Что из себя представляет критическая информационная инфраструктура?
Основной нормативно-правовой акт, регулирующий безопасность КИИ – это Федеральный закон от 26.07.2017 №187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации". В законе же раскрывается понятие субъекта КИИ.
"Субъекты критической информационной инфраструктуры – государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей", – говорится в законе.
Современные информационные системы – например, системы управления производственными данными, информационные системы управления предприятием (выполняющие плановые, финансовые, налоговые функции), а также сети связи, обеспечивающие работу других объектов КИИ, – служат для интеллектуализации производства, помогают прослеживать все бизнес-процессы предприятий, чем экономят деньги организаций, ускоряют смену поколений техники и становятся базой для полноценных систем управления жизненным циклом вооружения, военной и специальной техники.
Подобные информационные системы и надлежит защищать от действия иностранных технических разведок и организаций, действующих в их интересах, а также от потенциальных инцидентов вроде вирусных атак (например, вирусов Petya/NotPetya/ExPetr или вируса Stuxnet, парализовавшем в Иране ядерные объекты, о котором неоднократно говорили собеседники Mil.Press из НИИ "Центрпрограммсистем" и Академии информационных систем), либо вредительства через удаленный доступ.
Например, в сентябре 2019 года стало известно, что успешной атаке подверглась информационная инфраструктура "Восточной верфи". Зашифрованными оказали 129,5 тысячи файлов предприятия.
Как говорится в материалах дела, злоумышленники, "используя информацию о выявленных IP-адресах, номерах портов подключения, логинах и паролях доступа к ЭВМ, используя специализированный софт, получили удаленный доступ к ЭВМ АО "Восточная верфь", после чего осуществили неправомерный доступ к охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации путем ее блокирования и модификации, что повлекло причинение вреда КИИ АО "Восточная верфь" и причинение имущественного вреда указанной организации на сумму 655 тысяч рублей".
Какие предприятия являются субъектом КИИ
В ходе судебного разбирательства "Восточная верфь" подтвердила, что является субъектом КИИ. У крупных исполнителей ГОЗ сомнений насчет своего статуса обычно нет. Но при этом у них есть поставщики разных порядков, от работы которых зависит своевременное исполнение государственного оборонного заказа.
Корреспондент Mil.Press FlotProm связался с четырьмя руководителями предприятий, которые выступают поставщиками второго и третьего порядка для головных исполнителей ГОЗ. Двое рассказали, что не интересовались этой темой. Еще двое сообщили, что не считают себя субъектами КИИ и не создают систему безопасности по требования ФСТЭК, а их заказчики не проверяют защиту информационной инфраструктуры.
"У нас нет формы допуска к гостайне, требований по защите информационных систем никто не предъявлял. Если будет официальное обращение со стороны специальных служб, тогда все организуем. Пока никаких инцидентов не было", – рассказал глава одного из предприятий, выпускающего комплектующие для дизельных двигателей кораблей и судов Минобороны РФ и ФСБ России.
Со стороны представителей заказчиков ситуация двойственная: кто-то предъявляет требования к поставщикам и контрагентам, а кто-то нет.
Например, в компании "Армалит", по словам коммерческого директора предприятия Евгения Коптяева, существует специальный отдел, сотрудники которого проводят регулярные аудиты предприятий, поставляющих товары и услуги для нужд завода. В том числе они проверяют соответствие требованиям к хранению, обработке и использованию информации, наличие и соблюдение правил допуска и доступа к информации конфиденциального характера.
В других случаях, если у предприятия не возникало угрозы срыва сроков исполнения ГОЗ из-за проблем контрагентов с защитой информации, никаких собственных проверок может не быть. Директор по безопасности и персоналу НИИ "Атолл" Александр Новожилов сообщил корреспонденту Mil.Press, что научно-исследовательский институт не изучает обстановку с защитой КИИ у новых контрагентов, а также не предъявляет требований к контрагентам по защите КИИ.
Ведущий преподаватель учебного центра МАСКОМ, специалист в области обеспечения безопасности объектов критической информационной инфраструктуры Александр Германович придерживается позиции, что практически каждое оборонное предприятие является субъектом критической информационной инфраструктуры и обязано полностью соблюдать законодательство по обеспечению безопасности.
По его словам, определить принадлежность предприятия к субъектам КИИ непросто: например, значение имеют виды деятельности по ОКВЭД, наличие лицензий, фактическое выполнение работ по гособоронзаказу. В вопросе определения собственной принадлежности к субъектам КИИ требуется тщательный анализ как правоустанавливающих документов предприятия, так и его бизнес-процессов.
Если требования по безопасности просто игнорировать, последует уголовная ответственность. Статья 274.1 Уголовного кодекса РФ "Неправомерное воздействие на КИИ РФ" за невыполнение требований по обеспечению безопасности, которое повлекло причинение вреда критической информационной инфраструктуре, предусматривает наказание в виде принудительных работ на срок до 5 лет, либо лишение свободы на срок до 6 лет. Если последствия несоблюдения требований по обеспечению безопасности признают тяжкими, то срок заключения может вырасти до 10 лет.Так, руководство оборонного предприятия, которое не заботится выяснением своего статуса субъекта КИИ и игнорирует требования по защите информационной инфраструктуры, рискует в случае атаки одновременно:
- Получить финансовый и/или физический ущерб от компьютерного инцидента (например, от выхода из строя автоматизированных станков).
