CC BY
488О БЕЗОПАСНОСТИ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ РОССИЙСКОЙ
ФЕДЕРАЦИИ
ABOUT SECURITY OF CRITICAL INFORMATION INFRASTRUCTURE OF THE RUSSIAN FEDERATION
УДК-004
Горелик Владимир Юдаевич
Профессор, доктор технических наук кафедры «Системы управления транспортной инфраструктурой» «Российский университет транспорта (МИИТ)», РФ, г. Москва Безус Михаил Юрьевич
Магистрант второго курса, кафедры «Железнодорожная автоматика, телемеханика и связь», «Российский университет транспорта (МИИТ)», РФ, г. Москва
Gorelik Vladimir Yudaevich
mikhailbezys@mail.ru Bezus Mikhail Iurevich
Аннотация
В предлагаемой статье рассматриваются основные понятия в сфере обеспечения безопасности критической информационной инфраструктуры (КИИ). Определены основные мероприятия, которые необходимо выполнять предприятиям (организациям) по соблюдению предписаний федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». В свете последних событий как в России, так и в мире в целом нельзя не отметить реальную опасность киберугроз. Экспоненциальный рост целенаправленных атак на КИИ России не мог оставаться не замеченным.
Annotation
The paper considers the main concepts in the field of security of critical information infrastructure. The main activities that need to be performed by enterprises (organizations) compliance with the requirements of Federal law No. 187-FZ of 26.07.2017 «About Security of Critical Information Infrastructure of the Russian Federation». In the light of recent events both in Russia and in the world as a whole, it is impossible not to note the real danger of cyber threats. The exponential growth of targeted attacks on Russia's CII could not go unnoticed
Ключевые слова: критическая информационная инфраструктура (КИИ), субъект КИИ, объект КИИ, категорирование объектов КИИ, киберугроза. Keywords: Critical Information Infrastructure (of the Russian Federation) (CII), subject of critical information infrastructure, object of critical information infrastructure, categorization of objects of KII, cyber threats.
В свете последних событий как в России, так и в мире в целом нельзя не отметить реальную опасность киберугроз. Экспоненциальный рост целенаправленных атак на КИИ России не мог оставаться не замеченным [1]. Поэтому последние годы в Российской Федерации можно наблюдать существенную доработку нормативно-правовой базы в сфере кибербезопасности и адаптацию к современным требованиям цифровизации общества. В первую очередь это связанно с развитием информационных технологий и стремительным проникновением их во все сферы жизнедеятельности как человека в отдельности, так и государства в целом. Возможности современных технологий киберпространства при всех неоспоримых плюсах имеют и минусы. Все, что подчиняется электронным командам, оказалось перед риском внедрения вирусного кода. Сегодня от электронных машин зависит жизнь либо судьба человека. Масштабность, целенаправленность, подготовка кибератак такова, что уже выходит за рамки рядовых преступлений, целясь на стратегически значимые для государства объекты, вывод которых из строя сопоставим с террористическим актом, последствия которого можно только предполагать. Динамика и серьезность угроз, исходящих от глобального цифрового пространства, требуют незамедлительных решений и комплекса противодействующих мер, закрепленных законодательно. К сожалению, политические разногласия не позволяют реализовать правовое поле на международном уровне, что ведет к отсутствию национального сотрудничества и росту киберрисков в мировых масштабах.
Одним из направлений информационной безопасности активно развивающимся в последние годы в России, является безопасность критических информационных инфраструктур.
Согласно федеральному закону от 26.07.2017 №2 187-ФЗ (полное название закона см. далее) [2], к КИИ относятся объекты КИИ и сети электросвязи, которые используются для осуществления взаимосвязи таких объектов, нарушение работы которых приведет к неблагоприятным последствиям. В этом случае кибератака трактуется как целенаправленное вредоносное влияние на объекты КИИ с целью нарушения или остановки их деятельности. В свою очередь компьютерный инцидент трактуется как факт
препятствования или остановки функционирования объекта КИИ и/или нарушения безопасности данных, которые обрабатываются данным объектом. Отсюда вытекает следующее определение объекта КИИ. Под последним подразумеваются информационные и информационно-
телекоммуникационные, а также автоматизированные системы управления, которые относятся к субъектам КИИ.
Исходя из двух данных определений можно сделать вывод, что к КИИ относится информация, которая хранится в технических средствах обработки данной информации, базах данных, системах, которые предназначены для передачи данных по линиям связи, и сами сети электросвязи.
