Все новости законодательства
у вас на почте

Подпишитесь на рассылки

Все новости законодательства в вашей электронной почте

Подпишитесь на наши рассылки

Войти

Защита критической информационной инфраструктуры: что нужно знать организации

406
2 июня

В современном мире важную роль имеет  информационная безопасность. Нарушение данной структуры может повлечь серьезные последствия для всего общества. Поэтому вопросы защиты информации имеют весьма значимый характер. Система (информационная инфраструктура) должна быть способна отражать информационные атаки. Чтобы это было возможно, нужно соблюдать определенные меры. 

Над статьей работали:
редактор: Чапис Елена

Содержание

  1. Правовое обеспечение безопасности КИИ
  2. Что относится к объектам КИИ
  3. Категории КИИ
  4. Примеры ККИ
  5. Что такое безопасность ККИ
  6. Требования по защите КИИ
  7. Чем обеспечивается безопасность КИИ
  8. Какие средства защиты информации применяются для безопасности ККИ
  9. Оценка безопасности ККИ
  10. Ответственность субъектов КИИ
  11. Какими правами обладает субъект КИИ

Правовое обеспечение безопасности КИИ

Начнем с определения критической информационной инфраструктуры (далее КИИ). Из него следует, что данная инфраструктура состоит:
• из объектов КИИ;
• сетей электросвязи, поддерживающих работу данных объектов.

Определение содержится в статье 2 Федерального закона от 26.07.2017 № 187-ФЗ. Это основной закон, регламентирующий безопасность КИИ.

КИИ — это информационные системы, сети и ресурсы. Они имеют критически важное значение для страны (общества). То есть выход из строя подобных систем может оказать серьезное влияние на жизни людей. По этой причине объекты КИИ должны быть в максимальной безопасности.
Законодательство предусматривает и другие акты, регулирующие правовое обеспечение безопасности. К ним относятся:
• Федеральный закон от 07.07.2003 № 126-ФЗ «О связи»;
• Приказ ФСТЭК от 25.12.2017 № 239;
• Приказ ФСТЭК от 14.03.2014 № 31;
• Указ Президента РФ от 30.03.2022 № 166;
• Постановление Правительства РФ от 08.02.2018 № 127;
• иное.

Статья 3 закона № 187 также содержит норму о правовом регулировании. Из нее следует, что:
• Система безопасности выстраивается в соответствии:
— с Конституцией РФ;
— принципами и нормами международного права;
— настоящим федзаконом;
— иными законами и принятыми на их основе НПА;
• Особенности, касающиеся сферы связи общего пользования, регулируются федзаконом № 126 «О связи».
Таким образом, правовое обеспечение — это ряд нормативных документов, устанавливающих:
• ключевые принципы безопасности;
• полномочия государственных органов;
• права, обязанности и ответственность субъектов КИИ;
• иные требования, связанные с обеспечением безопасности КИИ.

Что относится к объектам КИИ

Что считать объектами, также прописано в статье 2 закона № 187. В частности, к ним относятся:
• информационные системы (ИС).
Под такими системами следует понимать совокупность информации и технических средств, обеспечивающих ее обработку;
• информационно-телекоммуникационные сети (ИТКС).
Это передача информации по линиям связи;
• автоматизированные системы управления субъектов КИИ (АСУ).
Здесь речь идет о программных средствах, осуществляющих контроль за технологическим (производственным) оборудованием.

Также следует пояснить, кто такие субъекты КИИ.
О них говорится в статье 2 закона № 187, это:
• госорганы,
• госучреждения,
• российские организации,
• ИП,
• российские организации или ИП, обеспечивающие взаимодействие систем (сетей).

Их объединяет то, что им на праве собственности (аренды, другом основании) принадлежат ИС, ИТКС и (или) АСУ. Также условием является то, что перечисленные объекты должны функционировать в сфере:
• здравоохранения,
• науки,
• транспорта,
• связи,
• энергетики,
• регистрации прав на недвижимость и сделок с ней,
• финансов,
• иных областей, перечисленных в ст. 2 закона № 187.

