безопасности объектов КИИ

Алексей Кубарев, 12/01/21

Первая заповедь ИБ гласит, что общая защищенность системы равняется защищенности наименее защищенной ее части. Как правило, наименее защищенной частью является человек – обычно это работник, который взаимодействует с системой, но иногда даже безопасник. Поэтому всем нам надо быть крайне внимательными и помогать друг другу.

Алексей Кубарев, заместитель начальника управления ФСТЭК России

Напомню что с 1 января 2021 г. вступает в силу требование об образовании сил обеспечения безопасности КИИ, а именно ответственных за обеспечение безопасности. Напомню также, что со следующего года начинается госконтроль, и представители ФСТЭК России будут ездить на объекты КИИ. А в Госдуме сейчас рассматривается законопроект изменений в КОАП в части правонарушений за несоблюдение норм законодательства в области обеспечения безопасности КИИ.

– Вы упомянули о плановых и внеплановых проверках. Будет ли опубликован график таких проверок?

– План проверок в области обеспечения безопасности закрытый, поэтому опубликован он не будет. Но в соответствии с законодательством всем субъектам, подпадающим под госконтроль в следующем году, до 1 января 2021 г. мы направим соответствующее уведомление.

– А как будут проходить внеплановые проверки?

– Внеплановые проверки будут проходить в случае поступления обращения в ФСТЭК о произошедшем компьютерном инциденте. Если время позволяет, то мы заранее посылаем приказ субъекту КИИ, если нет, то ознакомим с приказом уже на месте.

– Правильно ли считать, что ФСТЭК выступает против найма подрядных организаций в рамках процессов обеспечения безопасности КИИ?

– Мы не приветствуем привлечение подрядных организаций для категорирования, но для реализации мер обеспечения безопасности это вполне допустимо.

– Но позиция ФСТЭК ведь не исключает использование консультантов, то есть внешней компетенции, и речь идет именно об ответственности за документ и об использовании внутренней экспертизы самого владельца КИИ?

– Дело не только в ответственности. Субъекту КИИ в процессе выполнения требований 187-ФЗ необходимо оценивать свои информационные ресурсы, свои бизнес-процессы, и мы считаем, что лучше, чем сам субъект КИИ, в этом никто не разберется. Все эти сведения нужно сопоставить, и потом уже приступать к оценке возможных последствий, в этом лучше, чем субъект КИИ, тоже никто не разбирается. Существуют отраслевые методички в части выполнения норм закона, вот они и есть лучшие консультанты.

– Есть ряд вопросов о разграничении ответственности. Становятся ли контрагенты предприятия ВПК, выполняющие совместные контракты в рамках гособоронзаказа, субъектами КИИ? Если да, то на какой срок?

– При определении субъектов КИИ, которые осуществляют деятельность сфере оборонной промышленности, мы ориентируемся на перечень, утвержденный Минпромторгом. Если организация входит в состав этого перечня, то мы с ней работаем, более того, мы с ней уже поработали.

Если же речь идет просто о подрядчике, который, скажем, привезет бетон или поставит дисплеи для общего использования, то мы не считаем, что эта организация осуществляет деятельность в сфере оборонной промышленности.

– Как субъект КИИ, владелец ЗОКИИ должен определять требования к сторонним организациям, пользователям ЗОКИИ? Достаточно ли указать категорию значимости? Или нужно указать конкретные меры защиты, которые должны выполняться пользователями? Или необходимо указывать актуальные угрозы, которые должны быть нейтрализованы на стороне пользователей?

– Нужно действовать в зависимости от ситуации. Но в любом случае ответственность лежит на субъекте КИИ, которому объект принадлежит на законном основании. И именно от субъекта КИИ мы будем требовать выполнение всех необходимых мер. Кем эти меры должны быть непосредственно реализованы, это уже второй вопрос. Но важно, чтобы меры были реализованы. Субъект КИИ вправе для этого заключать договоры, распределять ответственность, разграничивать обязанности. Но, повторюсь, важно, чтобы безопасность объекта КИИ была обеспечена.

– При категорировании ОКИИ учитывается только ущерб федеральному бюджету? Или также и региональным бюджетам и внебюджетным фондам, например, ПФР?

– В показателе написано: "ущерб бюджетам Российской Федерации" к которым относятся и региональные, и иные бюджеты.

– Какова судьба методики моделирования угроз?

– Проект методики с сайта нами снят, но полезные замечания и предложения по нему продолжают поступать, поэтому мы продолжаем работать над этим проектом.

