Около трети направленных сведений о результатах присвоения объекту КИИ категории значимости ФСТЭК России возвращает промышленным объектам на доработку. До 1 января 2030 г. субъекты критической информационной инфраструктуры (КИИ) обязаны перевести принадлежащие им значимые объекты на доверенные программно-аппаратные.
Обновление подборки законодательства о КИИ на сентябрь 2023
В январском письме Центральный Банк призвал поднадзорные организации провести повторное категорирование субъектов КИИ и до 31 марта 2023 отчитаться о статусе работ. По завершению категорирования сведения о его результатах должны направляться субъектом КИИ во ФСТЭК России для ведения реестра значимых объектов КИИ. Субъекты КИИ обяжут перейти на доверенные программно-аппаратные комплексы. Соответствующее постановление Правительства РФ было официально опубликовано 14 ноября. Планы перехода субъектов КИИ на доверенные программно-аппаратные комплексы к следующему сентябрю уже должны быть утверждены. Министерство цифрового развития, связи и массовых коммуникаций России готовит документ, в соответствии с которым субъекты телевещания признают объектами критической.
ФСТЭК сообщила об увеличении категории значимости для более чем 40 объектов КИИ в 2023 году
Это сложно оспорить: если это — твоя информация, то именно ты как владелец определяешь, достаточен ли ее уровень безопасности. Ты сам принимаешь решения о том, насколько она для тебя критична и как ты будешь ее защищать. Но время от времени мы нашу информацию кому-то отдаем. И закон о персональных данных как раз одну из этих ситуаций разбирает — когда субъект персональных данных, кто-то из нас, вынужден по жизненным причинам кому-то эту информацию передать. И получается, что он уже не может сам обеспечивать ее защиту — ее должен обеспечивать тот, кто ее контролирует, там, где она обрабатывается. Но банк, медицинская организация или какая-то другая компания, получив персональные данные, смотрят на эту информацию совершенно под другим углом — они оценивают свои риски, если с ней что-то случится, а не риски того человека, который ее передал. Они смотрят на это не как на персональные данные, а в лучшем случае как на коммерческую тайну. Это можно назвать удачей с точки зрения субъекта ПДн: если персональные данные совпадают с коммерческой тайной допустим, информация из CRM страховой компании , то понятно, что если такая компания эту информацию каким-то образом не сохранит, то сама пострадает — у нее, к примеру, переманят клиентов. Она заинтересована в конфиденциальности этой информации, поэтому она защищает свою базу данных и заодно обеспечивает интересы тех субъектов, которые эти сведения передали.
Но это — не частая история. Чаще всего операторы персональных данных — работодатели, например, — склонны эту информацию не причислять ни к коммерческой тайне, ни к конфиденциальным данным, ведь они же оценивают именно свои риски. При передаче информации каждому отдельному человеку сложно договориться, как работодатель будет ее защищать — человек некомпетентен, мало что понимает в ИБ. Может быть, он немного нервничает на этот счет, но не более того. Поэтому государство берет на себя вопросы защиты интересов граждан. Как это формулирует государство: операторы персональных данных, которые получают эти данные от субъектов, должны учитывать интересы этих самых субъектов, а не только свои собственные. Картинка складывается: есть «нормативка», можно ее обсуждать, насколько она хороша — оставим за скобками, но сама идея правильна. Иначе интересы граждан никак не защитишь.
Пустить дело на самотек — не вариант. Отсюда и понятно, почему персональные данные мало кто хочет защищать. Что-то навязано сверху, рисков для себя организация не видит, она видит риски того, что их будет «прижимать» регулятор. В сообществе по информационной безопасности возникло понятие «регуляторные риски» — то есть в качестве вероятной проблемы рассматривается не то, что от разглашения информации кто-то пострадает, а то, что тебя за это могут как-то наказать. Если кто-то является лицензиатом ФСТЭК и ФСБ — а такие организации есть, — и если у них что-то не в порядке с персональными данными, то им, скорее всего, будут задавать вопросы, когда надо будет продлевать лицензию. Эти вещи организации начинают учитывать. И у нас получается вывернутая ситуация: операторы персональных данных защищаются от регулятора, а не защищают персональные данные. Поэтому большинство операторов персональных данных останавливается на том, что разрабатывает комплект организационно-распорядительной документации, которую демонстрирует при проверках.
