Контакты Скачать
  • Главная
  • Компания
  • История
  • Акционерам и инвесторам
  • Регалии
  • Лицензии и сертификаты
  • Партнеры
  • Руководство
  • Проектный опыт
  • Отзывы заказчиков
  • Пресс-центр
  • Карьера
  • Продукты
  • БДМ
  • ЗАСТАВА
  • ПО ElvisSIM.OS
  • Продукты других производителей
  • Услуги и решения
  • Соответствие требованиям
  • Аудит ИБ
  • Облака и виртуализация
  • Управление ИБ
  • Управление доступом
  • Сетевая безопасность
  • Защита приложений
  • Поддержка и аутсорсинг
  • Защита АСУТП
  • Защита ГИС
  • Защита от вредоносного кода, спама и контроль трафика
  • Центр компетенции
  • FAQ
  • Экспертный совет
  • Комментарии экспертов
  • Материалы мероприятий
  • Информаториум
  • Видео и скринкасты
  • Новости
  • Мероприятия
  • Календарь мероприятий
  • Партнерам
  • Архив мероприятий
  • Обзор текущих проблем категорирования и защиты объектов КИИ и изменений нормативной базы в области обеспечения безопасности объектов КИИ

    02.10.2020
    Булаев Михаил Александрович, ведущий консультант-аналитик

    ФСТЭК России, несмотря на некоторое затишье, связанное с летними отпусками и ограничениями из-за продолжающейся эпидемии коронавируса, выпустила ряд уточнений к действующим требованиям по обеспечению безопасности объектов КИИ. Эти уточнения связаны с детализацией некоторых ранее действующих положений и вводят новые и достаточно существенные ограничения.

    Оценка текущего состояния процесса категорирования объектов КИИ, реализации мер их защиты и разъяснение новых требований были сделаны представителями ФСТЭК России на состоявшейся 17 сентября 2020 года онлайн-конференции "Кибербезопасность АСУ ТП критически важных объектов" и на XIX Всероссийском ежегодном форуме "Информационная безопасность. Регулирование. Технологии. Практика. ИнфоБЕРЕГ", проведенном 22 - 25 сентября 2020 года в Республике Крым.

    Новые требования введены в действие следующими нормативными актами ФСТЭК России:

    • Приказом ФСТЭК России от 20.02.2020 №35 "О внесении изменений в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017г. №239" (Зарегистрирован Минюстом России 11.09.2020 №59793).
    • Приказом ФСТЭК России от 28.05.2020 №75 "Об утверждении Порядка согласования субъектом критической информационной инфраструктуры Российской Федерации с Федеральной службой по техническому и экспортному контролю подключения значимого объекта критической информационной инфраструктуры Российской Федерации к сети связи общего пользования" (Зарегистрирован Минюстом России 15.09.2020 №59866).

    Краткий обзор проблемных вопросов категорирования объектов КИИ

    Регулятор обращает внимание на то, что в предоставляемых субъектами сведениях о результатах присвоения объектам КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий содержатся многочисленные ошибки. По информации ФСТЭК России, из-за таких ошибок до 40% сведений, предоставляемых регулятору на рассмотрение, возвращаются на доработку.

    К подобным ошибкам регулятор относит:
           • игнорирование сроков выполнения категорирования, установленных действующей редакцией постановления Правительства РФ от 8 февраля 2018г. №127;
           • сокрытие объектов КИИ;
           • занижение потенциала нарушителя, способного совершать атаки на объекты КИИ;
           • занижение категории значимости объектов КИИ;
           • привлечение к категорированию сторонних (некомпетентных) организаций;
           • исключение из состава объектов КИИ ERP-систем, используемых для управления производством, логистикой, реализацией товаров и услуг;
           • некорректное использование данных, приводимых в декларациях промышленной безопасности объектов;
           • ошибки, связанные с объединением объектов КИИ. Например, регулятор считает возможным объединение в один объект нескольких станков с ЧПУ, установленных в одном цехе и выполняющих сходные функции.

    Проблемные вопросы реализации мер защиты значимых объектов КИИ

    Проведенный регулятором анализ практической реализации мер защиты значимых объектов КИИ выявил следующие проблемы/недоработки:
           • ответственными за безопасность ОКИИ назначаются должностные лица низкого уровня, не наделенные необходимыми полномочиями;
           • реализация мер защиты ОКИИ возлагается на непрофильные подразделения субъекта КИИ;
           • не разрабатывается необходимая организационно-распорядительная документация, регламентирующая порядок реализации мер защиты и разделение ответственности;
           • не реализуются меры по информированию персонала о мерах обеспечения безопасности ОКИИ и его ответственности за их реализацию;
           • многие значимые объекты КИИ эксплуатируются множеством организаций, нет разделения ответственности и полномочий между ними;
           • применение средств защиты информации, не прошедших оценку соответствия;
           • рассматриваются не все возможные сценарии атак, не рассматриваются угрозы со стороны внешнего нарушителя;
           • применение импортного ПО и оборудования;
           • осуществляется связь объектов с внешними телекоммуникационными сетями;
           • реализация только базового (минимального) набора мер защиты.