– Обсуждался вопрос о мерах принуждения производителей ПО, используемого в ЗОКИИ, которые не являются лицензиатами ФСТЭК. Найдено ли какое-то решение?

– Нет, пока еще решения нет, мы думаем над этим. Время еще есть.

– Вопрос о проектировании со ссылкой на опыт проектирования объектов ТЭК, куда включаются требования об информационной безопасности. Как оценивать разработку разделов проекта информационной безопасности: дополнительная стоимость договора есть или нет, имеются ли какие-то смежные нормативы для проектной документации, к какому разделу проектной документации относить информационную безопасность и будет ли госэкспертиза на разделы по ИБ, есть ли там специалисты?

– Эти вопросы целесообразно первоначально адресовать представителям Главгосэкспертизы. Мы осуществляли с ними взаимодействие, они проводили работу и, насколько можно судить, выработали мнение по обсуждаемой теме. Если же ответ все-таки не удастся получить, то обращайтесь к нам, попробуем разобраться вместе.

– Какова позиция ФСТЭК относительно проекта Минцифры по обеспечению технологической независимости и запрету на СЗИ для ЗОКИИ, даже сертифицированых ФСТЭК?

– Мы в свое время проект этого указа согласовали в части компетенции. Обращаю внимание, что импортозамещение – не компетенция ФСТЭК. Поэтому наше отношение такое: ФСТЭК России проект указа согласован.

Если проект постановления пройдет в такой редакции, то, безусловно, он будет распространяться и на сертифицированные зарубежные средства защиты информации тоже.

– Какова процедура перевода незначимого ОКИИ в значимый ОКИИ? Каковы сроки, последовательность действий? В 127-м постановлении и 187-ФЗ нет никаких деталей.

– На самом деле вся информация имеется, там есть случаи, при которых необходимо пересматривать категорию значимости (раз в год). Поэтому нет надобности излагать новый порядок, если подходит общий. То есть ответ: в общем порядке. Если комиссия приняла решение, подписала заключение, подготовила сведения и в положенные сроки направила их в ФСТЭК России, мы их в положенные сроки рассмотрим, и дальше развилка – и по закону, и по постановлению правительства. То есть в этом случае применима общая процедура.

– Были ли прецеденты выхода организаций из статуса субъекта КИИ?

– Да, были такие случаи: организация перестала существовать, организация влилась в другую организацию, организация перестала осуществлять тот или иной вид деятельности либо организация вывела из эксплуатации все свои информационные системы, АСУ и ИТКС, такое тоже теоретически может случиться. Я в своей деятельности сталкивался со случаями, когда организация переставала существовать и когда организация переставала осуществлять виды деятельности.

– Вопрос по поводу станков с ЧПУ. Как обеспечить выполнение 239-го приказа применительно к отдельно взятому станку, не подключенному ни к какой сети, с ПО иностранного производства, если все-таки система комиссией признана ЗОКИИ?

– Нет никаких особенных сложностей. Есть требования – их необходимо реализовать. В требованиях предусмотрено, что отдельные меры можно реализовать организационными методами. Ведь, как правило, на станок нельзя установить, скажем, антивирус. Кроме того, не нужно забывать, что в требованиях предусмотрено такое мероприятие, как адаптация базового набора мер.

То есть технологии используются, а меру реализовать невозможно. Но вместо этого можно, например, поставить железную дверь, часового или видеонаблюдение, – это приемлемое решение. Поэтому вопрос надо ставить так: "Какие конкретно меры невозможно реализовать?" – и от этого отталкиваться в решении.

– Надо ли включать в перечень ОКИИ, подлежащих категорированию, вновь создаваемые ОКИИ на стадии утверждения ТЗ и направлять перечень в ФСТЭК? По 127-му постановлению направляются сразу результаты категорирования. А как быть с перечнем?

– Есть требование о предоставлении результатов категорирования, но можно направить и перечень на стадии утверждения ТЗ.

– Если объект КИИ используется, а клиентская часть эксплуатируется широким кругом лиц, которых может быть более более тысячи – подведомственные организации, клиенты, состав которых постоянно меняется, нужно ли указывать в сведениях информацию о таких лицах, эксплуатирующих объект (п. 4), и количество программно-аппаратных средств (п. 5.1)?

