Защита КИИ  (187-ФЗ)

Внимание! С 30 марта 2022 года принципиально изменились требования к значимым объектам критической информационной инфраструктуры. Данный документ радикально меняет всю структуру существовавших ранее требований и подходов к обеспечению защиты значимых объектов КИИ. В частности:

  1. С 31 марта 2022 года введен прямой запрет на закупку иностранных программных продуктов и программно-аппаратных комплексов для целей использования на значимых объектах КИИ. Исключения допускаются только по согласованию.

  2. С 1 января 2025 года запрещается использование иностранного программного обеспечения и программно-аппаратных комплексов на значимых объектах КИИ.

  3. Должны быть согласованы новые требования к ПО, а также правила закупок иностранного ПО.

  4. Правительство должно обеспечить преимущественное применение отечественного оборудования и программно-аппаратных комплексов на значимых объектах КИИ.

внимание.png

Таким образом, те субъекты КИИ, у которых имеются значимые объекты критической инфраструктуры, должны в экстренном порядке провести следующие работы:

  1. Предпроектное обследование с целью сбора данных об объектах КИИ, подлежащих категорированию.

  2. Определение критических процессов. 

  3. Разработку всей необходимой документации, в том числе и сопроводительного письма для отправки во ФСТЭК.

  4. Проведение оценки масштаба возможных последствий, в случаях инцидентов.

  5. Составление проектов Актов категорирования.

  6. Проектирование с учетом требований Указа Президента Российской Федерации от 30.03.2022 № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации».

  7. Модернизация значимого объекта КИИ (включая поставку оборудования, ПАК и ПО, внедрение и пр.)

Что такое критическая информационная инфраструктура?

ответим на вопрос иконка.png

Понятие критической информационной инфраструктуры раскрыто в Федеральном законе №187-ФЗ от 26.07.2017 «О безопасности критической информационной инфраструктуры», который:

  1. Вводит основные понятия.

  2. Создает основу правового регулирования.

  3. Определяет принципы обеспечения безопасности КИИ.

  4. Вводит понятие Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее – ГосСОПКА).

  5. Вводит основу для создания Национального координационного центра по компьютерным инцидентам (далее — НКЦКИ).

  6. Описывает полномочия Президента и органов госвласти в области обеспечения безопасности КИИ.

  7. Содержит базу для определения категорий объектов КИИ.

  8. Создает законодательную основу ведения реестра значимых объектов КИИ.

  9. Определяет права и обязанности субъектов КИИ.

  10. Определяет задачи и требования системы обеспечения безопасности значимого объекта КИИ.

  11. Закладывает основу оценки безопасности КИИ.

  12. Распределяет права и обязанности по государственному контролю.

И прежде, чем приступить к категорированию объектов КИИ, нужно определиться с основными понятиями, которые разъясняются в этом законе.

Критическая информационная инфраструктура - это информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, а также сети электросвязи, используемые для организации их взаимодействия. Ключевым условием отнесения системы к КИИ является ее использование государственным органом или учреждением, либо российской компанией в следующих сферах:

  1. Здравоохранение

  2. Наука

  3. Транспорт

  4. Связь

  5. Энергетика

  6. Банковская (финансовая) сфера

  7. Топливно-энергетический комплекс

  8. Атомная энергетика

  9. Оборонная промышленность

  10.  Ракетно-космическая промышленность

  11.  Горнодобывающая промышленность

  12.  Металлургическая промышленность

  13.  Химическая промышленность

Также к КИИ будут относиться системы, которые на праве собственности, аренды или на ином законном основании принадлежат российской компании или ИП и обеспечивают взаимодействие указанных выше систем или сетей.

 

Объекты критической информационной инфраструктуры - это информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.

 

Все ИС, ИТС и АСУ субъекта КИИ — это объекты КИИ.

 

ИС – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

 

ИТС – технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.

 

АСУ – комплекс программных и программно-аппаратных средств, предназначенных для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими оборудованием и процессами.

