О мерах по выполнению положений Федерального закона от 26 июля 2017 года № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»
1. Принятый 26 июля 2017 года Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее - Закон) устанавливает общие принципы правового регулирования отношений в области обеспечения безопасности критической информационной инфраструктуры (далее - КИИ) Российской Федерации. Закон вступает в силу с 1 января 2018 года и носит рамочный характер. В частности, Закон НЕ ОПРЕДЕЛЯЕТ:
- перечень объектов КИИ, на которые распространяются требования закона;
- порядок и критерии категорирования (определения значимости) объектов КИИ;
-
федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации;
-
федеральный орган исполнительной власти, уполномоченный в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;
-
требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры;
-
временные параметры (сроки) реализации положений закона;
-
порядок осуществления государственного контроля и надзора в области обеспечения безопасности значимых объектов критической информационной инфраструктуры;
-
порядок и критерии оценки безопасности критической информационной инфраструктуры;
-
ряд других положений, необходимых для практической реализации требований закона.
2. Для практической реализации положений Закона предусматривается разработка комплекса подзаконных актов (указаны в Приложении 1), сроки принятия которых могут составлять 1,5-2,5 года с момента вступления Закона в силу. До принятия этих нормативных правовых актов практическая реализации требований Закона в полном объеме НЕВОЗМОЖНА.
Необходимо также учитывать, что в соответствии со ст. 54 Конституции РФ, закон, устанавливающий или отягчающий ответственность, обратной силы не имеет. В соответствии с этим обязательные требования, принятые во исполнение Закона, будут распространяться на объекты КИИ или вновь вводимые в эксплуатацию, или подвергаемые модернизации после утверждения соответствующих требований. Подобный подход к срокам и порядку реализации вновь вводимых требований неоднократно анонсировала ФСТЭК России в разъяснениях к соответствующим нормативным актам, подчёркивая, что изданные в установленном порядке нормативные правовые акты не имеют обратной силы и применяются к отношениям, возникшим после вступления соответствующих актов в силу.
О прогнозировании состава технических требований, которые могут распространяться на объекты КИИ, отнесённые к одной из категорий значимости
В соответствии со ст. 2 Закона можно прогнозировать, что к объектам КИИ потенциально могут быть отнесены наиболее важные объекты, в том числе функционирующие сфере электроэнергетики.
В случае отнесения объектов к КИИ одной из категорий значимости, на них будут распространяться «требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры, а также требования к созданию систем безопасности таких объектов и обеспечению их функционирования». В настоящее время такие требования не разработаны и не определён орган исполнительной власти, уполномоченный на их разработку. Тем не менее, можно прогнозировать следующий подход к формированию таких требований: в отношении категорированных объектов, функционирующих в сфере транспорта, связи, энергетики, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности - требования будут сформированы на базе приказа ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды», при этом для категорированных объектов КИИ требования приказа ФСТЭК России от 14 марта 2014 г. № 31 будут иметь обязательную силу и будут согласованы с соответствующими категориями значимости объектов КИИ.
О порядке информирования ГосСОПКА о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак
В соответствии со ст. 9 Закона на субъектов критической информационной возложена обязанность:
«незамедлительно информировать о компьютерных инцидентах федеральный орган исполнительной власти, уполномоченный в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, в установленном указанным федеральным органом исполнительной власти порядке».
Однако в настоящее время:
а) орган исполнительной власти, уполномоченный в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации в настоящее время формально ещё не определён. Вместе с тем, в соответствии с Указом Президента от 15 января 2013г. №31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации», функции по созданию такой системы возложены на ФСБ России. Очевидно, что и в дальнейшем государственную политику в области обеспечения функционирования системы будет определять ФСБ России;
б) порядок информирования о компьютерных инцидентах официально не установлен. Вместе с этим, ФСБ России подготовлены «Методические рекомендации по созданию ведомственных и корпоративных центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации», которые содержат необходимые рекомендации по взаимодействию и перечень передаваемых в рамках функционирования системы сведений. В настоящее время данный документ носит рекомендательный характер, но активно применяется при взаимодействии с ведомственными и корпоративными сегментами. Очевидно, что он будет положен в основу предусмотренных Законом документов.
С учётом изложенного, при создании ведомственного сегмента и организации взаимодействия, считаем целесообразным ориентироваться на указанные выше «Методические рекомендации…» вплоть до официального опубликования нормативного правового акта, регламентирующего порядок информирования федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры, после чего необходимо провести корректировку принятых мер по выстраиванию процесса реагирования на компьютерные атаки.
О мерах ответственности за нарушение требований Закона
Федеральным законом от 26 июля 2017 года № 194-ФЗ в УК РФ с 1 января 2018 г. введена новая статья 274.1 «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации», в частности предусматривающая:
«3. Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, или информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи, относящихся к критической информационной инфраструктуре Российской Федерации, либо правил доступа к указанным информации, информационным системам, информационно-телекоммуникационным сетям, автоматизированным системам управления, сетям электросвязи, если оно повлекло причинение вреда критической информационной инфраструктуре Российской Федерации, -
наказывается принудительными работами на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового либо лишением свободы на срок до шести лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.».
Однако в настоящее время объекты КИИ, нарушение правил эксплуатации которых может квалифицироваться как преступление, предусмотренное ст. 274.1 УК РФ, не определены.
