Слайд с презентации УФСТЭК по СФО
Начало. https://valerykomarov.blogspot.com/2018/09/2018-1.html, https://valerykomarov.blogspot.com/2018/09/2018-2.html
На Инфобереге выступал с докладом "От КСИИ к КИИ - как меняются требования регуляторов". К сожалению, на обсуждение проблем выполнения 187-ФЗ ушло все время, отведенное регламентом секции. И ключевые моменты перехода от КСИИ к КИИ обсудить не удалось.
А вопросы были подготовлены для обсуждения с регуляторами такие:
Инициатива ФСТЭК по актуализации 31 приказа (https://valerykomarov.blogspot.com/2018/07/31.html, https://valerykomarov.blogspot.com/2018/08/31-2.html) заставила проанализировать нормативные требования по защите критически важных объектов РФ (далее - КВО). При этом необходимо понимать, что термин ключевые системы информационной инфраструктуры (далее - КСИИ) не исчез после изменений полномочий ФСТЭК. Продолжают действовать: ГОСТ РО 0043-001-2010 «Защита информации. Обеспечение безопасности информации в ключевых системах информационной инфраструктуры. Термины и определения», ГОСТ РО 0043-002-2012 «Защита информации. Обеспечение безопасности информации в ключевых системах информационной инфраструктуры. Система документов» и ГОСТ Р 53114-2008 Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения», а также руководящие документы ФСТЭК: «Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры» и «Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры» (https://valerykomarov.blogspot.com/2018/06/blog-post_44.html).
Ретроспектива
Так как термин КСИИ задан через КВО:"автоматизированная система и (или) телекоммуникационная сеть, обеспечивающая функционирование критически важного объекта (выполнение критически важного процесса), нарушение функционирования которой приводит к неприемлемому для общества и государства ущербу", то с него и начнем наш разбор.
Термин КВО закреплен в законодательстве РФ с 2015 года.
Федеральный закон от 08.03.2015 N 38-ФЗ "О внесении изменений в Федеральный закон "О защите населения и территорий от чрезвычайных ситуаций природного и техногенного характера":
«Критически важный объект - это объект, нарушение или прекращение функционирования которого приведет к потере управления экономикой Российской Федерации, субъекта Российской Федерации или административно-территориальной единицы субъекта Российской Федерации, ее необратимому негативному изменению (разрушению) либо существенному снижению безопасности жизнедеятельности населения.»
«Потенциально опасный объект - это объект, на котором расположены здания и сооружения повышенного уровня ответственности, либо объект, на котором возможно одновременное пребывание более пяти тысяч человек.»
Статья 10. Полномочия Правительства Российской Федерации в области защиты населения и территорий от чрезвычайных ситуаций
р) устанавливает критерии отнесения объектов всех форм собственности к критически важным объектам и потенциально опасным объектам, порядок формирования и утверждения перечня критически важных объектов и перечня потенциально опасных объектов, порядок разработки и формы паспорта безопасности критически важных объектов и потенциально опасных объектов, а также обязательные для выполнения требования к критически важным объектам и потенциально опасным объектам в области защиты населения и территорий от чрезвычайных ситуаций;
До этого момента термин КВО использовался в различных концепциях, утвержденных Правительством РФ (Концепции федеральной системы мониторинга критически важных объектов и (или) потенциально опасных объектов инфраструктуры Российской Федерации и опасных грузов, утвержденной распоряжением Правительства РФ от 27 августа 2005 г. N 1314-р)
«объекты, нарушение (или прекращение) функционирования которых приводит к потере управления экономикой страны, субъекта или административно-территориальной единицы, ее необратимому негативному изменению (или разрушению) или существенному снижению безопасности жизнедеятельности населения, проживающего на этих территориях, на длительный период времени.»
В указах Президента РФ ("Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации"(утв. Президентом РФ 03.02.2012 N 803)
«критически важный объект инфраструктуры Российской Федерации (далее - критически важный объект) - объект, нарушение (или прекращение) функционирования которого приводит к потере управления, разрушению инфраструктуры, необратимому негативному изменению (или разрушению) экономики страны, субъекта Российской Федерации либо административно-территориальной единицы или существенному ухудшению безопасности жизнедеятельности населения, проживающего на этих территориях, на длительный срок;»
В ведомственных приказах (Методика отнесения объектов государственной и негосударственной собственности к критически важным объектам утв. МЧС 17.10.2012 №2-4-87-23-14)
А началось все в 2005 году с документа Совета Безопасности РФ «Система признаков критически важных объектов и критериев отнесения функционирующих в их составе информационно-телекоммуникационных систем к числу защищаемых от деструктивных информационных воздействий» (утв. Секретарем Совета Безопасности от 08.11.2005)»
И с 2006 года ведется перечень КВО РФ (Распоряжение правительства Российской Федерации от 23.03.2006 №411-рс «Об утверждении Перечня критически важных объектов Российской Федерации»).
В 2006 году неудачная попытка ФСТЭК по законопроекту «Об особенностях обеспечения информационной безопасности критически важных объектов информационной и телекоммуникационной инфраструктуры».
В 2011 году статьей 11 Федерального закона от 21 июля 2011 г.
№ 256-ФЗ «О безопасности объектов топливно-энергетического комплекса» на субъекты топливно-энергетического комплекса (далее – ТЭК) возложена обязанность по созданию на объектах ТЭК системы защиты информации и информационно-телекоммуникационных сетей, от неправомерного доступа, уничтожения, модификации, блокирования информации и иных неправомерных действий.
Напрямую не прописано, но появилась косвенная связка «ТЭК – КВО-КСИИ». Во всяком случае, так трактовала ФСТЭК при проверках энергообъектов.
В 2012 году ФСТЭК предприняла попытку внести изменения в 149-ФЗ, в которых предлагалось «Частью 3 статьи 1 проекта акта предлагается дополнить редакцию закона № 149-ФЗ статьей 16.2, содержащей положения, определяющие требования к защите ИС КВО». Включающей в себя:
• Требование по классификации (порядок устанавливает Правительство РФ)
• Требования к защите информации.
При этом, по оценке ФСТЭК, количество ИС КВО оценивалось в 4 400 шт на 2012 год. Но инициатива ФСТЭК получила разгромное заключение Минэконразвития и требований к защите КСИИ в федеральном законодательстве так и не появилось.
ЗАКЛЮЧЕНИЕ от 17 августа 2012 г. об оценке регулирующего воздействия
на проект федерального закона «О внесении изменений в Федеральный закон
«Об информации, информационных технологиях и о защите информации»
Так, представляется нецелесообразным распространение требований проекта акта на ИС КВО в химической промышленности, металлообрабатывающей промышленности, общем машиностроении вследствие того факта, что ущерб, на предотвращение которого направлены нормы проекта акта, значительно ниже оценочных затрат на выполнение устанавливаемых им требований.
Отрасль
|
Оценочная средняя стоимость информационной системы КВО (млн.руб.)
|
Ориентировочная стоимость построения системы защиты информации (млн.руб.)
|
Средний уровень ущерба (млн.руб.)
|
Автомобильная промышленность
|
30
|
2.5
|
100
|
Химическая промышленность
|
50
|
3.5
|
1
|
Радиоэлектронная промышленность
|
50
|
3.5
|
5
|
Пищевая промышленность
|
5
|
0.5
|
10
|
Металлообработка
|
30
|
2.5
|
0.1
|
Общее машиностроение
|
30
|
2.5
|
0.5
|
Нефтегазовая отрасль
|
100
|
7
|
200
|
Энергетика
|
100
|
7
|
300
|
Транспорт
|
50
|
3.5
|
300
|
Водоснабжение и канализация
|
20
|
1.6
|
5
|
На фоне отсутствия законодательной базы по обязательности защиты ИС КВО странно выглядели полномочия ФСТЭК, полученные в 2006 году по
«1) обеспечению безопасности информации в системах информационной и телекоммуникационной инфраструктуры, оказывающих существенное влияние на безопасность государства в информационной сфере (далее - безопасность информации в ключевых системах информационной инфраструктуры);
Основными задачами ФСТЭК России являются:
5) обеспечение в пределах своей компетенции безопасности информации в ключевых системах информационной инфраструктуры, противодействия техническим разведкам и технической защиты информации в аппаратах федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации, органах местного самоуправления и организациях;
Основными задачами ФСТЭК России являются:
5) обеспечение в пределах своей компетенции безопасности информации в ключевых системах информационной инфраструктуры, противодействия техническим разведкам и технической защиты информации в аппаратах федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации, органах местного самоуправления и организациях;
9) осуществлению в пределах своей компетенции контроля деятельности по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, по противодействию техническим разведкам и по технической защите информации в аппаратах федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации, органах местного самоуправления и организациях;»
А в 2013 году ФСБ перехватывает инициативу у ФСТЭК и пробует провести проект федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации». На тот момент - безуспешно.
Смотрим как изменился за этот период текст 187-ФЗ:
И ведь изменение определения "Субъект КИИ" вызывает наибольшие проблемы с выполнением 187-ФЗ.
Итог: КВО -были, есть и будут. Автоматизированные/информационные системы и телекоммуникационные сети у КВО никуда не делись и их количество будет только увеличиваться, в силу развития информационных технологий. Обеспечивать защиту КВО от компьютерных атак жизненно необходимо для государства. Но при этом, далеко не все КВО попали под 187-ФЗ.
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
** Все новости блога на публичном Telegram-канале t.me/ruporsecurite
Комментариев нет:
Отправить комментарий