Почему субъекты транспортной инфраструктуры задерживают исполнение закона о КИИ

Актуальность и своевременность вопросов защиты информационной инфраструктуры в сфере транспорта ускорили процесс принятия закона о безопасности критической информационной инфраструктуры. Сбой в работе или выход из-под контроля ПО, управляющего, например, работой железной дороги или авиалиний, может привести к трагическим последствиям. Руководитель организации в случае серьезного инцидента, который повлек за собой причинение вреда здоровью людей, может быть привлечен не только к административной, но и к уголовной ответственности.

Автор: Алексей Подмарев, CISO Сирена-Трэвел

Все участники транспортной инфраструктуры потенциально являются субъектами критической информационной инфраструктуры, поскольку подпадают под действие Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации" от 26.07.2017 г. № 187-ФЗ (далее -- 187-ФЗ) на основании принадлежности к сфере деятельности. Закон определил понятие термина -- критическая информационная инфраструктура (КИИ), выделил ее субъекты, значимые объекты и способы их защиты.

Объекты КИИ -- это информационные системы (ИС), информационно-телекоммуникационные сети (ИТКС) и автоматизированные системы управления (АСУ) субъектов КИИ. Требования к проведению инвентаризации и категорирование систем в соответствии с 187-ФЗ содержатся в постановлении Правительства РФ от 08.02.2018 г. № 127 "Об утверждении показателей критериев значимости объектов КИИ РФ и их значений, а также порядка и сроков осуществления их категорирования" (127-ПП). Согласно базовым документам, в отношении принадлежащих субъектам КИИ на праве собственности, аренды или ином законном основании объектов КИИ должны проводиться следующие работы:

1. Создание комиссии по категорированию, составление перечня объектов КИИ и его согласование, категорирование объектов КИИ и информирование ФСТЭК¹.
2. Разработка мероприятий по взаимодействию с ФСБ России. Организация взаимодействия с ФСБ России (НКЦКИ). Разработка плана реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак².
3. Создание системы безопасности значимых объектов КИИ³.
4. Обеспечение безопасности значимого объекта КИИ в ходе его эксплуатации⁴.

Если организация явно относится к сфере деятельности из перечня, который приведен в 187-ФЗ, она считается субъектом КИИ и составляет перечень своих объектов КИИ. Далее, уже в процессе категорирования, каждый объект (ИС, ИТКС или АСУ), если он явно или косвенно обеспечивает реализацию функций, относящихся к деятельности организации в рамках рассматриваемой сферы, должен быть отнесен к той или иной категории значимости. В этом случае система может быть классической ИС и не выполнять специализированных функций, явно относящихся к данной сфере, но при этом обеспечивать реализацию критических для рассматриваемой сферы процессов. Примерами могут служить системы контроля и управления доступом (СКУД) или видеонаблюдения в аэропорту. Так или иначе, но всем предприятиям, функционирующим в сфере транспорта, нужно создавать и поддерживать эффективные системы безопасности, а также провести некоторое количество дорогостоящих и продолжительных по времени мероприятий.

Помимо основных регуляторов, указанных в федеральном законе, есть еще отраслевой регулятор – Минтранс России. Поэтому процесс согласования критериев, объектов и результатов категорирования будет многоэтапным. Минтрансом создана комиссия по согласованию перечней объектов у подведомственных организаций. Представители отрасли обязаны провести инвентаризацию ИС, ИТКС и АСУ, составить перечень объектов КИИ, подлежащих категорированию, и направить в Минтранс. Принятое комиссией решение о согласовании перечней объектов КИИ, подведомственных Минтрансу России служб, агентств, предприятий, учреждений и организаций, направляется соответствующему субъекту критической информационной инфраструктуры.

Согласно 127-ПП, категории присваиваются объекту (ИС, АСУ, ИТКС), если он задействован в автоматизации процесса, нарушение или прекращение которого может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка.