Категории КИИ

Статьей 7 закона № 187 предусмотрено категорирование КИИ. Это значит, что каждому объекту должна быть присвоена та или иная категория значимости.

Она определяется исходя (критерии значимости):
• из социальной значимости. То есть из потенциально возможного ущерба для жизни и здоровья человека. Также из возможности прекращения (нарушения) функционирования жизненно важных объектов;
• политической значимости. Оценивается возможность причинения ущерба интересам РФ. Учитывается как внутренняя, так и внешняя политика;
• экономической. Возможный ущерб субъектам КИИ и (или) бюджету РФ;
• экологической. Оценивается уровень воздействия на природу;
• значимости объекта КИИ в целях обороны, безопасности государства и правопорядка.

Всего выделяют три категории значимости. Они именуются по порядку, в частности:
• первая категория;
• вторая категория;
• третья категория.

Установить ту или иную категорию можно с помощью Постановления Правительства РФ от 08.02.2018 № 127. Оно содержит конкретные показатели критериев значимости и правила категорирования.
Занимаются присвоением категории субъекты КИИ. В случае когда их объект не соответствует установленным критериям и показателям, ему не присваивают никакую категорию.
После присвоения категории (ее отсутствия) должны быть сформированы сведения о результатах. Они составляются в определенной форме, утвержденной Приказом ФСТЭК России от 22.12.2017 № 236. Документ нужно отправить в Федеральную службу по техническому и экспортному контролю (ФСТЭК). Сделать это нужно в течение 10 дней со дня принятия соответствующего решения.
Далее уполномоченный орган в течение 30 дней с момента получения сведений осуществляет проверку. По ее результатам выносится положительное или отрицательное решение.
Так, если категория значимости была присвоена верно, ФСТЭК вносит сведения об объекте в реестр значимых объектов КИИ. Об этом должен быть уведомлен соответствующий субъект в течение 10 дней.
Если же были нарушения, сведения возвращают субъекту в письменном виде. При этом причины отказа должны быть обоснованны.

В частности, отказ возможен при следующих обстоятельствах:
• нарушен порядок категорирования. Имеются в виду правила, установленные ПП РФ № 127;
• неверно присвоена категория значимости;
• необоснованно не присвоена вообще никакая категория;
• наличие неполных или недостоверных сведений о результатах присвоения категории.
Сведения с отказом возвращают также в течение 10 дней со дня их поступления. После того как субъект их получит, ему нужно устранить установленные нарушения. На это у него также будет 10 дней. После чего он должен повторно направить сведения в уполномоченный орган.
Информация об объектах, которым не была присвоена категория, направляется органом ФСТЭК в специальную систему. В частности это, госсистема обнаружения (предупреждения, ликвидации) последствий компьютерных атак на информационные ресурсы РФ. Об этом также уведомляется субъект КИИ.
Если же субъект вовсе не представил сведения, ФСТЭК направит ему требование об этом.

Также категория значимости (далее КЗ) может быть изменена. Такое возможно при следующих обстоятельствах:
• наличие мотивированного решения ФСТЭК принятого в результате проверки. Речь идет о проверке в рамках госконтроля в области безопасности значимых объектов КИИ;
• изменился объект КИИ при условии, что такое изменение повлияло на критерии значимости и показатели, установленные ранее;
• ликвидация (реорганизация) субъекта или изменение его организационно-правовой формы. При условии, что указанные изменения повлияли на утрату (изменение) признаков субъекта КИИ.

Примеры ККИ

Объектов КИИ множество, исчерпывающего перечня нет. Поэтому приведем лишь несколько типов таких объектов из разных сфер.

Примеры следующие:
• Сфера здравоохранения:
— медицинские ИС;
— медицинские информационно-справочные системы;
— ИС в области фармацевтики;
— программно-аппаратные комплексы;
— иное;
• Сфера энергетики:
— гидроэлектростанция, а также системы управления, с ней связанные (ИС и АСУ);
— система контроля и управления технологическим оборудованием ТЭС;
— системы управления технологическими процессами подстанции;
— иное;
• Сфера финансов:
— автоматизированная банковская система;
— сети банкоматов;
— сети платежных терминалов;
— иное;
• Научная сфера:
— АСУ, обеспечивающие выполнение научных исследований и разработок;
— научное программное обеспечение учебных заведений;
— системы автоматизации учета проектов и работы сотрудников;
— иное.

