/

Как правильно обеспечить безопасность объектов критической информационной инфраструктуры. Советы практикам.

Как правильно обеспечить безопасность объектов критической информационной инфраструктуры. Советы практикам.

23 апреля 2018, 14:01    0

Валентин Масановец, заместитель директора НТЦ «Транссвязьбезопасность», АО «Федеральный центр науки и высоких технологий «Специальное научно-производственное объединение «Элерон», заведующий кафедры «Защита информации», Институт комплексной безопасности и специального приборостроения МИРЭА.

Доклад на VI Федеральной конференции «Critical Communications Russia — Инновационные цифровые технологии для обеспечения безопасности государства, общества, бизнеса».

Технологии информационной безопасности – это две стороны взаимоувязанного процесса.

26 июля 2017 года принят федеральный закон 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Он вступил в силу с 1 января 2018 года.

Основные понятия закона: объекты критической информационной инфраструктуры (КИИ) – информационные системы, информационные телекоммуникационные сети, автоматизированные системы управления критической информационной инфраструктурой). Также в законе даны определения значимого объекта критической информационной инфраструктуры и самой критической информационной инфраструктуры. И также – субъектов критической информационной инфраструктуры, которыми являются государственные органы, государственные учреждения, российские юридические лица, индивидуальные предприниматели, которым на правах собственности и аренды принадлежат информационные системы.

Перечень сфер, где применим термин КИИ, состоит из 12 наименований, среди них здравоохранение, наука, связь и так далее.

Для того, чтобы определить, относится структура, например, связи к КИИ, необходимо изучить классификатор, который прописан в Уставе организации, а также – лицензии и другие документы.

Вторая половина закона – это создание Государственной системы обнаружения, предупреждения, ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА).

В рамках этого закона принят ряд постановлений Правительства России и приказов ФСТЭК.  На  Федеральную службу безопасности Российской Федерации в соответствии с законом возложено создание системы СОПКА.

Указом президента № 569 от 25 ноября 2017 года на ФСТЭК России возложена функция исполнительного органа в области  обеспечения безопасности критической информационной инфраструктуры. Как следует из закона, в течение года с момента выхода постановления Правительства Российской Федерации № 127  от 8 февраля 2018 года (где утверждены показатели категорирования), все структуры связи, которые эксплуатируют информационные сети, должны провести категорирование своих сетей.

Вкратце предусмотренный нормативами порядок категорирования выглядит следующим образом. Создается комиссия по категорированию, собираются исходные данные, составляется предварительный перечень систем, подлежащих категорированию, его необходимо предварительно согласовать со ФСТЭК и затем официально предоставить в службу.

После пересылки официального письма во ФСЭК у заявителя есть год, чтобы провести само категорирование. Порядок категорирования определен постановлением правительства № 127.

В федеральном законе в общих чертах прописаны требования  к обеспечению безопасности значимых объектов КИИ. При категорировании объектов КИИ необходимо определиться – или это просто объект КИИ, или это значимый объект КИИ.  

Есть три категории значимости объектов – требования к обеспечению безопасности для каждой категории объектов изложены в приказе ФСТЭК №239 от 25 декабря 2017 года. Уже 26 марта 2018 года этот приказ прошел согласование в Минюсте.

Требования по созданию систем безопасности для значимых объектов КИИ, к которым относятся системы связи, изложены в приказе № 235 от 21 декабря 2017 года, документ также прошел официальную регистрацию в Минюсте. Оба приказа ФСТЭК можно считать основными документами, по которым разработчики и эксплуатанты систем связи должны в будущем строить свою работу по безопасности.

Особенности реализации требований по безопасности таковы. Кроме требований по безопасности значимых объектов, изложенных в приказе № 239, государственные информационные системы дополнительно к требованиям по обеспечению безопасности обязаны руководствоваться приказом ФСТЭК №17 от 2013 года, по обеспечению безопасности систем хранения персональных данных дополнительно необходимо руководствоваться рядом Постановлений правительства. Детально список нормативов изложен в руководящих документах ФСТЭК.

Дабы реализация новых положений относительно безопасности объектов КИИ не прошла так же, как это было в свое время с Законом о защите персональных данных, который несколько лет никто не выполнял, постановлением Правительства Российской Федерации сформулирован порядок осуществления государственного контроля в области  обеспечения безопасности объектов КИИ. Контроль будет производиться плановый и внеплановый – в соответствии с приказом ФСТЭК № 162.