Объекты КИИ подразделяются на значимые (три категории) и незначимые.

ответим на вопрос иконка.png

Что такое субъекты критической информационной инфраструктуры?

Государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы (ИС), информационно-телекоммуникационные сети (ИТС), автоматизированные системы управления (АСУ), функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей. 

Субъект КИИ – лицо, у которого есть хотя бы одна ИС, сеть или АСУ, функционирующая в установленных сферах.

 

Что такое значимый объект критической информационной инфраструктуры? 

 

Объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры.

Перечень показателей критериев значимости:

  1. Социальная.

  2. Политическая.

  3. Экономическая.

  4. Экологическая.

  5. Значимость для обеспечения обороны страны, безопасности государства и правопорядка.

 

В таблице  Постановления Правительства РФ №127 детально расписаны эти показатели. Например, «социальный критерий» включает в себя  «причинение ущерба жизни и здоровью людей», «прекращение или нарушение функционирования объектов обеспечения жизнедеятельности населения» и т.д. Потенциальный ущерб учитывается по охваченной территории и по количеству пострадавших людей, детальную информацию по всем показателям можно найти в данной таблице.  Устанавливаются 3 категории значимости. Самая высокая категория — первая, самая низкая – третья, а также объекту КИИ  может быть вообще не присвоена категория (т.е. «без категории»).

Субъект КИИ может самостоятельно определять категории значимости своих объектов или привлечь к категорированию лицензиатов в области защиты информации.

Исходя из нормативных документов, субъекты КИИ могут сами составлять перечень процессов (управленческие, технологические, финансово-экономические, производственные и др. процессы) и сами оценивать их критичность. Таким образом, количество объектов КИИ, которые войдут в перечень, зависит от решения субъектов КИИ.

 

Важное примечание: может получиться так, что у субъекта КИИ вообще не будет объектов КИИ, подлежащих категорированию (т.е. они будут обозначены, как «без категории»). Однако надо учитывать, что «Перечень объектов КИИ» согласовывается с отраслевым регулятором (например, с Министерством здравоохранения) и после согласования отправляется во ФСТЭК.

Что такое компьютерный инцидент?

Факт нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки.

Что такое ГосСОПКА?

ГосСОПКА – государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак, направленных на информационные ресурсы РФ. Создана Указом Президента РФ от 15 января 2013 г. № 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации».

Развитием ГосСОПКА занимается НКЦКИ – Национальный координационный центр по компьютерным инцидентам согласно Положения о Национальном координационном центре по компьютерным инцидентам, утвержденного приказом ФСБ России от 24 июля 2018 г. N 366 "О Национальном координационном центре по компьютерным инцидентам" (зарегистрирован Минюстом России 6 сентября 2018 г., регистрационный N 52109).

 

Деятельность ГосСОПКА регулируют несколько документов:

  1. Доктрина информационной безопасности РФ.

  2. Федеральный закон «О безопасности критической информационной инфраструктуры» 187-ФЗ.

  3. Федеральный закон «Об информации, информационных технологиях и о защите информации» 149-ФЗ.

  4. Стратегия развития информационного общества.

  5. Указ Президента N 31с о создании ГосСОПКА.

  6. Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации.

  7. Концепция ГосСОПКА.

  8. Методические рекомендации по созданию ведомственных и корпоративных центров ГосСОПКА.

 

Список постоянно пополняется, изменяются сами документы из этого списка, поэтому необходимо постоянно отслеживать изменения и приводить свои информационные системы в соответствие текущим требованиям.

Что такое НКЦКИ?

Национальный координационный центр по компьютерным инцидентам – структура, отвечающая за обеспечение координации деятельности субъектов КИИ, является составной частью ГосСОПКА. Создана Приказом ФСБ России №366 от 24 июля 2018 года «О Национальном координационном центре по компьютерным инцидентам».

Какие работы необходимо провести для обеспечения безопасности КИИ?

Все работы можно разделить на две большие группы:

  1. Категорирование КИИ

  2. Проектирование и внедрение СОИБ КИИ.