О степени секретности сведений о мерах защиты КИИ
Федеральным законом от 26 июля 2017 № 193-ФЗ внесены изменения в Закон РФ «О государственной тайне», согласно которым сведения «о мерах по обеспечению безопасности критической информационной инфраструктуры Российской Федерации и о состоянии её защищенности от компьютерных атак» включены в Перечень сведений, составляющих государственную тайну. Какие конкретно сведения будут отнесены к этой категории и порядок работы с этими сведениями субъектов КИИ - российских юридических лиц и (или) индивидуальных предпринимателей, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления в настоящее время не определено.
Вероятно, такой порядок будет впоследствии разъяснён уполномоченных органом исполнительной власти. Можно прогнозировать, что в отношении таких сведений будет принят порядок работы с ними, аналогичный порядку работы со сведениями «о мерах по обеспечению защищенности критически важных объектов и потенциально опасных объектов инфраструктуры Российской Федерации от террористических актов».
О рекомендациях по обеспечению безопасности информации в АСУ ТП на текущий период времени
Существующий федеральный закон от 21 июля 2011 г. № 256-ФЗ «О безопасности объектов топливно-энергетического комплекса» (в соответствии со ст. 11 этого закона устанавливается необходимость создания на объектах топливно-энергетического комплекса системы защиты информации и информационно-телекоммуникационных сетей от неправомерных доступа, уничтожения, модифицирования, блокирования информации и иных неправомерных действий) говорит только о необходимости создания системы защиты и не определяет конкретные требования к системе защиты АСУ ТП.
В целях повышения уровня защищённости АСУ ТП рекомендуется принять меры защиты, указанные в документе «Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды» утверждённые приказом ФСТЭК России от 14 марта 2014 г. № 31 (в настоящее время эти Требования носят рекомендательный характер).
Для этого владельцу (оператору) АСУ ТП рекомендуется определить класс защищённости АСУ ТП в соответствии с Приложением № 1 к Требованиям, утверждённые приказом ФСТЭК России от 14 марта 2014 г. № 31, выбрать и реализовать необходимые меры защиты, предусмотренные для выбранного класса.
При реализации мер защиты АСУ ТП рекомендуется в качестве приоритетных использовать меры защиты:
- физическую/логическую изоляцию технологического контура АСУ ТП от корпоративной сети и сетей связи общего пользования, в том числе с применением средств однонаправленной передачи данных (data diode);
-
ограничение физического доступа к элементам АСУ ТП, реализацию мер физической защиты;
-
ограничение доступа и управление доступом легальных пользователей к ресурсам АСУ ТП, минимизацию привилегий пользователей;
-
контроль действий пользователей АСУ ТП;
-
антивирусную защиту;
-
организацию резервного копирования конфигурационных файлов, информационных образов систем, а также журналов регистрации событий, организацию контроля их неизменности;
-
контроль целостности сетевого сегмента АСУ ТП, обнаружение несанкционированно подключенных устройств и линий связи;
-
обеспечение действий в нештатных (непредвиденных) ситуациях (инцидентах информационной безопасности) в ходе эксплуатации АСУ ТП.
-
Также необходимо учитывать, что согласно Требованиям, утверждённым приказом ФСТЭК России от 14 марта 2014 г. № 31, в системах защиты АСУ ТП могут применяться несертифицированные средства защиты информации. Сертифицированных СЗИ для АСУ ТП в настоящее время практически нет, поэтому применение существующих несертифицированных СЗИ решает проблему по крайней мере на этом временном (переходном) этапе.
-
Обращаем внимание, что в соответствии со ст. 54 Конституции РФ, закон, устанавливающий или отягчающий ответственность, обратной силы не имеет. В соответствии с этим обязательные требования, принятые во исполнение Закона, будут распространяться на объекты КИИ, вновь вводимые в эксплуатацию или подвергаемые модернизации после утверждения соответствующих требований. Подобный подход к срокам и порядку реализации вновь вводимых требований неоднократно анонсировала ФСТЭК России в разъяснениях к соответствующим нормативным актам, подчёркивая, что изданные в установленном порядке нормативные правовые акты не имеют обратной силы и применяются к отношениям, возникшим после вступления соответствующих актов в силу.
Приложение 1. Общий перечень подзаконных актов, необходимых для практической реализации положений Закона
а) указы Президента РФ о назначении:
- федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации;
-
федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.
б) постановления Правительства РФ:
- об утверждении показателей критериев значимости объектов критической информационной инфраструктуры и их значения, а также порядок и сроки осуществления их категорирования;
-
о порядке осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры;
-
о порядке подготовки и использования ресурсов единой сети электросвязи Российской Федерации для обеспечения функционирования значимых объектов критической информационной инфраструктуры.
в) нормативные правовые акты Федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации:
- о порядке ведения реестра значимых объектов критической информационной инфраструктуры и ведет данный реестр;
-
об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий;
-
о требованиях по обеспечению безопасности значимых объектов критической информационной инфраструктуры, а также требованиях к созданию систем безопасности таких объектов и обеспечению их функционирования;
-
об утверждении формы акта проверки, составляемого по итогам проведения государственного контроля.
г) нормативные правовые акты Федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации:
- о создании национального координационного центра по компьютерным инцидентам и утверждении положения о нем;
-
об определении перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, и порядке её представления;
-
об утверждении порядка информирования федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры;
-
об утверждении порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры, между субъектами критической информационной инфраструктуры и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, а также порядок получения субъектами критической информационной инфраструктуры информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения;
-
об установлении требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты;
-
об утверждении порядка, технических условий установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, за исключением средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры.
д) нормативные правовые акты Федерального органа исполнительной власти, осуществляющего функции по выработке и реализации государственной политики и нормативно-правовому регулированию в области связи (Минкомсвязи):
об утверждении порядка, технических условий установки и эксплуатации средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры.