Конспект лекций оглавление 1 информационное общество и его безопасность 6
 Скачать 4.94 Mb.
|
19.2 Основные понятияПонятие «субъект КИИ» содержится в статье 2 Закона «О безопасности КИИ». Под субъектами КИИ понимаются: 1.Государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели (далее по тексту – организация): - функционирующие в одной или нескольких сферах деятельности: здравоохранение, наука, транспорт, связь, энергетика, банковская сфера, сферы финансового рынка, топливно-энергетический комплекс, атомная энергетика, оборонная, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленность; - которым принадлежат (на праве собственности, аренды, ином законном основании) объекты КИИ. Российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие систем и (или) сетей (ИС, ИТКС, АСУ) принадлежащих субъектам КИИ. Таким образом, закон предусматривает два вида субъектов КИИ - владельцы объектов КИИ и координаторы взаимодействия этих объектов. С точки зрения практического применения следует иметь в виду, что при определении является ли организация субъектом КИИ, необходимо оценивать именно ее сферу деятельности, а не сферу функционирования принадлежащих ей систем (ИС, АСУ, ИТКС). Объекты КИИ - это имеющиеся у субъектов КИИ системы. Выделяют три вида систем: - Информационная система (ИС) - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств (статья 2 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»). Наиболее распространенными видами информационных систем являются государственные информационные системы (ГИС) и информационные системы персональных данных (ИСПДн). - Информационно-телекоммуникационная сеть (ИТКС) - технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники (статья 2 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»). Самыми распространенными видами информационно-телекоммуникационных сетей являются корпоративные информационные сети и сеть международного обмена «Интернет». - Автоматизированная система управления (АСУ). Один из видов автоматизированных систем. Автоматизированная система – это система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций (ГОСТ 34.003-90. Межгосударственный стандарт. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения (утв. и введен в 10 действие Постановлением Госстандарта СССР от 27.12.1990 N 3399). Наиболее распространенными являются автоматизированные системы управления технологическими процессами (АСУТП) промышленных предприятий. Безопасность критической информационной инфраструктуры - состояние защищенности критической информационной инфраструктуры, обеспечивающее ее устойчивое функционирование при проведении в отношении ее компьютерных атак Компьютерная атака - целенаправленное воздействие программных и (или) программно-аппаратных средств на объекты критической информационной инфраструктуры, сети электросвязи, используемые для организации взаимодействия таких объектов, в целях нарушения и (или) прекращения их функционирования и (или) создания угрозы безопасности обрабатываемой такими объектами информации Субъекты критической информационной инфраструктуры - государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей 19.2 Нормативная база ФСТЭК РоссииОрганом исполнительной власти, уполномоченным в области обеспечения безопасности КИИ, является ФСТЭК России. Это закреплено указом Президента Российской Федерации от 25.11.2017 г. № 569 «О внесении изменений в Положение о ФСТЭК России, утвержденное Указом Президента Российской Федерации от 16.08.2004 г. № 1085». Специалисты ведомства серьезно подошли к поставленной задаче и уже к концу зимы разработали и ввели нормативную базу, необходимую для категорирования потенциальных объектов КИИ и создания систем их защиты. Состав указанной нормативной базы приведен в таблице 19.1. Таблица 19.1. Состав нормативной базы ФСТЭК России в области обеспечения информационной безопасности КИИ  Ключевыми для потенциальных субъектов КИИ и представителей IT/ИБ-отрасли, которые готовы помогать субъектам КИИ в реализации положений Закона, являются Правила категорирования, Приказ № 235 и Требования по безопасности КИИ. Эти документы и определяют последовательность действий, которые должны быть выполнены потенциальным субъектом КИИ: 1. В соответствии с Правилами категорирования провести инвентаризацию, обследование и определение категорий значимости принадлежащих ему объектов КИИ; 2. В зависимости от присвоенной категории значимости на основании Требований по безопасности КИИ спроектировать систему защиты и определить состав средств для ее реализации; 3. Внедрить систему защиты и впоследствии осуществлять ее эксплуатацию в соответствии с Приказом № 235. Кроме рассмотренных выше нормативных актов (187-ФЗ, ПП-127, Приказы ФСТЭК России №31 и №239), в настоящий момент вопросы защиты КИИ законодательно регулируют следующие документы: Указ Президента Российской Федерации от 15.01.2013 г. № 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации», послуживший отправной точкой создания ГосСОПКА и НКЦКИ. Указ Президента Российской Федерации от 22.12.2017 г. № 620 «О совершенствовании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации», определивший круг задач, решаемых ГосСОПКА, и наделивший ФСБ РФ новыми полномочиями в части защиты КИИ. Концепция Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (утверждена Президентом РФ 12.12.2014 № К 1274), в которой были определены назначения, функции и принципы