02.10.2020
Булаев Михаил Александрович, ведущий консультант-аналитик
ФСТЭК России, несмотря на некоторое затишье, связанное с летними отпусками и ограничениями из-за продолжающейся эпидемии коронавируса, выпустила ряд уточнений к действующим требованиям по обеспечению безопасности объектов КИИ. Эти уточнения связаны с детализацией некоторых ранее действующих положений и вводят новые и достаточно существенные ограничения.
Оценка текущего состояния процесса категорирования объектов КИИ, реализации мер их защиты и разъяснение новых требований были сделаны представителями ФСТЭК России на состоявшейся 17 сентября 2020 года онлайн-конференции "Кибербезопасность АСУ ТП критически важных объектов" и на XIX Всероссийском ежегодном форуме "Информационная безопасность. Регулирование. Технологии. Практика. ИнфоБЕРЕГ", проведенном 22 - 25 сентября 2020 года в Республике Крым.
Новые требования введены в действие следующими нормативными актами ФСТЭК России:
- Приказом ФСТЭК России от 20.02.2020 №35 "О внесении изменений в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017г. №239" (Зарегистрирован Минюстом России 11.09.2020 №59793).
- Приказом ФСТЭК России от 28.05.2020 №75 "Об утверждении Порядка согласования субъектом критической информационной инфраструктуры Российской Федерации с Федеральной службой по техническому и экспортному контролю подключения значимого объекта критической информационной инфраструктуры Российской Федерации к сети связи общего пользования" (Зарегистрирован Минюстом России 15.09.2020 №59866).
Краткий обзор проблемных вопросов категорирования объектов КИИ
Регулятор обращает внимание на то, что в предоставляемых субъектами сведениях о результатах присвоения объектам КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий содержатся многочисленные ошибки. По информации ФСТЭК России, из-за таких ошибок до 40% сведений, предоставляемых регулятору на рассмотрение, возвращаются на доработку.
К подобным ошибкам регулятор относит:
• игнорирование сроков выполнения категорирования, установленных действующей редакцией постановления Правительства РФ от 8 февраля 2018г. №127;
• сокрытие объектов КИИ;
• занижение потенциала нарушителя, способного совершать атаки на объекты КИИ;
• занижение категории значимости объектов КИИ;
• привлечение к категорированию сторонних (некомпетентных) организаций;
• исключение из состава объектов КИИ ERP-систем, используемых для управления производством, логистикой, реализацией товаров и услуг;
• некорректное использование данных, приводимых в декларациях промышленной безопасности объектов;
• ошибки, связанные с объединением объектов КИИ. Например, регулятор считает возможным объединение в один объект нескольких станков с ЧПУ, установленных в одном цехе и выполняющих сходные функции.
Проблемные вопросы реализации мер защиты значимых объектов КИИ
Проведенный регулятором анализ практической реализации мер защиты значимых объектов КИИ выявил следующие проблемы/недоработки:
• ответственными за безопасность ОКИИ назначаются должностные лица низкого уровня, не наделенные необходимыми полномочиями;
• реализация мер защиты ОКИИ возлагается на непрофильные подразделения субъекта КИИ;
• не разрабатывается необходимая организационно-распорядительная документация, регламентирующая порядок реализации мер защиты и разделение ответственности;
• не реализуются меры по информированию персонала о мерах обеспечения безопасности ОКИИ и его ответственности за их реализацию;
• многие значимые объекты КИИ эксплуатируются множеством организаций, нет разделения ответственности и полномочий между ними;
• применение средств защиты информации, не прошедших оценку соответствия;
• рассматриваются не все возможные сценарии атак, не рассматриваются угрозы со стороны внешнего нарушителя;
• применение импортного ПО и оборудования;
• осуществляется связь объектов с внешними телекоммуникационными сетями;
• реализация только базового (минимального) набора мер защиты.
Краткий обзор нововведений
- С 1 января 2021 года вступают в силу новые требования к образованию и квалификации специалистов по безопасности значимых объектов КИИ, установленные приказом ФСТЭК России 27 марта 2019г. №64 "О внесении изменений в Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 21 декабря 2017г. №235", которые предусматривают:
• наличие у руководителя структурного подразделения по безопасности высшего профессионального образования по направлению подготовки (специальности) в области информационной безопасности или иного высшего профессионального образования и документа, подтверждающего прохождение обучения по программе профессиональной переподготовки по направлению "Информационная безопасность" (со сроком обучения не менее 360 часов), наличие стажа работы в сфере информационной безопасности не менее 3 лет;
• наличие у штатных работников структурного подразделения по безопасности, штатных специалистов по безопасности высшего профессионального образования по направлению подготовки (специальности) в области информационной безопасности или иного высшего профессионального образования и документа, подтверждающего прохождение обучения по программе повышения квалификации по направлению "Информационная безопасность" (со сроком обучения не менее 72 часов);
• прохождение не реже одного раза в 5 лет обучения по программам повышения квалификации по направлению "Информационная безопасность".
- Существенные изменения внесены приказом ФСТЭК России от 20.02.2020 №35 в "Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации", утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017г. № 239.
К ним относятся следующие нововведения:
• определены признаки модернизации значимых объектов КИИ, в случае проведения которой требуется проведение в полном объеме мероприятий по обеспечению безопасности значимых объектов КИИ;
• определен состав возможных компенсирующих мер по обеспечению безопасности при использовании на значимых объектах новых информационных технологий и выявлению дополнительных угроз, для которых не определены меры по обеспечению безопасности.;
• установлены требования по безопасности к программным и программно-аппаратным средствам, применяемым для обеспечения безопасности значимых объектов. Эти требования устанавливают необходимость для невстроенных в общесистемное и прикладное ПО средств защиты информации, оценка соответствия которых проводится в форме испытаний и приемки, проведения дополнительных испытаний на соответствие одному из 6-ти уровней доверия, установленных приказом ФСТЭК России от 30 июля 2018г. №131. Это требование вступает в силу с 1 января 2023г. Требования по безопасности могут проверяться самостоятельно или с привлечением лицензиатов ФСТЭК России;
• с 1 января 2023г. введены новые требования к специальному прикладному ПО, обеспечивающему выполнение функций ЗО КИИ по назначению. Эти требования включают:
- требования по обеспечению безопасной разработки ПО;
- требования к испытаниям по выявлению уязвимостей в ПО;
- требования к поддержке безопасности ПО.
Требования к специальному прикладному ПО могут проверяться субъектом самостоятельно или с привлечением лицензиатов ФСТЭК России, а также интегратором на этапе проектирования значимых объектов КИИ;
• смягчены требования по удаленному взаимодействию значимых объектов;
• введены условия допущения удаленного доступа к значимым объектам;
• установлен запрет для значимых объектов 2-й категории значимости на размещение программных и программно-аппаратных средств, осуществляющих хранение и обработку информации, вне территории Российской Федерации.
Необходимо отметить, что вводимые с 1 января 2023г. новые требования будет весьма сложно выполнить на практике. Поэтому регулятор в зависимости от реальных проблем с их реализацией предусматривает ближе к обозначенному сроку возможность корректировки этих требований в сторону смягчения или продления срока их реализации.
- В соответствии с приказом ФСТЭК России от 28.05.2020 №75 установлен порядок согласования субъектом КИИ со ФСТЭК России подключения значимого объекта КИИ к сети связи общего пользования.
Этот порядок предусматривает:
• необходимость согласования подключения создаваемого значимого объекта до ввода его в действие;
• в случае, если значимый объект на момент его включения в реестр значимых объектов КИИ был подключен к сети связи общего пользования, согласование подключения со ФСТЭК России не требуется;
• типовую форму запроса на согласование подключения;
• ФСТЭК России на основе представленных субъектом КИИ сведений оценивает достаточность применяемых при подключении средств защиты;
• решение о согласовании либо об отказе в согласовании подключения значимого объекта к сети связи общего пользования принимается в течение 20 рабочих дней со дня поступления во ФСТЭК России соответствующих сведений.