CC BY
327
УДК 004.054
ОБЪЕКТЫ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ
Чейнеш Орлановна Оюн
Сибирский государственный университет геосистем и технологий, 630108, Россия, г. Новосибирск, ул. Плахотного, 10, магистрант кафедры фотоники и приборостроения, тел. (923)197-4767, e-mail: cheinesh_oyun@mail.ru
Евгений Владимирович Попантонопуло
Новосибирский филиал федерального государственного унитарного предприятия «Научно-технический центр «Атлас», 630091, Россия, г. Новосибирск, ул. Фрунзе, 5, заместитель директора, тел. (909)534-23-27, e-mail: 383@2145891.ru
В статье показана актуальность вопросов, связанных с безопасностью критической информационной инфраструктуры и приведены ключевые понятия, относящиеся к этой сфере защиты информации. Анализируется закон «О безопасности критической информационной инфраструктуры Российской Федерации». Обсуждаются вопросы категорирования объектов и ведение реестра значимых объектов. Сделаны субъективные выводы о недостатках и преимущества федерального закона в целом.
Ключевые слова: критическая информационная инфраструктура, информационная безопасность, значимые объекты, категорирование, реестр критических объектов, киберата-ки, информационная сфера.
OBJECTS OF CRITICAL INFORMATION INFRASTRUCTURE
Cheynesh O. Oyun
Siberian State University of Geosystems and Technologies, 10, Plakhotnogo St., Novosibirsk, 630108, Russia, Graduate, Department of Photonics and Device Engineering, phone: (923)197-47-67, e-mail: cheinesh_oyun@mail.ru
Evgenij V. Popantonopulo
Novosibirsk Branch of the Federal State Unitary Enterprise «Scientific and Technical Center «Atlas», 5, Frunze St., Novosibirsk, 630091, Russia, Deputy Director, phone: (909)534-23-27, e-mail: 383@2145891.ru
The article shows the pertinence to consider the question of the security of a critical IT infrastructure and gives a key concept. The law "About security of a critical IT infrastructure in Russian Federation" are reviewed. There are discussion about issues of object's categorization and the leading of the register of important objects. The subjective conclusions about disadvantages and advantages of the federal law in general have been made
Key words: critical information infrastructure, information security, significant objects, categorization, the register of critical facilities, cyberattacks, information sphere.
В настоящее время почти все сферы жизни личности, общества и государства стали зависимыми от информационных инфраструктур. Поэтому тема информационной безопасности является актуальной на мировом уровне. Кибератакам чаще всего подвергаются объекты критической информационной инфраструктуры: информационные системы, информационно-телекоммуникационные систе-
мы, автоматизированные системы управления государственных органов, государственных учреждений и компаний, которые функционируют во всех областях жизнеобеспечения городов, субъектов и всей страны [1].
Глобальное информационное пространство с ее инновационным развитием информационных технологий уже давно создает возможности для роста экономики, развития культуры, модернизации в политической сфере, и, наряду с этим, формирует все новые угрозы и риски, тем самым провоцируя возникновение новых форм конфликтов, таких как информационные войны, кибератаки и тому подобные. Появилось понятие информационного оружия, которое могут использовать террористические и преступные группировки. Последствия кибе-ратак могут быть катастрофичными, и тому уже есть ряд примеров по всему миру.
Конкурентным преимуществом на мировом рынке обладают государства, у которых отрасль экономики основывается на технологии анализа больших объемов данных. Эти технологии также активно используют в России, но они основаны на зарубежных разработках. На данный момент отечественные аналоги отсутствуют. Повсеместное внедрение зарубежных информационных технологий и коммуникаций, в том числе на объектах критической информационной инфраструктуры (далее - КИИ), значительно усложняет решение задачи по обеспечению защиты интересов граждан и государства в информационной сфере [2].
В настоящий момент крупные компании и государственные структуры подсчитывают потенциальные убытки, которые могут возникнуть, еслиони не будут готовыми к внезапному вторжению в систему. Мониторинг статистики ущербов и частоты реализации атак является необходимой нормой как для крупного, так и для малого и среднего предприятий различного профиля. Таким образом, вопрос управления рисками особенно остро стоит для критически важных объектов и объектов КИИ.
Целью данной работы является анализ федерального закона 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» для формирования субъективного мнения о преимуществах и недостатках данного закона.
В соответствии с этой целью были поставлены следующие задачи:
— выяснить актуальность вопроса безопасности критической информационной инфраструктуры Российской Федерации;
— проанализировать федеральный закон 187-ФЗ;
— выделить преимущества и недостатки федерального закона.
К критическим информационным инфраструктурам относят совокупность объектовКИИ, а также сети электросвязи, используемые для организации взаимодействия таких объектов [3].
Объектами КИИ являются информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов КИИ [3].
По федеральному закону «О безопасности критической информационной инфраструктуры» субъектамиКИИ являются государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей[3].