Однако часто владелец процесса и владелец ИС -- разные юридические лица. Инвенторные системы бронирования, системы регистрации пассажиров и багажа, автоматизированные распределительные (дистрибутивные) системы, системы взаиморасчетов, да и простые, привычные уже для всех облачные сервисы не передаются клиенту даже на правах аренды, но обеспечивают ему функционирование процессов. Предусмотрена совместная оценка лишь в случае зависимости одного объекта КИИ от другого: "оценка проводится по совокупному масштабу возможных последствий от нарушения или прекращения функционирования всех взаимозависимых процессов".

Границы объекта КИИ просто не позволяют оценивать ущерб, который может быть нанесен инфраструктуре или процессам других компаний. Соответственно, оценка масштаба возможных последствий, предусмотренная пп. "е" п. 14 Правил категорирования (127-ПП), которая проводится исходя из предположения о прекращении или нарушении функционирования вследствие компьютерной атаки на объект критической информационной инфраструктуры, от которого зависит оцениваемый объект, не может быть выполнена в полном объеме.

Типовые варианты комбинаций для категорирования:

• организация осуществляет деятельность в сфере транспорта, но ее процессы вообще не автоматизированы, и организация не имеет свои ИС;
• организация осуществляет деятельность в сфере транспорта, но не имеет свои ИС и пользуется услугами подрядчика;
• организация осуществляет деятельность в сфере транспорта и имеет собственные ИС либо использует чужие на законных основаниях;
• организация не осуществляет деятельность в сфере транспорта, но имеет ИС, функционирующие в сфере транспорта.

Прямое попадание под требования в настоящий момент есть только для третьего варианта. Остальные три просто не смогут выполнить все требования и будут иметь законные основания, чтобы их не выполнять. Поскольку обсуждаемые задачи -- не самые простые и стоят на пересечении зон ответственности кибербезопасности, информационных технологий и промышленной автоматизации, перевозчики совершенно разумно используют все возможные способы, чтобы не попасть под требования 187-ФЗ. Если такой возможности нет, субъекты всяческими способами пытаются признать свои объекты незначимыми и минимизировать количество оборудования, входящего в состав объекта КИИ.

По планам ФСТЭК России процесс присвоения категорий объектам критической информационной инфраструктуры должен был завершиться в 2019 г., после чего предполагалось начать построение системы безопасности, однако на текущий момент далеко не все субъекты транспортной инфраструктуры провели категорирование.

Давайте рассмотрим причины, которые позволяют перевозчикам и субъектам транспортной инфраструктуры задерживать исполнение закона о безопасности критической информационной инфраструктуры.

Избыточность и сложность процедур

Одной из серьезнейших проблем в области воздушного транспорта, влекущей за собой значительные финансовые расходы перевозчиков и субъектов транспортной инфраструктуры, является выполнение требований обеспечения безопасности в сфере транспорта и авиационной безопасности. Активно обсуждаемые в сообществе работы по гармонизации законодательства, которые направлены на исключение избыточных и дублирующих норм, еще не завершены. Появление дополнительных требований по обеспечению безопасности объектов КИИ необходимо для дальнейшего повышения транспортной безопасности как объектов транспортной инфраструктуры, так и транспортных средств по видам транспорта.

Транспортной отрасли и до появления требований к КИИ не хватало четкой и разумной законодательной базы, которая учитывала бы интересы как государства, так и субъектов транспортной инфраструктуры. Нестабильность, очевидная перегруженность и избыточность требований 127-ПП и приказов ФСТЭК России приводят к тому, что основной упор делается на организационные меры, позволяющие обеспечить противодействие кибератакам. Подобный подход в отдельных случаях может оказаться малоэффективным с точки зрения реальной информационной безопасности, но реализованные с его использованием меры защиты будут соответствовать требованиям приказа Федеральной службы по техническому и экспортному контролю от 25.12.2017 г. № 239 "Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации" (239-П).

