22 января 2018
О требованиях по безопасности значимых объектов критической информационной инфраструктуры
На федеральном портале проектов нормативных правовых актов в середине декабря появились два важных документа по теме обеспечения безопасности критической информационной инфраструктуры (КИИ): «Об утверждении требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования» и «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
Документы раскрывают положения утвержденного Закона «О безопасности критической информационной инфраструктуры Российской Федерации» и действуют только на объекты КИИ, которые после проведения процедуры категорирования признаются значимыми.
Требования к созданию систем безопасности значимых объектов КИИ
Система безопасности значимого объекта определяется как совокупность сил, обеспечивающих безопасность объекта, и используемые для этого средства защиты. Требования по созданию систем разделяются на четыре категории:
- требования к персоналу, обеспечивающему безопасность значимых объектов (включая возлагаемые на него функции и требования по квалификации сотрудников), и подразделениям, эксплуатирующим данные объекты;
- требования к используемым для обеспечения безопасности значимого объекта программным и программно-аппаратным средствам защиты информации;
- требования к организации работ по обеспечению безопасности значимых объектов (планирование и контроль выполнения мероприятий по безопасности).
- требования к организационно-распорядительной документации, которая регламентирует обеспечение безопасности значимого объекта.
Системы безопасности создаются для всех значимых объектов, принадлежащих субъекту (на его усмотрение оставлена возможность создания одной системы безопасности для нескольких значимых объектов).
Также в документе стоит выделить следующие положения:
- требование по наличию подразделения или отдельного штатного сотрудника, ответственного за обеспечение безопасности КИИ;
- возможность использования средств защиты, прошедших процедуру оценки соответствия в форме отличной от сертификации (в случае если это требование для объекта не установлено другими нормативными актами, такими как 21 приказ ФСТЭК для государственных информационных систем);
- необходимость ежегодного проведения аудита на соответствие требованиям по безопасности значимых объектов.
Требования по обеспечению безопасности значимых объектов КИИ
Документ с требованиями по обеспечению безопасности схож по своей структуре с 31 приказом ФСТЭК и устанавливает перечень мероприятий, которые должны быть проведены на всех этапах жизненного цикла значимого объекта, включая:
- формирование технического задания на создание системы безопасности;
- моделирование угроз безопасности и проектирование системы защиты;
- внедрение средств защиты информации и организационных мер обеспечения безопасности;
- анализ уязвимостей системы безопасности объекта;
- обеспечение безопасности объекта в ходе эксплуатации и при выводе из нее.
В приложении к документу приведен состав мер по обеспечению безопасности объекта для каждой из трех категорий значимости (представленный в виде таблицы, как в приказах ФСТЭК № 17,21,31). Состав мер используется при проектировании системы защиты.
В документе стоит выделить следующие положения:
- возможность для нескольких однотипных объектов формировать общую модель угроз. Это важный момент, так как каждая информационная или технологическая система субъекта КИИ является отдельным объектом и для нее требуется определение актуальных угроз безопасности;
- детализирован перечень методов проведения анализа защищенности объекта, включающий использование средств анализа уязвимостей, инвентаризации программного обеспечения, тестирования на проникновение.
- по итогу внедрения системы защиты должны отсутствовать уязвимости из базы уязвимостей ФСТЭК .
Стоит отметить, что на данный момент не понятна судьба 31 приказа ФСТЭК. С большой долей вероятности новые нормативные документы полностью заменят существующий приказ, но официальной информации на сегодняшний день нет.
Отнесение к государственной тайне
На данный момент остается открытым вопрос о необходимости субъекту относить информацию о мерах по обеспечению безопасности его значимых объектов к сведениям, составляющим государственную тайну.
Согласно изменениям в законе о Государственной тайне, вступившим в силу 1 января 2018 года, к такой информации относятся сведения «о мерах по обеспечению безопасности критической информационной инфраструктуры Российской Федерации и о состоянии ее защищенности от компьютерных атак».
В документе, определяющем порядок категорирования объектов, появилась следующая формулировка: «Совокупные сведения об объектах критической информационной инфраструктуры, включенные в реестр значимых объектов, подлежат защите в соответствии с законодательством Российской Федерации о государственной тайне».
Значит ли это, что под сведения, относящиеся к государственной тайне подпадает только совокупная информация по всем объектам КИИ, хранящаяся в реестре ФСТЭК (но не информация о каждом объекте в отдельности), однозначно сейчас сказать нельзя.
Георгий Морозов
Менеджер по сопровождению корпоративных клиентов, Акрибия
Менеджер по сопровождению корпоративных клиентов, Акрибия
Другие публикации по теме