1. Категорирование объекта критической информационной инфраструктуры представляет собой установление соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения.
1) социальной значимости, выражающейся в оценке возможного ущерба, причиняемого жизни или здоровью людей, возможности прекращения или нарушения функционирования объектов обеспечения жизнедеятельности населения, транспортной инфраструктуры, сетей связи, а также максимальном времени отсутствия доступа к государственной услуге для получателей такой услуги;
2) политической значимости, выражающейся в оценке возможного причинения ущерба интересам Российской Федерации в вопросах внутренней и внешней политики;
3) экономической значимости, выражающейся в оценке возможного причинения прямого и косвенного ущерба субъектам критической информационной инфраструктуры и (или) бюджетам Российской Федерации;
4) экологической значимости, выражающейся в оценке уровня воздействия на окружающую среду;
5) значимости объекта критической информационной инфраструктуры для обеспечения обороны страны, безопасности государства и правопорядка.
3. Устанавливаются три категории значимости объектов критической информационной инфраструктуры - первая, вторая и третья.
4. Субъекты критической информационной инфраструктуры в соответствии с критериями значимости и показателями их значений, а также порядком осуществления категорирования присваивают одну из категорий значимости принадлежащим им на праве собственности, аренды или ином законном основании объектам критической информационной инфраструктуры. Если объект критической информационной инфраструктуры не соответствует критериям значимости, показателям этих критериев и их значениям, ему не присваивается ни одна из таких категорий.
5. Сведения о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий субъекты критической информационной инфраструктуры в письменном виде в десятидневный срок со дня принятия ими соответствующего решения направляют в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, по утвержденной им форме.
6. Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, в тридцатидневный срок со дня получения сведений, указанных в части 5 настоящей статьи, проверяет соблюдение порядка осуществления категорирования и правильность присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо неприсвоения ему ни одной из таких категорий.
7. В случае, если субъектом критической информационной инфраструктуры соблюден порядок осуществления категорирования и принадлежащему ему на праве собственности, аренды или ином законном основании объекту критической информационной инфраструктуры правильно присвоена одна из категорий значимости, федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, вносит сведения о таком объекте критической информационной инфраструктуры в реестр значимых объектов критической информационной инфраструктуры, о чем в десятидневный срок уведомляется субъект критической информационной инфраструктуры.
8. В случае, если федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, выявлены нарушения порядка осуществления категорирования и (или) объекту критической информационной инфраструктуры, принадлежащему на праве собственности, аренды или ином законном основании субъекту критической информационной инфраструктуры, неправильно присвоена одна из категорий значимости и (или) необоснованно не присвоена ни одна из таких категорий и (или) субъектом критической информационной инфраструктуры представлены неполные и (или) недостоверные сведения о результатах присвоения такому объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, в десятидневный срок со дня поступления представленных сведений возвращает их в письменном виде субъекту критической информационной инфраструктуры с мотивированным обоснованием причин возврата.
9. Субъект критической информационной инфраструктуры после получения мотивированного обоснования причин возврата сведений, указанных в части 5 настоящей статьи, не более чем в десятидневный срок устраняет отмеченные недостатки и повторно направляет такие сведения в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации.
10. Сведения об отсутствии необходимости присвоения объекту критической информационной инфраструктуры одной из категорий значимости после их проверки направляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, о чем в десятидневный срок уведомляется субъект критической информационной инфраструктуры.
11. В случае непредставления субъектом критической информационной инфраструктуры сведений, указанных в части 5 настоящей статьи, федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, направляет в адрес указанного субъекта требование о необходимости соблюдения положений настоящей статьи.
1) по мотивированному решению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, принятому по результатам проверки, проведенной в рамках осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры;
2) в случае изменения значимого объекта критической информационной инфраструктуры, в результате которого такой объект перестал соответствовать критериям значимости и показателям их значений, на основании которых ему была присвоена определенная категория значимости;
3) в связи с ликвидацией, реорганизацией субъекта критической информационной инфраструктуры и (или) изменением его организационно-правовой формы, в результате которых были изменены либо утрачены признаки субъекта критической информационной инфраструктуры.
