Главная страница

Конспект лекций оглавление 1 информационное общество и его безопасность 6


Скачать 4.94 Mb.
НазваниеКонспект лекций оглавление 1 информационное общество и его безопасность 6
Дата02.04.2022
Размер4.94 Mb.
Формат файлаdoc
Имя файлаlec_opo_ibss (4).doc
ТипКонспект
#435869
страница61 из 61
1   ...   53   54   55   56   57   58   59   60   61

19.3 Безопасность значимых объектов КИИ



Рассмотрим теперь один из основных подзаконных актов по защите объектов КИИ, а именно Приказ ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации». 

Требования, изложенные в Приказе ФСТЭК России №239, предъявляются к информационным системам, автоматизированным системам управления и информационно-телекоммуникационным сетям значимых объектов КИИ. Критерии отнесения объектов КИИ к значимым описаны в Постановлении Правительства №127, о котором написано выше. Выполнение требований рассматриваемого приказа предполагает, что категорирование объектов КИИ уже было предварительно проведено, опять же в соответствии с нормами ПП-127. Кроме значимых объектов, по решению субъекта КИИ нормы рассматриваемого документа могут применяться и к незначимым объектам, равно как и требования Приказа №31. В Приказе №239 отдельно указано, что объекты КИИ, обрабатывающие ПДн, подпадают также и под нормы защиты ПДн, а в случае, если объект КИИ является ГосИС, то применяются нормы Приказа ФСТЭК России №17 по защите ГИС и проводится аттестация значимого объекта КИИ. 

Приказ №239 указывает, что разработка мер ЗИ значимого объекта КИИ должна включать в себя анализ угроз безопасности и разработку модели угроз, а внедряемые меры защиты не должны оказывать негативного влияния на функционирование самого объекта. Как и в Приказе №31, анализ угроз должен включать выявление источников угроз, оценку возможностей нарушителей (т.е. создание модели нарушителя), анализ уязвимостей используемых систем (в том числе и тестирование на проникновение — пентест), определение возможных способов реализации угроз и их последствий, при этом следует использовать БДУ ФСТЭК России.

В Приказе №239 особо оговорено, что в случае разработки нового ПО как части подсистемы безопасности значимого объекта КИИ следует применять стандарты безопасной разработки программного обеспечения. При использовании СЗИ приоритет отдается штатному защитному функционалу, а при реагировании на компьютерные инциденты требуется отправлять информацию о них в систему ГосСОПКА. 

В списке организационных и технических мер, предусмотренных положениями данного приказа в зависимости от категории значимости объекта КИИ и угроз безопасности информации, указаны пункты, аналогичные таковым в Приказе №31: 

  • идентификация и аутентификация;

  • управление доступом;

  • ограничение программной среды;

  • защита машинных носителей информации;

  • аудит безопасности;

  • антивирусная защита;

  • предотвращение вторжений (компьютерных атак);

  • обеспечение целостности;

  • обеспечение доступности;

  • защита технических средств и систем;

  • защита информационной (автоматизированной) системы и ее компонентов;

  • планирование мероприятий по обеспечению безопасности;

  • управление конфигурацией;

  • управление обновлениями программного обеспечения;

  • реагирование на инциденты информационной безопасности;

  • обеспечение действий в нештатных ситуациях;

  • информирование и обучение персонала.

Алгоритм выбора и применения мер защиты, описанный в Приказе №239, сходен по сути с алгоритмом Приказа №31 (а также Приказов №17 и №21 по защите ГИС и ПДн соответственно), за исключением того, что этап уточнения адаптированного базового набора мер включен в сам этап адаптации базового набора. Итак, сначала осуществляется выбор базового набора мер для соответствующей категории значимости объекта КИИ на основании предложенного в Приказе списка. Затем производится адаптация выбранного базового набора мер, предполагающая исключение нерелевантных базовых мер в зависимости от использующихся технологий и характеристик объекта КИИ, а также включение в набор других мер, необходимых для нейтрализации актуальных угроз. Наконец, адаптированный набор дополняется мерами, установленными иными применимыми нормативными правовыми документами, например, по защите информации в ГИС, ИСПДн, криптографической защите информации и т.д. В документе также указано, что если на объекте КИИ уже применяются меры промышленной, функциональной или физической безопасности, достаточные для нейтрализации актуальных угроз информационной безопасности, то дополнительные меры защиты можно не применять. Кроме того, по аналогии с Приказом №31, подчеркиваются важность непрерывности функционирования объекта КИИ и отсутствие негативного влияния на него со стороны применяемых мер: субъект КИИ может применять более подходящие компенсирующие меры взамен базовых, которые при этом будут блокировать актуальные для объекта КИИ угрозы безопасности. Кроме того, компенсирующие меры должны применяться и при использовании новых ИТ-решений и выявлении новых угроз, не учтенных разработчиками Приказа. 

Требования предъявляются также и к самим СЗИ: можно применять средства, прошедшие оценку на соответствие требованиям по безопасности в форме испытаний, приемки или обязательной сертификации. Испытания и приемка проводятся субъектами КИИ самостоятельно либо с помощью лицензиатов ФСТЭК России. При использовании сертифицированных СЗИ требования к ним следующие: на объектах 1-й категории значимости следует применять СЗИ не ниже 4-го класса защиты, на объектах 2-й категории — СЗИ не ниже 5-го класса, а на объектах 3-й категории — СЗИ не ниже 6-го класса; при этом на значимых объектах всех категорий требуется применять СВТ не ниже 5-го класса. 

