Rambler's Top100
 
Все новости Новости отрасли
Николай НОСОВ 19 февраля 2018

Закон о безопасности КИИ и аутсорсинг: вопросов еще много

Утверждены правила категорирования объектов критической информационной инфраструктуры.

Вступивший в январе в силу закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» вызвал много вопросов. Полное понимание у регулятора и объектов регулирования возникнет, когда появятся все нормативные правовые акты, но начинать работы по реализации закона надо уже сейчас.  Для начала – понять, к каким категориям критической информационной структуры (КИИ) относятся имеющиеся в организации информационные системы.

Категории значимости КИИ

Картину частично проясняет подписанное  8 февраля 2018 г. Постановление Правительства РФ N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации. Вводятся три категории значимых КИИ (наивысшая – первая), к четвертой категории можно отнести КИИ, не попавшие под критерии значимости, перечисленные в приложении к Постановлению. Так, если нарушение функционирования сети связи затронет не всю территорию муниципального образования и без связи останется менее 50 тыс. человек, то по этому показателю КИИ не относится к значимым, если всю (или если без связи останутся от 50 тыс. до миллиона человек) – к третьей категории. Если территория, на которой возможно прекращение или нарушение функционирования сети связи, выходит за границы субъекта Федерации (или без связи останется более пяти миллионов человек) – то к первой категории значимости.

Законодательство довольно либерально в плане категорирования объектов КИИ. Субъекты хозяйственной деятельности: государственные органы и учреждения, российские юридические лица и индивидуальные предприниматели проводят его сами.

Области деятельности, в которых функционируют объекты КИИ

01

Здравоохранение

02

Наука

03

Транспорт

04

Связь

05

Банковская сфера и иные сферы финансового рынка

06

Топливно-энергетический комплекс

07

Атомная энергия

08

Оборонная промышленность

09

Ракетно-космическая промышленность

10

Горно-добывающая промышленность

11

Металлургическая промышленность

12

Химическая промышленность

 По материалам доклада на ТБ-Форуме заместителя начальника управления ФСТЭК России Елены Торбенко


Чтобы понять, является ли организация субъектом КИИ, нужно посмотреть уставные документы, лицензии и другие разрешительные документы на виды деятельности, и свериться с общероссийским классификатором видов экономической деятельности.

Что делать?

Первый этап -- составить перечень объектов КИИ, подлежащих категорированию. В проекте постановления, на который рекомендовал ориентироваться ФСТЭК всего две недели назад, на эту работу отводилось полгода. В итоге  решили, что шесть месяцев – слишком много, и вообще убрали срок. 14 февраля на прошедшем в Москве ТБ-Форуме представители ФСТЭК озвучили срок 23 февраля. Год не прозвучал, из чего некоторые слушатели сделали вывод, что срок передвинули на 2019 год, но все же скорей речь идет о текущем. В принципе надо дождаться письменных разъяснений от регулятора, но лучше сразу выпустить приказ о создании комиссии по категорированию и назначить ответственных за планирование мероприятий.

Основные этапы категорирования объектов КИИ РФ

Результат

Создание комиссии по категорированию

Приказ о создания комиссии

Анализ исходных данных для категорирования

Перечень объектов КИИ, подлежащих категорированию. Направляется в ФСТЭК в течении 5 дней после создания перечня

Категорирование объектов КИИ

Акт категорирования объекта КИИ

Направление сведений о категорировании в ФСТЭК РФ ( в течении 10 дней после создания акта категорирования)

Внесение в реестр значимых объектов КИИ

По материалам доклада на ТБ-Форуме заместителя начальника управления ФСТЭК России Елены Торбенко


Комиссия проанализирует исходные данные и создаст перечень объектов КИИ, подлежащих категорированию. Дальше со сроками понятно – в течении пяти дней перечень в установленной форме должен быть отправлен в ФСТЭК. На устранение замечаний регулятора и категорирование объектов КИИ отводится год со дня утверждения субъектом КИИ перечня объектов. Это крайний срок для составления акта категорирования объектов КИИ и направления (в течении десяти дней после утверждения) в ФСТЭК сведений о результатах категорирования.