«О безопасности критической информационной инфраструктуры». Начиная с 2013 года, еще на этапе проекта, этот закон бурно обсуждался ИБ-сообществом и вызывал много вопросов относительно практической реализации выдвигаемых им требований. Теперь, когда эти требования вступили в силу и многие компании столкнулись с необходимостью их выполнения, необходимо ответить на самые животрепещущие вопросы.
Новый Закон предназначен для регулирования деятельности по обеспечению безопасности объектов информационной инфраструктуры РФ, функционирование которых критически важно для экономики государства. Такие объекты в законе называются объектами критической информационной инфраструктуры (КИИ). Согласно документу, к объектам КИИ могут быть отнесены информационные системы и сети, а также автоматизированные системы управления, функционирующие в сфере:
Объекты КИИ, а также сети электросвязи, используемые для организации взаимодействия между ними, составляют понятие критической информационной инфраструктуры .
Главной целью обеспечения безопасности КИИ является устойчивое функционирование КИИ, в том числе при проведении в отношении нее компьютерных атак. Главным принципом обеспечения безопасности является предотвращение компьютерных атак.
До появления нового закона о КИИ в сфере ИБ существовало похожее понятие «ключевые системы информационной инфраструктуры» (КСИИ). Однако с 1 января 2018 года понятие КСИИ было официально заменено на понятие «значимые объекты КИИ».
Требования закона о безопасности КИИ затрагивают те организации (государственные органы и учреждения, юридические лица и индивидуальных предпринимателей), которым принадлежат (на праве собственности, аренды или ином законном основании) объекты КИИ или которые обеспечивают их взаимодействие. Такие организации в законе называются субъектами КИИ .
Согласно документу, субъекты КИИ должны:
Категорирование объекта КИИ предполагает определение его категории значимости на основе ряда критериев и показателей. Всего устанавливается три категории: первая, вторая или третья. Если объект КИИ не соответствует ни одному из установленных критериев, ему не присваивается ни одна из категорий. Те объекты КИИ, которым была присвоена одна из категорий, называются в законе значимыми объектами КИИ.
Важно отметить, что если в процессе категорирования было определено отсутствие категории значимости у объекта КИИ, результаты категорирования все равно должны быть представлены во ФСТЭК. Регулятор проверяет представленные материалы и при необходимости направляет замечания, которые должен учесть субъект КИИ. Если субъект КИИ не предоставит данные о категорировании, ФСТЭК вправе потребовать эту информацию.
Порядок ведения реестра значимых объектов КИИ будет определен соответствующим приказом, проект которого уже опубликован .
Показатели критериев значимости, порядок и сроки категорирования будут определяться соответствующим постановлением правительства, проект которого также уже подготовлен . В соответствии с текущей версией документа, процедура категорирования включает в себя:
Категорирование должно проводиться как для существующих, так и для создаваемых или модернизируемых объектов КИИ специальной комиссией из работников субъекта КИИ. Решение комиссии оформляется соответствующим актом и в течение 10 дней после его утверждения сведения о результатах категорирования должны быть направлены во ФСТЭК. Максимальный срок категорирования объектов КИИ - 1 год со дня утверждения субъектом КИИ перечня объектов КИИ.
Этот порядок является предварительным и должен быть уточнен после утверждения соответствующего постановления правительства.
Вместе с утверждением федерального закона от 26.07.2017 № 187-ФЗ «О безопасности КИИ» в российский Уголовный Кодекс была добавлена ст. 274.1, устанавливающая уголовную ответственность должностных лиц субъекта КИИ за несоблюдение принятых правил эксплуатации технических средств объекта КИИ или нарушение порядка доступа к ним вплоть до лишения свободы сроком на 6 лет.