– Если взаимодействие происходит по клиент-серверной технологии, например через браузер, то, конечно, не нужно. Простой пример – сайт госуслуг: граждане получают к нему доступ со своего мобильного телефона, но это не значит, что субъект, которому принадлежит сайт госуслуг, должен каждый мобильный телефон включать в перечень средств. Следует считать, что это внешнее средство вычислительной техники, которое просто в той или иной части получает доступ к системе.

С другой стороны, если выделенная часть, территориально удаленная от объекта КИИ, важна для технологического процесса, обеспечиваемого этим объектом, то есть ее отключение может нарушить корректность функционирования объекта, то необходимо считать, что это есть часть объекта. Даже если таких частей тысяча, надо все указывать.

– Все объекты КИИ уникальны, но все-таки есть типовые решения, типовые подходы. Есть ли какое-то движение в плане обобщения лучших практик?

– Да, мы к этому уже тоже сами подходим и начинаем над этим работать. Это будет сложная работа, но мы постараемся ее сделать, начиная со II квартала 2021 г.

– Есть ли планы по изменению приказов ФСТЭК в 2021 г.?

– Такие планы есть, информация будет опубликована на сайте ФСТЭК России. Мы собираемся в следующем году внести изменения в приказ No31 от 14 марта 2014 г. Вполне возможно, что будут вноситься изменения и в другие документы.

– Стоит ли в 2021 г. ожидать внесения изменений в 187-ФЗ?

– Мы пока смотрим, что можно в законе усовершенствовать, чтобы он работал эффективнее. Мы считаем, что пока не сложилась достаточная правоприменительная практика, ее нужно накопить, чтобы потом единым пакетом внести нужные поправки. Но маловероятно, что это произойдет в 2021 г.

Темы:Интернет вещей (IoT)ФСТЭККИИКатегорированиеАСУ ТПЖурнал "Информационная безопасность" №6, 2020

Программа мероприятий
по информационной безопасности
на ТБ Форуме 2025
Крокус Экспо | 11-13 февраля 2025

Посетить
Обзоры. Спец.проекты. Исследования
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля 2025
Получите комментарии экспертов на ТБ Форуме 2025
Статьи по той же темеСтатьи по той же теме

  • Про m-TrusT для АСУ ТП в новой удобной форме
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    C самого начала мы позиционировали m-TrusT предназначенным в основном именно для АСУ ТП, и, казалось бы, об этом написано уже просто все. Более того, АСУ ТП и является одной из основных сфер фактического применения этого решения. Стоит ли писать еще один текст на ту же тему?
  • Информационная безопасность АСУ ТП. Основные тренды и тенденции 2024 года
    Алексей Петухов, руководитель отдела по развитию продуктов InfoWatch ARMA
    В текущем году исполнилось 10 лет с момента официального развития темы информационной безопасности автоматизированных систем (ИБ АСУ ТП) в России.
  • Актуальная проблема защиты информации в АСУ ТП
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    Совершенно естественно, что регуляторы предъявляют требования к системам и выполнять их должны владельцы систем. На этом, пожалуй, все. Дальше начинается что-то неестественное. Давайте попробуем понять почему и исправить.
  • Какие проблемы остро стоят в аспекте защиты АСУ ТП в 2024 г.?
    Кибербезопасность АСУ ТП остается критически важной и сложно решаемой задачей, с существенными отличиями от защиты корпоративного сегмента. Эксперты в области безопасности промышленных систем поделились своим мнением по нескольким вопросам, подготовленным редакцией журнала “Информационная безопасность”.
  • Криптографический протокол защищенного обмена для индустриальных систем стал национальным стандартом
    Марина Сорокина, руководитель продуктового направления компании “ИнфоТеКС”
    1 апреля 2024 г. вступил в силу ГОСТ Р 71252–2024 “Информационная технология. Криптографическая защита информации. Протокол защищенного обмена для индустриальных систем”, утвержденный приказом Росстандарта № 235-ст от 15 февраля 2024 г.
  • Сообщество RUSCADASEC: для кого оно и какие проблемы решает
    Илья Карпов, основатель RUSCADASEC, ведущий специалист по информационной безопасности в отделе исследовательской лаборатории BI.ZONE
    В одной из соцсетей в начале 2000-х зародилась группа RUSCADASEC, посвященная темам безопасности АСУ ТП, со временем переросшая в полноценное сообщество по кибербезопасности. Как это было?

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
13 февраля | Подходы и инструменты управления процессом РБПО
Узнайте на ТБ Форуме 2025!

More...
ТБ Форум 2025
13 февраля. Отечественные ИТ-системы и российское ПО
Жми, чтобы участвовать

More...