Закон о КИИ: отмечаем годовщину вступления в силу
Почти в полном объеме приняты подзаконные акты, регламентирующие порядок реализации положений этого закона. Однако официально все ещё не вступили в силу документы ФСБ России, регламентирующие вопросы функционирования ГосСОПКА, а именно:
- порядок, технические условия установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, за исключением средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов КИИ РФ;
- требования к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты;
- порядок информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов КИИ РФ.
В части развертывания государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА) Национальным координационным центром по компьютерным инцидентам (НКЦКИ) подготовлены ряд методических документов, устанавливающих практические рекомендации по созданию и обеспечению функционирования ведомственных и корпоративных центров ГосСОПКА:
1. Требования к подразделениям и должностным лицам субъектов ГосСОПКА.
2. Методические рекомендации ФСБ России по созданию ведомственных и корпоративных центров ГосСОПКА.
3. Типовой Регламент информационного взаимодействия.
4. Методические рекомендации по обнаружению компьютерных атак на информационные ресурсы.
5. Методические рекомендации по установлению причин и ликвидации последствий компьютерных инцидентов.
6. Методические рекомендации по проведению мероприятий по оценке степени защищенности от компьютерных атак.
1. При оценке относится ли конкретный субъект к «субъектам критической информационной инфраструктуры», в первую очередь анализировать реально выполняемую субъектом деятельность.
2. Органы местного самоуправления не являются госорганом - это означает, что они не попадают под определение субъектов КИИ.
3. Компании, оказывающие услуги по водоснабжению и водоотведению (водоканалы), могут быть отнесены к субъектам КИИ только в случае, если они обеспечивают объекты КИИ в одной из 13 сфер, определенных ФЗ-187.
4. Филиалы больших компаний-субъектов КИИ, являющиеся самостоятельными юридическими лицами, должны самостоятельно организовывать и проводить процедуру категорирования объектов КИИ, находящихся в их ведении, и самостоятельно (отдельно от головной компании) формировать комиссии по категорированию объектов КИИ.
5. В состав комиссий по категорированию могут включаться представители ФСТЭК России и ФСБ России по согласованию с этими ведомствами.
6. При определении перечня объектов КИИ целесообразно избегать необоснованного «измельчения» объектов. Необходимо учитывать, что если впоследствии объекту будет присвоена одна из категорий значимости, то вокруг этого объекта придётся строить защищённый периметр. И если таких «мелких» объектов будет много, то построение защищённого периметра для каждого из них может привести к весьма существенным затратам.
7. Перечень объектов КИИ должен направляться в центральный аппарат ФСТЭК России, а не в территориальные органы (управления ФСТЭК России по федеральным округам).
8. При предоставлении данных об объектах КИИ по форме, установленной приказом ФСТЭК России от 22 декабря 2017 г. № 236 «Об утверждении формы направления сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий» необходимо учитывать следующее:
- необходимо указывать причину (приводить краткое обоснование), по которой не заполнен тот или иной раздел типовой формы;
- в графах таблицы, где указываются значения размеров ущерба, который может быть причинен в результате возникновения компьютерных инцидентов в соответствии с показателями критериев значимости, необходимо указывать реальные значения ущерба, а не «больше» или «меньше» пороговых значений, приведённых в «Перечне показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» (утвержден постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127).
- при заполнении графы «Сведения о программных и программно-аппаратных средствах, используемых на объекте критической информационной инфраструктуры» необходимо указать сведения о реально выполненных мерах защиты объекта КИИ, даже если выполненные меры недостаточны/не соответствуют установленным требованиям. Эта информация нужна для оценки потребности в средствах защиты.
9. Реализация технических мер защиты должна осуществляться с учетом возможностей субъекта, в том числе с учетом минимизации возможных потерь.
10. Объекты, не попавшие в 13 сфер функционирования субъектов КИИ, определенных ФЗ-187, категорировать не надо.
11. Субъект может уточнять (дополнять) ранее представленные во ФСТЭК России данные по объектам КИИ, в том числе в случае их исключения по каким-либо причинам из перечня.
12. Перечни объектов КИИ не согласовываются и не утверждаются ФСТЭК России.
13. Для вновь создаваемого объекта КИИ требования по категории его значимости могут включаться в техническое задание на его создание.
14. В 2019 году планируется уточнение нормативной базы в области КИИ, в том числе:
- внесение изменений в некоторые правовые акты в Правила категорирования объектов КИИ РФ, утверждённые постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127, в том числе в части уточнения показателей критериев значимости объектов КИИ, включая пересмотр экономических показателей значимости, для того чтобы уменьшить возможность для «ухода» субъектов от значимых объектов КИИ;
- планируется установить сроки подготовки перечня объектов КИИ и предоставления их регулятору;
- будет уменьшено число сведений, которые предоставляются во ФСТЭК России по результатам категорирования. Например, исключат сведения об уязвимостях;
- будут увеличены масштабы объектов КИИ, чтобы их количество не было слишком огромным. По оценкам ФСТЭК России в стране насчитывается около 12 тыс. субъектов КИИ. Причем каждый субъект КИИ может иметь до нескольких десятков объектов КИИ. В результате получается огромная цифра: 400-600 тыс. объектов на страну в целом – неподъёмная для регулятора задача;
- в нормативных документах ФСТЭК России планируется внесение изменений, учитывающих особенности реализации мер защиты объектов КИИ в холдинговых и интегрированных структурах;
- планируется введение административной ответственности за непредоставление перечня объектов КИИ, за непроведение категорирования объектов КИИ, за нарушение правил категорирования, за непредоставление данных в ГосСОПКА.