Если совсем упросить, можно взять, например, информационные системы государственных больниц. В них хранятся сведения о пациентах, диагнозах, истории болезни, анализах и так далее.
Если такая система будет повреждена или рухнет, последствия будут значительными для общества. То есть:
• начнутся проблемы с оказанием помощи больным;
• усилится повреждение здоровья людей;
• увеличится вероятность летального исхода у некоторых пациентов;
• другое.

Как уже говорилось ранее, сведения о конкретных значимых объектах КИИ содержатся в специальном реестре. Однако он не находится в открытом доступе. Это делается в целях безопасности, поскольку всегда существует потенциальная угроза атаки КИИ.
Про реестр говорится в статье 8 закона № 187. Порядок его ведения регулируется также Приказом ФСТЭК России от 06.12.2017 № 227.

Что такое безопасность ККИ

Определение безопасности КИИ содержится в статье 2 закона № 187. Из него следует, что безопасность – это состояние защищенности КИИ, которое позволяет устойчиво функционировать объектам при атаках.
Для обеспечения этого состояния должен быть проведен комплекс мер, обеспечивающих защиту. Какие это будут меры, зависит от значимости (отсутствия значимости) объекта.
Если он незначимый, субъекты должны действовать в соответствии с положениями ст. 9 основного закона. То есть они вправе разрабатывать меры безопасности. При этом могут использовать те же требования, которые установлены для значимых объектов. Также им необходимо соблюдать обязанности, установленные данной статьей, и сотрудничать с уполномоченным и иными органами.
Если объект значимый, часть 3 статьи 9 закона № 187 устанавливает дополнительные условия. Такие субъекты должны руководствоваться конкретными требованиями закона в части защиты.

Требования по защите КИИ

Требования по безопасности устанавливаются в соответствии со статьей 11 закона № 187. Они включают в себя:
• планирование (разработку, совершенствование, внедрение) процессов, связанных с защитой;
• организационные и технические меры безопасности;
• установку параметров (характеристик) программных или программно-аппаратных средств.
Конкретно же, требования к защите утверждены Приказом ФСТЭК России от 25.12.2017 № 239.
Часть 2 статьи 11 закона № 187 также указывает на возможность установления дополнительных требований безопасности.

Например, подобные требования содержатся:
• в Указе Президента РФ от 30.03.2022 № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации»;
• Указе Президента РФ от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации»;
• Приказе Минэнерго РФ от 26.12.2023 № 1215.

Вернемся к приказу ФСТЭК № 239, который утверждает ключевые требования к безопасности. Их много, поэтому мы лишь тезисно опишем основные особенности данного документа.
Приказ делится на три основных раздела, каждый из которых предусматривает свои требования.
В частности:
• Требования к безопасности при создании, эксплуатации и выводе из эксплуатации объектов (этапы жизненного цикла):
— до начала эксплуатации должно быть выполнено категорирование объекта;
— на стадии проектирования должны быть установлены защитные меры согласно КЗ;
— при вводе в эксплуатацию проводится проверка таких мер защиты и их соответствие категории;
— вывод из эксплуатации – исключается доступ к информации, она физически удаляется (уничтожается). Происходит демонтаж средств защиты;
— перечисленные задачи требуются квалифицированного подхода, поэтому понадобится наличие специалиста по информационной безопасности (ИБ);
— другое;
• Требования к организационным и техническим мерам:
— наличие организационно-распорядительной документации:
* политика защиты;
* распределение полномочий;
* порядок реагирования;
* иное;
— регистрация, хранение и анализ событий безопасности;
— система управления доступом: аутентификация, управление ролями, ограничение привилегий;
— антивирусная защита, резервное копирование, восстановление, защита каналов связи;
— актуализация угроз, пересмотр мер после изменений, регулярная переоценка эффективности;
— другое;
• Требования к программным и программно-аппаратным средствам:
— применение сертифицированных СЗИ (средств защиты информации) с подтвержденным соответствием требованиям безопасности;
— реализация функций: регистрация событий, предотвращение НСД, контроль целостности и конфиденциальности;
— обязательная интеграция в общую архитектуру ИБ;
— поддержка, документирование, своевременное обновление.
— ответственный специалист должен обеспечивать соответствие используемых решений требованиям ФСТЭК;
— другое.
Кроме того, приказ № 239 содержит конкретный состав мер безопасности в соответствии с КЗ. Полный список можно посмотреть в приложении к приказу.

