понедельник, 1 октября 2018 г.

Итоги ИНФОБЕРЕГ-2018 для субъектов КИИ. Часть 3



    Слайд с презентации УФСТЭК по СФО

    Начало. https://valerykomarov.blogspot.com/2018/09/2018-1.htmlhttps://valerykomarov.blogspot.com/2018/09/2018-2.html

     На Инфобереге выступал с докладом "От КСИИ к КИИ - как меняются требования регуляторов". К сожалению, на обсуждение проблем выполнения 187-ФЗ ушло все время, отведенное регламентом секции. И ключевые моменты перехода от КСИИ к КИИ обсудить не удалось.
     А вопросы были подготовлены для обсуждения с регуляторами такие:

      Инициатива ФСТЭК по актуализации 31 приказа (https://valerykomarov.blogspot.com/2018/07/31.htmlhttps://valerykomarov.blogspot.com/2018/08/31-2.html)  заставила проанализировать нормативные требования по защите критически важных объектов РФ (далее  - КВО). При этом необходимо понимать, что термин ключевые системы информационной инфраструктуры (далее - КСИИ) не исчез после изменений полномочий ФСТЭК. Продолжают действовать: ГОСТ РО 0043-001-2010 «Защита информации. Обеспечение безопасности информации в ключевых системах информационной инфраструктуры. Термины и определения», ГОСТ РО 0043-002-2012 «Защита информации. Обеспечение безопасности информации в ключевых системах информационной инфраструктуры. Система документов» и ГОСТ Р 53114-2008 Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения», а также руководящие документы ФСТЭК: «Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры»  и «Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры»  (https://valerykomarov.blogspot.com/2018/06/blog-post_44.html).


     Ретроспектива

     Так как термин КСИИ задан через КВО:"автоматизированная система и (или) телекоммуникационная сеть, обеспечивающая функционирование критически важного объекта (выполнение критически важного процесса), нарушение функционирования которой приводит к неприемлемому для общества и государства ущербу", то с него и начнем наш разбор.
    Термин КВО закреплен в законодательстве РФ с 2015 года.
    Федеральный закон от 08.03.2015 N 38-ФЗ "О внесении изменений в Федеральный закон "О защите населения и территорий от чрезвычайных ситуаций природного и техногенного характера":
«Критически важный объект - это объект, нарушение или прекращение функционирования которого приведет к потере управления экономикой Российской Федерации, субъекта Российской Федерации или административно-территориальной единицы субъекта Российской Федерации, ее необратимому негативному изменению (разрушению) либо существенному снижению безопасности жизнедеятельности населения.»
«Потенциально опасный объект - это объект, на котором расположены здания и сооружения повышенного уровня ответственности, либо объект, на котором возможно одновременное пребывание более пяти тысяч человек.»
Статья 10. Полномочия Правительства Российской Федерации в области защиты населения и территорий от чрезвычайных ситуаций
р) устанавливает критерии отнесения объектов всех форм собственности к критически важным объектам и потенциально опасным объектам, порядок формирования и утверждения перечня критически важных объектов и перечня потенциально опасных объектов, порядок разработки и формы паспорта безопасности критически важных объектов и потенциально опасных объектов, а также обязательные для выполнения требования к критически важным объектам и потенциально опасным объектам в области защиты населения и территорий от чрезвычайных ситуаций;

     До этого момента термин КВО использовался в различных концепциях, утвержденных Правительством РФ (Концепции федеральной системы мониторинга критически важных объектов и (или) потенциально опасных объектов инфраструктуры Российской Федерации и опасных грузов, утвержденной распоряжением Правительства РФ от 27 августа 2005 г. N 1314-р)
«объекты, нарушение (или прекращение) функционирования которых приводит к потере управления экономикой страны, субъекта или административно-территориальной единицы, ее необратимому негативному изменению (или разрушению) или существенному снижению безопасности жизнедеятельности населения, проживающего на этих территориях, на длительный период времени.»
   В указах Президента РФ ("Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации"(утв. Президентом РФ 03.02.2012 N 803)
«критически важный объект инфраструктуры Российской Федерации (далее - критически важный объект) - объект, нарушение (или прекращение) функционирования которого приводит к потере управления, разрушению инфраструктуры, необратимому негативному изменению (или разрушению) экономики страны, субъекта Российской Федерации либо административно-территориальной единицы или существенному ухудшению безопасности жизнедеятельности населения, проживающего на этих территориях, на длительный срок;»
   В ведомственных приказах  (Методика отнесения объектов государственной и негосударственной собственности к критически важным объектам утв. МЧС 17.10.2012 №2-4-87-23-14)

