Пошаговая инструкция от экспертов по реализации 187-ФЗ
С началом действия Федерального закона от 26.07.2017 № 187 «О безопасности критической информационной инфраструктуры Российской Федерации» субъекты, на которые распространяются нормы данного закона, должны организовать целый комплекс мероприятий по соблюдению положений данного нормативного акта. Под действие ФЗ №187 попадают организации многих отраслей, в том числе и транспортной. Эксперты для читателей журнала RUБЕЖ рассказали, как правильно и по каким критериям нужно проводить категорирование объектов КИИ, на что нужно обратить внимание при обеспечении их безопасности. Алексей Богомолов, руководитель направления по информационной безопасности СЗФО группы компаний Softline Все объекты транспортной и околотранспортной инфраструктуры потенциально являются объектами критической информационной инфраструктуры, и, соответственно, подпадают под действие 187-ФЗ. Поэтому представители отрасли обязаны как минимум провести категорирование. Сбой в работе или выход из-под контроля ПО, управляющего, например, работой железной дороги или авиалиний может привести к трагическим последствиям. А руководитель организации в случае серьезного инцидента, повлекшего за собой причинение вреда здоровью людей, может быть привлечен не только к административной, но и к уголовной ответственности. Объект КИИ, вне зависимости от того, в какой сфере работает организация, может быть отнесен к значимым или незначимым. Значимость объектов определяет постановление Правительства РФ. «Об утверждении показателей критериев значимости объектов КИИ РФ и их значений, а также порядка и сроков осуществления их категорирования». Документ содержит требования, которые позволят организациям провести инвентаризацию и категорирование систем объекта. При этом искусственно занизить присвоенную объекту категорию значимости не получится, так как итоговый акт категорирования направляется на проверку в федеральный орган исполнительной власти, уполномоченный для обеспечения безопасности критической информационной инфраструктуры. Итак, если ваша компания потенциально попадает в список субъектов критической информационной инфраструктуры, и вы по каким-то причинам еще не начали работы по приведению информационных систем и внутренних актов в соответствие с новым ФЗ, то вот какие семь первоочередных шагов следует предпринять в данном направлении: 1. Разработать внутренние нормативные документы, в которых должны быть прописаны цели проекта и лица, ответственные за его исполнение; 2. Создать рабочую группу по обеспечению безопасности критической информационной инфраструктуры; 3. Уточнить актуальный перечень нормативных документов (принятых и планируемых к принятию); 4. Пересмотреть решения по текущим или планируемым в ближайшее время внедрениям с учетом требований по обеспечению безопасности критической информационной инфраструктуры; 5. Провести инвентаризацию существующих систем и оценить возможность их отнесения к значимым объектам КИИ; 6. Провести GAP-анализ для потенциальных значимых объектов КИИ на предмет обеспечения в них информационной безопасности и соответствия нормативным требованиям; 7. Провести бюджетную оценку приведения в соответствия с требованиями законодательства. Перечень объектов КИИ после проведения категорирования отправляется на согласование сначала отраслевому регулятору (в случае с транспортной инфраструктурой это Министерство транспорта), а затем во ФСТЭК. На четырех последних этапах можно привлечь к работе компанию-консультанта, что позволит получить квалифицированную экспертизу и существенно сократить время, затраченное на проведение работ. Екатерина Сюртукова, руководитель направления сервиса и аутсорсинга ИБ Центра информационной безопасности «ИнфосистемыДжет» Согласно Федеральному закону «О безопасности критической информационной инфраструктуры» (187-ФЗ от 26.07.2017), к субъектам КИИ относятся государственные и коммерческие организации транспортной отрасли. На практике предприятие может это проверить, проанализировав устав, регистрационные данные и лицензии. Если в документах явно прописана деятельность, относящаяся к транспортной сфере, на организацию распространяются требования закона о КИИ. В этом случае организации предстоит выполнить ряд требований: провести категорирование своих объектов КИИ, обеспечить их безопасность и сообщать о киберинцидентах в главный центр ГосСОПКА – государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак, созданную ФСБ. Стоит отметить, что у каждой компании есть несколько десятков различных систем, часть из которых напрямую не связана с основной деятельностью. Поэтому для начала предприятиям нужно проанализировать все процессы и выделить только те системы, которые непосредственно влияют на осуществление транспортной деятельности. Именно эти системы должны войти в перечень объектов КИИ, именно их нужно категорировать и обеспечивать их безопасность согласно требованиям. По опыту в данную группу входят в первую очередь системы координации и контроля пассажирских и грузоперевозок, навигационные системы, системы регулирования транспортных потоков, системы оповещения о чрезвычайных ситуациях на транспортных объектах, системы автоматизации диспетчерского управления и т.д. Другими словами, речь идет обо всех корпоративных информационных системах и всех системах технологического сегмента, которые обеспечивают процессы управления, производства, основные технологические и финансово-экономические процессы транспортной деятельности. Правила категорирования объектов КИИ определило Правительство РФ своим Постановлением № 127 от февраля 2018. Согласно документу, существует три категории значимости. Они зависят от значений показателей критериев значимости, определяющих масштаб возможного ущерба и последствий в случае компьютерного инцидента в первую очередь в разрезе интересов государства. Рассмотрим подробнее все показатели. Показатели социальной значимости определяют возможный ущерб для жизни или здоровья людей и последствия в случае прекращения работы объектов транспортной инфраструктуры. Показатели политической значимости выражают оценку возможного ущерба интересам России в вопросах внутренней и внешней политики. Показатели экономической значимости определяют возможный финансовый ущерб и снижение доходов для субъектов КИИ и бюджета РФ. Показатели экологической значимости оценивают уровень вредного воздействия на окружающую среду. Показатели значимости объекта КИИ для обеспечения обороны страны говорят о масштабе последствий для безопасности государства и правопорядка. Проиллюстрируем, как происходит оценка объекта, на конкретном примере. Возьмем показатель социальной значимости «Причинение ущерба жизни и здоровью людей». Он измеряется численностью людей, которые могут пострадать в результате инцидента на объекте КИИ. Если количество возможных пострадавших варьируется от 1 до 50, то объект КИИ соответствует третьей категории значимости, если от 51 до 500 – второй, от 501 и более – первой. Отмечу, что, по закону, предприятие транспортной сферы должно оценить объект КИИ по каждому показателю каждого критерия значимости и присвоить категорию значимости по наивысшему значению показателя. Если же ни один показатель критериев значимости не может быть применим для объекта КИИ, принимается решение об отсутствии необходимости присвоения данному объекту категории значимости. Результаты оценки фиксируются в специальном документе – Акте о проведении категорирования. Теперь рассмотрим пошагово, что должен сделать владелец объектов КИИ, чтобы выполнить требования закона. Шаг 1. Создать комиссию по категорированию. Комиссия должна включать руководителя организации и работников, отвечающих за выполнение транспортной деятельности, обеспечение безопасности объектов КИИ и т.д. Шаг 2. Сформировать перечень объектов КИИ, подлежащих категорированию. Необходимо собрать и проанализировать информацию о процессах, выделить системы и процессы, непосредственно влияющие на транспортную деятельность. Шаг 3. Направить перечень объектов КИИ во ФСТЭК. Сделать это можно как в бумажном, так в электронном виде. С подачей перечня не стоит затягивать. Несмотря на то, что сроки не были регламентированы в нормативных актах, многие субъекты КИИ сообщали о требовании коллегии ФСТЭК предоставить документ до 1 августа 2018 года. Шаг 4. Провести категорирование объектов КИИ. Категорировать объекты КИИ нужно в течение одного года с момента направления соответствующего перечня во ФСТЭК. Результатом этой работы должен стать Акт о проведении категорирования, где каждому объекту будет присвоена одна из категорий значимости либо будет зафиксировано, что объекты КИИ не относятся к значимым. Шаг 5. Направить результаты категорирования во ФСТЭК. В документе должны быть указаны данные об актуальных угрозах и