Вместе с законом в ряд нормативных актов Российской Федерации внесены отдельные изменения. Перечень сведений, составляющих государственную тайну, Указом Президента №198 от 2 марта 2018 года внесена следующая формулировка: сведения, раскрывающие меры по обеспечению безопасности КИИ, и сведения, раскрывающие состояние защищенности КИИ, являются государственной тайной.

Учитывая, что связь относится к КИИ вне зависимости от того, значимый объект, или нет – все сведения о его защищенности и информационной безопасности являются гостайной. Точный перечень ограничений в настоящий момент разрабатывает ФСТЭК и ФСБ.

На сегодня издан ряд приказов ФСТЭК, в процессе согласования находятся 5 приказов ФСБ (в основном касаются ГосСОПКИ), одно Постановление правительства о единой сети электросвязи (распределение частот связи для объектов КИИ будет передано от Министерства обороны к Правительству РФ и будет регулироваться постановлениями по заявкам субъектов).

Чтобы гарантировать успешное выполнение требований 187-ФЗ, в уголовный кодекс введена статья 274 – о неправомерном воздействии на критическую информационную инфраструктуру Российской Федерации. Закон вступил в силу с 1 января 2018 года. Необходимо знать и помнить: статья касается не только значимых объектов КИИ, но и просто всей КИИ.

Поэтому  в настоящее время весь жизненный цикл разработки и производства системы должен выполняться одним заказчиком.

С 1 апреля 2018 года ФСТЭК  подписал и передал в Минюст приказы о  порядка сертификации программно-аппаратных комплексов. 

В соответствии с новыми требованиями, сертификат будет выдаваться на 5 лет, выдаваться на серийное производство. В соответствии с приказом №239, по требованиям к созданию систем, все оборудование для производства таких систем будет необходимо сертифицировать на предмет контроля на наличие недекларированных возможностей в ПО (НДВ) по 4й категории.

К понятию систем электросвязи относятся и сети передачи данных – это прописано отдельным разделом в федеральном законе. Министерство связи и все ведомства, кого касаются данные требования, обязаны в течение 3х месяцев переработать свою правовую базу и привести ее в соответствии с требованиями нового закона.

Корпоративные сети органов исполнительной власти. В эти корпоративные сети входят, как составные части, информационные сети подведомственных комитетов. В данном  случае субъектов КИИ будет вся корпоративная система

Важно понимать: категорировать сеть будет тот, кто ее эксплуатирует. И если у пользователя в эксплуатации находится участок корпоративной сети, он категорирует ее как пользователь, но данные о сети запрашивает у ее владельца. Предоставление данных по категорированию во ФСТЭК – значительный и объемный документ, около 500-700 страниц.  Учитывая, что в приказе ФСТЭК №239 прописано всего 17 политик безопасности, в каждой порядка 10-15 пунктов, а всего во ФСТЭК зарегистрировано 207 уязвимостей.  Если 207 умножить на 170, то можно представить то количество угроз, по каждой из которых придется давать разъяснения, для того, чтобы пройти процедуру категорирования.

Все системы – информационные и АСУ ТП –  подлежат категорированию. Субъектом КИИ будет не какая-то отдельная сеть, а вся система передачи данных. 

 

Свежее

 Журнал RUБЕЖ  Пожарная безопасность  Транспортная безопасность

Yandex.Дзен

Подписывайтесь на канал ru-bezh.ru
в Яндекс.Дзен

Яндекс.Директ

RUБЕЖ в vk RUБЕЖ на dzen RUБЕЖ на youtube RUБЕЖ в telegram+ RUБЕЖ-RSS

Контакты

Адрес: 121471, г. Москва, Фрунзенская набережная, д. 50, пом. IIIа, комн.1

Тел./ф.: +7 (495) 539-30-20

Время работы: 9:00-18:00, понедельник - пятница

E-mail: info@ru-bezh.ru


Для рекламодателей

E-mail: reklama@ru-bezh.ru

тел.: +7 (495) 539-30-20 (доб. 103)

total time: 0.8465 s
queries: 199 (0.4685 s)
memory: 8 192 kb
source: database
Выделите опечатку и нажмите Ctrl + Enter, чтобы отправить сообщение.