Роскомнадзор пришел, проверка проходит, документальная часть — нормальная, там всё описано, а что в реальности происходит — может, проверяющие и увидят какие-то несоответствия, но это маловероятно. При проверках, как правило, изучается только бумажная часть. То, что процесс существует только на бумаге и не реализуется, обычно при проверках не вскрывается. Почему-то у нас всё пошло, если мы говорим от 152-ФЗ, в неправильное русло. Ответственность есть за обработку и хранение, а не за факт утечки. Если я как физическое лицо передаю свои данные, я заинтересован не в том, чтобы они там обрабатывались и защищались какими-то специальными средствами, а в том, чтобы они просто не утекали. И мне кажется, в этом заключается риск для меня как для физического лица. Получается, регулятор сейчас за это не наказывает.
Существующая «нормативка» не учитывает инциденты по утечкам. Такая ситуация скорее защищает интересы операторов: есть список требований, и если ты их выполнил — ты молодец. Если ты выполнил все требования, но информация утекла, — ты всё равно молодец. Ты сделал всё, что должен был сделать. И такая парадигма устраивает операторов ПДн. Но на самом деле она — сомнительная. Она, возможно, пришла из пожарной безопасности: там тоже, если все требования выполнены — стены не горючие, огнетушители развешаны и так далее, — но всё равно всё сгорело, люди погибли, то в итоге разводят руками и говорят: «Ну, у нас же всё в порядке было, огнетушители висели, извините». И в принципе это так сейчас и происходит: если у тебя были какие-то нарушения по пожарной части и случился пожар, то это — уголовная ответственность.
А если ты всё правильно защищал, но всё равно случился пожар, то, как и в персональных данных, ты — молодец, просто так получилось. А субъекты персональных данных пострадали, на их паспортные данные кто-то берет мошеннические кредиты. Сейчас в обществе безопасности начинает всплывать эта тема, обсуждается неэффективность такой парадигмы, все интересуются, как быть, если инцидент всё-таки случится. И многие кивают на западный опыт, который традиционно на шаг или даже поболее впереди нас. Я думаю, с точки зрения интересов субъектов персональных данных правильно пользоваться другой терминологией — «нормативкой» не по пожарной безопасности, а, допустим, по работе банков. Если, скажем, ты берешь деньги, относишь в банк, а потом приехали ребята с автогеном, с динамитом и твои деньги из банка украли — это не твои проблемы, это проблемы банка, и всё равно он эти деньги должен будет тебе вернуть. И с точки зрения защиты персональных данных — чужой информации — мы должны прийти к аналогичной ситуации. Если утекает информация, то речь должна идти не о штрафах, а о компенсациях владельцам персональных данных.
Логика следующая: если у тебя украли деньги, то с ними понятно — вот они здесь, а вот их нет.
Первый этап - определить, является ли организация субъектом КИИ. Для этого необходимо проанализировать виды деятельности организации в соответствии с ОКВЭД: есть ли среди них слова "здравоохранение", "наука", "транспорт", "связь", "энергетика", "банк", "финансы", "топливо", "атом", "оборона", "ракетно-космическая", "горнодобывающая", "металлургия", "химическая". Второй этап - провести категорирование значимых объектов КИИ. Организация создает соответствующую комиссию, определяет объекты категорирования, которым затем присваиваются категории значимости: самая высокая категория - первая, самая низкая - третья. Третий этап - разработать мероприятия по взаимодействию с ФСБ России. Это относится к субъектам КИИ как с значимыми, так и с незначимыми объектами КИИ, так как организация должна обеспечить соответствие 9 статьи ФЗ-187 часть 2 , в частности, незамедлительно информировать о компьютерных инцидентах федеральные органы исполнительной власти. На этом этапе разрабатывается и утверждается регламент информирования НКЦКИ об инцидентах, также организация подключается к технической инфраструктуре НКЦКИ при выборе этого способа информирования. Алексей Киселев. Фото: Пресс-служба "Лаборатории Касперского".
Тем организациям, у которых есть значимые объекты КИИ, также надо соблюдать требования ФСТЭК по обеспечению их безопасности, выполнять предписания должностных лиц ФСТЭК об устранении нарушений в части соблюдения требований к обеспечению безопасности значимых объектов КИИ, что означает создать систему защиты и установить защитные решения. Решения "Лаборатории Касперского" защищают критические IT-инфраструктуры крупнейших российских банков, промышленных предприятий, федеральных органов власти и госкорпораций. В основе этих продуктов лежат передовые технологии многоуровневой защиты, многие из которых являются уникальными", - рассказал Алексей Киселев, менеджер по развитию бизнеса "Лаборатории Касперского".
