В последние годы кибератаки коснулись промышленных предприятий, электросетей, транспорта, сетей связи и других отраслей. Привести государственное регулирование информационной безопасности в соответствие с реальной картиной мира призван новый Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», который вступил в силу в январе 2018 г.
К сожалению, не все нормы этого документа понимаются однозначно, и на профильных интернет-площадках до сих пор идет бурное их обсуждение. Основной вопрос: «Является ли предприятие X субъектом критической информационной инфраструктуры (КИИ), и если да, то что ему с этим делать прямо сейчас?».
К кому относятся требования закона
Закон определяет 13 важных для государства сфер хозяйственной и экономической деятельности:
- здравоохранение;
- наука;
- транспорт;
- связь;
- энергетика;
- банковская сфера и иные сферы финансового рынка;
- топливно-энергетический комплекс;
- атомная энергетика;
- оборонная промышленность;
- ракетно-космическая промышленность;
- горнодобывающая промышленность;
- металлургическая промышленность;
- химическая промышленность.
Если организация владеет информационной системой (либо АСУ, сетью), используемой в одной из перечисленных сфер, арендует или управляет ею по поручению собственника, такая организация является субъектом КИИ. В свою очередь, подобные системы и сети относятся к объектам КИИ.
Уже в этот момент начинаются трудности с трактовкой норм закона. Так, вопрос, является ли субъектом КИИ водоканал, стал уже своеобразным интернет-мемом. Системы управления водозабором и водоочисткой, безусловно, жизненно важны, но сфера жизнеобеспечения населения не входит в перечень «критических» сфер деятельности. При очистке питьевой воды применяются опасные химические вещества, но сам процесс очистки едва ли можно отнести к химической промышленности. Таких примеров много, и отчасти ответом на них является процедура категорирования объектов КИИ.
Категорирование объектов КИИ
Серьезные требования предъявляются только к значимым объектам КИИ. Чтобы определить, является ли конкретная информационная система или сеть значимым объектом, необходимо провести процедуру категорирования, то есть установить категорию значимости для ИС, АСУ или ИТС — нормативным документами определено три градации значимости.
Основной нюанс нового закона заключается в том, что решения, касающиеся объектов КИИ и их защиты, субъект принимает самостоятельно и несет ответственность за последствия. В частности, субъект КИИ сам решает, какие его информационные системы и сети являются значимыми объектами КИИ и какую категорию им присвоить.
Критерии значимости приведены в Постановлении Правительства № 127 – они определяют масштаб возможных последствий. Так, если отказ системы управления электросети может оставить без электричества более 5000 человек, то инфраструктура является значимым объектом КИИ первой (наивысшей) категории. Если же от отказа такой системы пострадает не более 50 человек, она, конечно, является объектом КИИ, но не значимым.
Кто проводит категорирование? Специальная комиссия, которую создает каждый субъект КИИ. В состав комиссии рекомендуется включать специалистов по ИТ и ИБ, а главное – специалистов, разбирающихся в специфике деятельности и технологических процессах организации.
Комиссия должна составить перечень объектов КИИ организации, утвердить его и направить в центральный аппарат ФСТЭК России, где этот перечень будет принят к сведению. Постановление не определяет, в какой срок это должно быть сделано, но, по словам представителей ФСТЭК, регулятор ожидает, что с июля 2018 г. добросовестные субъекты КИИ начнут присылать такие перечни или, по крайней мере, информировать ФСТЭК о наличии большого количества подобных объектов и необходимости более длительного срока для составления перечня.
Cубъекту отводится год на категорирование систем. Для каждой из них составляется таблица, в которую вносятся наименование и основные характеристики системы, контактные данные людей, отвечающих за ее функционирование, актуальные угрозы и другие сведения.
Сведения направляются в центральный аппарат ФСТЭК. Там оценивается корректность присвоения объекту категории значимости или решения об отсутствии такой необходимости, если объект не значимый. Если регулятор не согласен с решением, то субъект получает мотивированный отказ. Он обязан устранить недостатки, указанные регулятором. После того как результат категорирования будет окончательно согласован, ФСТЭК вносит сведения о значимых объектах КИИ в государственный реестр и в дальнейшем осуществляет надзор за обеспечением их защиты.
Защита значимых объектов КИИ
Обеспечение безопасности таких объектов регулируют несколько нормативных актов ФСТЭК:
- система защиты должна создаваться в соответствии с приказом ФСТЭК от 21.12.2017 № 235;
- меры защиты установлены приказом ФСТЭК от 25.12.2017 № 239;
- если значимый объект КИИ является государственной информационной системой, дополнительно должны быть выполнены требования приказа ФСТЭК от 11.02.2013 № 17;
- при обработке персональных данных необходимо также выполнять требования приказа ФСТЭК от 18.02.2013 № 21.
Исключение составляют значимые объекты КИИ, которые обрабатывают сведения, составляющие государственную тайну: их безопасность по-прежнему обеспечивается в соответствии с требованиями по защите государственной тайны.
Что изменилось и как стало теперь? Если прежде регулятор в своих руководящих документах устанавливал определенный набор требований к тому, какие меры защиты в обязательном порядке должны быть реализованы в информационной системе, то сейчас ее владелец сам определяет состав этих мер и особенности их реализации.
Для каждого уровня значимости определен набор мер защиты, которые регулятор называет базовыми. Состав этих мер не является догмой: если некоторые меры защиты невозможно реализовать из-за особенностей защищаемой системы, то от них можно отказаться при условии, что угрозы, которым они призваны противодействовать, будут устранены какими-то другими мерами, выбранными владельцем самостоятельно.