Группа работ по категорированию КИИ:

  1. Назначение комиссии по категорированию объектов КИИ.

  2. Выявление процессов и объектов КИИ, формирование перечня объектов КИИ.

  3. Согласование перечня объектов  КИИ.

  4. Направление перечня объектов КИИ, подлежащих категорированию, в ФСТЭК России.

  5. Сбор исходных данных для категорирования объектов КИИ.

  6. Анализ угроз безопасности.

  7. Категорирование объектов КИИ.

  8. Направление результатов категорирования объектов КИИ во ФСТЭК.

  9. Пересмотр процессов и объектов КИИ, категорирование объектов КИИ.

Группа работ по внедрению СОИБ КИИ:

  1. Проектирование СОИБ КИИ

  2. Внедрение СОИБ КИИ

  3. Разработка организационно-распорядительной документации (ОРД) для субъекта и объектов КИИ

Рабочий алгоритм категорирования объектов КИИ:

  1. Отвечаем на вопрос, является ли наша организация субъектом КИИ (согласно № 187-ФЗ, см. выше, определены конкретные отрасли).

  2. Определяем все процессы в нашей организации и составляем их полный перечень (процессы могут быть управленческие, технологические, финансово-экономические, производственные и т.д.).

  3. Выявляем из всех процессов именно критические процессы.

  4. Выделяем объекты, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов и (или) осуществляют управление, контроль или мониторинг критических процессов.

  5. Оцениваем, исходя из перечня показателей критериев значимости и учитывая дополнительные исходные данные, к какой категории относятся объекты КИИ.

  6. Готовим Акт категорирования объектов КИИ для отправки во ФСТЭК. (По вопросам оформления перечня объектов КИИ советуем ознакомиться с «Информационным сообщением» ФСТЭК от 17 апреля 2020 г. N 240/84/611 )

  7. Выполняем требования по обеспечению безопасности значимых объектов КИИ.

  8. Если у субъекта есть значимые объекты КИИ – появляется требование о взаимодействии с ГосСОПКА.

  9. Взаимодействие с ГосСОПКА – подключение к НКЦКИ (Национальный координационный центр по компьютерным инцидентам – Приказ ФСБ №366 от 24.07.2018).

Как определиться по срокам?

01

Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом КИИ перечня объектов.

02

Перечень объектов КИИ надо подать во ФСТЭК в течение 5 дней после утверждения.

03

Акт категорирования объектов КИИ подается в течение 10 дней со дня утверждения Акта.

04

Пересмотр категории объекта КИИ проводится не реже 1 раз в 5 лет.

Обязанности субъекта КИИ.

  1. Обязан незамедлительно информировать ФСБ о компьютерных инцидентах.

  2. Обязан оказывать содействие должностным лицам ФСБ в обнаружении, предупреждении и ликвидации последствий компьютерных атак, установлении причин и условий возникновения компьютерных инцидентов.

  3. Обязан, в случае установки на объектах КИИ технических средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, обеспечивать выполнение порядка, технических условий установки и эксплуатации таких средств, их сохранность.

  4. Обязан соблюдать требования ФСТЭК по обеспечению безопасности значимых объектов КИИ.

  5. Обязан выполнять предписания ФСТЭК об устранении выявленных нарушений.

  6. Обязан реагировать на компьютерные инциденты в порядке, утвержденным ФСБ.

  7. Обязан обеспечивать беспрепятственный доступ должностным лицам ФСТЭК к значимым объектам КИИ для проведения надзорных действий.

Практический пример. Объекты критической информационной инфраструктуры в сфере здравоохранения.

Здравоохранение относится к сферам, работающим с наиболее критичной информацией – данными о состоянии здоровья пациентов, в силу этого обстоятельства к информационной безопасности организаций здравоохранения государством предъявляются специализированные требования.

Согласно Федеральному закону №187-ФЗ - организации сферы здравоохранения относятся к субъектам КИИ, а имеющиеся у них информационные системы, автоматизированные системы и информационно-телекоммуникационные сети, в случае участия их в критических процессах, являются объектами КИИ.