На данном этапе происходит моделирование тех угроз, которые рабочая группа специалистов выявляет в предположении на каждом этапе жизненного цикла и разрабатывает компенсирующие мероприятия, которые затем отражаются на архитектуре разрабатываемого проекта ПО. Обеспечение прослеживаемости. Суть процесса заключается в том, чтобы функциональную спецификацию ПО можно было проследить до конкретных блоков функций, которые их реализуют. Это упрощает контроль недекларированных возможностей в ходе реализации проекта ПО и внесения в него изменений. Статический анализ кода без его исполнения. Это уже техническая мера, и она требует внедрения специального инструмента — статического анализатора кода.
По результатам анализа нескольких проверок безопасности статическим анализатором проекта ПО необходимо провести так называемую «разметку»: сопоставить выявленные ошибки и предупреждения с тем, являются ли они на самом деле недостатками ПО. Также в правила статического анализатора можно добавить необходимую стилистику оформления исходного кода, которая принята в проекте. При каком-либо отступлении от нее разработчику необходимо будет в комментариях указывать причину. Динамический анализ кода с его исполнением. В простейшем случае динамический анализ кода проводится в виде ряда тестов: модульного, регрессионного и системного. Модульные тесты разрабатываются на те функции, которые принимают входные значения из внешних данных то есть составляют поверхность атаки. В ходе инструментирования кода счетчиками ошибок санитайзерами и отладочными аллокаторами необходимо провести автоматизированный запуск этих тестов, собрать тестовое покрытие и проанализировать результаты. На основании результатов можно в том числе увидеть участки кода, которые в ходе выполнения не были задействованы, а значит, требуют дополнительного внимания. К примеру, они могут быть проверены на отсутствие недекларированных возможностей в ручном режиме.
Фаззинг-тестирование с его исполнением.
Но и это еще не все — уже скоро в стране введут оборотные штрафы за утечку персональных данных. Анатолий Сазонов Руководитель направления безопасности промышленных предприятий Infosecurity a Softline company В связи со всеми законодательными изменениями бизнес и госструктуры понимают, что им необходимо правильно строить или улучшать существующую систему ИБ, опираясь при этом преимущественно на отечественные решения. Куда уходят деньги Как отмечают собеседники Cyber Media, в 2022 году основная масса средств направлялась на замену иностранных решений.
В итоге к 2023 году субъекты КИИ подошли с разной степенью готовности: часть компаний успела полностью заменить системы защиты, другая — спроектировать и закупить, третья — только запланировать. Именно поэтому в текущем году тренд продолжается — ведется проектирование, закупка, внедрение и доработка систем для защиты КИИ. И хотя инвестиции возросли, безопасность критической инфраструктуры пока зачастую остается на том же уровне. Но это в лучшем случае.
Есть немало историй с печальным финалом — сетуют эксперты. Федор Музалевский Директор технического департамента RTM Group Дело в том, что даже кратный рост бюджета не позволяет покупать средства защиты больше или лучше. Рост цен на отечественные межсетевые экраны, средства управления уязвимостями и иные технические средства защиты информации — все это нивелирует рост бюджета. Более того, многие субъекты КИИ, которые планировали приобретение дополнительного ПО в прошлом году, сейчас вынуждены тратить бюджет на замену уже имеющихся неподдерживаемых импортных решений отечественными.
По словам Федора Музалевского, девиз российских вендоров «второго такого шанса повышать цены не будет» обернулся катастрофическим снижением реальной безопасности. Однако с этим мнением согласны не все собеседники Cyber Media. В прошлом году, по наблюдениям Александра Моисеева, в основном закупались шлюзы безопасности — взамен ушедших с рынка игроков Fortigate, Paloalto, Cisco и т. В этом году компании в основном бюджеты расходуют на внедрение систем класса SIEM.
Также на рынке есть интерес к средствам безопасной разработки ПО — статическим и динамическим анализаторам. Импортозамещение: честно и по-серому После ухода западных вендоров с рынка организации-субъекты КИИ разделились на три группы.
Обеспечение безопасности КИИ
Согласно документу, к субъектам критической информационной инфраструктуры (КИИ) теперь будут отнесены лица, которым на праве собственности, аренды или на ином законном. Согласно данному закону, КИИ – это объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов. Также к субъектам КИИ относятся юридические лица и индивидуальные предприниматели, обеспечивающие взаимодействие объектов КИИ. К субъектам КИИ относятся.
Перечень объектов критической информационной инфраструктуры будет расширен
Согласно данному закону, КИИ – это объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов. в) работники субъекта КИИ, на которых возложены функции обеспечения безопасности (информационной безопасности) объектов критической информационной инфраструктуры. После осознания руководством предприятия принадлежности к субъектам КИИ, необходимо создать внутреннюю комиссию по категорированию.
