Часть 1. Общие положения
Статья 274.1 Уголовного Кодекса Российcкой Федерации ярко демонстрирует возможные масштабы последствий для государственных органов, юридических лиц, эксплуатирующих информационные системы, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, лиц, которые обеспечивают взаимодействие указанных систем или сетей. Приведенные поправки к Уголовному кодексу введены Федеральным законом от 26.07.2017 N 194-ФЗ "О внесении изменений в Уголовный кодекс Российской Федерации и статью 151 Уголовно-процессуального кодекса Российской Федерации в связи с принятием Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации" и вступили в законную силу с 1 января 2018 года. Очевидно, что Статья 274.1 УК РФ призвана зафиксировать ответственность в отношении неправомерного доступа и воздействия на критическую информационную инфраструктуру (далее - КИИ) как вероятных внешних и внутренних злоумышленников, так и должностных лиц, ответственных за эксплуатацию объектов КИИ. Положения Уголовного кодекса должны предопределять внимательное отношение должностных лиц субъектов КИИ к исполнению положений Федерального закона от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации".
Объекты критической информационной инфраструктуры - информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.
Субъекты критической информационной инфраструктуры - государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.
Что нужно сделать субъектам КИИ, чтобы обеспечить выполнение 187-ФЗ:
- Провести категорирование объектов КИИ;
- Обеспечить безопасность объектов КИИ;
- Обеспечить взаимодействие объектов КИИ с ГосСОПКА.
Итак, рассмотрим как провести категорирование объектов КИИ.
Часть 2. Категорирование объекта КИИ
Нормативная база:
- Постановление Правительства РФ от 08.02.2018 N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений";
- Приказ ФСТЭК России от 22.12.2017 N 236 "Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий".
1 этап. Создание комиссии по категорированию.
В состав комиссии включаются работники субъекта КИИ:
- руководитель, или уполномоченное им лицо;
- специалисты в области осуществляемых видов деятельности субъекта КИИ;
- специалисты в области информационных технологий и связи;
- специалисты по эксплуатации технологического оборудования, промышленной безопасности, учету опасных веществ и материалов;
- специалисты в области безопасности, в том числе информационной безопасности;
- работники подразделения по защите государственной тайны, работники подразделения по ГО и ЧС.
2 этап. Формирование перечня объектов КИИ.
- определение процессов, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций субъекта КИИ;
- выявление тех процессов, нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка (Критические процессы);
- определение объектов КИИ (информационных систем), которые обрабатывают информацию, необходимую для обеспечения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов;
- формирование перечня объектов КИИ (информационных систем), подлежащих категорированию;
Важно! Перечень объектов подлежит согласованию с государственным органом или российским юридическим лицом, выполняющим функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере в части подведомственных им субъектов КИИ.
Перечень объектов КИИ в течении 5 рабочих дней после утверждения направляется во ФСТЭК. Ждать согласования со стороны ФСТЭК на этом шаге не требуется.
3 этап. Категорирование объектов КИИ.
На этом этапе нужно оценить масштабы последствий в соответствии с перечнем показателей критериев значимости (утвержден ПП №127) и присвоить каждому из объектов КИИ одну из трех категорий значимости либо принять решение об отсутствии необходимости присвоения им одной из категорий значимости.
Показатели критериев значимости разбиты на пять категорий:
Максимальный срок категорирования - один год со дня утверждения перечня объектов. Решение комиссии по категорированию оформляется Актом. Акт хранится субъектом КИИ до вывода информационной системы из эксплуатации и должен содержать:
- сведения об объекте КИИ;
- результаты анализа угроз безопасности информации объекта КИИ;
- реализованные меры по обеспечению безопасности объекта КИИ;
- сведения о присвоенной объекту КИИ категории значимости либо об отсутствии необходимости присвоения ему одной из таких категорий;
- сведения о необходимых мерах по обеспечению безопасности в соответствии с требованиями ФСТЭК (Приказ ФСТЭК России от 25.12.2017 N 239 "Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации").
4 этап. Направление сведений о категорировании во ФСТЭК.
В течении 10 дней со дня утверждения Акта, во ФСТЭК направляются следующие сведения (сведения и их содержание направляются по форме, утвержденной приказом ФСТЭК N 236 от 22.12.2017 г.):
- сведения об объекте КИИ;
- сведения о субъекте КИИ;
- сведения о взаимодействии объекта КИИ и сетей электросвязи;
- сведения о лице, эксплуатирующем объект КИИ;
- сведения о программных и программно-аппаратных средствах, используемых на объекте КИИ, в том числе средствах, используемых для обеспечения безопасности объекта КИИ и их сертификатах соответствия требованиям по безопасности информации (при наличии);
- сведения об угрозах безопасности информации и о категориях нарушителей в отношении объекта КИИ;
- возможные последствия в случае возникновения компьютерных инцидентов на объекте КИИ либо сведения об отсутствии таких последствий;
- категория значимости объекта КИИ;
- организационные и технические меры, применяемые для обеспечения безопасности объекта КИИ.
Обратите внимание, поскольку во ФСТЭК направляются сведения о Категории нарушителя, актуальных угрозах безопасности, принятых организационных и технических мерах по обеспечению безопасности объекта КИИ, логичным будет предположить, что на момент отправки во ФСТЭК сведений, должны быть проведены работы по обеспечению безопасности значимого объекта КИИ. С другой стороны, если ФСТЭК не согласует присвоенную категорию, тогда придется дорабатывать систему защиты.
ФСТЭК в тридцатидневный срок со дня получения указанных сведений проверяет правильность присвоения категорий и в зависимости от правильности проведенного категорирования:
- вносит в реестр сведения об объекте КИИ в реестр значимых объектов КИИ, о чем в десятидневный срок уведомляет субъекта КИИ;
- отказывает во внесении в реестр в десятидневный срок с мотивированным обоснованием причин отказа.
5 этап. Изменение категории значимости.
Изменение категории значимости возможно:
- по мотивированному решению ФСТЭК, принятому по результатам проверки;
- в случае изменения объекта КИИ;
- в связи с ликвидацией, реорганизацией субъекта КИИ и (или) изменением его организационно-правовой формы.
6 этап. Пересмотр установленной категории значимости.
Пересмотр осуществляется не реже чем один раз в пять лет. В случае изменений, сведения о результатах пересмотра направляются во ФСТЭК.