категориях нарушителей, а также информация о реализованных организационных и технических мерах ИБ. И это не исчерпывающий список сведений. Шаг 6. Устранить замечания ФСТЭК, если они есть. Регулятор проверяет результаты категорирования в течение 30 дней и в случае отсутствия замечаний вносит данные в Реестр значимых объектов КИИ. Если замечания есть, организация должна устранить недостатки и повторно направить информацию во ФСТЭК в течение 10 дней. Шаг 7. Каждые 5 лет пересматривать установленные категории значимости. Шаг 8. Обеспечить безопасность значимых объектов КИИ. Предприятие должно оценить достаточность существующих мер безопасности в соответствии с моделями угроз и нарушителей и при необходимости дооснастить ИБ-инфраструктуру. Перечень организационных и технических мер защиты, в зависимости от категории значимости объекта КИИ, прописан в приказах ФСТЭК (№239 и 235). Шаг 9. Разработать или скорректировать организационно распорядительную документацию. Перечень документов достаточно широкий: это положение о подразделении ИБ, должностные инструкции, регламент управления инцидентами, регламент доступа к значимым объектам, требования к мерам ИБ, порядок действий в нештатных ситуациях и многое другое. Шаг 10. Взаимодействовать с главным центром ГосСОПКА. Согласно статье 9 ФЗ-187, субъекты КИИ должны сообщать в главный центр ГосСОПКА об обнаружении, предупреждении и ликвидации последствий компьютерных атак. Для выполнения данного требования организация может либо подключиться к коммерческим центрам ГосСОПКА, которые на договорной основе будут выполнять все необходимые функции, либо на базе своих технических и кадровых ресурсов создать собственный центр мониторинга и самостоятельно взаимодействовать с главным центром ГосСОПКА. Резюмируя, хочется отметить, что объем работы владельцам объектов критической информационной инфраструктуры предстоит огромный. Необходима серьезная проработка технического обеспечения, экспертная команда специалистов и, что самое важное, серьезная работа по выстраиванию процессов управления информационной безопасностью. Павел Терентьев, независимый эксперт IT-отрасли Согласно п. 7 ст. 2 ФЗ № 187 от 26 июля 2018 г. «О безопасности критической информационной инфраструктуры Российской Федерации» под объектами, относящимися к критической информационной инфраструктуре, на которую распространяются положения данного закона, подразумеваются любые информационные системы, системы автоматизации управления и информационно-телекоммуникационные сети, в т.ч. применяемые на транспорте. Субъектами, обязанными выполнить требования ФЗ, признаются любые организации и индивидуальные предприниматели, являющиеся резидентами страны, и владельцами объектов КИИ на праве собственности, по договору аренды и на иных законных основаниях. На основании п. 3 ст. 7 Закона принята классификация объектов КИИ на 3 группы: первую, вторую и третью. Группы присваиваются в соответствии с утвержденным постановлением Правительства РФ №127 от 08.02.2017 г. перечнем показателей критериев значимости объектов РФ и их значения – п. 4. ст. 7 ФЗ № 187.На основании п. 1-4 ФЗ № 187 и перечня из ПП РФ № 127, при отнесении объекта КИИ к той или иной категории, необходимо учесть их социальную, политическую, экономическую, экологическую значимость, а также их значение для обеспечения обороноспособности страны. Так, к 1 категории относятся социально значимые объекты, которые могут потенциально нести в себе опасность для жизни и здоровья граждан, приводить к нарушению работы объектов жизнеобеспечения населения России, сбоям в работе объектов транспортной инфраструктуры и связи, нарушениям функционирования органов государственной власти, отказу доступа к услугам государственного сектора. Согласно разд. I п. 3 пп. а) и б) Постановления все объекты транспортной инфраструктуры должны быть оценены в соответствии с территориальным признаком и количеством обслуживаемого населения. К 1 категории относятся объекты КИИ, расположенные в одном территориальном образовании, при нарушениях работы которых доступ к объектам транспортной инфраструктуры будет ограничен населению в количестве от 50 до 999 человек. Во II категорию входят объекты КИИ, расположенные на территории 2 и более муниципальных образований, но в пределах 1 субъекта РФ, при нарушении доступа к которым лишится возможности пользования транспортной инфраструктурой от 1000 до 4999 человек. К