Субъекты КИИ перейдут на российский софт к 2030 году
Эксперты считают, что реальная цифра может быть в 3-5 раз больше. Казалось бы, инвестиции в ПО и оборудование для них — дело привычное. Однако реальной защитой критической инфраструктуры многие занялись лишь после февраля 2022-го. Дмитрий Кузин Начальник управления ИБ АСУ ТП Cloud Networks Если раньше было много запросов на так называемые аудиты ИБ обследования объектов, анализ уровня защищенности и правильности выстраивания процессов , то сейчас бизнес хочет не просто получить результаты обследований, но и сразу начинать выстраивать процессы, внедряя организационные и технические меры защиты.
Простой пример: в результате обследования объектов в прошлом году мы изучали немало результатов аудитов прошлых периодов, которые так и остались лежать на полке. То есть аудит был проведен, но дальше дело не пошло. Главной причиной пересмотреть расходы на безопасность в субъектах КИИ стала политическая ситуация, на фоне которой изменилось законодательство, усилился курс на импортозамещение и ушло множество западных ИБ-компаний с рынка.
Как результат, наиболее радикальные изменения потребовались в организациях, где ранее использовали иностранные средства защиты. Кроме того, в нормативном поле появилось предъявление требований к операторам ПДн в части информирования регуляторов об инцидентах ИБ. Но и это еще не все — уже скоро в стране введут оборотные штрафы за утечку персональных данных.
Анатолий Сазонов Руководитель направления безопасности промышленных предприятий Infosecurity a Softline company В связи со всеми законодательными изменениями бизнес и госструктуры понимают, что им необходимо правильно строить или улучшать существующую систему ИБ, опираясь при этом преимущественно на отечественные решения. Куда уходят деньги Как отмечают собеседники Cyber Media, в 2022 году основная масса средств направлялась на замену иностранных решений. В итоге к 2023 году субъекты КИИ подошли с разной степенью готовности: часть компаний успела полностью заменить системы защиты, другая — спроектировать и закупить, третья — только запланировать.
Именно поэтому в текущем году тренд продолжается — ведется проектирование, закупка, внедрение и доработка систем для защиты КИИ. И хотя инвестиции возросли, безопасность критической инфраструктуры пока зачастую остается на том же уровне. Но это в лучшем случае.
Есть немало историй с печальным финалом — сетуют эксперты.
Вы относитесь к субъектам КИИ? Помните, что провести категорирование объектов можно и самостоятельно, обучив сотрудников. Но в таком случае есть риск понести значительные финансовые потери из-за ошибок, возникших при категорировании. Разумеется, это все отразится на итоговой стоимости средств защиты информации объектов КИИ. А можно обратиться к нашим специалистам, которые помогут определить, относится ли организация к субъектам КИИ, организуют и проведут полный комплекс мероприятий по категорированию объектов КИИ и обеспечению их безопасности.
Вы сможете сэкономить время, существенно снизить стоимость работ и избежать ошибок при подготовке документов.
С тех пор нормативно-правовая база в области обеспечения независимости от иностранных технологий заметно расширилась, а в 2022 году был выпущен Указ Президента РФ N 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации», который запрещает Закупать иностранное ПО для использования на объектах КИИ с 31 марта 2022 года, Использовать иностранное ПО в КИИ с 1 января 2025 года. Даже если организация успела приобрести ПО от иностранного вендора до 2022 года, ей все равно придется осуществить миграцию на отечественные технологии. Чем дольше она откладывает переход, тем сложнее будет уложиться в срок. Но даже если абстрагироваться от требований законодательства, такие организации сейчас подвергаются гораздо большему риску, чем им кажется, рассчитывая на собственную внутреннюю ИТ-экспертизу. Одно из следствий ухода зарубежных вендоров с российского рынка и отсутствия техподдержки и обновлений — это накопление багов и уязвимостей в программном обеспечении, создающее удобное поле для кибератак. Трудности импортозамещения ПО По данным экспертов в России насчитывается порядка 300 тысяч объектов КИИ, поэтому жесткие требования импортозамещения программного обеспечения в нашей стране действительно являются критически важными.
При этом, несмотря на то, что ответственные лица почти в каждой организации имеют KPI по импортозамещению, вопрос о невозможности уложиться в срок до 2025 года остается актуальным. В чем же проблема? Главный барьер на пути к замещению импортного программного обеспечения — отсутствие полных аналогов на российском ИТ-рынке.
