Обеспечение защиты и безопасности объектов критической информационной инфраструктуры (КИИ)

Защита объектов КИИ – требование 187-ФЗ

15 января 2013 года был опубликован Указ Президента Российской Федерации от № 31 «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации», а в июле 2017 г. был подписан Федеральный Закон от 26 июля 2017 г. № 187-ФЗ «О безопасности КИИ Российской Федерации», который вступил в силу с 1 января 2018 года, что послужило началом актуальной и глобальной работы по регулированию и контролю в направлении обеспечения безопасности объектов КИИ.

Что относится к КИИ?

Под критической информационной инфраструктурой (КИИ) понимаются информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов КИИ, а также сети электросвязи, используемые для организации их взаимодействия.

Субъектами КИИ являются компании, работающие в стратегически важных для государства областях.

К объектам КИИ относятся системы, которые на праве собственности, аренды или на ином законном основании принадлежат российской компании или ИП, и обеспечивают взаимодействие указанных выше систем или сетей.

В соответствии со 187-ФЗ всем вышеупомянутым субъектам КИИ необходимо провести категорирование объектов КИИ.
Значимые (по результатам категорирования) объекты требуется защищать, в соответствии с пп.1 п.3 ст.9 и ст. 11 187 – ФЗ.

Обеспечение безопасности КИИ (СОИБ КИИ)

После качественно проведённого категорирования объектов КИИ субъект КИИ приступает к построению системы обеспечения информационной безопасности КИИ (СОИБ КИИ) в соответствии с результатами категорирования и спецификой самого субъекта КИИ. Построение СОИБ КИИ состоит из:

• Проектирование СОИБ КИИ;
• Внедрение СОИБ КИИ, состоящее из двух параллельных процессов:
  1. Разработка и ввод в действие внутренней документации устанавливающие подходы, правила обеспечения ИБ в информационной инфраструктуре субъекта КИИ;
  2. Внедрение технических мер ЗИ.

Система безопасности должна обеспечивать:

• уничтожение такой информации, ее модифицирование, блокирование, копирование, предоставление и распространение, а также иных неправомерных действий в отношении такой информации;
• недопущение воздействия на технические средства обработки информации, в результате которого может быть нарушено и (или) прекращено функционирование значимых объектов КИИ;
• восстановление функционирования значимых объектов КИИ, в том числе за счет создания и хранения резервных копий необходимой для этого информации;
• непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, которое осуществляется в соответствии со статьей 5 Федерального закона «О безопасности КИИ Российской Федерации”.

При определении требований к обеспечению безопасности значимого объекта разрабатываются организационные и технические меры.

Организационные меры по обеспечению информационной безопасности

При внедрении организационных мер по обеспечению безопасности значимого объекта осуществляются:

• организация контроля физического доступа к значимому объекту;
• реализация правил разграничения доступа, регламентирующих права доступа субъектов доступа к объектам доступа, и введение ограничений на действия пользователей, а также на изменение условий эксплуатации, состава и конфигурации значимого объекта;
• проверка полноты и детальности описания в организационно-распорядительных документах по безопасности значимых объектов действий пользователей и администраторов значимого объекта по реализации организационных мер;
• отработка действий пользователей и администраторов значимого объекта по реализации мер по обеспечению безопасности значимого объекта.

Технические меры по обеспечению информационной безопасности

Технические меры по обеспечению безопасности в значимом объекте реализуются посредством использования программных программно-аппаратных средств, применяемых для обеспечения безопасности значимых объектов – средств защиты информации (в том числе встроенных в общесистемное, прикладное программное обеспечение).

При использовании в значимом объекте СЗИ должны быть сертифицированы на соответствие обязательным требованиям по безопасности информации, установленным нормативными правовыми актами, или требованиям, указанным в технических условиях (заданиях по безопасности).

В случае использования в значимом объекте сертифицированных на соответствие требованиям по безопасности информации средств защиты информации:

• в значимых объектах 1 категории применяются средства защиты информации не ниже 4 класса защиты, а также средства вычислительной техники не ниже 5 класса;
• в значимых объектах 2 категории применяются средства защиты информации не ниже 5 класса защиты, а также средства вычислительной техники не ниже 5 класса;
• в значимых объектах 3 категории применяются средства защиты информации 6 класса защиты, а также средства вычислительной техники не ниже 5 класса.

При этом в значимых объектах 1 категории значимости применяются сертифицированные средства защиты информации, соответствующие 4 или более высокому уровню доверия. В значимых объектах 2 категории значимости применяются сертифицированные средства защиты информации, соответствующие 5 или более высокому уровню доверия. В значимых объектах 3 категории значимости применяются сертифицированные средства защиты информации, соответствующие 6 или более высокому уровню доверия.

Классы защиты и уровни доверия определяются в соответствии с нормативными правовыми актами ФСТЭК России, изданными в соответствии с подпунктом 13.1 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. No 1085.

Таким образом, обеспечение безопасности значимого объекта достигается путем принятия в рамках подсистемы безопасности значимого объекта совокупности организационных и технических мер, направленных на нейтрализацию угроз безопасности информации.

Для минимизации рисков и угроз безопасности КИИ рекомендуется периодический аудит СОИБ. Аудит позволяет оценить текущую безопасность функционирования СОИБ, провести анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении СОИБ и значимых объектов КИИ и сформировать новые механизмы для повышения эффективности СОИБ.

Согласно ст.12 187-ФЗ аудит безопасности КИИ осуществляется федеральным органом исполнительной власти в целях прогнозирования возможных угроз и выработки мер по повышению устойчивости и функционирования СОИБ. Также по данному вопросу субъект КИИ может привлекать стороннюю организацию для проведения периодического аудита СОИБ.

Атаки на критическую инфраструктуру

Реализация угроз может привести к прекращению или нарушению функционирования значимого объекта и обеспечивающего (управляемого, контролируемого) им процесса, а также нарушению безопасности обрабатываемой информации (нарушению доступности, целостности, конфиденциальности информации). Как следствие – существенные, федерально значимые, последствия для жизни и здоровья людей, экологии, экономики.

При неправомерном отношении или воздействии на значимые объекты КИИ и процессы, СОИБ фиксирует и реагирует на возникшие инциденты и стремится минимизировать последствия угроз безопасности.

Злоумышленники могут нарушить процессы работ КИИ Российской Федерации в организациях, например:

• с использованием вирусных программ для управления SCADA – систем (злоумышленник смог найти уязвимые места в системе безопасности и изменил настройки управления значимого объекта КИИ, что повлекло нарушение работы процессов АСУТП)
• нарушение целостности процессов объектов КИИ (сотрудник внёс изменения в код программного обеспечения значимого объекта КИИ, что повлекло нарушение передачи информации по информационно-телекоммуникационной сети).

Атаки могут совершать не только злоумышленники-хакеры. Разглашение сотрудниками субъектов КИИ сведений об объектах КИИ (даже просто перечень объектов, степень их значимости, последствия для объектов), либо неразрешенное изменение информации в них (отключение антивируса на сервере управления химическим реактором) – приравнивается к атаке.

Важно, что неправомерное воздействие на значимые объекты и процессы влечет за собой уголовную ответственность, содержащаяся в статье 274.1 «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации». Таким образом, атаки на КИИ не только регулируются нормативными документами, но и караются в соответствии с уголовным кодексом.

Штрафы для субъектов критической информационной инфраструктуры