последней, III категории, отнесена территория, выходящая за пределы субъекта РФ, при ограничении доступа населению в количестве от 5 000 человек и более. В связи с принятием закона владельцы объектов транспортной инфраструктуры должны в обязательном порядке пройти процедуру категорирования находящихся в их ведомстве элементов КИИ в том случае, если по ОКВЭД сфера деятельности организации прямо или косвенно имеет отношение к транспорту на основании выписки ЕГРЮЛ. Для выполнения новых требований закона организации обязаны присвоить объектам КИИ категории, провести интеграцию своих систем в Государственную систему ГосСОПКА, принять меры для обеспечения должного уровня безопасности каждого элемента внутренней КИИ. Для того, чтобы провести категорирование объектов, необходимо проанализировать их по ряду критериев и присвоить каждому из них одну из 3 категорий. Даже если объекту не присвоена никакая категория, необходимо предоставить об этом данные в ФСТЭК. После завершения процедуры присвоения категорий, данные по форме ФСТЭК передаются в ведомство для включения в общегосударственный реестр объектов критической инфраструктуры, содержащий такую информацию, как наименование объекта и организации, сведения о взаимодействии элемента с сетями, категорию объекта КИИ, данные о программном обеспечении, применяемом компанией, эксплуатирующей КИИ, а также меры для обеспечения безопасности пользования элементом КИИ. Для того чтобы правильно провести категорирование объектов, нужно в первую очередь составить список бизнес-процессов, которые выполняются элементами КИИ, выделить из всех процессов те операции, которые потенциально несут в себе негативные последствия для населения и иных объектов инфраструктуры города. Далее необходимо установить конкретный перечень КИИ, которым нужно присвоить категорию - успеть это нужно сделать до 26 января 2018 г. Провести комплексную оценку критериев каждого объекта на предмет социальной, политической и экономической значимости, присвоить категории элементам или принять решение о том, что они не относятся к объектам КИИ. Необходимо уделить внимание не только действующим элементам бизнес-процессов, но также вновь создаваемым и модернизирующимся объектам, в т.ч. указанным в лицензиях организации на выполнение конкретных видов услуг или работ. После внесения сведений в реестр ФТЭКС, комиссия ГосСОПКА на базе конкретного предприятия должна провести в течение года интеграцию в единую ведомственную систему всех объектов КИИ для оперативного информирования государственных структур о попытках несанкционированного доступа к элементам критической инфраструктуры отдельно взятого предприятия, а также для устранения возможных последствий хакерских атак в минимальные сроки. Сотрудники ведомственной комиссии обязаны: провести инвентаризацию элементов КИИ, осуществить поиск слабых мест и комплексный анализ угроз безопасности каждого объекта, использовать системы шифрования данных, анализа и сбора информации, корреляции внутренних процессов и событий, происходящих на аппаратном уровне с применением современных аппаратных средств доступа. Алексей Тузов, независимый эксперт транспортной отрасли Информационная безопасность современных предприятий постоянно проверяется на прочность. Вирус WannaCry, заразивший более 500 тысяч компьютеров и парализовавший работу сотен организаций по всему миру, атака на иранские ядерные объекты вредоносного ПО Stuxnet, взлом компьютерных систем украинских электростанций (BlackEnergy) показали это особенно ярко. Нарушение стабильной и бесперебойной работы систем критической информационной инфраструктуры (КИИ) не только создает угрозу здоровью и жизни людей, но и негативно влияет на экономическую, политическую и социальную устойчивость региона и всего государства. Федеральный закон № 187 «О безопасности КИИ» коснулся и предприятий, работающих в сфере транспорта – субъектов и объектов КИИ, так как нарушение информационной безопасности инфраструктуры способно вызвать транспортный коллапс города или региона. Первым критерием признания лица субъектом КИИ названо наличие у него информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления или обеспечение им поддержки таких систем. Второй критерий отнесения к субъектам КИИ — деятельность в определенной отрасли экономики, в нашем случае это транспорт. К объектам ККИ относятся объекты транспортной сферы, обеспечивающие