Что еще необходимо? Субъект КИИ обязан самостоятельно разработать модель угроз каждому значимому объекту, и она должна быть очень детальной. Недостаточно сказать «хакеры могут взломать». Нужно определить возможные способы взлома, руководствуясь, например, «Банком данных угроз и уязвимостей ФСТЭК». Для таких способов реализации угроз субъект КИИ должен уже самостоятельно выбрать необходимые меры противодействия, выбирая их из мер, не являющихся базовыми, или придумывая их самостоятельно. Наконец, для каждой меры защиты субъект КИИ должен самостоятельно определить, как именно она должна быть реализована с учетом особенностей защищаемого объекта.
Особенностью требований безопасности, предъявляемых к объектам КИИ, стало появление в них новых для российской нормативной базы требований безопасности. Документ предусматривает целый комплекс мер, связанных с анализом событий безопасности, реагированием на подозрительные события и явные атаки, действиями персонала в нештатных ситуациях и повышением осведомленности персонала и пользователей в вопросах безопасности вообще и компьютерных атак в частности.
Еще одно новшество нормативных актов ФСТЭК в вопросах КИИ – отсутствие регулирования выбора средств защиты. Для защиты государственных информационных систем должны применяться сертифицированные средства защиты, но это единственное ограничение. При защите прочих объектов КИИ (например, химического предприятия) субъект имеет право выбора: использовать сертифицированное средство защиты или средство, не имеющее сертификата, но самостоятельно протестированное субъектом. Более того, при прочих равных условиях приказ ФСТЭК рекомендует вместо наложенных специализированных средств защиты использовать встроенные функции безопасности системного и прикладного программного обеспечения объектов КИИ. Это связано с тем, что среди объектов КИИ велика доля АСУ ТП, применение в которых каких-либо внешних средств защиты крайне проблематично, и приоритет действительно отдается встроенным функциям безопасности. Нормативные документы ФСТЭК распространяют эту практику на все объекты КИИ, исключая государственные информационные системы.
ГосСОПКА
ГосСОПКА является вторым эшелоном защиты КИИ в целом, охватывая как значимые, так и незначимые объекты. В законе упоминается обязанность субъекта КИИ взаимодействовать с ГосСОПКА, обмениваясь информацией с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), сообщая об инцидентах и получая при необходимости методическую помощь. В действительности функции ГосСОПКА несколько шире и регулируются отдельными нормативными актами.
ГосСОПКА – это государственная система, концепция которой строится на своеобразной форме государственно-частного партнерства. ФСБ России в лице НКЦКИ создало ядро системы – центральный орган, в который стекается информация о защищенности объектов КИИ, компьютерных атаках и инцидентах. Но ресурсов только ФСБ очевидно недостаточно, для того чтобы защитить всю критическую инфраструктуру, особенно ее коммерческий сектор.
Поэтому под руководством НКЦКИ в РФ создается распределенная сеть центров ГосСОПКА, которые призваны взять на себя некоторую часть функций ФСБ по противодействию компьютерным атакам и одновременно помочь субъектам КИИ реализовать те меры защиты значимых объектов, с которыми они неспособны справиться самостоятельно.
Ведомственные центры ГосСОПКА создаются для защиты органов власти и подведомственных им организаций. Корпоративные центры создаются в добровольном порядке – как для защиты объектов КИИ предприятий корпорации, так и для оказания всем желающим специализированных услуг по противодействию компьютерным атакам.
Некоторые функции центров ГосСОПКА совпадают с мерами защиты, которые должны быть реализованы на объектах КИИ. Это позволяет централизовать реализацию отдельных мер защиты, наиболее требовательных к квалификации персонала, и тем самым снизить издержки на обеспечение безопасности объектов КИИ. При этом центры ГосСОПКА поднадзорны ФСБ и работают в тесном взаимодействии с НКЦКИ, что обеспечивает возможность интегрировать их в единую общегосударственную систему противодействия компьютерным атакам.
Обязанность значимых субъектов КИИ взаимодействовать с ГосСОПКА и НКЦКИ является непростой задачей для множества компаний, что привело к появлению специальных мультипродуктовых платформ для создания корпоративных и ведомственных центров (например, PT Platform 187). Средства защиты в таких платформах интегрированы между собой, потому их развертывание осуществляется достаточно быстро; снижены и требования к квалификации персонала в вопросах ИБ.
Зачем это нужно субъектам КИИ
Одновременно с принятием закона были внесены поправки в Уголовный кодекс (ст. 274.1 УК РФ), которые вводят ответственность не только за проведение атак на объекты КИИ, но и за нарушения требований эксплуатации объектов КИИ, которые делают такие атаки успешными. Таким образом, государство отошло от политики, когда владельца информационной системы интересовала не реальная ее защищенность, а формальное соответствие императивным требованиям. В области КИИ таких требований безопасности практически нет — и категорирование, и определение мер, и выбор способов их реализации оставлены на усмотрение субъектов КИИ.
То есть государство интересует прежде всего результат: отсутствие инцидентов, связанных с тяжкими последствиями. При этом и субъекты, и регуляторы понимают, что абсолютной защиты не существует: всегда будут успешные атаки, и всегда будут ошибки со стороны защищающихся производителей. По данным наших исследований, по сравнению с 2016 г. количество опубликованных уязвимостей АСУ ПТ в 2017 г. выросло почти на 70%. Нормативные документы ФСТЭК и ФСБ, пожалуй, впервые в истории ведомств закрепили в своих нормативных документах принцип PDCA: субъект КИИ обязан постоянно совершенствовать системы защиты, отслеживая информацию о новых способах проведения атак и обучаясь на ошибках и неудачах, в том числе собственных. Такой подход действительно способен снизить риск компьютерных атак, которые могут привести к тяжелым последствиям для государства и общества.