     А началось все в 2005 году с документа Совета Безопасности РФ «Система признаков критически важных объектов и критериев отнесения функционирующих в их составе информационно-телекоммуникационных систем к числу защищаемых от деструктивных информационных воздействий» (утв. Секретарем Совета Безопасности от 08.11.2005)»
    И с 2006 года ведется перечень КВО РФ (Распоряжение правительства Российской Федерации от 23.03.2006 №411-рс «Об утверждении Перечня критически важных объектов Российской Федерации»).
      В 2006 году неудачная попытка ФСТЭК по законопроекту «Об особенностях обеспечения информационной безопасности критически важных объектов информационной и телекоммуникационной инфраструктуры».
      В 2011 году статьей 11 Федерального закона от 21 июля 2011 г.
№ 256-ФЗ «О безопасности объектов топливно-энергетического комплекса» на субъекты топливно-энергетического комплекса (далее – ТЭК) возложена обязанность по созданию на объектах ТЭК системы защиты информации и информационно-телекоммуникационных сетей, от неправомерного доступа, уничтожения, модификации, блокирования информации и иных неправомерных действий.
    Напрямую не прописано, но появилась косвенная связка «ТЭК – КВО-КСИИ». Во всяком случае, так трактовала ФСТЭК при проверках энергообъектов.
      В 2012 году ФСТЭК предприняла попытку внести изменения в 149-ФЗ, в которых предлагалось «Частью 3 статьи 1 проекта акта предлагается дополнить редакцию закона № 149-ФЗ статьей 16.2, содержащей положения, определяющие требования к защите ИС КВО».       Включающей в себя:
 • Требование по классификации (порядок устанавливает Правительство РФ)
• Требования к защите информации.
    При этом, по оценке ФСТЭК, количество ИС КВО оценивалось в 4 400 шт на 2012 год. Но инициатива ФСТЭК получила разгромное заключение Минэконразвития и требований к защите КСИИ в федеральном законодательстве так и не появилось.
     ЗАКЛЮЧЕНИЕ от 17 августа 2012 г. об оценке регулирующего воздействия 
на проект федерального закона «О внесении изменений в Федеральный закон 
«Об информации, информационных технологиях и о защите информации»
     Так, представляется нецелесообразным распространение требований проекта акта на ИС КВО в химической промышленности, металлообрабатывающей промышленности, общем машиностроении вследствие того факта, что ущерб, на предотвращение которого направлены нормы проекта акта, значительно ниже оценочных затрат на выполнение устанавливаемых им требований.
Отрасль
Оценочная средняя стоимость информационной системы КВО (млн.руб.)
Ориентировочная  стоимость построения системы защиты информации (млн.руб.)
Средний уровень ущерба (млн.руб.)
Автомобильная промышленность
30
2.5
100
Химическая промышленность
50
3.5
1
Радиоэлектронная промышленность
50
3.5
5
Пищевая промышленность
5
0.5
10
Металлообработка
30
2.5
0.1
Общее машиностроение
30
2.5
0.5
Нефтегазовая отрасль
100
7
200
Энергетика
100
7
300
Транспорт
50
3.5
300
Водоснабжение и канализация
20
1.6
5
   
     На фоне отсутствия законодательной базы по обязательности защиты ИС КВО странно выглядели полномочия ФСТЭК, полученные в 2006 году  по
«1) обеспечению безопасности информации в системах информационной и телекоммуникационной инфраструктуры, оказывающих существенное влияние на безопасность государства в информационной сфере (далее - безопасность информации в ключевых системах информационной инфраструктуры);
    Основными задачами ФСТЭК России являются:
5) обеспечение в пределах своей компетенции безопасности информации в ключевых системах информационной инфраструктуры, противодействия техническим разведкам и технической защиты информации в аппаратах федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации, органах местного самоуправления и организациях;
9) осуществлению в пределах своей компетенции контроля деятельности по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, по противодействию техническим разведкам и по технической защите информации в аппаратах федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации, органах местного самоуправления и организациях;»

     А в  2013 году ФСБ перехватывает инициативу у ФСТЭК и пробует провести проект федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации».  На тот момент -  безуспешно.
   
    Смотрим как изменился за этот период текст 187-ФЗ:

      И ведь изменение определения  "Субъект КИИ" вызывает наибольшие проблемы с выполнением 187-ФЗ.
     

    

Итог: КВО -были, есть и будут. Автоматизированные/информационные системы и телекоммуникационные сети у КВО никуда не делись и их количество будет только увеличиваться,  в силу развития информационных технологий. Обеспечивать защиту КВО от компьютерных атак жизненно необходимо для государства. Но при этом, далеко не все КВО попали под 187-ФЗ.

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

Комментариев нет:

Отправить комментарий