Контакты
  • Главная
  • Компания
  • История
  • Акционерам и инвесторам
  • Регалии
  • Лицензии
  • Партнеры
  • Руководство
  • Проектный опыт
  • Отзывы заказчиков
  • Пресс-центр
  • Карьера
  • Продукты
  • БДМ
  • ЗАСТАВА
  • Продукты других производителей
  • Услуги и решения
  • Соответствие требованиям
  • Аудит ИБ
  • Облака и виртуализация
  • Управление ИБ
  • Управление доступом
  • Сетевая безопасность
  • Защита приложений
  • Поддержка и аутсорсинг
  • Защита АСУТП
  • Защита ГИС
  • Защита от вредоносного кода, спама и контроль трафика
  • Центр компетенции
  • FAQ
  • Экспертный совет
  • Комментарии экспертов
  • Материалы мероприятий
  • Информаториум
  • Видео и скринкасты
  • Новости
  • Мероприятия
  • Календарь мероприятий
  • Партнерам
  • Архив мероприятий
  • О мерах по выполнению положений Федерального закона от 26 июля 2017 года № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»

    11.09.2017

    О мерах по выполнению положений Федерального закона от 26 июля 2017 года № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»

    Булаев Михаил Александрович, ведущий консультант-аналитик


    Общие сведения

    1. Принятый 26 июля 2017 года Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее - Закон) устанавливает общие принципы правового регулирования отношений в области обеспечения безопасности критической информационной инфраструктуры (далее - КИИ) Российской Федерации. Закон вступает в силу с 1 января 2018 года и носит рамочный характер. В частности, Закон НЕ ОПРЕДЕЛЯЕТ:

    • перечень объектов КИИ, на которые распространяются требования закона;
    • порядок и критерии категорирования (определения значимости) объектов КИИ;
    • федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации;

    • федеральный орган исполнительной власти, уполномоченный в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;

    • требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры;

    • временные параметры (сроки) реализации положений закона;

    • порядок осуществления государственного контроля и надзора в области обеспечения безопасности значимых объектов критической информационной инфраструктуры;

    • порядок и критерии оценки безопасности критической информационной инфраструктуры;

    • ряд других положений, необходимых для практической реализации требований закона.

    2. Для практической реализации положений Закона предусматривается разработка комплекса подзаконных актов (указаны в Приложении 1), сроки принятия которых могут составлять 1,5-2,5 года с момента вступления Закона в силу. До принятия этих нормативных правовых актов практическая реализации требований Закона в полном объеме НЕВОЗМОЖНА.

    Необходимо также учитывать, что в соответствии со ст. 54 Конституции РФ, закон, устанавливающий или отягчающий ответственность, обратной силы не имеет. В соответствии с этим обязательные требования, принятые во исполнение Закона, будут распространяться на объекты КИИ или вновь вводимые в эксплуатацию, или подвергаемые модернизации после утверждения соответствующих требований. Подобный подход к срокам и порядку реализации вновь вводимых требований неоднократно анонсировала ФСТЭК России в разъяснениях к соответствующим нормативным актам, подчёркивая, что изданные в установленном порядке нормативные правовые акты не имеют обратной силы и применяются к отношениям, возникшим после вступления соответствующих актов в силу.

    О прогнозировании состава технических требований, которые могут распространяться на объекты КИИ, отнесённые к одной из категорий значимости

    В соответствии со ст. 2 Закона можно прогнозировать, что к объектам КИИ потенциально могут быть отнесены наиболее важные объекты, в том числе функционирующие сфере электроэнергетики.

    В случае отнесения объектов к КИИ одной из категорий значимости, на них будут распространяться «требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры, а также требования к созданию систем безопасности таких объектов и обеспечению их функционирования». В настоящее время такие требования не разработаны и не определён орган исполнительной власти, уполномоченный на их разработку. Тем не менее, можно прогнозировать следующий подход к формированию таких требований: в отношении категорированных объектов, функционирующих в сфере транспорта, связи, энергетики, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности - требования будут сформированы на базе приказа ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды», при этом для категорированных объектов КИИ требования приказа ФСТЭК России от 14 марта 2014 г. № 31 будут иметь обязательную силу и будут согласованы с соответствующими категориями значимости объектов КИИ.