При этом нельзя говорить о прямом соответствии имеющихся у организации информационных систем персональных данных и объектов КИИ в силу самого различия процессов обработки персональных данных и критических процессов лечения пациентов. Ниже приведена иллюстрация сравнения типовых информационных систем персональных данных и объектов КИИ.

категорирование.png

Сфера здравоохранения непосредственно связана с состоянием здоровья людей, поэтому практически все критические процессы в ней относятся к социальной категории критериев значимости объектов КИИ.

Типовыми информационными процессами в здравоохранении являются:

  1. Регистрация приема пациентов.

  2. Регистрация состояния здоровья пациентов.

  3. Диагностика состояния здоровья пациентов.

  4. Лечение пациентов, включая оперативное.

  5. Поддержание жизнеобеспечение пациентов.

  6. Температурный контроль хранения специализированных медикаментов и биоматериалов.

template.png

Ниже приведены примеры объектов КИИ для разных типов организаций здравоохранения.

Областные и городские больницы

  • Оборудование функциональной диагностики

  • Операционное оборудование

  • Инженерные сети

  • Оборудование обеспечения жизнедеятельности

  • Системы регистрации пациентов и ведения их истории анамнеза

Станции переливания крови

  • Лабораторное оборудование

  • Системы хранения результатов лабораторных анализов

  • Системы ведения базы доноров

  • Инженерные системы поддержания условий хранения био материала

Медицинские лаборатории

  • Лабораторное оборудование

  • Системы хранения результатов лабораторных анализов

  • Системы регистрации пациентов и ведения их истории анамнеза

Медицинские центры

  • Оборудование функциональной диагностики

  • Операционное оборудование

  • Инженерные сети

  • Оборудование обеспечения жизнедеятельности

  • Лабораторное оборудование

  • Системы хранения результатов лабораторных анализов

  • Системы регистрации пациентов и ведения их истории анамнеза

Районные больницы

  • Системы регистрации пациентов и ведения их истории анамнеза

При этом, отнесение объектов КИИ к значимым или к не значимым зависит от степени информатизации того или иного процесса в каждой организации.   Например, медицинские информационные системы, отвечающие за регистрацию состояний здоровья пациентов, могут быть не значимыми, если они используются исключительно с целью формирования статистических данных. И наоборот, если в медицинских информационных системах ведется полноценный документооборот и на основе введенных данных специалисты ставят диагнозы и планируют лечение пациентов, то такую медицинскую информационную систему целесообразно относить к значимым объектам КИИ, так как сбои в ней могут повлечь причинение вреда здоровью хотя бы одного человека.

Еще одной особенностью объектов КИИ является то, что объектом КИИ может быть не только компьютерная сеть, но и отдельно работающее автономное компьютеризированное медицинское оборудование, в частности: аппараты УЗИ  и лучевой диагностики, томографы, эндоскопы, лабораторные приборы экспресс-анализа и т.п.

Разрабатывая и внедряя системы безопасности значимых объектов КИИ в здравоохранении, нужно четко понимать, что в случае, если значимый объект КИИ является компьютеризированным медицинским оборудованием, то необходимо продумывать компенсирующие меры безопасности, в виду невозможности прямого использования средств защиты информации. К таким компенсирующим мерам можно отнести:

  1. Опечатывание помещений и ведение журнала опечатывания.

  2. Разграничение доступа сотрудников в помещение и регистрация событий доступов, в т.ч. с применением СКУД.

  3. Видео наблюдение.

  4. Опломбирование USB и сетевых портов.

При этом, если медицинское оборудование передает данные по внутренней сети на сервер или медицинскую информационную систему, то каналы передачи таких данных должны быть зашифрованы и физически/логически ограждены от общей сети организации.

Регуляторы ФЗ-187

Федеральная служба по техническому и экспортному контролю РФ (ФСТЭК).

