Обзор изменений в законодательстве в области защиты объектов КИИ

Об авторе: Дмитрий Кузнецов, директор по методологии и стандартизации компании Positive Technologies

Опыт первого года действия федерального закона «Федеральный закон от 26.07.2017 N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» показал регуляторам, что нормативные документы нуждаются в доработке. В первом квартале 2019 года было проведено общественное обсуждение целого ряда изменений нормативной базы, и вот их краткое описание.

Изменения в процедуре категорирования

Изменения вносятся в два документа:

  • постановление Правительства РФ от 8 февраля 2018 г. № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений»;
  • приказ ФСТЭК России от 22.12.2017 N 236 «Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий».

Изменения в первом документе влияют на сам процесс категорирования, хотя большая их часть носит косметический характер. Так, уточняется, что комиссия по категорированию должна функционировать на постоянной основе. Уточнение связано с тем, что категорирование должно проводиться каждый раз, когда субъект создает новую информационную систему или модернизирует существующую. Теоретически можно каждый раз назначать новый состав комиссии по категорированию, но предлагается все же организовать постоянно действующую комиссию (видимо, по аналогии с постоянно действующими комиссиями по защите государственной тайны). Другое косметическое изменение – уточнение, что процесс категорирования можно завершить, если по результатам оценки одного из показателей объект относится к наивысшей категории. Действительно, дальнейшее рассмотрение критических процессов на результат категорирования уже повлиять не может.

Из важных изменений стоит отметить следующие:

1. Отчасти урегулирован вопрос с «составными» объектами КИИ, когда в информационной системе, принадлежащей одному лицу, существенно используются компоненты, принадлежащие другому лицу. По итогам общественного обсуждения эту норму предлагается сформулировать так:

О «составных» объектах критической информационной инфраструктуры

«Категорирование объектов критической информационной инфраструктуры, в составе которых используются программные и (или) программно-аппаратные средства, принадлежащие и эксплуатируемые иными государственными органами, государственными учреждениями, российскими юридическими лицами или индивидуальными предпринимателями, осуществляется субъектом критической информационной инфраструктуры с учётом данных о последствиях нарушения или прекращения функционирования указанных программных и (или) программно-аппаратных средств, представляемых этими государственными органами, государственными учреждениями, российскими юридическими лицами или индивидуальными предпринимателями.»

В такой связке второе лицо может не являться субъектом критической инфраструктуры и не иметь никаких обязанностей по категорированию. Изменение уточняет, что в этом случае все обязанности по категорированию всего объекта лежат на владельце информационной системы.

2. Деятельность комиссии по категорированию становится очень сложной, если в структуре организации есть территориально удалённые обособленные структурные подразделения (филиалы, представительства и т.п., не являющиеся отдельными юридическими лицами). В случае принятия изменений в таких подразделениях могут создаваться самостоятельные комиссии по категорированию. Результаты категорирования при этом объединяются головной комиссией по категорированию.

3. Уточняется, что категорирование должно проводиться не только для эксплуатируемых информационных систем и сетей, но и вновь создаваемых объектов. Это было очевидно, так как результаты категорирования являются основой для формирования требований безопасности, которые предъявляются к объекту при его создании, но, видимо, не всем.

4. Уточняется, что при оценке последствий инцидентов следует исходить из наихудшего сценария, предполагающего проведение целенаправленной атаки, в которой нарушитель стремиться причинить объекту максимальный ущерб. Уточняется так же, что для взаимосвязанных критических процессов должен приниматься в расчет совокупный масштаб последствий. Эти изменения связаны, в частности, с попытками субъектов занизить категорию значимости объектов КИИ путем формального «дробления» информационной системы на несколько объектов, такого же формального разделения критического процесса на отдельные подпроцессы, отказа от рассмотрения отдельных угроз на том основании, что применяются меры защиты от них и т.п. Подобная практика регулятором не приветствуется.

5. Внесены изменения в формулировки показателей категорирования. но отдельно нужно отметить изменение в показателе 9: абстрактное «снижение доходов бюджета» заменено на снижение отчислений в бюджет по сравнению со средним значением отчислений за последние пять лет. При такой формулировке к этому показателю уже безусловно относится и снижение прибыли коммерческой компании (и, соответственно, налога на прибыль) в результате компьютерного инцидента.