Пока данная статья не предусматривает ответственности за невыполнение необходимых мероприятий по обеспечению безопасности объекта КИИ, однако в случае наступления последствий (аварий и чрезвычайных ситуаций, повлекших за собой крупный ущерб) непринятие таких мер подпадает под ст. 293 УК РФ «Халатность». Дополнительно следует ожидать изменений в административном законодательстве в области определения штрафных санкций для юридических лиц за неисполнение закона о безопасности КИИ. С большой долей уверенности можно говорить о том, что именно введение существенных денежных штрафов будет стимулировать субъекты КИИ к выполнению требований обсуждаемого закона. [ics-cert.kaspersky.ru ]
Редакция благодарит «Лабораторию Касперского» за разрешение на перепечатку статьи.
2 августа 2019 , Бюджеты субъектов Федерации. Межбюджетные отношения Президент России подписал разработанный Правительством Федеральный закон, направленный на совершенствование системы межбюджетных отношений Федеральный закон от 2 августа 2019 года №307-ФЗ. Проект федерального закона был внесён в Госдуму распоряжением Правительства от 24 октября 2018 года №2288-р. Федеральным законом уточняются условия и порядок распределения и предоставления межбюджетных трансфертов. Уточняются положения, регулирующие вопросы предоставления субвенций бюджетам субъектов Федерации из федерального бюджета, в том числе в форме единой субвенции.
2 августа 2019 , Демографическая политика Президент России подписал разработанный Правительством Федеральный закон об изменении порядка установления ежемесячной выплаты в связи с рождением или усыновлением первого или второго ребенка Федеральный закон от 2 августа 2019 года №305-ФЗ. Проект федерального закона был внесён в Госдуму распоряжением Правительства от 28 мая 2019 года №1092-р. Федеральным законом изменяется критерий нуждаемости, в соответствии с которым гражданам будет назначаться ежемесячная выплата в связи с рождением (усыновлением) первого или второго ребенка. С 1 января 2020 года право на получение такой выплаты получат семьи, у которых размер среднедушевого дохода не будет превышать двукратную величину прожиточного минимума трудоспособного населения, установленную в субъекте Федерации. Кроме того, такая ежемесячная выплата будет производиться гражданам до достижения ребенком возраста трех лет.
2 августа 2019 , Оборот лекарств, медицинских изделий и субстанций Президент России подписал Федеральный закон об уточнении норм, касающихся обращения лекарственных средств для ветеринарного применения Федеральный закон от 2 августа 2019 года №297-ФЗ. Федеральным законом, в частности, Россельхознадзор наделяется правом на проведение контрольной закупки лекарственных препаратов для ветеринарного применения, находящихся в обращении. Минсельхоз России наделяется полномочиями по утверждению порядка назначения лекарственных препаратов для ветеринарного применения, утверждению формы рецептурных бланков на эти лекарственные препараты, порядка их учета и хранения.
2 августа 2019 , Антитеррористическая безопасность Президент России подписал разработанный Правительством Федеральный закон об изменениях в правовом регулировании вопросов обеспечения транспортной безопасности Федеральный закон от 2 августа 2019 года №270-ФЗ. Проект федерального закона был внесён в Госдуму распоряжением Правительства от 21 марта 2015 года №469-р. Федеральным законом, в частности, устанавливается, что в число основных задач обеспечения транспортной безопасности входит категорирование объектов транспортной инфраструктуры, а также оценка уязвимости объектов транспортной инфраструктуры, подлежащих категорированию, и судов ледокольного флота, используемых для проводки по морским путям, судов, в отношении которых применяются правила торгового мореплавания и требования в области охраны судов и портовых средств, установленные международными договорами.
2 августа 2019 , Общие вопросы промышленной политики Президент России подписал разработанные Правительством федеральные законы о совершенствовании механизма специальных инвестиционных контрактов Федеральные законы от 2 августа 2019 года №290-ФЗ, №269-ФЗ. Проекты федеральных законов были внесены в Госдуму распоряжениями Правительства от 13 апреля 2019 года №722-р, №723-р. В целях развития высокотехнологичного производства и совершенствования механизма заключения СПИК, уточняются требования к контракту и его сторонам, предмет и содержание, порядок заключения, изменения, расторжения и прекращения действия контракта. Для налогоплательщиков – участников СПИК налоговая ставка налога на прибыль организаций, подлежащего зачислению в федеральный бюджет, устанавливается в размере 0%.
