31.03.2020
Булаев Михаил Александрович, ведущий консультант-аналитик
4–5 марта 2020 г. в Москве прошла конференция «Информационная безопасность АСУ ТП критически важных объектов», в которой традиционно приняли участие представители ФСТЭК России - федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации.
В этом материале дается обзор результатов анализа ФСТЭК России, которая является федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, практики выполнения субъектами критической информационной инфраструктуры требований Федерального закона от 26 июля 2017 года N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», вступившего в силу с 1 января 2018 года, и принятых в соответствии с ним нормативных правовых актов.
- Ошибки при категорировании объектов критической информационной инфраструктуры
1. Ошибки при выборе объектов критической информационной структуры (КИИ) и оценке влияния на их функционирование возможных компьютерных атак:
• не учитываются угрозы, реализуемые внешним нарушителем;
• не учитываются связи объектов с внешними информационно-телекоммуникационными сетями. Например, если АСУ ТП подключена к корпоративной ИС, имеющей выход в Интернет, то, по мнению ФСТЭК России, необходимо считать, что к сети Интернет подключена и АСУ ТП;
• рассматриваются не все возможные сценарии потенциально возможных атак;
• не учитывается замедление автоматизируемого процесса вследствие реализации возможных атак. ФСТЭК России считает, что максимальный ущерб может возникнуть не от прекращения функционирования ИС (АСУ ТП), а от неправильной (нештатной) её работы;
• не учитывается взаимная зависимость одного значимого объекта КИИ (ЗОКИИ) (процесса) от другого ЗОКИИ (процесса), что особенно характерно для банковских ИС. Такая же зависимость может быть обусловлена в случае выхода из строя ЦОД, в котором размещены несколько различных ЗОКИИ, в том числе разных субъектов;
• ошибки при объединении объектов КИИ (в случае, если однотипные объекты КИИ выполняют один процесс и имеют связь между собой, они могут быть объединены в один объект. В противном случае объединение не допускается).
2. Неправильно определяются показатели значимости, установленные постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127 «Об утверждении правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений».
В первую очередь к проблемным относятся следующие показатели:
• социальный (№ 1 - Причинение ущерба жизни и здоровью);
• экономический (№ 8 - Ущерб субъекту и №9 - Ущерб бюджетам) – необходимо учитывать ущерб, причиняемый и региональным, и федеральному бюджетам. Кроме того, необходимо обязательно указывать, от чего может возникнуть ущерб;
• экологический (№ 11 - Воздействие на окружающую среду);
• обеспечение обороны и безопасности (№ 13 – государственный оборонный заказ).
3. Ошибки в сведениях, предоставляемых субъектами КИИ во ФСТЭК России в соответствии с приказом ФСТЭК России от 22 декабря 2017 г. № 236 «Об утверждении формы направления сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий»,
в том числе:
• занижение категории значимости объектов КИИ;
• игнорирование сроков категорирования объектов КИИ, установленных Федеральным законом от 26 июля 2017 г. № 187-ФЗ и постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127;
• учёт не всех объектов КИИ, находящихся в ведении субъекта;
• не рассматривается возможность реализации компьютерных инцидентов;
• привлечение к категорированию объектов КИИ сторонних организаций, некомпетентных в вопросах осуществления функционирования объектов КИИ субъекта;
• некорректные обоснования незначимости разных по назначению и характеристикам объектов КИИ (подготовка обоснований «под копирку»);
• в представляемых сведениях необходимо заполнять все графы таблицы формы направления сведений, при этом указывая причину, по которой неактуален для конкретного ЗОКИИ тот или иной параметр, обозначенный в таблице.
- Проблемные вопросы при создании системы безопасности ЗОКИИ (создание системы безопасности ЗОКИИ регламентируется приказами ФСТЭК России от 21.12.2017 г. № 235 и от 25.12.2017 г. № 239)
1. Ошибки при создании системы безопасности ЗОКИИ:
• обязанности по обеспечению безопасности ЗОКИИ возлагаются на непрофильных должностных лиц;
• фактически разработаны документы только по пропускному режиму;
• не организовано взаимодействие различных подразделений субъекта в целях обеспечения комплексного и согласованного подхода к обеспечению безопасности ЗОКИИ.
ФСТЭК России разъясняет, что действующими нормативными актами (см. п. 10 Требований, утвержденных приказом ФСТЭК России от 21 декабря 2017 г. № 235) на владельца ЗОКИИ не возлагается обязанность создания специального штатного подразделения по защите ЗОКИИ. Руководитель субъекта КИИ самостоятельно принимает решение о возложении функций такого подразделения на одно из структурных подразделений или о назначении отдельных работников, ответственных за обеспечение безопасности значимых объектов.
2. Ужесточение требований к силам обеспечения безопасности
ФСТЭК России обратила внимание на необходимость подготовки к выполнению новых квалификационных требований к сотрудникам сил обеспечения безопасности ЗОКИИ (требования установлены приказом ФСТЭК России от 27 марта 2019 г. № 64), которые вступают в силу с 1 января 2021 г.
Требования к руководителю структурного подразделения по безопасности:
• высшее профессиональное образование
- по направлению подготовки в области информационной безопасности;
- иное высшее профессиональное образование и обучение по программе профессиональной переподготовки по направлению "Информационная безопасность" (не менее 360 часов)
• наличие стажа работы в сфере информационной безопасности не менее 3 лет.
Требования к штатным работникам структурного подразделения по безопасности:
• высшее профессиональное образование:
- по направлению подготовки в области информационной безопасности;
- иное высшее профессиональное образование и прохождение обучения по программе повышения квалификации по направлению "Информационная безопасность" (не менее 72 часов).
Общее требование к персоналу:
прохождение не реже одного раза в 5 лет обучения по программам повышения квалификации по направлению «Информационная безопасность».
В соответствии с приказом ФСТЭК России от 20 февраля 2020 г. № 35 (в настоящее время не опубликован и находится на регистрации в Минюсте России) в приказ ФСТЭК России от 25 декабря 2017 г. N 239 вносятся новые требования по обеспечению безопасности значимых объектов, вступающие в силу с 1 января 2023 г., к которым относятся:
• требования к проведению испытаний и приемки несертифицированных СЗИ;
• требования к уровню доверия ПО несертифицированных СЗИ;
• требования по безопасности к ПО, реализующему функции значимого объекта КИИ по назначению;
• допускается удаленный доступ к значимым объектам КИИ при условии выполнения организационных и технических мер по обеспечению его безопасности.
3. Государственный контроль ЗОКИИ
В 2020 году ФСТЭК России планирует комплекс выездных проверок субъектов КИИ. Процедура проведения проверок регламентируется:
• постановлением Правительства РФ от 17 февраля 2018 г. № 162 «Об утверждении правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»;
• приказом ФСТЭК России от 11 декабря 2017 г. № 229 «Об утверждении формы акта проверки, составляемого по итогам проведения государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».