Такую работу мы проведем, типовые объекты КИИ утвердим, посоветовавшись с отраслями, после чего должны будут появиться планы перехода, которые станут отображением матрицы: что мы должны поменять, почему, на что, когда и зачем.
Работа для нас понятная, ведем ее вместе со всеми отраслями. Вице-президент Транснефти Андрей Бадалов высказал обеспокоенность большим количеством отчетных показателей по импортозамещению. При этом ключевыми показателями должны стать безопасность и непрерывность работы и это в прямом смысле не эквивалентно просто импортозамещению. Важно выбрать такие отечественные решения, которые обеспечат более высокий уровень безопасности КИИ, чем импортные.
Делать это надо, сохраняя устойчивость КИИ. Мы многое будем делать впервые и важно в этом вопросе не торопиться. Решения не просто должны заработать, но и обеспечить в компаниях непрерывность и безопасность их производственных процессов. Мы понимаем, что иногда запрашиваем большое количество информации по различным вопросам, связанным с объектами КИИ, однако, эта детализация необходима, чтобы в том числе понимать в каких областях есть сложности и где требуется скорректировать подходы.
Директор дирекции информационных технологий, автоматизации и телекоммуникаций «Газпром нефти» Антон Думин поднял вопрос неоднозначного толкования понятийного аппарата в нормативной базе: Не всегда однозначно трактуются термины, которые применяются, например, такие как «программно-аппаратные комплексы» или что означает понятие «импортозаместить» внутри КИИ. Хотелось бы, чтобы мы выстраивали понятийный аппарат, учитывая, как будут реализовываться намеченные планы в горизонте десяти лет, а не двух. Эти циклы всегда более длинные и мы должны понимать, как будем двигаться, в том числе по таким направлениям, как восполнение кадрового потенциала или производство и эксплуатация радиоэлектроники.
Похожие статьи
- Кабмин будет определять типы информсистем для их отнесения к важным объектам КИИ
- Как и кому необходимо подключаться к ГосСОПКА
- ЦБ РФ напомнил о категорировании субъектов КИИ
- Владимир Путин подписал закон об изменении перечня субъектов КИИ
- Как и кому необходимо подключаться к ГосСОПКА
Переход критической инфраструктуры на отечественный софт и программно-аппаратные комплексы
В какие сроки вы обязаны осуществить переход? Что такое доверенный ПАК? Критерии признания программно-аппаратных комплексов доверенными программно-аппаратными комплексами 1. Сведения о программно-аппаратном комплексе содержатся в едином реестре российской радиоэлектронной продукции. Программное обеспечение, используемое в составе программно-аппаратного комплекса, соответствует требованиям к программному обеспечению, в том числе в составе программно-аппаратных комплексов, используемому органами государственной власти, заказчиками, осуществляющими закупки в соответствии с Федеральным законом «О закупках товаров, работ, услуг отдельными видами юридических лиц« за исключением организаций с муниципальным участием , на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации, утвержденным постановлением Правительства Российской Федерации от 22 августа 2022 г. Программно-аппаратный комплекс в случае реализации в нем функции защиты информации соответствует требованиям, установленным Федеральной службой по техническому и экспортному контролю и или Федеральной службой безопасности Российской Федерации в пределах их полномочий, что должно быть подтверждено соответствующим документом сертификатом. Что будет, если этого не сделать? ФСТЭК редко проводит ее в компаниях, а вот прокуратура вполне может осуществить.
Также на рынке есть интерес к средствам безопасной разработки ПО — статическим и динамическим анализаторам. Импортозамещение: честно и по-серому После ухода западных вендоров с рынка организации-субъекты КИИ разделились на три группы. Первая переключилась на российские аналоги, вторая — на решения оставшихся западных вендоров. Третья же группа выбрала сотрудничество с представителями дружественных стран. Артем Избаенков Директор по развитию направления кибербезопасности компании EdgeЦентр Когда западные вендоры полностью покинули рынок, компании, начали искать замены среди других иностранных решений в дружественных странах. Они обратили внимание на продукты и услуги от компаний из стран БРИКС, которые предоставляют качественные решения по информационной безопасности.
К основным причинам, по которым субъекты КИИ ищут замену среди иностранных решений, эксперты относят банальную предвзятость к отечественным вендорам со стороны пользователей. Более объективные аргументы — ограниченный набор функционала у российских вендоров и неудовлетворительные результаты тестирования отечественных решений. Александр Бородин Product-менеджер ООО «Айти Новация» В силу отсутствия масштабности в большинстве случаев у отечественных производителей набор функций ИБ ограничен, и более продвинутые компании обращаются к зарубежным вендорам. При этом отечественные решения в плане антивирусной защиты или брандмауэров часто пока не удовлетворяют многие компании. В особенности — по подтвержденной работоспособности. Кроме того, российские решения часто стоят больше, чем западные.
И это еще один повод поискать альтернативу среди других иностранных продуктов — отмечают собеседники Cyber Media. Федор Музалевский Директор технического департамента RTM Group Обычный порядок действий с учетом ухода западных вендоров выглядит так: посмотрели российские аналоги, ужаснулись от цен, пошли искать альтернативы. То есть почти все пользователи готовы приобретать отечественные решения, но не по цене выше, чем ушедшие западные аналоги. По этой причине появляются серые схемы — неофициальная поддержка ушедших вендоров, параллельный импорт. И это, в общем-то, печально.
Именно по этой причине принятие мер по защите информации ключевых отраслей находится под строгим контролем уполномоченных органов государственной власти. Основным нормативным правовым документом, регулирующим взаимодействие различных субъектов в сфере критической информационной инфраструктуры, выступает Федеральный закон от 26. Кто должен защищать КИИ? Защиту объектов КИИ и сетей электросвязи, используемых для организации взаимодействия объектов КИИ, обеспечивают субъекты КИИ в соответствии с действующим законодательством в области информационной безопасности посредством принятия правовых, организационных и технических мер. Субъектами КИИ выступают: 1 государственные органы, государственные учреждения, российские юридические лица и или индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат объекты КИИ, а также 2 российские юридические лица и или индивидуальные предприниматели, которые обеспечивают взаимодействие объектов КИИ ст.
К субъектам критической информационной инфраструктуры теперь также отнесена сфера государственной регистрации прав на недвижимое имущество и сделок с ним. Соответствующее изменение внесены в федеральный закон 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», сообщается на сайте Президента России. Денис Чупров Денис Чупров К субъектам критической информационной инфраструктуры теперь также отнесена сфера государственной регистрации прав на недвижимое имущество и сделок с ним.
Преимущества разработки пакета документов по КИИ в сервисе DocShell 4.0
- Минцифры разрабатывает документ, по которому субъектов телевещания признают объектами КИИ
- Информационное сообщение ФСТЭК России от 28 апреля 2023 г. N 240/82/818 - ФСТЭК России
- Что изменится
- Список отраслей, относящихся к критической инфраструктуре
- КИИ. Информационная безопасность объектов критической информационной инфраструктуры.
О критической информационной инфраструктуре (КИИ)
Также спикер обратил внимание на необходимость введения конкретных требований к понятию безопасная разработка. И ответственность подрядчиков за соблюдение данных требований по безопасности, чтобы крупнейшие потребители не несли дополнительных затрат для исправления ситуации. Директор по информационным технологиям Госкорпорации «Росатом» Евгений Абакумов рассказал про критерии доверенности ПАК, которые видятся важными для крупнейших заказчиков: Нам важно знать, кто является производителем решения, как выстроены процессы их разработки. Иногда бывают ситуации, когда часть приложений наших партнеров разрабатываются за границей.
Этот вопрос мы должны контролировать в том числе. Среди требований к производителю и разработчику: собственная сеть сервисных центров на территории РФ; наличие прав на документацию, технологию, патентов и исключительных прав на ПО; поддержка продукта на протяжении всего жизненного цикла. Также отдельно Евгений Абакумов остановился на требованиях к аппаратному и программному обеспечению ПАК.
Старший вице-президент по информационным технологиям Ростелекома Кирилл Меньшов акцентировал внимание на предназначении ПАКов: Мне кажется, что решить вопрос ПАКов без понимания того, что они из себя представляют — невозможно. Они появились для специализированных задач, которые нельзя решить с помощью универсальных серверов. Поэтому ПАКи между собой различаются радикально.
Либо нам придется делать много классов ПАКов, либо мы подойдем к решению издалека, сделаем более абстрактно, но тогда нам сложно будет соответствовать. Чтобы нам удалось прийти к итогу, важна работа всех участников сегодняшней дискуссии: потребителей, разработчиков и органов государственной власти.