Одним из самых главных составляющих 187-ФЗ является категорирование, необходимое для правильной расстановки приоритетов, при организации защиты информационной инфраструктуры страны. Оно зависит от значимости объекта, которая определяется размером ущерба,причиненным владельцу КИИ, обществу или государству, в результате атаки на систему. Категории определяются исходя из значимости: социальной, экономической, политической, экологической и значимости объекта для обороны страны, безопасности государства и правопорядка. По окончанию категорирования объекту присваивается одна из трёх категорий(первая, вторая или третья), после чегоон включается в реестр значимых объектов КИИ Российской Федерации.
Тем временем, субъект должен самостоятельно провести категорирование всех своих объектов и сообщить о них в письменной форме для внесения сведений в реестр значимых объектов КИИ. Субъект должен также реагировать на компьютерные инциденты, незамедлительно информируя о них Федеральную Службу Безопасности и оказывая содействие должностным лицам в деятельности, связанной с предупреждением, обнаружением и ликвидацией последствий инцидентов. Кроме того, субъект обязан обеспечивать выполнение порядка, технических условий установки и эксплуатации технических средств Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак [4].
Федеральный закон «О безопасности критической информационной инфраструктуры» повлек за собой поправки в уже существующих нормативных документах. Ряд документов и требований ещё требуется принять, например, требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры, формы представления сведений о категориро-вании, формы реестра и правил его ведения, формы акта по результатам проверки в рамках осуществления государственного контроля в области обеспечения безопасности значимых объектов и другие. Эти документы и все вытекающие требования должны решить накопившиеся вопросы по данному федеральному закону, на что потребуется определённое время.
Важным моментом является то, что за неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации, отныне
предусмотрена уголовная ответственность. В 194-ФЗ даны подробные пояснения, что понимается под неправомерными действиями, и определяются уголовные наказания за такие действия [5].
Учитывая все поправки в существующих законах и принимаемые новые нормативные документы, к преимуществам принятия Федерального закона №187-ФЗ «О безопасности критической информационной инфраструктуры» можно отнести:
— увеличение уровня интереса и ответственности социума к проблемам информационной безопасности может решить проблемы человеческого фактора, что является одной из главных составляющих защиты информации;
— объекты, которые попадают под категоризацию, будут обязаны направить значительную часть финансовых ресурсов на выполнение требований и быть готовыми к регулярному взаимодействию с ключевыми организациями по вопросам обеспечения информационной безопасности, что приведёт к повышению уровня защиты информации;
— возрастание интереса и потребности в улучшении качества отечественных разработок информационных технологий;
— единый реестр значимых объектов информационной инфраструктуры заставит обратить внимание ключевых органов исполнительной власти, в первую очередь, на критически значимые объекты страны.
К недостаткам можно отнести следующие моменты:
— резкое увеличение финансовых затрат затронет все объекты, подлежащие категоризации, что для некоторых из них окажется весьма затруднительным с точки зрения реализации выполнения;
— практическая реализация закона затруднена из-за его несовершенства: на сегодняшний день федеральный закон не полностью развернут, некоторые пункты требуют полной доработки, а для принятия подзаконных актов и требований необходимо время.
Защита критической информационной инфраструктуры страны требует привлечения огромных материальных сил и финансовых вложений. Полная изоляция объектов критической информационной инфраструктуры от внешнего мира тоже не является решением проблемы, поскольку высокий процент оборудования, используемого на объектах, составляют иностранные разработки. Наиболее оптимальным вариантом полноценного обеспечения защиты объектов критической информационной инфраструктуры считается подключение к ним Центра мониторинга информационной безопасности (Security Operations Center). Он предоставляет полный спектр услуг по мониторингу и администрированию систем защиты информации, выявлению и реагированию на инциденты. Это позволит субъектам критической информационной инфраструктуры более экономно осуществить требования данного федерального закона. Такой подход, возможно, станет одним из важных трендов в области информационной безопасности в России.
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. Ермилов Е. В., Калашников А. О., Чопоров О. Н., Разинкин К. А., Баранников Н. И., Корнеева Н. Н. Управление информационными рисками при атаках на АСУ ТП критически важных объектов : учеб. пособие. - Воронеж : ФГБОУ ВПО «Воронежский государственный технический университет», 2013. - 109 с.
2. Указ президента Российской Федерации «О стратегии развития информационного общества в Российской Федерации на 2017-2030 годы» от 9 мая 2017 г. № 203 [Электронный ресурс]. - Режим доступа : http://www.consultant.ru/document/cons_doc_LAW_216363/.
3. Федеральный закон "О безопасности критической информационной инфраструктуры Российской Федерации" от 26.07.2017 N 187-ФЗ [Электронный ресурс]. - Режим доступа : http://www.consultant.ru/document/cons_doc_LAW_220885/.
4. Безопасность критической информационной инфраструктуры РФ: коротко о главном [Электронный ресурс]. - Режим доступа : http://iteco.vestifinance.ru/bezopasnost_kriticheskojj_inform.
5. Федеральный закон №194-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации и статью 151 Уголовно-процессуального кодекса Российской Федерации в связи с принятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации»» [Электронный ресурс]. - Режим доступа : http://www.consultant.ru/document/cons_doc_LAW_220891/.
© Ч. О. Оюн, Е. В. Попантонопуло, 2018