Необходимо отметить, что к субъектам КИИ относятся государственные учреждения и органы, юридические лица и индивидуальные предприниматели, которые владеют объектами КИИ. Обязательным условием выступает ведение деятельности субъекта в одной из следующих отраслей:
• здравоохранение;
• наука;
• транспорт;
• связь;
• энергетика;
• банковская сфера и иные финансовые сферы;
• топливно-энергетический комплекс;
• область атомной энергии;
• оборонная промышленность;
• ракетно-космическая промышленность;
• горнодобывающая промышленность;
• металлургическая промышленность;
• химическая промышленность;
• юридически лица и/или ИП, которые осуществляют взаимосвязь и взаимодействие данных отраслей и систем.
Таким образом, необходимо заключить, что предприятия различного типа, осуществляющие свою деятельность в одной из данных сфер, к которой принадлежит объект КИИ, являются субъектом КИИ. Однако к субъектам КИИ относятся не только организации, осуществляющие прямую деятельность в данных сферах, но и предприятия, которые имеют разрешительные документы на ведение деятельности в данных сферах. Также к данным субъектам относятся фирмы, в уставных документах которых прописан вид деятельности, подпадающий под приведенный перечень сфер.
В случае если организация выступает субъектом КИИ, то ее система защиты данных подпадает под действие федерального закона №187 (полное название закона см. далее) и ей необходимо провести ряд мероприятий для приведения системы защиты информации в соответствие с нормативно-правовыми документами.
Также нужно обозначить, что ФСТЭК выступает в качестве федерального органа исполнительной власти, который уполномочен в сфере обеспечения безопасности КИИ России. ФСБ выполняет обязанности соответствующего органа, который уполномочен в сфере осуществления функционирования государственной системы выявления, предупреждения и устранения последствий кибератак на информационные ресурсы РФ (ГосСОПКА).
В 2018 году был создан НКЦКИ - Национальный координационный центр по компьютерным инцидентам [3], аналог Computer Emergency Response Team, Computer Security Incident Response Team, либо Security Operation Center, который организует деятельность субъектов КИИ и является частью мер, которые предназначены для выявления, предупреждения и устранения последствий кибератак и принятия мер в связи с компьютерными инцидентами. Техническая инфраструктура НКЦКИ используется для функционирования системы ГосСОПКА.
Следует отметить, что общий функционал работы складывается таким образом: информация по произошедшему компьютерному инциденту в объеме, который соответствует положениям Приказа ФСБ РФ № 367 (полное название закона см. далее), должна быть передана субъектом КИИ в систему ГосСОПКА не позднее чем через 24 часа с момента выявления кибератаки или компьютерного инцидента. При этом прослеживается тенденция перехода к автоматизированной отправке данных.
Следующим этапом стало подписание Постановления Правительства РФ от 8 февраля 2018 г. №127 (полное название закона см. далее) [4]. В этих документах описаны конкретные требования для субъектов КИИ по проведению категоризации соответствующих объектов, которые попадают в их зону ответственности.
Также данные правовые акты определяют перечень факторов значимости объектов КИИ - квантитативных показателей для правильного понимания, к какой категории значимости они принадлежат. Критерий значимости данного объекта принимает одно из трех значений (высшая категория - первая) и зависит от квантитативных показателей значения этого объекта в политической, оборонной, социальной и экономической сферах.
Во исполнение законодательства первым делом необходимо издать приказ руководителя предприятия о создании внутренней комиссии для проведения процедуры категорирования. В данном приказе определяется состав членов комиссии. Рекомендуется в данный состав комиссии включить наиболее подготовленных сотрудников, которые лучше всего знают предприятие и все его производственные процессы. Компетенция сотрудников должна позволять им определять все процессы и выделить из них все, нарушение которых приведет к нарушению функционирования предприятия.
Далее данная комиссия собирает все данные о предприятии и всех процессах, протекающих на предприятии. На основании полученной информации комиссия принимает решение о наличии объектов КИИ. Затем руководствуясь Постановлением от 08.02.2018 года №127, выделяет объекты КИИ, которые подлежат подведению под определенную категорию. Категория приписывается исходя из факторов значимости:
• социальная;
• политическая;
• экономическая;
• экологическая;
• значимость для реализации безопасности государства, обороны страны и обеспечения правопорядка.
