Закон о БКИИ: к чему готовиться и о чем позаботиться

5 февраля 2018

1 января 2018 года с последним ударом новогодних курантов вступил в силу Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Он касается не только госучреждений, но и коммерческих организаций, а также индивидуальных предпринимателей. Хотя закон был принят в июле 2017 года, за полгода между его принятием и вступлением в силу полной ясности по организации и эксплуатации инфраструктуры согласно новым законодательным требованиям не появилось. В этой колонке мы попытаемся разобраться, чего ждать от нового закона обладателям систем критической информационной инфраструктуры (далее – КИИ) и какие перспективы открываются провайдерам услуг ИБ.

Чтобы вникнуть в нюансы нового закона, стоит начать с предпосылок, которые привели к его принятию. По информации представителя центра безопасности связи ФСБ России, в 2016 году было совершено порядка 70 миллионов попыток атак на объекты критической информационной инфраструктуры России, и 2/3 из них – атаки, совершенные из-за границы. В 2016 году 25% целевых кибератак, зафиксированных Kaspersky Lab., были направлены на промышленные компании. По данным опроса, проведенного «Лабораторией Касперского», 54% специалистов ИБ АСУ ТП зафиксировали 1-5 инцидентов, а 74% респондентов уверены в возможности кибератак на их системы. По данным компании Positive Technologies, в 2017 году число APT-атак выросло в 2 раза в сравнении с 2016 годом, при этом среднее время присутствия злоумышленника в инфраструктуре по-прежнему составляет 3 года.

На расширенном заседании Совета Безопасности 26.10.2017 г. Президент Российской Федерации обозначил направления, на которых в первую очередь необходимо сконцентрировать усилия в части обеспечения безопасности информационной инфраструктуры России. Первыми в списке указаны совершенствование ГосСОПКА (государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ) и повышение защищенности ИС госорганов (включая усиление персональной ответственности руководства за обеспечение ИБ). Именно эти два пункта в значительной мере реализованы в 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», принятом прошлым летом.

Каковы же его основные положения? Для начала приведем список отраслей, на которые распространяется его действие: здравоохранение, наука, транспорт, связь, энергетика, банки, финансы, ТЭК, атомная энергетика, оборонная, ракетно-космическая, горнодобывающая, металлургическая и химическая отрасли промышленности. Таким образом, к субъектам КИИ относится любое юридическое лицо, обладающее на основании права собственности, аренды или на ином законном основании объектом КИИ, то есть информационной системой, используемой в одной из перечисленных отраслей. Объекты КИИ подразделяют на значимые (они распределены на три категории) и незначимые. К значимым объектам КИИ относятся все информационные системы, инциденты с которыми могут нарушить выполняемые ими социально-значимые функции и нанести значительный ущерб. Именно к таким объектам предъявляются наиболее серьезные требования по обеспечению ИБ, и их неисполнение может иметь серьезные последствия в виде уголовного наказания.

Как будут осуществляться регулирование и контроль исполнения положений закона? Закон определяет 4-х регуляторов: двух основных и двух дополнительных. К первым относятся ФСТЭК и ФСБ. Функции ФСТЭК включают в себя категорирование и ведение реестра значимых объектов КИИ, разработку требований по обеспечению информационной безопасности объектов КИИ, а также контроль их выполнения. ФСБ, в свою очередь, отвечает за практические аспекты безопасности: является главным центром ГосСОПКА, обеспечивает установку на объектах КИИ технических средств ГосСОПКА и определяет требования к ним, устанавливает порядок информирования об объектах КИИ и инцидентах, проводит оценку безопасности объектов КИИ. В качестве дополнительных регуляторов привлекаются Банк России и Минкомсвязь: они согласовывают требования по обеспечению безопасности объектов КИИ для своей сферы регулирования. Как раз сейчас на regulation.gov.ru до 26.01.2018 г. размещен проект приказа Минкомсвязь об утверждении порядка установки и эксплуатации средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов КИИ.

Нужно обратить внимание, что в Положения ФЗ от 26.12.2008 г. № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» не применяются при осуществлении государственного контроля в области обеспечения безопасности значимых объектов КИИ РФ, так как были приняты поправки 193-ФЗ от 26.07.2017 г.

Что же необходимо сделать субъекту КИИ, чтобы выполнить требования закона? Во-первых, самостоятельно провести категорирование всех своих объектов КИИ и сообщить всю имеющуюся информацию о них в письменной форме в ФСТЭК в 10-дневный срок со дня принятия решения о категорировании. Получив эти данные, ФСТЭК в 30-дневный срок проверяет соблюдение порядка категорирования и правильность присвоения категории, после чего вносит сведения о значимых объектах в реестр значимых объектов КИИ. Помимо этого, на субъекты КИИ возлагается ряд общих обязанностей по линии ФСБ:

реагировать на компьютерные инциденты в порядке, утвержденном ФСБ;
незамедлительно информировать ФСБ об инцидентах;
оказывать содействие должностным лицам ФСБ в деятельности, связанной с предупреждением, обнаружением и ликвидацией последствий инцидентов;
обеспечивать выполнение порядка, технических условий установки и эксплуатации технических средств ГосСОПКА.