На этом фоне изменения в форме направления сведений кажутся чисто косметическими. Отдельно стоит отметить только два изменения.

1. Из формы исключен п. 7.2, в котором определялся ущерб, который может быть причинён объекту в результате инцидента.

2. В форму включается обоснование значений показателей, рассчитанных для объекта, или неприменимости показателей.

Поскольку показателями категорирования как раз и являются различные виды ущерба критической информационной инфраструктуре, изменяется только порядок следования пунктов, а субъекту предоставляется чуть бо́льшая свобода в формулировании обоснования.

В дополнение стоит отметить, что правительство начало работу по внесению изменений в Кодекс административных правонарушений, куда предполагается в качестве отдельных противоправных деяний внести нарушение порядка категорирования и, возможно, иные виды нарушений в сфере КИИ. Какие виды нарушений и наказаний будут предусмотрены, пока обсуждать рано.

Изменения, связанные с созданием системы безопасности значимых объектов КИИ

В порядок создания систем защиты значимых объектов (приказ ФСТЭК России от 21.12.2017 №235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования») вносятся всего два существенных изменения. Прежде всего, уточняется порядок создания систем защиты для объектов КИИ территориально-распределённых компаний и групп компаний (в терминах приказа – «интегрированных структур»). В распределённой инфраструктуре организация работ по обеспечению безопасности значимых объектов критической инфраструктуры должна быть централизована. Таким образом подчёркивается, что головной офис несёт полную ответственность за то, как обеспечивается безопасность значимых объектов КИИ в обособленных структурных подразделениях, и что силы обеспечения безопасности таких подразделений должны быть интегрированы в общую систему безопасности. В случае «интегрированных структур» дочерние предприятия должны учитывать требования корпоративных нормативных документов, реализуя таким образом единую для группы компаний или государственной корпорации политику обеспечения безопасности значимых объектов КИИ.

Второе изменение касается требований к квалификации специалистов, ответственных за обеспечение безопасности значимых объектов КИИ. К этой деятельности могут привлекаться специалисты, имеющие высшее образование не только в области информационной безопасности, но и по целому ряду специальностей.

Требования к квалификации специалистов по безопасности объектов КИИ

Требуются знания: в области математики и механики, компьютерных и информационных наук, информатики и вычислительной техники, электроники, радиотехники и систем связи, фотоники, приборостроения, оптических и биотехнических систем и технологий, электро- и теплоэнергетики, ядерной энергетики и технологий, машиностроения, физико-технических наук и технологий, оружия и систем вооружения, техники и технологии наземного транспорта, авиационной и ракетно-космической техники, техники и технологий кораблестроения и водного транспорта, нанотехнологий и наноматериалов.

В случае непрофильного высшего образования руководитель должен пройти профессиональную переподготовку со сроком обучения не менее 360 часов, а прочие специалисты – повышение квалификации сроком обучения не менее 72 часов. Подобная «либеральная» нижняя планка квалификации (к примеру, для лицензируемой деятельности в области технической защиты конфиденциальной информации требуются руководители с профильным высшим образованием и специалисты, прошедшие профессиональную переподготовку) объясняется сравнительно большим количеством субъектов КИИ (в том числе в отдалённых регионах) и катастрофической нехваткой специалистов в области информационной безопасности (особенно в тех же отдалённых регионах).

Изменения в требованиях безопасности значимых объектов КИИ (приказ ФСТЭК России от 25.12.2017 г. №239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации») не очень заметны, хотя и вызвали бурной обсуждение в первый момент после опубликования:

1. В случае использования в значимом объекте сертифицированных средств требование о соответствии определенному уровню контроля отсутствия недекларированных возможностей заменяется на требование о соответствии определенному уровню доверия. Связано это с глобальным изменением в системе сертификации, описанными ниже. Эта норма и вызвала бурное обсуждение, так как некоторые комментаторы не обратили внимание на её начало («в случае использования сертифицированных») и решили, что вводится обязательная сертификация средств защиты для значимых объектов КИИ.

2. Уточняется, что в ходе проектирования системы защиты может быть изменена категория значимого объекта. Это связано с тем, что при проектировании системы защиты проводится более глубокий анализ угроз, который может показать, что в ходе категорирования некоторые угрозы были недооценены или переоценены.

3. Вводится требование о том, что при создании или модернизации значимого объекта КИИ граничные маршрутизаторы демилитаризованной зоны (DMZ) должны быть заменены на сертифицированные. Здесь имеется в виду не фильтрация трафика (иначе в этой норме речь шла бы о межсетевых экранах), а функции собственной безопасности устройств (идентификация и аутентификация администраторов, регистрация событий и т.п.). Таким образом, в этом случае в DMZ должны применяться маршрутизаторы, прошедшие оценку соответствия техническим условиям с уровнем доверия, соответствующим категории значимости защищаемого объекта.

4. Технические средства значимых объектов первой категории должны будут размещаться на территории РФ. Причина очевидна.

5. В формулировках мер защиты уточняется, что под политиками подразумеваются распорядительные документы прямого действия (правила и процедуры).

Самое ожидаемое изменение в требованиях к системам защиты значимых объектов КИИ – это ожидаемый выпуск методического документа, раскрывающего состав и содержание мер защиты, перечисленных в приказе 239. Выпуск его откладывается ориентировочно на середину 2019 года, а о его содержании можно судить по аналогичному методическому документу «Меры защиты информации в государственных информационных системах».

Сертификация

Едва ли не основная сенсация 2019 года – это радикальное изменение в системе сертификации средств защиты. ФСТЭК отменяет действие безнадёжно устаревшего руководящего документа Гостехкомиссии «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» и, частично, часть 3 ГОСТ 15408, применявшуюся при сертификации на соответствие заданиям по безопасности. Они заменяются «Требованиями по безопасности информации, устанавливающими уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий», утверждёнными в 2018 году.

Таким образом, остаются лишь два вида сертификации: на соответствие заданию по безопасности (если для данного вида средств защиты утвержден профиль защиты) и на соответствие техническим условиям (для прочих средств защиты). При этом при любой сертификации будет проводиться анализ уязвимостей и недекларированных возможностей в объёме, соответствующем заявленному для данного средства защиты уровню доверия. Всего вводится шесть уровней доверия, для каждого из которых отдельной методикой анализа уязвимостей и недекларированных возможностей определяется объём проверок, которые проводятся при сертификации. При этом для всех уровней доверия, кроме шестого, обязательно предоставление в испытательную лабораторию исходных текстов для проведения статического и динамического анализа уязвимостей.

Так как понятие «уровень доверия» и методы оценки соответствия отличаются от тех, что были установлены в части 3 ГОСТ 15408, потребуется переоценка всех сертифицированных на сегодняшний день средств защиты. Такую переоценку заявители должны пройти до 1 января 2020 года, в противном случае действие выданных сертификатов будет приостановлено. Наибольшие трудности возникнут у производителей средств защиты, сертифицированных на соответствие техническим условиям: им фактически потребуется пройти новую сертификацию с более жёсткими требованиями. Серьезные трудности возникнут также у зарубежных производителей средств защиты в связи с запретом властей США предоставлять исходные тексты средств защиты в российскую систему сертификации, такие средства защиты могут быть сертифицированы только на шестой уровень доверия.

Уровень доверия определяет категорию информационных систем, в которых может применяться средство защиты:

  • шестой уровень доверия – ГИС и АСУ ТП 3 класса защищённости, значимые объекты КИИ 3 категории значимости, ИСПД 3 и 4 уровня защищённости персональных данных;
  • пятый уровень доверия – ГИС и АСУ ТП 2 класса защищённости, значимые объекты КИИ 2 категории значимости, ИСПД 2 уровня защищённости персональных данных;
  • четвёртый уровень доверия – ГИС и АСУ ТП 1 класса защищённости, значимые объекты КИИ 1 категории значимости, ИСПД 1 уровня защищённости персональных данных;
  • третий уровень доверия и выше – информационные системы, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну.

Заключение

В целом планируемые изменения нельзя назвать революционными. Регуляторы постепенно упорядочивают деятельность субъектов КИИ по защите значимых объектов, уточняют некоторые нормы, которые вызывали оживлённые дискуссии и закрывают некоторые лазейки, с помощью которых некоторые субъекты пытались упростить себе жизнь. Ужесточение требований к сертифицируемым средствам защиты – также давно обсуждаемое изменение, причём регулятор сознательно отложил введение этого документа в действие почти на год после его утверждения. Да, все эти изменения могут усложнить жизнь владельцам защищаемых информационных систем, но они вполне укладываются в рамки здравого смысла и государственной политики.