управленческие, технологические, производственные, финансово-экономические и иные процессы. Согласно закону, субъекты КИИ должны: · провести категорирование объектов КИИ; · обеспечить интеграцию в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА); · принять организационные и технические меры по обеспечению безопасности объектов КИИ. Особого внимания заслуживает порядок категорирования и защиты КИИ. Правила категорирования и требования по безопасности КИИ определяют последовательность действий, которые должны быть выполнены субъектом КИИ. В соответствии с Правилами категорирования предприятию необходимо провести инвентаризацию, обследование и определение категорий значимости принадлежащих ему объектов КИИ. Далее, в зависимости от присвоенной категории значимости, на основании требований по безопасности КИИ спроектировать и внедрить систему защиты. Категорированию подлежат объекты КИИ, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов КИИ. Категория значимости определяется на основе показателей критериев значимости из Правил категорирования. Устанавливаются три категории значимости: от самой высокой — первой, к самой низкой — третьей. Объекту КИИ по результатам категорирования присваивается категория с наивысшим значением. Например, если хотя бы по одному из критериев объект КИИ соответствует первой категории, то присваивают именно ее. Перечень объектов для категорирования утверждается субъектом КИИ, согласуется организацией-регулятором в соответствующей области деятельности и передается во ФСТЭК России. Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом КИИ такого перечня. К исходным данным для категорирования относятся: сведения об объекте КИИ, выполняемые процессы и состав обрабатываемой информации, декларация промышленной безопасности опасного производственного объекта, декларация безопасности гидротехнического сооружения и паспорт объекта топливно-энергетического комплекса в случае, если на указанных объектах функционирует объект КИИ, сведения о взаимодействии и/или зависимости от других объектов КИИ, угрозы безопасности информации в отношении объекта КИИ, а также имеющиеся данные о компьютерных инцидентах, произошедших ранее на объектах КИИ соответствующего типа. Для выполнения требований закона субъекту КИИ необходимо: Во-первых, создать системы безопасности объектов КИИ в соответствии с требованиями ФСТЭК. Во-вторых, в качестве компонента защиты необходимо использовать средства защиты системы ГосСОПКА. Стоит уточнить, что подключение к ГосСОПКА не избавляет от необходимости построения системы защиты субъекта КИИ.ГосСОПКА используется дополнительно для решения специфических задач, которые не в состоянии решить собственная система обеспечения ИБ, построенная по требованиям ФСТЭК. Для проведения категорирования решением руководителя субъекта КИИ создается комиссия по категорированию. Далее проводится категорирование всех объектов КИИ, данные о чем направляются в письменной форме во ФСТЭК в 10-дневный срок со дня принятия решения о категорировании. Получив эти данные, ФСТЭК в 30-дневный срок проверяет соблюдение порядка категорирования и правильность присвоения категории, после чего вносит сведения о значимых объектах в реестр значимых объектов КИИ. Помимо этого, на субъекты КИИ возлагается ряд общих обязанностей по линии ФСБ: реагировать на компьютерные инциденты в порядке, утвержденном ФСБ; незамедлительно информировать ФСБ об инцидентах; оказывать содействие должностным лицам ФСБ в деятельности, связанной с предупреждением, обнаружением и ликвидацией последствий инцидентов; обеспечивать выполнение порядка, технических условий установки и эксплуатации технических средств ГосСОПКА. Субъект КИИ не реже чем один раз в пять лет осуществляет пересмотр установленной категории значимости в соответствии с настоящими Правилами. В случае изменения категории значимости сведения о результатах пересмотра направляются в федеральный орган, уполномоченный в области обеспечения безопасности КИИ. Решение о применении данного документа к объектам КИИ, которым категория значимости присвоена не была принимает владелец КИИ. При проектировании защиты значимых объектов КИИ, являющихся информационными системами персональных данных, необходимо учитывать Требования к защите персональных данных при их обработке в информационных системах персональных данных (постановление Правительства Российской Федерации от 01.11.2012 г. № 1119).