создания ГосСОПКА, описана структура Центров ГосСОПКА и функции НКЦКИ. Положение о лицензировании деятельности по технической защите конфиденциальной информации, утвержденное постановлением Правительства Российской Федерации от 03.02.2012 г. № 79 в части перечня работ и услуг по мониторингу информационной безопасности средств и систем мониторинга. Постановление Правительства Российской Федерации от 17.02.2018 № 162 «Об утверждении Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» регламентирует осуществление контроля над субъектами КИИ со стороны ФСТЭК России путем осуществления плановых и внеплановых выездных проверок выполнения требований 187-ФЗ и подзаконных НПА, при этом внеплановая проверка может проводится по факту возникновения компьютерного инцидента на значимом объекте критической информационной инфраструктуры, повлекшего негативные последствия. Указано, что сотрудники органа государственного контроля при проведении проверок могут пользоваться сертифицированными программными и программно-аппаратными средствами контроля. В целом, нормы данного Постановления напоминают регламент проведения проверок Роскомнадзором. Приказ ФСБ РФ от 24.07.2018 г. № 366 «О Национальном координационном центре по компьютерным инцидентам» содержит основные цели, задачи и права НКЦКИ. Приказ ФСБ РФ от 24.07.2018 г. № 367 «Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации» регламентирует объем передаваемой в ГосСОПКА информации, в том числе касающейся произошедших компьютерных инцидентов. Данный приказ говорит о том, что информация по произошедшему инциденту (дата, время, технические подробности и последствия инцидента и его связь с другими инцидентами, месторасположение объекта КИИ, наличие связи между выявленной атакой и инцидентом) должна быть передана субъектом КИИ в систему ГосСОПКА в срок не позднее 24 часов с момента обнаружения компьютерного инцидента. Приказ ФСБ РФ от 24.07.2018 г. № 368 «Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и Порядка получения субъектами критической информационной инфраструктуры Российской Федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения». Данный документ регламентирует порядок обмена информацией об инцидентах (в объеме, соответствующему нормам Приказа №367), при этом обмен информацией с международными компаниями и организациями (например, с CERT'ами) идет через НКЦКИ, а субъекты КИИ могут также взаимодействовать между собой напрямую. Можно упрощенно говорить, что таким образом в масштабах страны реализован механизм обмена индикаторами компрометации, а также информацией о средствах и способах проведения атак и методах их предупреждения и обнаружения. Приказ ФСБ РФ от 06.05.2019 № 196 «Об утверждении требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты» описывает требования к функционалу (включая реализацию функций безопасности, визуализации, построения сводных отчетов и хранения информации) средств обнаружения, предупреждения, ликвидации последствий и поиска признаков компьютерных атак на объектах КИИ. Приказ ФСБ РФ от 19.06.2019 № 281 «Об утверждении Порядка, технических условий установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, за исключением средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации» регламентирует взаимодействие субъектов КИИ и ФСБ РФ в части установки «сенсоров» ГосСОПКА на объектах КИИ, при этом субъект КИИ обязан обеспечить функционирование средств ГосСОПКА в непрерывном и бесперебойном режиме. Приказ ФСБ РФ от 19.06.2019 № 282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации» обязывает субъектов КИИ информировать ФСБ РФ через НКЦКИ (посредством ГосСОПКА или альтернативными способами) обо всех компьютерных инцидентах на объекте КИИ в зоне ответственности субъекта. Кроме того, если субъект подчиняется нормам ЦБ РФ, то информация об инцидентах направляется также и в ФинЦЕРТ Банка России. При этом заданы достаточно жесткие временные рамки: информация об инциденте на значимом объекте КИИ должна быть передана в течение 3 часов с момента обнаружения, а на незначимом — в течение 24 часов. Кроме того, результаты мероприятий по реагированию на инциденты требуется передать в течение 48 часов после завершения этих мероприятий. Данный документ не лишен новаций: так, в п.10 говорится о необходимости не реже одного раза в год проводить тренировки (киберучения) по отработке мероприятий плана реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак. Помимо вышеперечисленных, ФСБ РФ также выпустила ряд других документов по вопросам защиты КИИ, которые, однако, в настоящий момент недоступны для свободного ознакомления: Методические рекомендации ФСБ РФ по созданию ведомственных и корпоративных центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации. Методические рекомендации ФСБ РФ по обнаружению компьютерных атак на информационные ресурсы Российской Федерации. Методические рекомендации ФСБ РФ по установлению причин и ликвидации последствий компьютерных инцидентов, связанных с функционированием информационных ресурсов Российской Федерации. Методические рекомендации НКЦКИ ФСБ РФ по проведению мероприятий по оценке степени защищенности от компьютерных атак. Требования к подразделениям и должностным лицам субъектов ГосСОПКА. Регламент взаимодействия подразделений ФСБ РФ и субъектов ГосСОПКА при осуществлении информационного обмена в области обнаружения, предупреждения и ликвидации последствий компьютерных атак. |