    Краткий обзор нововведений

    • С 1 января 2021 года вступают в силу новые требования к образованию и квалификации специалистов по безопасности значимых объектов КИИ, установленные приказом ФСТЭК России 27 марта 2019г. №64 "О внесении изменений в Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 21 декабря 2017г. №235", которые предусматривают:
           • наличие у руководителя структурного подразделения по безопасности высшего профессионального образования по направлению подготовки (специальности) в области информационной безопасности или иного высшего профессионального образования и документа, подтверждающего прохождение обучения по программе профессиональной переподготовки по направлению "Информационная безопасность" (со сроком обучения не менее 360 часов), наличие стажа работы в сфере информационной безопасности не менее 3 лет;
           • наличие у штатных работников структурного подразделения по безопасности, штатных специалистов по безопасности высшего профессионального образования по направлению подготовки (специальности) в области информационной безопасности или иного высшего профессионального образования и документа, подтверждающего прохождение обучения по программе повышения квалификации по направлению "Информационная безопасность" (со сроком обучения не менее 72 часов);
           • прохождение не реже одного раза в 5 лет обучения по программам повышения квалификации по направлению "Информационная безопасность".

    • Существенные изменения внесены приказом ФСТЭК России от 20.02.2020 №35 в "Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации", утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017г. № 239.
    К ним относятся следующие нововведения:
           • определены признаки модернизации значимых объектов КИИ, в случае проведения которой требуется проведение в полном объеме мероприятий по обеспечению безопасности значимых объектов КИИ;
           • определен состав возможных компенсирующих мер по обеспечению безопасности при использовании на значимых объектах новых информационных технологий и выявлению дополнительных угроз, для которых не определены меры по обеспечению безопасности.;
           • установлены требования по безопасности к программным и программно-аппаратным средствам, применяемым для обеспечения безопасности значимых объектов. Эти требования устанавливают необходимость для невстроенных в общесистемное и прикладное ПО средств защиты информации, оценка соответствия которых проводится в форме испытаний и приемки, проведения дополнительных испытаний на соответствие одному из 6-ти уровней доверия, установленных приказом ФСТЭК России от 30 июля 2018г. №131. Это требование вступает в силу с 1 января 2023г. Требования по безопасности могут проверяться самостоятельно или с привлечением лицензиатов ФСТЭК России;
           • с 1 января 2023г. введены новые требования к специальному прикладному ПО, обеспечивающему выполнение функций ЗО КИИ по назначению. Эти требования включают:
               - требования по обеспечению безопасной разработки ПО;
               - требования к испытаниям по выявлению уязвимостей в ПО;
               - требования к поддержке безопасности ПО.
    Требования к специальному прикладному ПО могут проверяться субъектом самостоятельно или с привлечением лицензиатов ФСТЭК России, а также интегратором на этапе проектирования значимых объектов КИИ;
           • смягчены требования по удаленному взаимодействию значимых объектов;
           • введены условия допущения удаленного доступа к значимым объектам;
           • установлен запрет для значимых объектов 2-й категории значимости на размещение программных и программно-аппаратных средств, осуществляющих хранение и обработку информации, вне территории Российской Федерации.

    Необходимо отметить, что вводимые с 1 января 2023г. новые требования будет весьма сложно выполнить на практике. Поэтому регулятор в зависимости от реальных проблем с их реализацией предусматривает ближе к обозначенному сроку возможность корректировки этих требований в сторону смягчения или продления срока их реализации.
    • В соответствии с приказом ФСТЭК России от 28.05.2020 №75 установлен порядок согласования субъектом КИИ со ФСТЭК России подключения значимого объекта КИИ к сети связи общего пользования.
    Этот порядок предусматривает:
           • необходимость согласования подключения создаваемого значимого объекта до ввода его в действие;
           • в случае, если значимый объект на момент его включения в реестр значимых объектов КИИ был подключен к сети связи общего пользования, согласование подключения со ФСТЭК России не требуется;
           • типовую форму запроса на согласование подключения;
           • ФСТЭК России на основе представленных субъектом КИИ сведений оценивает достаточность применяемых при подключении средств защиты;
           • решение о согласовании либо об отказе в согласовании подключения значимого объекта к сети связи общего пользования принимается в течение 20 рабочих дней со дня поступления во ФСТЭК России соответствующих сведений.

    Возврат к списку