После того, как был утвержден перечень объектов КИИ, подлежащих категорированию, субъект должен в течение пяти дней сообщить об этом в органы ФСТЭК. После этого у субъекта есть один год на проведение данной процедуры. После ее проведения, если объект КИИ не попадает ни под одну категорию значимости, то у субъекта отсутствует необходимость присваивать категорию значимости. Но при этом компания в любом случае останется субъектом КИИ.
После завершения данной процедуры комиссия оформляет специальный акт категорирования соответствующего объекта. Данный акт подписывают члены комиссии и утверждает руководитель предприятия. В акте отражаются все собранные сведения об объекте КИИ, и его хранение осуществляется вплоть до составления очередного акта. После подписания и утверждения акта, результаты процедуры отправляются во ФСТЭК в течение десяти дней. Этот набор сведений утвержден приказом ФСТЭК России от 22.12.2017 №2 236 (полное название закона см. далее).
В течение тридцати дней ФСТЭК проверяет полученные данные, порядок и правильность проведения категорирования. В случае соблюдения
правильности процедуры ФСТЭК вносит объект КИИ в реестр значимых объектов и в течение десяти дней отправляет уведомление субъекту КИИ.
В заключение субъект КИИ должен обеспечить выполнение требований по защите объекта. Данный момент является самым дорогостоящим и трудоемким процессом. На данном этапе разрабатываются:
• организационно-распорядительные документы;
• техническое задание на создание системы безопасности;
• технические и организационные мероприятия;
• ввод действие системы обеспечения безопасности.
Требования, необходимые для обеспечения безопасности объектов КИИ, утверждены приказом ФСТЭК России от 25.12.2017 №239 (полное название закона см. далее) [5].
После создания системы обеспечения безопасности предприятию необходимо организовать взаимодействие с органами ГосСОПКА. Также необходимо поддерживать систему обеспечения в актуальном состоянии, производить анализ существующей системы защиты, а учитывая возникающие принципиально новые типы угроз и повышенный интерес к объектам работать на предотвращение угроз.
Согласно Указу Президента РФ от 25.11.2017 г. №569 (полное название закона см. далее), федеральным органом исполнительной власти (ФОИВ), который уполномочен в сфере обеспечения безопасности КИИ, выступает ФСТЭК. Именно этот орган будет осуществлять государственный контроль в этой области в виде проверок (плановых и внеплановых) с составлением последующего предписания при выявлении нарушений.
Плановые проверки проводятся:
• по истечении 3-х лет с внесения сведений об объекте КИИ в реестр;
• по истечении 3-х лет с последней плановой проверки.
Внеплановые проверки:
• по истечении срока выполнения предписания об устранении выявленного нарушения;
• при обнаружении компьютерного инцидента, в результате которого возникли негативные последствия;
• по поручению государственных органов: Правительства, Президента или требованию прокуратуры.
Если будут выявлены нарушения требований законодательства в сфере обеспечения безопасности КИИ, выписывается предписание со сроками устранения нарушений. Данные сроки возможно перенести в случае наличия веских причин.
Согласно Федеральному закону от 26.07.2017 N° 194-ФЗ (полное название закона см. далее), максимальная мера наказания за нарушения норм безопасности соответствующей информации составляет лишение свободы до 10 лет.
На сегодняшний день можно перечислить следующие актуальные нормативные документы, относящиеся к КИИ:
Указ Президента Российской Федерации от 15.01.2013 г. № 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации»;
Указ Президента Российской Федерации от 22.12.2017 г. № 620 «О совершенствовании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации»;
Положение о лицензировании деятельности по технической защите конфиденциальной информации, утвержденное постановлением Правительства Российской Федерации от 03.02.2012 г. № 79;
Федеральный закон №187-ФЗ от 26.07.2017 «О безопасности КИИ РФ»;
Федеральный закон №193-Ф3 от 26.07.2017 «О внесении изменений в отдельные законодательные акты РФ в связи с принятием ФЗ «О безопасности КИИ РФ»;
Федеральный закон №194-ФЗ от 26.07.2017 «О внесении изменений в УК РФ и УПК РФ в связи с принятием ФЗ «О безопасности КИИ РФ»;
Указ Президента РФ №569 от 25.11.2017 «О внесении изменений в Положение о ФСТЭК»;
Постановление Правительства РФ №127 от 08.02.2018 «Об утверждении Правил категорирования объектов КИИ РФ, а также перечня показателей критериев значимости объектов КИИ РФ и их значений»;
Постановление Правительства РФ №162 от 17.02.2018 «Об утверждении Правил осуществления госконтроля в области обеспечения безопасности значимых объектов КИИ РФ»;
Постановление Правительства РФ №808 от 11.07.2018 «О внесении изменения в Правила организации повышения квалификации специалистов по ЗИ и должностных лиц, ответственных за организацию ЗИ в ОГВ, ОМС, организациях с госучастием и организациях ОПК»;
Приказ ФСТЭК России №227 от 06.12.2017 «Об утверждении Порядка ведения реестра значимых объектов КИИ РФ»;
Приказ ФСТЭК России №229 от 11.12.2017 «Об утверждении формы акта проверки, составляемого по итогам проведения госконтроля в области обеспечения безопасности значимых объектов КИИ РФ»;
Приказ ФСТЭК России №235 от 21.12.2017 «Об утверждении Требований к созданию систем безопасности значимых объектов КИИ РФ и обеспечению их функционирования»;
Приказ ФСТЭК России №236 от 22.12.2017 «Об утверждении формы направления сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий»;
Приказ ФСТЭК России №239 от 25.12.2017 «Об утверждении Требований по обеспечению безопасности значимых объектов КИИ РФ»;
Приказ ФСТЭК России №72 от 26.04.2018 «О внесении изменений в Регламент ФСТЭК»;
Приказ ФСТЭК России №138 от 09.08.2018 «О внесении изменений в Требования к обеспечению ЗИ в АСУ П и ТП на КВО, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом ФСТЭК №31, и в Требования по обеспечению безопасности ЗО КИИ РФ, утвержденные приказом ФСТЭК №239»;
Приказ ФСБ России №366 от 24.07.2018 «О НКЦКИ»;
Приказ ФСБ России №367 от 24.07.2018 «Об утверждении Перечня информации, представляемой в ГосСОПКА и Порядка представления информации в ГосСОПКА»;
Информационное сообщение ФСТЭК России №9240/22/2339 от 04.05.2018 «О методических документах по вопросам обеспечения безопасности информации в КСИИ РФ»;
Информационное сообщение ФСТЭК России №9240/25/3752 от 24.08.2018 «По вопросам представления перечней объектов КИИ, подлежащих категорированию, и направления сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий»;
УК РФ Статья 274. «Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей»;
УК РФ Статья 274.1. «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации»;
Из всего вышеописанного становится очевидным, что нарушение работы объектов КИИ способствует возникновению серьёзных последствий как для конкретных компаний, так и для государственной безопасности в целом. Из-за этого Правительство предпринимает ряд мер и создает специальные законодательные акты, направленные на обеспечение безопасности КИИ, работает над новыми методическими документами с конкретными требованиями, являющимися уже обязательными, а не рекомендованными.
Появляется практика привлечения к ответственности по ст. 274 УК РФ. Действие федерального закона от 26.07.2017 № 187-ФЗ распространяется на широкий ряд юридических лиц, государственные учреждения и органы, индивидуальных предпринимателей, что создает дополнительную нагрузку на предприятия. Если государственные организации и юридические лица смогут себе позволить увеличение штата, так как выполнение всех предписаний по обеспечению безопасности КИИ требует серьезной подготовки от сотрудника, то для индивидуальных предпринимателей это может создать достаточно значительные затруднения.
Дефицит кадров и отсутствие специалистов необходимого уровня (ability to detect) выводит бизнес к аутсорсингу или аутстаффингу, однако ответственность перед государством несет именно субъект КИИ. В то же время соблюдение этих требований обезопасит работу и увеличит отказоустойчивость автоматизированной системы, уменьшит негативные последствия в случае наступления компьютерного инцидента.
Главным является то, что был сделан очередной шаг по предотвращению угроз кибербезопасности, поскольку сегодняшний хакер уже далеко не беспомощный и относительно безвредный одиночка. Сегодня кибербезопасности угрожает высококвалифицированное, хорошо подготовленное и осведомленное в области информационных технологий преступное киберсообщество, которое в своей преступной деятельности может дойти и до государственных уровней. По данным НКЦКИ [6], число информационных вмешательств на КИИ России исчисляется миллиардами, а по оценкам СМИ и различных компаний по киберзащите, количество кибератак в последние годы только растет. При этом для нарушения кибербезопасности используется самое слабое звено - человеческий фактор. Режим «инкогнито» меняется на публичный характер [7].