Решения не просто должны заработать, но и обеспечить в компаниях непрерывность и безопасность их производственных процессов. Мы понимаем, что иногда запрашиваем большое количество информации по различным вопросам, связанным с объектами КИИ, однако, эта детализация необходима, чтобы в том числе понимать в каких областях есть сложности и где требуется скорректировать подходы», — рассказал заместитель министра цифрового развития, связи и массовых коммуникаций России Андрей Заренин. Директор дирекции информационных технологий, автоматизации и телекоммуникаций «Газпром нефти» Антон Думин поднял вопрос неоднозначного толкования понятийного аппарата в нормативной базе: «Не всегда однозначно трактуются термины, которые применяются, например, такие как «программно-аппаратные комплексы» или что означает понятие «импортозаместить» внутри КИИ». Эти циклы всегда более длинные и мы должны понимать, как будем двигаться, в том числе по таким направлениям, как восполнение кадрового потенциала или производство и эксплуатация радиоэлектроники», — добавил Антон Думин.
Генеральный директор холдинга Т1 Игорь Калганов также поддержал необходимость создания общего стратегического документа в сфере КИИ и единого глоссария: «Когда мы придем к единому пониманию и найдем методы, при которых заказчики будут хотеть признавать себя КИИ, нам всем станет гораздо проще взаимодействовать и договариваться». Начальник Департамента информатизации РЖД Кирилл Семион высказал предложение разделить понятие безопасности и требований, которые предъявляются к КИИ: «Отсутствие импортозависимых компонентов в КИИ не всегда является достаточным, чтобы обеспечить их безопасность». Также спикер обратил внимание на необходимость введения конкретных требований к понятию безопасная разработка. И ответственность подрядчиков за соблюдение данных требований по безопасности, чтобы крупнейшие потребители не несли дополнительных затрат для исправления ситуации. Директор по информационным технологиям Госкорпорации «Росатом» Евгений Абакумов рассказал про критерии доверенности ПАК, которые видятся важными для крупнейших заказчиков: «Нам важно знать, кто является производителем решения, как выстроены процессы их разработки. Иногда бывают ситуации, когда часть приложений наших партнеров разрабатываются за границей.
Если это — крупное предприятие, и оно обеспечивает определенный процент поступлений средств в местный бюджет, то у него возникнут проблемы с производством, упадет прибыль, оно меньше заплатит налогов. Это — один из рисков, которые рассматриваются в рамках 187-ФЗ. Ты уже пострадал, а тут приходит налоговая инспекция и говорит: «Прибыль у вас упала, вы недоплатили налогов, потому что плохо защищали. К такому механизму возникает много вопросов. А есть еще моменты, связанные с нарушением обороноспособности.
Приходит Минобороны и говорит: «Родина в опасности, потому что вы плохо защищали объект КИИ и сорвали гособоронзаказ. Как вы будете это компенсировать? С другой — инциденты возникают нечасто, что позволит воспринимать их как некий форс-мажор. Возможно, стоит прописывать это в договорах наряду с другими вариантами прерывания получения услуги. И если всё-таки ядовитое облако накрывает город, то это — серьезная ситуация: здесь возможен коллективный иск в сторону предприятия, что оно должно компенсировать потерю здоровья, лечение достаточно большой группе людей.
И, наверное, этот механизм может быть работающим. Встает вопрос о верификации инцидентов. У нас информацию об инцидентах почти никто не публикует. Передавать ее надо, но обязанности такой нет. Как в ряде случаев определить, что это было — кибератака или какой-то сбой оборудования?
Это же — разная ответственность. Но здесь удивляет позиция правоохранительных органов. Если есть явная информация, что скорее всего совершено преступление, украдены персональные данные из какого-то конкретного банка — надо провести проверку. Есть экспертные организации, которые расследуют, — надо это сделать с их помощью. Я допускаю, что есть ситуации, в которых достоверно не разберешься.
Но большинство крупных прецедентов, связанных с массовыми утечками данных, не так часто происходит, они все — на слуху. И важно, чтобы эта функция со стороны правоохранительных органов появилась и работала — надо разбираться, приезжать в банк, проверять ритейлеров, всех «протрясти». Важно двигаться вперед. И «нормативка» развивается именно таким образом. Появляется что-то новое, апробируется, по результатам возникают новые идеи — и в итоге понятны следующие шаги.
Что дальше можно было бы сделать? Относительно КИИ есть нюанс — такие инциденты случаются нечасто. И этот нюанс в некотором роде мешает: у нас нет хорошей статистики, чтобы применять адекватные решения по управлению этими рисками. В связи с этим проблемы в персональных данных — явные, видно, как их можно решить. Но для того, чтобы было понятно, как будет работать механизм компенсаций в случае нарушения безопасности в объектах работы КИИ, надо наработать опыт — эти нарушения надо фиксировать.