    О порядке информирования ГосСОПКА о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак

    В соответствии со ст. 9 Закона на субъектов критической информационной возложена обязанность:

    «незамедлительно информировать о компьютерных инцидентах федеральный орган исполнительной власти, уполномоченный в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, в установленном указанным федеральным органом исполнительной власти порядке».

    Однако в настоящее время:

    а) орган исполнительной власти, уполномоченный в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации в настоящее время формально ещё не определён. Вместе с тем, в соответствии с Указом Президента от 15 января 2013г. №31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации», функции по созданию такой системы возложены на ФСБ России. Очевидно, что и в дальнейшем государственную политику в области обеспечения функционирования системы будет определять ФСБ России;

    б) порядок информирования о компьютерных инцидентах официально не установлен. Вместе с этим, ФСБ России подготовлены «Методические рекомендации по созданию ведомственных и корпоративных центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации», которые содержат необходимые рекомендации по взаимодействию и перечень передаваемых в рамках функционирования системы сведений. В настоящее время данный документ носит рекомендательный характер, но активно применяется при взаимодействии с ведомственными и корпоративными сегментами. Очевидно, что он будет положен в основу предусмотренных Законом документов.

    С учётом изложенного, при создании ведомственного сегмента и организации взаимодействия, считаем целесообразным ориентироваться на указанные выше «Методические рекомендации…» вплоть до официального опубликования нормативного правового акта, регламентирующего порядок информирования федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры, после чего необходимо провести корректировку принятых мер по выстраиванию процесса реагирования на компьютерные атаки.

    О мерах ответственности за нарушение требований Закона

    Федеральным законом от 26 июля 2017 года № 194-ФЗ в УК РФ с 1 января 2018 г. введена новая статья 274.1 «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации», в частности предусматривающая:

    «3. Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, или информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи, относящихся к критической информационной инфраструктуре Российской Федерации, либо правил доступа к указанным информации, информационным системам, информационно-телекоммуникационным сетям, автоматизированным системам управления, сетям электросвязи, если оно повлекло причинение вреда критической информационной инфраструктуре Российской Федерации, -

    наказывается принудительными работами на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового либо лишением свободы на срок до шести лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.».

    Однако в настоящее время объекты КИИ, нарушение правил эксплуатации которых может квалифицироваться как преступление, предусмотренное ст. 274.1 УК РФ, не определены.

    О степени секретности сведений о мерах защиты КИИ

    Федеральным законом от 26 июля 2017 № 193-ФЗ внесены изменения в Закон РФ «О государственной тайне», согласно которым сведения «о мерах по обеспечению безопасности критической информационной инфраструктуры Российской Федерации и о состоянии её защищенности от компьютерных атак» включены в Перечень сведений, составляющих государственную тайну. Какие конкретно сведения будут отнесены к этой категории и порядок работы с этими сведениями субъектов КИИ - российских юридических лиц и (или) индивидуальных предпринимателей, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления в настоящее время не определено.

    Вероятно, такой порядок будет впоследствии разъяснён уполномоченных органом исполнительной власти. Можно прогнозировать, что в отношении таких сведений будет принят порядок работы с ними, аналогичный порядку работы со сведениями «о мерах по обеспечению защищенности критически важных объектов и потенциально опасных объектов инфраструктуры Российской Федерации от террористических актов».

    О рекомендациях по обеспечению безопасности информации в АСУ ТП на текущий период времени

    Существующий федеральный закон от 21 июля 2011 г. № 256-ФЗ «О безопасности объектов топливно-энергетического комплекса» (в соответствии со ст. 11 этого закона устанавливается необходимость создания на объектах топливно-энергетического комплекса системы защиты информации и информационно-телекоммуникационных сетей от неправомерных доступа, уничтожения, модифицирования, блокирования информации и иных неправомерных действий) говорит только о необходимости создания системы защиты и не определяет конкретные требования к системе защиты АСУ ТП.

    В целях повышения уровня защищённости АСУ ТП рекомендуется принять меры защиты, указанные в документе «Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды» утверждённые приказом ФСТЭК России от 14 марта 2014 г. № 31 (в настоящее время эти Требования носят рекомендательный характер).