В отношении значимых объектов КИИ субъект КИИ обязан по линии ФСТЭК:

соблюдать требования ФСТЭК по обеспечению безопасности значимых объектов КИИ;
выполнять предписания ФСТЭК об устранении выявленных нарушений;
обеспечить беспрепятственный доступ должностным лицам ФСТЭК к значимым объектам КИИ для проведения надзорных действий.

Как будет осуществляться надзор за выполнением законодательных требований? ФСТЭК будет следить за правильностью категорирования объектов КИИ, выполнением требований к обеспечению информационной безопасности значимых объектов. Плановые проверки будут проводиться каждые 3 года (с момента категорирования объекта КИИ). Помимо них, ФСТЭК уполномочена проводить и внеплановые. Это могут быть:

проверки по произошедшим инцидентам;
проверки по истечению срока, отведенного на устранение ранее выявленных недостатков;
проверки по поручениям Президента или Правительства, а также по требованию прокуратуры.

На постоянной основе оценка безопасности объектов КИИ будет осуществляться органами ФСБ. ФСБ будет производить анализ сведений от технических средств ГосСОПКА, из реестра значимых объектов КИИ, сведений, предоставляемых субъектами, и иных сведений.

Кстати, даже если вы не субъект КИИ, к вам все равно могут прийти сотрудники ФСБ при проведении расследования инцидента ИБ на объекте КИИ. И, скорее всего, вам ничего не расскажут о причине, так как информацию об инцидентах ИБ на КИИ, вероятно, отнесут к сведениям, составляющим государственную тайну. Так уже произошло со сведениями о мерах по обеспечению безопасности КИИ РФ и о состоянии ее защищенности от компьютерных атак в соответствии с 193-ФЗ от 26.07.2017 года.

И наконец, мы добрались до одного из наиболее животрепещущих вопросов для владельцев субъектов КИИ. Какая ответственность наступает за невыполнение предусмотренных законом требований? Невыполнение обязанности по категорированию и предоставлению сведений об отдельных объектах КИИ не преследуется по закону, однако со вступлением 187-ФЗ в силу формальное наличие аттестата соответствия не освобождает от ответственности руководителя субъекта КИИ. И, что особо хочется подчеркнуть, обеспечение ИБ становится непрерывным процессом, а не «заморозкой» системы в эталонном состоянии.

В такой ситуации резонно возникает вопрос: что делать субъектам КИИ для защиты своих объектов в соответствии с новыми нормами закона. Во-первых, это создание системы безопасности объектов КИИ в соответствии с требованиями ФСТЭК. Во-вторых, в качестве компонента защиты необходимо использование средств защиты системы ГосСОПКА. Здесь стоит уточнить, что подключение к ГосСОПКА не избавляет от необходимости построения системы защиты субъекта КИИ: ГосСОПКА используется дополнительно для решения специфических задач, которые не в состоянии решить собственная система обеспечения ИБ, построенная по требованиям ФСТЭК.

Большинство российских промышленных компаний тратят сегодня на информационную безопасность менее 50 млн. рублей в год. При этом 27% организаций, опрошенных Positive Technologies в ходе исследования «Сколько стоит безопасность», оценили в аналогичную сумму потери за один день простоя инфраструктуры из-за кибератаки. Бюджет на обеспечение ИБ во многих компаниях отсутствует как отдельный: он является частью ИТ-бюджета и составляет не более 20% от него. Для реализации требований 187-ФЗ и руководящих документов Регуляторов требуются значительные средства, и руководителям субъектов КИИ необходимо как-то выходить из ситуации. На сегодняшний день один из наиболее обсуждаемых вариантов решения проблемы обеспечения полноценной защиты объектов КИИ – подключение объектов к корпоративным центрам реагирования (Security Operations Center – SOC). Они предоставляют полный спектр услуг по мониторингу и администрированию СЗИ, выявлению и реагированию на инциденты ИБ.

Такой подход, возможно, станет одним из важных трендов в области ИБ в России. ФСБ России допускает подключение субъектов КИИ не напрямую к ГосСОПКА, а через корпоративные или ведомственные центры реагирования. В случае инцидента ИБ такие центры будут взаимодействовать с ФСБ в рамках расследования. Заметим, что ФСТЭК допускает аутсорсинг ИБ – кроме того, в ПП № 79 от 03.02.2012 г. «О лицензировании деятельности по технической защите информации» еще в 2016 году был добавлен пункт «услуги по мониторингу информационной безопасности средств и систем информатизации». То есть риск лишиться лицензии в случае возникновения инцидента ИБ есть теперь даже у аутсорсера, который оказывает услуги в области мониторинга – не говоря уже о тех, кто берется за администрирование СЗИ. Услуги SOC позволят субъектам КИИ более экономно реализовать в краткосрочной перспективе требования нового закона, но вопрос ответственности остается открытым. В 2018 году регуляторы должны создать порядка 15 нормативных правовых актов в соответствии с План-графиком, утвержденным Зам. Председателя Правительства РФ, и многие вопросы будут решены. Но 2018 год уже начался, и в новой законодательной реальности мы находимся… да-да, с того самого последнего удара новогодних курантов.

Читать еще:

5137