Возникают ситуации, когда реализовать какую-то из базовых мер безопасности на отдельном объекте КИИ невозможно. Например, так случается на воздушном судне (ВС) в силу запрета установки на него дополнительного программного обеспечения, в том числе антивирусов. В этом случае субъект вправе отказаться от такой меры безопасности, но при этом он должен оценить, реализация каких угроз становится при этом возможна, и принять какие-то иные меры для защиты от них. Приказ ФСТЭК № 239 это разрешает и называет адаптацией базового набора мер безопасности. Очевидно, что такой адаптированный набор мер не позволяет нейтрализовать все угрозы. Но расширить этот набор дополнительными мерами, в том числе разработать дополнительные меры самостоятельно, в большинстве случаев будет означать нарушение условий эксплуатации ВС, которые предписаны производителем.

Отсутствие стандартов ИБ и импортозамещение

Необходимо формирование единого отраслевого механизма непрерывного мониторинга кибербезопасности в сфере транспорта и обмен информацией со всеми заинтересованными участниками. Не хватает специфического методического сопровождения организаций сферы транспорта как в целом по вопросам информационной безопасности, так и в части исполнения 187-ФЗ.

О проблемах взаимосвязанности действий государственных структур РФ и отсутствии собственных стандартов информационной безопасности в гражданской авиации и плохой связанности с иностранным и международным законодательством в авиации я уже писал ранее⁵.

Для примера возьмем ситуацию в гражданской авиации (ГА). По сути, ИС каждого ВС -- цель для кибератаки и рассматривается как объект КИИ. Зарубежные стандарты и их краткое описание приведены в таблице.

Таблица

В России, к сожалению, нет стандартов информационной безопасности в ГА. Совершенно очевидно, что государству необходимо развитие отечественных отраслевых ИС, которые обеспечивают полный цикл коммерческой деятельности, связанной с продажей авиаперевозок, от систем, обеспечивающих хранение и реализацию ресурса мест, до регистрации пассажиров и багажа в аэропорту. Развитие этого направления невозможно в отрыве от кибербезопасности и принятия собственных стандартов. Это потребует много сил, времени и средств, но станет настоящим шагом вперед в деле минимизации рисков угроз национальной безопасности.

Особое внимание должно быть уделено отечественным ИС и системам защиты. Для этого необходимо создание и развитие отечественных внутриотраслевых стандартов ИБ и правил сертификации технических решений защиты, которые можно было бы применить в ГА. Жизненно необходимы российские технологии и технические средства, предназначенные для детектирования и предотвращения компьютерных атак на бортовые информационные системы. Должны быть не только программные, но и правовые, организационные средства, средства сбора и анализа информации, поддержки принятия управленческих решений (ситуационные центры), предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак на транспорте и объектах транспортной инфраструктуры.

Постановлением Правительства РФ от 21 декабря 2019 г. № 1746 в целях обеспечения безопасности КИИ на два года введен запрет на допуск к закупкам иностранных программно-аппаратных комплексов систем хранения данных. Много ли известно отечественных систем хранения данных, которые могли бы быть использованы для хранения логов? Вопрос риторический.

Выполнить требования 239-П в части выстраивания процесса автоматизированного обнаружения инцидентов ИБ, который, в свою очередь, требует обеспечить централизованный сбор, обработку, хранение и анализ событий ИБ с использованием исключительно отечественных решений -- задача не очень реальная. Прежде всего это связано с запретом производителя на установку собственных технических средств защиты. Это касается и бортовых систем ВС, и так называемых платформ фронтальной интеграции, которые позволяют совместное использование аэропортовых стоек различными авиакомпаниями и системами регистрации.

Импортозамещение -- хорошее дело, но оно не должно реализовываться ценой тотального ухудшения реальной безопасности из-за невозможности использовать современные инновационные или проверенные временем средства защиты. Для множества технологий защиты просто не существует отечественных аналогов ПО и устройств. Если в условиях отсутствия стандартов запрещать ввоз средств защиты, мы получим то, что уже имеем: те же импортные устройства с переклеенными шильдиками и немногочисленные отечественные аналоги плохого качества. Ни то, ни другое повышению уровня ИБ не способствует.

Уголовная ответственность

Следующим серьёзным препятствием для честной категоризации часто является ответственность по ст. 274.1 Уголовного кодекса Российской Федерации, которая появляется после признания объекта КИИ. Статьёй предусмотрена ответственность за нарушения в сфере КИИ вплоть до лишения свободы сроком на 10 лет в случае нарушений, повлекших тяжкие последствия. В законе о КИИ дается недвусмысленная трактовка: в случае, если объект КИИ не был защищен должным образом и ему был нанесен вред, должностные лица могут понести ответственность в рамках УК РФ. Надо обратить внимание, что нанесение вреда именно "критической инфраструктуре РФ", а не "компьютерной информации". В данном случае размер вреда легко рассчитывается следователем и доказывается в суде. Создание системы безопасности по требованиям ФСТЭК России только усугубляет ситуацию для субъекта КИИ, так как в случае нанесения вреда, может квалифицироваться как нарушение правил эксплуатации на оборудовании -- это все та же статья 274.1 УК РФ.

Для минимизации этих рисков имеет смысл провести классификацию информационных систем и документально зафиксировать, что каждая конкретная информационная система не является объектом КИИ. Очень осторожно следует подходить к проведению внутренних служебных расследований инфраструктурных инцидентов и инцидентов информационной безопасности. Необходимо понимать, что отчетные документы по результатам таких проверок могут использоваться правоохранительными органами для возбуждения уголовного дела в течение последующих 10 лет.

Обязательность проведения аудита ИБ

В основе Плана Транспортной безопасности, который предписывает составить и реализовать Федеральный закон от 09.02.2007 N 16-ФЗ "О транспортной безопасности", лежит оценка уязвимостей объектов транспортной инфраструктуры. Результаты направляют на утверждение в компетентные органы в области обеспечения транспортной безопасности.

Перевозчики привыкли к значительным затратам на аудиты, сертификацию, аттестацию и мероприятия, которые необходимы для обеспечения транспортной безопасности. Анализ показывает, что эти меры слабо увязаны с информационной безопасностью, а затраты не всегда оправданы. Теперь согласно п. 35 и п. 36 Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры РФ и обеспечению их функционирования (утв. приказом ФСТЭК России от 21 декабря 2017 г. № 235) в рамках контроля состояния безопасности значимых объектов КИИ должен осуществляться внутренний контроль организации работ по обеспечению их безопасности и эффективности принимаемых организационных и технических мер защиты. К этому добавляются требования по анализу уязвимостей на этапе создания, до ввода в эксплуатацию, и в ходе его эксплуатации (п. 12.6., п.13, п. 13.2., п. 13.8 239-П).

Введение новых требований по обеспечению безопасности объектов КИИ предполагает новые для транспортников подходы к обеспечению соответствия и прохождению аудита. Появляется дополнительная финансовая и административная нагрузка на отрасль, которая обязательно отражается на пассажирах.

1. 127-ПП, п. 11.
2. 187-ФЗ (ст. 9, ч. 2, п. 1),
   Приказ ФСБ России № 367,
   Приказ ФСБ России №282, п. 6, 7, 8, 9,
   Приказ ФСБ России № 367,
   Приказ ФСБ России № 368.
3. 187-ФЗ (ст. 10, ч. 1),
   Приказ ФСТЭК России № 235 (раздел II, п. 8, 9, 10),
   Приказ ФСТЭК России № 239, раздел II, п. 10 и 11.1,
   Приказ ФСТЭК России № 235, п. 25.
4. Приказ ФСТЭК России № 239, раздел II, п. 13.
5. 5 Подробнее см. Подмарев А.В. ИБ в гражданской авиации: некоторые вопросы обработки ПД и безопасности КИИ // Information Security/ Информационная безопасность. 2020. №1 . С. 6--7.