2 августа 2019 , Налоги и неналоговые платежи. Финансовая отчётность и аудит Президент России подписал Федеральный закон о расширении списка продовольственных товаров, облагаемых НДС Федеральный закон от 2 августа 2019 года №268-ФЗ. В список продовольственных товаров, облагаемых налогом на добавленную стоимость при их реализации по налоговой ставке 10%, включаются фрукты и ягоды, в том числе виноград.
2 августа 2019 , Земельные отношения. Кадастровая система. Недвижимость. Оценочная деятельность Президент России подписал Федеральный закон об уточнении порядка оформления прав на садовые дома и другие объекты недвижимости Федеральный закон от 2 августа 2019 года №267-ФЗ. До 1 марта 2021 года допускается проведение государственного кадастрового учета или регистрации прав на жилой или садовый дом, созданный на земельном участке, предназначенном для ведения садоводства, на основании только технического плана, подготовленного в соответствии с декларацией об объекте, составленной владельцем земельного участка, и правоустанавливающего документа на земельный участок, если в Едином государственном реестре недвижимости не зарегистрировано право заявителя на земельный участок, на котором расположен этот объект недвижимости.
2 августа 2019 , Денежно-кредитная политика. Финансовые рынки Президент России подписал Федеральный закон об уточнении требований к иностранным платежным системам Федеральный закон от 2 августа 2019 года №264-ФЗ. Федеральным законом устанавливаются требования к иностранным платежным системам, функционирующим в России, и к правилам иностранной платежной системы, включая систему управления рисками и требования к защите информации.
2 августа 2019 , Деловая среда. Развитие конкуренции Президент России подписал Федеральный закон о правовом регулировании деятельности операторов инвестиционных платформ Федеральный закон от 2 августа 2019 года №259-ФЗ. Федеральным законом регулируются отношения, возникающие в связи с инвестированием и привлечением инвестиций с использованием инвестиционных платформ, а также устанавливаются правовые основы деятельности операторов таких платформ. При этом под инвестиционной платформой понимается информационная система в интернете, которая используется для заключения договоров инвестирования.
Президент России подписал Федеральный закон об изменениях в законодательстве в сфере энергосбережения и повышения энергетической эффективности Федеральный закон от 26 июля 2019 года №241-ФЗ. Федеральным законом в отношении многоквартирных домов, физический износ основных конструктивных элементов которых превышает 70% и которые не включены в региональную программу капремонта общего имущества, а также в отношении домов, включенных в программу реновации, исключаются требования по обязательному учёту производимых, передаваемых, потребляемых энергетических ресурсов с применением приборов учёта. 1Среди достаточно большого числа законодательных ИТ/ИБ-новшеств, вступивших в силу в 2018 г., можно выделить Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» . Его актуальность видна уже потому, что он принят в виде самостоятельного закона, а не поправок к ранее действовавшим документам. Но это же показывает, что речь идет о регулировании новой (для законодательства) ИТ-сферы, а потому можно ожидать, что процесс практического применения закона будет проходить вполне естественную «притирку».
С вопросами о том, как 187-ФЗ может повлиять на развитие ситуации на корпоративном ИТ/ИБ-рынке, о перспективах его применения, возможных проблемах и вариантах их решения, мы обратились к ряду экспертов.
Одна из главных новаций закона - механизм реализации «Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации» (ГосСОПКА), которая, по-видимому, должна взять под государственный контроль все уже существующие системы ИБ и стать единым центром управления всем этим хозяйством.
Закон расширяет перечень информационных систем (для них вводится понятие «критическая информационная инфраструктура», КИИ), к которым предъявляются обязательные требования по безопасности со стороны государства и владельцы которых теперь несут ответственность, в том числе уголовную. Как пояснил директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов, под КИИ понимаются ИТ-системы государственных и коммерческих организаций, сбои в которых (в том числе в результате хакерских атак) могут привести к тяжелым социальным, политическим, экологическим и прочим последствиям.
С точки зрения директора по ИБ компании РТ-ИНФОРМ (Центр компетенций по ИТ и ИБ госкорпорации Ростех) Александра Евтеева, важным является то, что закон определяет порядок категорирования значимых объектов КИИ, порядок госконтроля в области обеспечения их безопасности, права и обязанности организаций, которым принадлежат субъекты КИИ.
В плане регулирования отношений в области обеспечения безопасности КИИ в условиях проведения хакерских атак закон выделяет два направления - обеспечение безопасности и противодействие атакам. В этом связи директор департамента ИБ компании «Сервионика» (ГК «АйТеко») Василий Степаненко напоминает, что в соответствии с Указом Президента РФ от 25.11.2017 № 569 федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности КИИ, является ФСТЭК России, а согласно Указу Президента РФ от 15.01.2013 № 31с полномочия по созданию ГосСОПКИ возложены на ФСБ России.
«ГосСОПКА должна контролировать степень защищенности критической информационной инфраструктуры РФ от компьютерных атак, - отметил Дмитрий Огородников, директор по развитию Angara Technologies Group. - При этом до сих пор не было четкого понимания, кто должен конкретно подключаться к этой системе. Теперь, с выходом 187-ФЗ, появилась ясность в данном вопросе. А именно, в законе указали, что к ГосСОПКЕ должны подключаться все субъекты КИИ, причем вне зависимости, есть ли у них значимые объекты КИИ или нет».
Начальник информационно-аналитического управления Московской городской Думы Антон Таран среди ключевых идей закона выделяет необходимость создания единого центра мониторинга и управления ИБ для важных с точки зрения государства ИТ-систем. «Сегодня центральная власть может не знать, что на какой-нибудь центр управления ТЭЦ в Ханты-Мансийске напали хакеры и вывели на два часа из строя систему пожаротушения. А теперь будут знать и как-то реагировать», - пояснил он.
Действительно, теперь закон напрямую обязывает службы ИБ таких объектов передавать информацию о зафиксированных атаках в ФСБ. Генеральный директор R-Vision Александр Бондаренко считает, что это позволит наладить обмен информацией между специалистами по ИБ и в целом повысит уровень защищенности объектов КИИ.
«В части ФСТЭК всем субъектам КИИ необходимо будет выполнить ряд мероприятий, в том числе выделение и категорирование объектов КИИ, выполнение требований по безопасности. Но у большинства организаций на сегодняшний день уже реализованы определенные меры безопасности (например, в соответствии с нормативными актами по ГИС и/или ПДн), поэтому им потребуется соотнести имеющуюся систему защиты информации с требованиями ФСТЭК в части КИИ и при необходимости ее доработать», - считает Дмитрий Огородников. В части ФСБ, добавил он, потребуется провести работы по подключению к ГосСОПКЕ, что, наверно, является самым обременительным мероприятием.
«Сейчас мы ждем утверждения правительством правил категорирования объектов КИИ, а также утверждения требований ФСТЭК по внедрению мер по защите информации на объектах КИИ в зависимости от присвоенной категории, - рассказал руководитель направления ИБ компании „Системный софт“ Яков Гродзенский. - После того, как эти документы будут утверждены, видимо определенное время займет у ФСТЭК работа по категорированию объектов КИИ. После этого начнется массовое внедрение соответствующих решений».
«В соответствии с приказом ФСТЭК № 227 от 6.12.2017 об утверждении порядка ведения реестра КИИ данный реестр будет закрытым. Сведения из него направляются в ГосСОПКУ, а также могут предоставляться только государственным органам или российским юридическим лицам, выполняющим функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере», - отметил Дмитрий Огородников. Добавим, что в соответствии с Указом Президента от 02.03.2018 № 98 сведения, раскрывающие меры по обеспечению безопасности КИИ, а также сведения, раскрывающие состояние ее защищенности, отнесены к государственной тайне.
Совершенно определенном можно сказать, что реализация 187-ФЗ потребует от участников рынка дополнительных усилий, в том числе финансовых затрат.
«В силу того, что количество объектов и организаций, которые подпадают под действие данного закона, внушительно, а уровень обеспечения ИБ на них не очень высокий, это потребует серьезных инвестиций в безопасность. Таким образом, обеспечение защиты объектов КИИ может стать очередным драйвером рынка, каким в свое время стал пресловутый закон о персональных данных», - уверен Александр Бондаренко.
«На рынке ИБ появится новый вид услуг, ориентированных на приведение в соответствие требованиям ФСТЭК в части КИИ, а также услуги по подключению к ГосСОПКЕ. Здесь возможны различные варианты: создание ведомственных центров, подключение к корпоративным центрам и т. д. Все варианты также потребуют закупки соответствующих средств защиты информации», - полагает Дмитрий Огородников.
По словам Якова Гродзенского, организациям, подпадающим под определение субъектов КИИ, неминуемо придется создавать центры ГосСОПКИ в своей инфраструктуре. В связи с этим будет необходимо реализовать интерфейс обмена информацией с Головным центром. «В том числе на основе уже существующих решений отечественных разработчиков нужно внедрить систему учета инцидентов и реагирования на них (IRP), основанную на SIEM-решениях, которые являются частью SOC организации. Кроме того, необходимо проводить анализ защищенности инфраструктуры и внедрить решения по повышению осведомленности сотрудников по вопросам ИБ», - пояснил он.
«Для поставщиков средств безопасности закон несет позитивные новости, но как это отразится на ИТ-рынке - сказать сложно, ведь вполне возможно, что дополнительные усилия в направлении безопасности будут реализовываться за счет сокращения активности по другим ИТ-проектам», - делится своими опасениями Антон Таран.
Но Александр Евтеев высказывает мнение, что реализация закона скажется позитивно на деятельности организаций, которые сегодня зачастую несут прямые потери от своего невнимания к проблемам безопасности: «В последние годы существенно увеличилось число инцидентов, связанных с компьютерными атаками, злоумышленники постоянно находят новые способы атак. Тенденция последних лет к ужесточению требований ИБ, особенно для госсектора и КИИ, является необходимой ответной мерой».
По-видимому, одним из важных направлений, которые попадают в поле применения 187-ФЗ, являются системы управления технологическими процессами. На это, в частности, обращает внимание Дмитрий Кузнецов: «Владельцы промышленных предприятий и разработчики средств промышленной автоматизации осознали, насколько промышленность уязвима к атакам, и сейчас происходит кооперация между производителями систем АСУ ТП и компаниями, специализирующимися на анализе защищенности таких систем».
В свою очередь, Василий Степаненко отмечает, что закон подразумевает не проведение некоторой одноразовой акции по усилению безопасности ИТ-систем, а постоянную работу в этом направлении: «Заказчикам нужно теперь постоянно разрабатывать и осуществлять мероприятия по обеспечению безопасности, планировать бюджеты на это, информировать ФСБ об инцидентах, расследовать инциденты и оказывать содействие представителям ФСБ и ФСТЭК». По его словам, аттестация КИИ будет проходить не в привычном формате выдачи аттестата соответствия, а в виде проверки выполнения установленному ФСТЭК минимуму требований и постоянной оценки эффективности мер защиты со стороны ФСБ.
Опыт предыдущих лет показывает, что реализация принятых законов в области ИТ порой проходит довольно сложно. Оказывается, что какие-то положения принятых актов трудновыполнимы на практике, а каким-то важным аспектам законодатели уделили недостаточное внимание или вовсе упустили их из виду. Регулярно возникает и проблема финансирования исполнения требований закона.
«Качество 187-ФЗ - не лучше и не хуже аналогичных законов, связанных с ИТ, - отмечает Антон Таран. - Есть не до конца проработанные определения, допускающие неоднозначные толкования. Есть размытость формулировок. Как обычно бывает, довольно подробно прописаны алгоритмы администрирования и функционал уполномоченных органов, поскольку от этого зависит дальнейшее нормотворчество и зоны ответственности, а соответственно и бюджетополучатели. Пока не понятно, каковы будут затраты бюджета на создание и функционирование системы. Учитывая, что законом предусмотрено создание национального координационного центра по компьютерным инцидентам, затраты все же предстоят. Если только это не будет виртуальный центр».