  • Контроль и проверка правильности категорирования.

  • Ведение реестра значимых объектов КИИ.

  • Контроль соблюдения субъектами КИИ требований по обеспечению безопасности.

Федеральная служба безопасности РФ (ФСБ).

  • Оценка безопасности объектов КИИ.

  • Организация обмена информацией об инцидентах.

  • Установка средств контроля.

Национальный координационный центр по компьютерным инцидентам (НКЦИИ).

  • Запросы субъектам КИИ по вопросам обнаружения, предупреждения, ликвидации и реагирования на КИ.

  • Создание групп реагирования.

  • Привлечение экспертов для реагирования на КИ.

Контроль выполнения.

  1. Плановые проверки – не чаще одного раза в три года, первая проверка – не раньше трёх лет с момента категорирования объекта КИИ.

  2. Внеплановые проверки:

       - Истечение срока, отведенного на устранение ранее выявленных недостатков.

       - Инцидент, повлекший негативные последствия.

       - Поручение Президента или Правительства.

       - Требование прокурора, основанное на поступивших материалах или обращениях граждан.

   3. Надзорная деятельность может быть совместной (например, ФСТЭК с привлечением ФСБ).

Часто возникающие вопросы:

Вопрос №1

У меня нет значимых объектов КИИ, меня это не касается?

 

Ответ: Отсутствие категории значимости нужно доказать. Если системы используются в сферах деятельности ФЗ-187, то они подлежат категорированию. Для обоснования отсутствия значимости все равно необходимо провести категорирование.

Вопрос №2

Какие сроки отводятся на составление перечня объектов КИИ и согласование во ФСТЭК России?

Ответ: Категорирование должно быть проведено в течение года с момента утверждения субъектом КИИ перечня объектов КИИ. По оценке представителей ФСТЭК, разумный срок для разработки субъектом перечня объектов может варьироваться от одного месяца для небольших до шести месяцев для крупных, территориально распределенных инфраструктур.

Вопрос №3

Закон вступил в силу. Ко мне могут прийти регуляторы?

Ответ: Плановые проверки начнутся через 3 года. Внеплановые проверки могут проводиться в случае возникновения компьютерного инцидента, повлекшего негативные последствия, на значимом объекте КИИ, а также, по инициативе прокуратуры.

Вопрос №4

Если сидеть тихо – можно не выполнять требования?

Ответ: Для оценки безопасности КИИ регулятор имеет право установить средства, предназначенные для поиска признаков компьютерных атак в сетях электросвязи. Утечки об атаках в СМИ никто не отменял.

Вопрос №5

У нас есть черная коробочка от ФСБ, мы уже всё сделали?

Ответ: Черная коробочка – это сенсор, который Вам поставили в рамках системы СОПКА для анализа трафика. С принятием ФЗ-187 такие сенсоры устанавливают в целях контроля защищенности. Чтобы подключиться к ГосСОПКА, надо создать центр ГосСОПКА и заключить соглашение с ФСБ.

Вопрос №6

Подведомственным и дочерним ждать команду сверху?

Ответ: Ждать команду сверху не надо. Выполнять требования ФЗ-187 необходимо уже сейчас, так как предусмотрена ответственность руководителя юридического лица независимо от подчиненности той или иной организации.

Вопрос №7

Если в результате категорирования мы не признали ни одну из своих систем значимой и ФСТЭК принял акты категорирования, можем ли мы, в случае инцидента, в том числе с угрозой тяжких последствий, рассчитывать на снисхождение?

Ответ: Нет, принятие акта не равноправно его утверждению, ответственность за категорирование лежит на субъекте КИИ.

ответы на вопросы иконка.png
 

Защита КИИ  (187-ФЗ)

тел.: 8 (8512) 525-025 (г. Астрахань)   |   тел.: 8 (800) 30 25 525 (остальные регионы РФ)   |   эл. почта: ib@5-25.ru
Получить консультацию эксперта

Нажимая на кнопку, я принимаю условия соглашения

Информация отправлена. Спасибо!