Исходные данные для категорирования объектов КИИ РФ

Сведения об объекте КИИ

Процессы (управленческие, технологические, производственные, финансово-экономические) в рамках выполнения функций субъекта КИИ

Состав информации, обрабатываемой объектами КИИ, сервисы, предоставляемые объектами КИИ

Декларация промышленной безопасности опасного производственного объекта, декларация безопасности гидротехнического сооружения, паспорт объекта ТЭК, на которых функционирует объект КИИ, если их разработка предусмотрена законодательством РФ

Сведения о взаимодействии объекта КИИ с другими объектами КИИ

Угрозы безопасности, а также данные о компьютерных инцидентах, произошедших на объектах КИИ данного типа

 По материалам доклада на ТБ-Форуме заместителя начальника управления ФСТЭК России Елены Торбенко

 

Категорирование объектов КИИ проводится с учетом их политической, экономической, социальной, экологической значимости и важности для обеспечения обороны страны. Оценка проводится по каждому критерию, а категория присваивается по высшему значению.

ФСТЭК проверяет правильность категорирования, при необходимости отправляет материалы субъекту КИИ на доработку  и вносит данные в реестр значимых объектов КИИ. Пересмотр категории значимости производится не реже чем раз в пять лет.

Вопросы аутсорсинга КИИ

«Может возникнуть ситуация, когда объект КИИ принадлежит одному субъекту, но в целях хозяйственной деятельности используется другим субъектом. В этом случае категорирование производит субъект – владелец КИИ на основании данных, которые он получает от хозяйствующего субъекта», – пояснила заместитель начальника управления ФСТЭК России Елена Торбенко  на  23-м международном форуме «Технологии безопасности».

 На международном форуме "Технологии безопасности".

Если регулятор имел ввиду предоставление услуг по сервисной модели, то на практике реализовать такие требования не всегда просто. Возьмем облачного провайдера, который оказывает услуги бухгалтериям по модели SaaS, например предоставляет 1С. Получается, что он теперь должен послать всем своим клиентам запрос, не является ли работа их бухгалтерии критической для политической, экономической или социальной ситуации в регионе и стране? Иначе как он сможет категорировать свою информационную инфраструктуру?

А если услуга предоставляется по модели IaaS? Всегда ли провайдеры знают, для каких задач используются выделяемая клиенту инфраструктура? Была ли проведена на нее атака, о которой он теперь обязан сообщить регулятору? Причем облачный провайдер может не являться владельцем инфраструктуры, а тоже брать ее в аренду.  Тогда ответственность перекладывается на владельцев дата-центра. Еще сложнее ситуация с предоставлением услуги по модели colocation. Клиент может развертывать на арендуемых вычислительных мощностях что угодно, контролировать это провайдер не может.

И всегда ли поставщик услуг получит ответ на свой запрос о категории значимости развернутой у него информационной системы?  Не помогут и общие данные о деятельности заказчика. Компания, занимающаяся водоснабжением, формально не попадает в область деятельности функционирования КИИ. При этом может оказаться, что она поставляет воду для АЭС и используемая ею информационная инфраструктура относится к первой категории значимости.

Крайним может оказаться дата-центр. Ответственность не маленькая – в худшем случае при наступлении тяжелых последствий из-за неправомерных воздействий на КИИ с 1 января наступившего года можно получить по статье 274.1 УК РФ до 10 лет лишения свободы. Хотя в данном случае скорее грозит шесть лет за нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой в КИИ информации.

Если дата-центр принадлежит операторам связи или кому-то еще из представителей12 отраслей, перечисленных в законе  категорировать информационную инфраструктуру и выполнять работы по новому закону 187-ФЗ надо. Если ЦОД коммерческий  уже не очевидно.  С другой стороны КЦОДу имеет смысл выполнить требования регулятора по обеспечению безопасности своего клиента с самой высокой категорией значимости КИИ, иначе он уйдет к другому.

Категорирование – только первый этап. Самое сложное  обеспечение безопасности КИИ. Причем чем выше значимость КИИ, тем требования будут жестче. И тут появляются новые возможности для аутсорсинга. Прежде всего аутсорсинга информационной безопасности, ведь большинству предприятий будет не по карману содержать специалистов по ИБ, уже не говоря уже про собственный SOC. Да и перекладывание ответственности на владельцев информационных инфраструктур будет способствовать росту использования облачных моделей. У дата-центра есть экспертиза, специалисты, программные и аппаратные средства обеспечения информационной безопасности. Провайдерам информационных инфраструктур легче обеспечить выполнение требований  регуляторов.

Вопросов много, но они решаемые. Главное – активно их задавать, ведь ФСТЭК не может продумать все сам за все хозяйствующие субъекты страны.  Посылать вопросы можно на электронную почту ФСТЭК otd22@fstec.ru с пометкой «Вопросы по КИИ». В конце концов, в этом заинтересованы все. 

Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.