Интересно также и то, что в Приказе №239 приведены требования и к уровням доверия СЗИ. Уровни доверия (далее — УД) определяются в соответствии с Приказом ФСТЭК России №131 от 30 июля 2018 г., в котором установлены шесть УД (самый низкий – 6-ой, самый высокий – 1-ый). Так, на объектах 1-й категории значимости следует применять СЗИ, соответствующие 4-му или более высокому УД, на объектах 2-й категории — СЗИ, соответствующие 5-му или более высокому УД, а на объектах 3-й категории — СЗИ, соответствующие 6-му или более высокому УД. Заметим, что пункты про уровни доверия применяемых СЗИ были введены в марте 2019 г. уже после выпуска первоначальной версии Приказа: ранее требования предъявлялись к уровню контроля отсутствия недекларированных возможностей (на объектах 1-й и 2-й категорий следовало применять СЗИ, прошедшие проверку по 4-му уровню НДВ), но с выходом упомянутого выше Приказа №131, вступившего в силу с июня 2019 г., требования руководящего документа по НДВ фактически прекратили действие. 

Кроме того, в Приказе №239 подчеркивается, что на объектах 1-й категории значимости в качестве граничных маршрутизаторов следует использовать устройства, сертифицированные на соответствие требованиям по безопасности информации, а в случае невозможности их использования следует оценивать функции безопасности обычных граничных маршрутизаторов на этапах приемки или испытаний значимых объектов КИИ.

В дополнение к ранее указанному, в Приказе указывается на важность использования СЗИ, которые обеспечиваются гарантийной и/или технической поддержкой, а также на возможные ограничения по использованию программного/аппаратного обеспечения или СЗИ (видимо, имеются ввиду санкционные риски). Также указано, что на значимом объекте КИИ требуется запретить удаленный и локальный бесконтрольный доступ для обновления или управления лицами, не являющимися работниками субъекта КИИ, а также запретить бесконтрольную передачу информации из объекта КИИ производителю или иным лицам. Кроме этого, все программные и аппаратные средства объекта КИИ 1-й категории значимости должны располагаться на территории РФ (за исключением оговоренных законодательством случаев). 

Как мы видим, Приказ №239, несмотря на схожую с другими приказами ФСТЭК России структуру, имеет целый ряд новаций: это и требования по соответствию СЗИ уровням доверия, и упоминание санкционных рисков, и повышенное внимание обеспечению безопасности сетевого взаимодействия. Следует отметить, что данный приказ является ключевым при выполнении требований по защите объектов КИИ, так что субъектам КИИ следует изучить его положения с особым вниманием.

19.4 Ответственность



Ответственность за неправомерное воздействие на КИИ РФ предусмотрена статьей 274.1 Уголовного Кодекса. Данная статья была введена Федеральным Законом № 194 от 26.07.2017 г. и действует с 01.01.2018 г. В соответствии с данной статьей уголовно наказуемы: 

  • создание, распространение и использование программ для неправомерного воздействия на КИИ;

  • неправомерный доступ к информации в КИИ с последовавшим причинением вреда КИИ;

  • нарушение правил эксплуатации средств хранения, обработки, передачи информации в КИИ или правил доступа к информации в КИИ с последовавшим причинением вреда КИИ;

  • указанные выше действия, совершенные группой лиц по предварительному сговору, или в составе организованной группы, или с использованием служебного положения;

  • указанные выше действия, если они повлекли тяжкие последствия (т.е. причинен ущерб на сумму более 1 миллиона рублей); при этом наступает ответственность в виде лишения свободы на срок до десяти лет, что автоматически переводит данное деяние в разряд тяжких преступлений со сроком давности до 10 лет.

Следует иметь ввиду, что действие данной статьи распространяется как на значимые, так и на незначимые объекты КИИ. Также данная норма не учитывает, какова была категория значимости атакованного объекта КИИ, как не учитывает и того, был ли он вообще прокатегорирован. Размер причиненного вреда является оценочным признаком и определяется судом. Расследует данные преступления следственное управление ФСБ РФ, а мерой пресечения на период следствия является помещение под арест в СИЗО. Стоит также отметить, что «прародитель» данной статьи — статья 274 — в настоящий момент имеет достаточно ограниченное применение в силу нечеткости формулировок и отсылочного характера, так что количество уголовных дел по ней исчисляется единицами. Публично известная правоприменительная практика по новой статье 274.1 на данный момент достаточно ограничена: например, в мае текущего года было вынесено решение по делу о DDoS-атаке на сайт Роскомнадзора, в сентябре осудили троих граждан за атаку на объект КИИ с помощью вируса-шифровальщика, а в октябре был вынесен приговор за «слив» персональных данных абонентов оператора связи.

Кроме вышеуказанной уголовной ответственности, субъектов КИИ и должностных лиц ожидают также и возможные административные взыскания: в настоящий момент рассматриваются изменения в КоАП РФ, предполагающие введение двух новых статей и существенных денежных штрафов за их нарушение: 

  • Статья 13.12.1 «Нарушение требований в области обеспечения безопасности КИИ РФ» будет предусматривать ответственность за нарушение порядка категорирования объектов КИИ, нарушение требований к созданию и обеспечению функционирования систем безопасности значимых объектов КИИ, нарушение требований по обеспечению безопасности значимых объектов КИИ, а также нарушение порядка информирования, реагирования и обмена информацией о компьютерных инцидентах.

  • Статья 19.7.15 «Непредставление сведений, предусмотренных законодательством в области обеспечения безопасности КИИ РФ» предполагает ответственность за нарушение порядка предоставления сведений о категорировании объектов КИИ во ФСТЭК России, а также за невыполнение норм по обмену информацией с ГосСОПКА.


1   ...   53   54   55   56   57   58   59   60   61


написать администратору сайта