С тем, что исполнение потребует существенных затрат как со стороны владельцев информационных систем, так и со стороны государства, согласны все эксперты. Но Дмитрий Кузнецов уверен, что такие расходы просто необходимы: «Проблема ИБ многими организациями игнорировалась. Необязательность защиты привела к тому, что во многих жизненно важных информационных системах отсутствуют элементарные механизмы защиты. Болезнь стала запущенной, и сейчас ее лечение требует серьезных усилий».
Александр Бондаренко видит потенциальную проблему закона в том, что на его внедрение в реальную жизнь потребуется несколько лет, так как критические объекты в силу своих особенностей потребуют серьезной адаптации существующих механизмов защиты.
То, что государство в столь явном виде проявило озабоченность вопросами безопасности КИИ, - хорошо. Но Василий Степаненко видит проблему 187-ФЗ в том, что он, по его мнению, плохо состыкован с другими законами, которые уже давно действуют в ряде отраслей, обозначенных как потенциальные субъекты КИИ. Не ясно пока и с ответственностью по исполнению требований закона, например, где лежит зона ответственности руководителя субъекта, а где - иных должностных лиц. Не все понятно и с финансированием. «Обязать всех выделять бюджеты и бояться проверок можно, но без должного финансирования, в том числе со стороны государства, сложно добиться реальных результатов», - считает эксперт.
Что же касается перспектив закон, то, по мнению Антона Тарана, об этом говорить пока сложно. С одной стороны, чисто теоретически, систематизация, координация и стандартизация никому еще не вредили, и если будущая система будет реально работать, а издержки для экономики субъектов КИИ не будут превышать потенциальные риски, то можно ожидать повышения уровня безопасности. С другой, говорить об оценке эффективности закона будет очень сложно, пока не будут определены количественные показатели обеспечения безопасности.
Главную же проблему закона он видит в издержках для бизнеса. Ведь отдельно взятый субъект вполне способен обеспечить себя защитой от компьютерных атак и в целом должен владеть технологиями ИБ не хуже государства. Создание же дополнительных организационных и, возможно, материальных затрат для любого бизнеса должно компенсироваться дополнительными доходами, при этом есть риск, что дополнительные затраты не будут компенсированы повышением уровня безопасности.
В целом все эксперты согласны с тем, что практическая реализация закона в решающей степени будет зависеть от системы последующий нормативных подзаконных актов, которые в том числе должны определить ответственность тех или иных лиц за исполнение закона.
1 января 2018 года вступил в силу Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», который касается не только госучреждений и коммерческих организаций, но и индивидуальных предпринимателей.
Суть новой законодательной инициативы раскрывает Василий Степаненко , директор департамента информационной безопасности компании «Сервионика», входящей в группу «АйТеко».
Каковы предпосылки принятия нового федерального закона? Одна из причин - рост рисков, связанных с безопасностью данных. По оценкам ФСБ России, в 2016 году было совершено порядка 70 миллионов попыток атак на объекты критической информационной инфраструктуры РФ, и 2/3 из них - атаки, совершенные из-за границы.
Четверть целевых кибератак, зафиксированных «Лабораторией Касперского», были направлены на промышленные компании. По наблюдениям экспертов в сфере информационной безопасности, в 2017-м число APT-атак выросло в два раза, а среднее время присутствия злоумышленника в инфраструктуре - от вторжения до обнаружения - составляет три года.
Что предстоит усовершенствовать? Во-первых, ГосСОПКА - государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ.
Во-вторых, защищенность информационных систем госорганов, включая усиление персональной ответственности руководства за обеспечение ИБ. Именно эти два пункта в значительной мере реализованы в федеральном законе о безопасности КИИ, принятом летом 2017 года.