    Для этого владельцу (оператору) АСУ ТП рекомендуется определить класс защищённости АСУ ТП в соответствии с Приложением № 1 к Требованиям, утверждённые приказом ФСТЭК России от 14 марта 2014 г. № 31, выбрать и реализовать необходимые меры защиты, предусмотренные для выбранного класса.

    При реализации мер защиты АСУ ТП рекомендуется в качестве приоритетных использовать меры защиты:

    • физическую/логическую изоляцию технологического контура АСУ ТП от корпоративной сети и сетей связи общего пользования, в том числе с применением средств однонаправленной передачи данных (data diode);
    • ограничение физического доступа к элементам АСУ ТП, реализацию мер физической защиты;

    • ограничение доступа и управление доступом легальных пользователей к ресурсам АСУ ТП, минимизацию привилегий пользователей;

    • контроль действий пользователей АСУ ТП;

    • антивирусную защиту;

    • организацию резервного копирования конфигурационных файлов, информационных образов систем, а также журналов регистрации событий, организацию контроля их неизменности;

    • контроль целостности сетевого сегмента АСУ ТП, обнаружение несанкционированно подключенных устройств и линий связи;

    • обеспечение действий в нештатных (непредвиденных) ситуациях (инцидентах информационной безопасности) в ходе эксплуатации АСУ ТП.

    • Также необходимо учитывать, что согласно Требованиям, утверждённым приказом ФСТЭК России от 14 марта 2014 г. № 31, в системах защиты АСУ ТП могут применяться несертифицированные средства защиты информации. Сертифицированных СЗИ для АСУ ТП в настоящее время практически нет, поэтому применение существующих несертифицированных СЗИ решает проблему по крайней мере на этом временном (переходном) этапе.

    • Обращаем внимание, что в соответствии со ст. 54 Конституции РФ, закон, устанавливающий или отягчающий ответственность, обратной силы не имеет. В соответствии с этим обязательные требования, принятые во исполнение Закона, будут распространяться на объекты КИИ, вновь вводимые в эксплуатацию или подвергаемые модернизации после утверждения соответствующих требований. Подобный подход к срокам и порядку реализации вновь вводимых требований неоднократно анонсировала ФСТЭК России в разъяснениях к соответствующим нормативным актам, подчёркивая, что изданные в установленном порядке нормативные правовые акты не имеют обратной силы и применяются к отношениям, возникшим после вступления соответствующих актов в силу.

    Приложение 1. Общий перечень подзаконных актов, необходимых для практической реализации положений Закона

    а) указы Президента РФ о назначении:

    • федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации;
    • федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.

    б) постановления Правительства РФ:

    • об утверждении показателей критериев значимости объектов критической информационной инфраструктуры и их значения, а также порядок и сроки осуществления их категорирования;
    • о порядке осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры;

    • о порядке подготовки и использования ресурсов единой сети электросвязи Российской Федерации для обеспечения функционирования значимых объектов критической информационной инфраструктуры.

    в) нормативные правовые акты Федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации:

    • о порядке ведения реестра значимых объектов критической информационной инфраструктуры и ведет данный реестр;
    • об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий;

    • о требованиях по обеспечению безопасности значимых объектов критической информационной инфраструктуры, а также требованиях к созданию систем безопасности таких объектов и обеспечению их функционирования;

    • об утверждении формы акта проверки, составляемого по итогам проведения государственного контроля.

    г) нормативные правовые акты Федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации:

    • о создании национального координационного центра по компьютерным инцидентам и утверждении положения о нем;
    • об определении перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, и порядке её представления;

    • об утверждении порядка информирования федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры;

    • об утверждении порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры, между субъектами критической информационной инфраструктуры и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, а также порядок получения субъектами критической информационной инфраструктуры информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения;

    • об установлении требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты;

    • об утверждении порядка, технических условий установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, за исключением средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры.

    д) нормативные правовые акты Федерального органа исполнительной власти, осуществляющего функции по выработке и реализации государственной политики и нормативно-правовому регулированию в области связи (Минкомсвязи):
    об утверждении порядка, технических условий установки и эксплуатации средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры.


    Возврат к списку