На основе того, как эти нарушения будут отрабатываться, мы можем смотреть, как можно улучшить процесс. Конечно, хотелось бы, чтоб события развивались не таким образом — то есть частота инцидентов не увеличивалась, а «на берегу» удалось придумать работающую методику. Складывается впечатление, что 187-ФЗ и вся подзаконная база, которая вокруг него выросла, во многом повторяют логику 152-ФЗ: если я отвечаю за кибербезопасность на предприятии и выполнил всё, что рекомендует сделать ФСТЭК, по бумагам всё прекрасно, но что-то у меня взорвалось — я ни в чём не виноват? Я сейчас говорю про бумажное уменьшение реальных рисков. Если правила эксплуатации объекта КИИ не были нарушены внутри самой организации — всё категорировали, поставили средства, аттестовали, оценили соответствие, — но что-то всё же произошло, я убежден, что уголовная ответственность в таких случаях наступать не должна.
В этой части статья 274. Но ответственность организации должна наступать. Как в примере с банком: если приехали гангстеры и деньги украли, а вся охрана действовала согласно инструкции, то претензии к охране предъявлять неправильно. Но эти деньги — чьи-то. И это банк лишился денег, а не те клиенты, которые эти деньги ему принесли.
С точки зрения безопасности ситуация та же: если хакеры захотят, они в объект КИИ проникнут и навредят — защитники не при чём. Но компенсации тем людям, которые от этого пострадают, должны быть. Почему опять навязывается такая модель, когда со стороны ФСТЭК приходят методички с перечислением средств, которые надо устанавливать, что именно надо делать? Почему нельзя людям, если они не госорганизации, самим решить, что устанавливать? Если строить модель по принципу «ты должен защитить чужие интересы, а как — ты сам реши», то этой защиты просто не будет.
И тут регуляторов можно понять, они прописывают то, что должно быть сделано. Можно, конечно, обсуждать, насколько это адекватно, нет ли каких-то завышенных требований — на этом уровне всегда есть куда оптимизироваться. Еще раз проговорю: ситуация встанет с головы на ноги, если субъекты КИИ станут защищать не чьи-то интересы, а свои, потому что будут понимать, что в случае чего им придется компенсировать ущерб пострадавшим. В случае с персональными данными, где частота проблем высока, это сработает. Выбор механизмов защиты станет куда более правильным.
Уполномоченный орган в течение 30 рабочих дней со дня поступления от субъекта КИИ копии утвержденного плана перехода принимает решение о включении сведений о плане в отраслевой реестр планов перехода либо об отказе во включении в документе указаны основания, почему план могут не принять. В случае принятия решения о включении сведений о плане в отраслевой реестр планов перехода уполномоченный орган в течение 5 рабочих дней со дня принятия такого решения включает соответствующие сведения в отраслевой реестр планов перехода и направляет субъекту КИИ уведомление о включении. В случае принятия решения об отказе в те же 5 рабочих дней направляется уведомление об отказе с указанием оснований. Внесение изменений в план осуществляется путем утверждения плана перехода в новой редакции. Далее процедура та же, как описано выше. В целях организации перехода субъектов КИИ на преимущественное применение доверенных ПАК на принадлежащих им ЗОКИИ Уполномоченными органами могут привлекаться отраслевые центры компетенций, в том числе созданные на базе организаций, подведомственных Уполномоченным органам, или иные организации в порядке, предусмотренном законодательством РФ.
Перечень объектов критической информационной инфраструктуры будет расширен
Категорирование объектов КИИ проведение работ всех категорий от здравоохранения до МО. Именно с такого подхода рекомендует начинать ФСТЭК при определении принадлежности Организации к субъектам КИИ. Планы перехода субъектов КИИ на доверенные программно-аппаратные комплексы к следующему сентябрю уже должны быть утверждены.
Новые требования для субъектов КИИ: Безопасная разработка прикладного ПО
Самих себя субъекты КИИ как владельцы информации, информационных систем или киберфизических систем как-то защищают, причем, скорее всего, вполне адекватно. Субъект КИИ — это организация, т.е. государственный орган, государственное учреждение, юридическое лицо или индивидуальный предприниматель, у кого присутствует объект КИИ. Субъект КИИ сам определяет свои объекты и проводит границы. То есть сегментировать объекты субъект КИИ может по-разному. Субъекты КИИИ: кто это, подходы к определению статуса субъекта критической информационной инфраструктуры, определение сферы деятельности субъекта КИИ и как не. Кроме того, по решению субъекта КИИ на территории объекта КИИ может быть размещено оборудование ГосСОПКА.