На какие отрасли распространяется 187-ФЗ? Новый закон охватывает здравоохранение, науку, транспорт, связь, энергетику, банки, финансы, ТЭК, атомную энергетику, оборонную, ракетно-космическую, горнодобывающую, металлургическую и химическую отрасли промышленности.
К субъектам КИИ относится любое юридическое лицо, обладающее информационной системой, используемой в одной из этих отраслей. К значимым объектам КИИ, распределенным на три категории, относятся все информационные системы, инциденты с которыми могут нарушить выполняемые ими социально-значимые функции и нанести значительный ущерб.
К ним предъявляются наиболее серьезные требования по обеспечению ИБ, неисполнение которых может повлечь серьезные последствия вплоть до уголовного наказания.
Как исполнение положений закона будет регулироваться и контролироваться? Закон определяет четырех регуляторов: ФСТЭК (Федеральную службу по техническому и экспортному контролю) и ФСБ как основных, Банк России и Минкомсвязь как дополнительных, согласовывающих требования по обеспечению безопасности объектов КИИ для своей сферы регулирования.
Функции ФСТЭК состоят в категорировании и ведении реестра значимых объектов КИИ, разработке требований по обеспечению информационной безопасности объектов КИИ и контроле их выполнения. ФСБ отвечает за практические аспекты безопасности, являясь главным центром ГосСОПКА.
Что необходимо сделать субъекту КИИ, чтобы выполнить требования закона? Самостоятельно провести категорирование всех своих объектов КИИ и сообщить о них в письменной форме в ФСТЭК для внесения сведений в реестр значимых объектов КИИ.
Реагировать на компьютерные инциденты, незамедлительно информируя о них ФСБ и оказывая содействие должностным лицам в деятельности, связанной с предупреждением, обнаружением и ликвидацией последствий инцидентов. Обеспечивать выполнение порядка, технических условий установки и эксплуатации технических средств ГосСОПКА.
Как будет осуществляться надзор за выполнением законодательных требований? ФСТЭК будет следить за правильностью категорирования объектов КИИ и выполнением требований к обеспечению информационной безопасности значимых объектов.
Плановые проверки будут проводиться каждые 3 года, внеплановые - по произошедшим инцидентам, поручениям президента и правительства или по требованию прокуратуры.
Оценка безопасности объектов КИИ будет осуществляться органами ФСБ. ФСБ будет производить анализ сведений от технических средств ГосСОПКА, из реестра значимых объектов КИИ, сведений, предоставляемых субъектами.
Что будет, если нарушить этот закон? Невыполнение обязанности по категорированию и предоставлению сведений об отдельных объектах КИИ не преследуется по закону, однако невыполнение требований по обеспечению безопасности КИИ, в том числе повлекшее за собой тяжкие последствия или угрозу их возникновения, наказуемо.
Насколько сложно реализовать требования нового закона на практике? Большинство российских промышленных компаний тратят сегодня на информационную безопасность менее 50 млн рублей в год.
При этом опрошенные в ходе исследования «Сколько стоит безопасность» руководители 27% организаций оценили в аналогичную сумму потери от одного дня простоя инфраструктуры из-за кибератаки. Во многих компаниях нет отдельного бюджета на обеспечение информационной безопасности: он является частью ИТ-бюджета, составляя не более 20% от него.
Для реализации требований 187-ФЗ и подзаконных актов регуляторов требуются значительные средства, и руководителям субъектов КИИ необходимо как-то выходить из ситуации. На сегодняшний день один из наиболее обсуждаемых вариантов решения проблемы обеспечения полноценной защиты объектов КИИ - подключение их к корпоративным центрам реагирования (Security Operations Center - SOC).
Они предоставляют полный спектр услуг по мониторингу и администрированию систем защиты информации, выявлению и реагированию на инциденты. Такой подход, возможно, станет одним из важных трендов в области ИБ в России.
Услуги SOC позволят субъектам КИИ более экономно реализовать требования нового закона. С вступлением 187-ФЗ в силу обеспечение информационной безопасности становится непрерывным процессом, а не «заморозкой» системы в эталонном состоянии.