Чем обеспечивается безопасность КИИ

Это целый комплекс мер на разных уровнях — начиная от действий субъекта и заканчивая государством.

В частности, безопасность состоит из следующих основных столпов:
• Национальный координационный центр по компьютерным инцидентам (НКЦКИ). Это основная структура, которая координирует деятельность субъектов КИИ;
• система ГосСОПКА — государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак. Работает в коллаборация с национальной системой;
• правовая база — все, что связано с защитой регулируется:
— федеральными законами;
— приказами ФСТЭК;
— указами президента РФ;
— иными актами;
• Выполнение требований законодательства субъектами КИИ. Они физически осуществляют весь тот комплекс мер, который установлен НПА;
• Осуществление государственного контроля. Основной орган — это ФСТЭК, но могут быть и иные органы;
• Наличие ответственности за нарушения в области безопасности.

Какие средства защиты информации применяются для безопасности ККИ

Средства защиты информации (СЗИ) могут иметь разный характер, например, это:
• защита от несанкционированного доступа;
• криптографическая защита;
• антивирусное ПО;
• системы, обнаруживающие и предотвращающие атаки;
• системы резервного копирования (восстановления);
• системы регистрации и аудита событий;
• иное.
Важно, чтобы данные СЗИ имели сертификацию ФСТЭК или ФСБ. Каждые из СЗИ используют для конкретных целей и применяют исходя из КЗ.

Оценка безопасности ККИ

Об оценке говорится в статье 12 закона № 187. Она нужна для прогнозирования потенциальных угроз, что позволяет выработать определенные меры защиты.

При оценке проводится анализ:
• сведений, полученных из специальных средств, отслеживающих атаки;
• данных, полученных от субъектов КИИ и иных лиц, которые ими не являются;
• информации, которая поступает в госсистему обнаружения атак;
• иной полученной информации.
Чтобы провести оценку, уполномоченный орган внедряет в сети электросвязи специальные средства. Они фиксируют признаки компьютерных атак в сетях электросвязи.

Ответственность субъектов КИИ

В зависимости от тяжести содеянного наказание может быть установлено КоАП РФ или Уголовным кодексом РФ.

Статья  13.12.1. КоАП РФ

Часть 1. Если нарушены требования к созданию систем безопасности или требования по обеспечению безопасности:
• штраф от 10 до 50 тыс. рублей – для должностных лиц;
• от 50 до 100 тыс. рублей – для юридических лиц.
Часть 2. Нарушение порядка информирования об атаках и принятия мер по этому поводу:
• штраф от 10 до 50 тыс. рублей – для должностных лиц;
• от 100 до 500 тыс. рублей – для юридических лиц.
Часть 3. Нарушение порядка обмена информацией между субъектами уполномоченными органами:
• штраф от 20 до 50 тыс. рублей – для должностных лиц;
• от 100 до 500 тыс.  рублей – для юридических лиц.

УК РФ

Наказание предусматривает статья 274.1 кодекса. В зависимости от тяжести преступник может получить:
— принудительные работы,
— ограничение свободы,
— лишение свободы,
— штраф.
Максимальное наказание — до 8 лет лишения свободы.

Какими правами обладает субъект КИИ

Они перечислены в статье 9 закона № 187. Субъект вправе:
• получать данные от уполномоченного органа в целях безопасности;
• получать данные о средствах (способах) проведения атак и прочее;
• приобретать за свой счет необходимые средства защиты;
• разрабатывать мероприятия по безопасности.

Читайте также
эту статью еще не обсуждали
Вы можете оставить первый комментарий

Авторизуйтесь, чтобы оставлять комментарии

Нет аккаунта? Зарегистрируйтесь