- Нарушить исполнение гособоронзаказа – не только на своем уровне, но и подставив заказчиков, которым требуются комплектующие.
- Ввязаться в судебные разбирательства по факту нарушения сроков исполнения контрактов.
- Понести уголовную ответственность, если инцидент был с последствиями.
Что делать, если предприятие относится к субъектам КИИ?
После осознания руководством предприятия принадлежности к субъектам КИИ, необходимо создать внутреннюю комиссию по категорированию. Важная особенность этого процесса – привлечение в комиссию только специалистов по бизнес-процессам предприятия, которые осознают, какие существуют угрозы и как инциденты могут нарушить работу предприятия.
Принципиальную важность правильного состава комиссии подтвердил корреспонденту Mil.Press и Михаил Скулябин, начальник управления информационных технологий Крыловского государственного научного центра.
"Мероприятия по защите инфраструктуры стоят денег, которые предприятию, к сожалению, никто не компенсирует. Поэтому комиссия должна правильно отработать и согласовать со ФСТЭК критичность объектов. Недооценка значимости объекта может повлечь санкции со стороны контролирующих органов, а переоценка – к чрезмерным затратам, что особенно неприятно при нынешней ситуации с коронавирусом", – высказал свое мнение специалист.Только в случае ответственного формирования состава комиссии можно грамотно провести предпроектное обследование и составить перечень объектов КИИ, а также присвоить им правильные категории значимости.
Регламентируется это постановлением Правительства РФ от 08.02.2018 года №127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений".
Согласно перечню, категории значимости присваиваются исходя их пяти критериев:
- Социальная значимость.
- Политическая значимость.
- Экономическая значимость.
- Экологическая значимость.
- Значимость для обеспечения обороны страны, безопасности государства и правопорядка.
В результате комиссия составляет "Акт категорирования объекта КИИ", содержащий полные сведения об объекте.
После этого предприятие направляет в Федеральную службу по техническому и экспортному контролю сведения о результатах категорирования объекта КИИ по форме, установленной Приказом ФСТЭК №236 от 22.12.2017 года. Специалисты службы проверяют правильность категорирования и вносят сведения в реестр значимых объектов КИИ.
После этого наступает этап создания системы безопасности объекта КИИ. Этап включает в себя разработку технического задания, модели угроз информационной безопасности, технического проекта, рабочей документации, а также внедрение мер защиты информации и проведение опытной эксплуатации и приемочных испытаний созданной системы безопасности. Только после этого обязанность субъекта КИИ можно считать выполненной, при условии, что он поддерживает и модернизирует созданную систему безопасности на протяжении всего срока эксплуатации объекта КИИ.
В свою очередь ФСТЭК предоставляет предприятиям информацию, необходимую для для обеспечения объектов КИИ, в том числе актуальные данные о способах проведения компьютерных атак, их последствиях, а также методах предупреждения и обнаружения.
Помимо выполнения текущих требований по защите критической информационной инфраструктуры на предприятие ложится еще одна обязанность: мониторинг изменений законодательства.
Так, например, субъектам КИИ стоит ожидать перехода на российское оборудование для защиты информационных систем и АСУ ТП. По данным РБК, в 2019 году вице-премьер Юрий Борисов, курирующий оборонную промышленность, поручил подготовить изменения в закон "О безопасности критической информационной инфраструктуры" для поэтапного замещения используемого иностранного оборудования.
Действующее законодательство не позволяет правительству России устанавливать требования об использовании российского программного обеспечения и оборудования на объектах КИИ.
Но если дополнение Юрия Борисова будет внесено в закон, субъекты КИИ будут обязаны использовать российское оборудование и софт, а иностранным компаниям запретят "обеспечивать взаимодействие" с сетями и информационными системами критической инфраструктуры.
Еще одним грядущим обновлением нормативно-правовой базы станет введение административной ответственности для предприятий, не обеспечивающих безопасность КИИ, если на него совершена компьютерная атака, которая не причинила инфраструктуре прямого ущерба. Соответствующий проект Федерального Закона разработала ФСТЭК в 2019 году.
"ФСБ и ФСТЭК планируют совершенствовать нормативно-правовую базу как путем внесения изменений в нормативные акты – приказы ФСТЭК, постановления Правительства, – так и путем выпуска методических документов по моделированию угроз, по оценке соответствия требованиям безопасности и так далее. Все субъекты КИИ вынуждены эти изменения отслеживать. Учебный центр "МАСКОМ" специально для таких предприятий отслеживает все текущие изменения и отражает их в своих учебных курсах", – подытожил специалист в области обеспечения безопасности объектов КИИ Александр Германович.
Есть, чем дополнить? Свяжитесь с редакцией Mil.Press:
+7(812)309-8-505, доб. 102;