Таким образом, в заключение необходимо отметить следующее. Актуальность информации и выводов, приведенных в предлагаемой статье, не подлежит никакому сомнению и должна обязательно учитываться и государственными структурами, и бизнесом. Это необходимо в свете того, что
сегодня все больше данных, в том числе данных государственного сектора, утечка которых может повредить безопасности страны, содержится именно на электронных источниках информации. А также это связано с тем, что все больше злоумышленников с каждым годом стремится получить несанкционированный доступ к государственной информации и данным крупных компаний и юридических лиц и использовать их в своих преступных целях. Именно поэтому вопрос безопасности КИИ в России сейчас стоит особенно остро и нуждается в тщательном исследовании и обсуждении на высших уровнях власти.
Литература
1. Войны виртуальные и реальные [Электронный ресурс]. URL: https://rg.ru/2019/08/14/chislo-opasnyh-kiberatak-na-obekty-v-rf-vyroslo-v-11-raz-za-tri-goda.html (дата обращения: 15.05.2020).
2. Федеральный закон Российской Федерации №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»: [федер. закон: принят Гос. Думой 12 июля 2017 г.] - СПб.: Стаун-кантри, 2017 - 15 с.
3. Приказ Федеральной службы безопасности Российской Федерации от 24.07.2018 № 366 "О Национальном координационном центре по компьютерным инцидентам" (Зарегистрирован 06.09.2018 № 52109) [Электронный ресурс]. URL: http://publication.pravo.gov.ru/Document/View/0001201809100001 (Дата обращения: 15.05.2020).
4. Постановление Правительства Российской Федерации №127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений»: [утверждено постановлением Правительства Российской Федерации 8 февраля 2018 г.] -СПб.: Стаун-кантри, 2018 - 17 с.
5. Приказ ФСТЭК России №239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»: [утверждено приказом ФСТЭК России 25 декабря 2017 г.] - СПб.: Стаун-кантри, 2017 -34 с.
6. Войны виртуальные и реальные [Электронный ресурс]. URL: https://rg.ru/2019/08/14/chislo-opasnyh-kiberatak-na-obekty-v-rf-vyroslo-v-11-raz-za-tri-goda (дата обращения: 15.05.2020).
7. "U.S. Escalates Online Attacks on Russia's Power Grid" , [Электронный ресурс]. URL:
https://www.nytimes.com/2019/06/15/us/politics/trump-cyber-russia-grid.html?action=click&module=Top°/o20Stories&pgtype=Homepage (дата
обращения: 15.05.2020).
Literature
1. War the virtual and the real [Electronic resource]. URL: https://rg.ru/2019/08/14/chislo-opasnyh-kiberatak-na-obekty-v-rf-vyroslo-v-11-raz-za-tri-goda.html (accessed: 15.05.2020).
2. Federal law of the Russian Federation No. 187-FZ "On the security of the critical information infrastructure of the Russian Federation": [Feder. law: adopted by the State. Duma 12 July 2017] - Saint Petersburg.: Staun-country, 2017 - 15 S.
3. Order of the Federal security service of the Russian Federation dated 24.07.2018 No. 366 "On the National coordination center for computer incidents" (Registered 06.09.2018 No. 52109) [Electronic resource]. URL: http://publication.pravo.gov.ru/Document/View/0001201809100001 (date accessed: 15.05.2020).
4. Resolution of the Government of the Russian Federation No. 127 "on approval Of the rules for categorizing critical information infrastructure objects of the Russian Federation, as well as the list of indicators of criteria for the significance of critical information infrastructure objects of the Russian Federation and their values": [approved by the resolution of the Government of the Russian Federation on February 8, 2018] - SPb.: Staun-country, 2018 - 17 s
5. Order of the FSTEC of Russia No. 239 " on approval of Requirements To ensure the security of significant objects of critical information infrastructure of the Russian Federation": [approved by the order of the FSTEC of Russia on December 25, 2017] - SPb.: Staun-country, 2017 - 34 p.
6. War the virtual and the real [Electronic resource]. URL: https://rg.ru/2019/08/14/chislo-opasnyh-kiberatak-na-obekty-v-rf-vyroslo-v-11-raz-za-tri-goda (date accessed: 15.05.2020).
7. "U.S. Escalates Online Attacks on Russia's Power Grid", [Electronic resource]. URL: https://www.nytimes.com/2019/06/15/us/politics/trump-cyber-russia-grid.html?action=click&module=Top%20Stories&pgtype=Homepage (accessed: 15.05.2020).
