Файл: Г. Сургут 14 марта 2018 г.pdf

Вопросы обеспечения безопасности критической информационной инфраструктуры
г. Сургут
14 марта 2018 г.

ФЗ от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской
Федерации» (
вступил в силу с 1 января 2018 г.)
1.
Нормативная база и основные понятия
2.
Обязанности субъектов КИИ
3.
Категорирование КИИ
4.
Требования к созданию систем безопасности КИИ
5.
Требования по ОБИ значимых объектов
КИИ
6.
Государственный контроль
7.
Ответственность за нарушения
1

Кто попадает под действие закона
• Госорганы
• Госучреждения
• российские ЮЛ и (или) ИП
• российские ЮЛ и (или) ИП, обеспечивающие взаимодействие
объектов КИИ
Субъекты КИИ
Здравоохранение
Наука
Транспорт
Связь
Энергетика
Банковская сфера и иные сферы финансового рынка
ТЭК
Атомная энергия
Промышленность (оборонная, ракетно-космическая, горнодобывающая, металлургическая и химическая)
Владеющие на праве собственности, аренды или на ином законном
основании объектами КИИ, функционирующими в сферах:
2

Критическая информационная инфраструктура
КИИ
Объекты КИИ,
принадлежащие субъектам
ИС
ИТКС
АСУ
Сети электросвязи, используемые
для организации взаимодействия
объектов КИИ
3

Регулирование
Пре зид ен т
основные направления
ФОИВ (уполномоченный с сфере обеспечения безопасности КИИ и в
области обеспечения функционирования ГосСОПКА)
порядок создания и задачи ГосСОПКА
Правит ельст во
показатели критериев значимости объектов КИИ и их значения, а также
порядок и сроки осуществления их категорирования
порядок осуществления государственного контроля
порядок подготовки и использования ресурсов единой сети электросвязи РФ
для обеспечения функционирования значимых объектов КИИ
4

Регулирование
ФС
ТЭК
Р
оссии
ведет реестр значимых объектов КИИ
устанавливает требования к созданию систем безопасности и по
обеспечению безопасности значимых объектов КИИ
осуществляет государственный контроль в области обеспечения
безопасности значимых объектов КИИ
ФСБ
Р
оссии
создает национальный координационный центр по компьютерным
инцидентам
утверждает порядок информирования о компьютерных инцидентах,
реагирования на них, определяет состав передаваемой информации
координирует деятельность по вопросам обнаружения, предупреждения и
ликвидации последствий компьютерных атак, в том числе порядок обмена
информацией
Обеспечивает установку средств ГосСОПКА, определяет требования к ним
проводит оценку безопасности КИИ
5

Обязанности субъектов КИИ
Общие обязанности субъектов КИИ:
•
категорировать объекты КИИ которыми они владеют
•
незамедлительно информировать о компьютерных инцидентах ФСБ
•
оказывать содействие должностным лицам в деятельности, связанной с предупреждением, обнаружением и ликвидацией последствий инцидентов.
•
обеспечивать выполнение порядка, технических условий установки и эксплуатации технических средств ГосСОПКА (в случае установки на объектах КИИ)
Владельцы значимых объектов КИИ:
•
создать систему безопасности в соответствии с требованиями к созданию безопасности и обеспечению их функционирования
•
соблюдать требования по обеспечению безопасности значимых объектов КИИ;
•
обеспечивать беспрепятственный доступ должностным лица ФСТЭК к значимым объектам КИИ при осуществлении государственного контроля и выполнять предписания об устранении нарушений в части соблюдения требований по обеспечению безопасности значимого объекта КИИ;
•
реагировать на компьютерные инциденты, принимать меры по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов КИИ;
6

Основные моменты категорирования объектов КИИ
Осуществляется субъектами КИИ на основании порядка и критериев категорирования
определенных ПП РФ от 8 февраля 2018 г. № 127.
Представляет собой установление соответствия объекта КИИ критериям значимости и
показателям их значений, присвоение одной из категорий значимости, проверку сведений о
результатах ее присвоения
Установлено 3 категории значимости объекта КИИ (1-3, 1 - максимальная) или принимается
решение «об отсутствии необходимости присвоения ему одной из таких категорий»
Субъект сообщает во ФСТЭК о всех объектах КИИ.
Сведения о значимых объектах КИИ ФСТЭК вносит в реестр.
В случае непредставления субъектом КИИ сведений о результатах категорирования ФСТЭК
направляет в адрес указанного субъекта требование о необходимости соблюдения
положений ФЗ-187.
7

Что категорируем
Объекты КИИ (ИС, ИТКС, АСУ), обеспечивающие следующие процессы в рамках выполнения функций
(полномочий) или осуществления видов деятельности субъектов КИИ:
• управленческие
• технологические
• производственные
• финансово-экономические
• иные
8

Кто проводит категорирование
Создается комиссия по категорированию, в состав которой включаются:
• руководитель или уполномоченное им лицо
• работники, являющиеся специалистами в области выполняемых функций или осуществляемых видов деятельности, и в области ИТ и связи
• специалисты по эксплуатации технологического оборудования, технологической (промышленной) безопасности, контролю за опасными веществами и материалами, учету опасных веществ
• работники, на которых возложены функции обеспечения безопасности (ИБ) объектов КИИ
• работники ПЗГТ (в случае, если объект КИИ обрабатывает информацию, составляющую ГТ)
• уполномоченные на решение задач в области ГО и ЧС
9

Порядок категорирования
Выявление критических процессов
Определение объектов КИИ, которые обрабатывают информацию, необходимую для обеспечения критических процессов, и (или) осуществляют управление, контроль
или мониторинг критических процессов
Формирование перечня объектов КИИ
Оценка в соответствии с перечнем показателей критериев значимости масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах КИИ
Присвоение одной из категорий значимости либо принятие решения об отсутствии необходимости присвоения категории значимости
10

Процесс категорирования объектов КИИ
Комиссия
Составление перечня объектов КИИ, подлежащих категорированию
Согласование перечня объектов КИИ
Направление перечня объектов КИИ во
ФСТЭК
Присвоение категории значимости и оформление Акта
Направление во
ФСТЭК сведений о результатах категорирования (по форме)
Проверка порядка и правильности категорирования объекта КИИ (30 дней)
Замечаний нет: внесение в реестр (если объект значимый) или сведения в ГосСОПКУ и уведомление субъекта в 10-дневный срок
Замечания: уведомление субъекта в
10-дневный срок. Субъекту дается 10 дней на исправление
11

Акт категорирования объектов КИИ
• сведения об объекте КИИ
• результаты анализа угроз безопасности информации
• реализованные меры по обеспечению безопасности
• сведения о категории значимости
• сведения о необходимых мерах по обеспечению
безопасности
Содержание акта категорирования объекта КИИ
12

Сведения, направляемые во ФСТЭК
• об объекте КИИ;
• о субъекте КИИ;
• о взаимодействии объекта КИИ и сетей электросвязи;
• о лице, эксплуатирующем объект КИИ;
• о программных и программно-аппаратных средствах, в том числе средствах защиты
информации и их сертификатах соответствия (при наличии);
• об угрозах безопасности информации и о категориях нарушителей либо об отсутствии
таких угроз;
• возможные последствия в случае возникновения компьютерных инцидентов на
объекте КИИ либо сведения об отсутствии таких последствий;
• о категории значимости, которая присвоена объекту КИИ, или сведения об отсутствии
необходимости присвоения одной из категорий значимости, а также сведения о
результатах оценки показателей критериев значимости;
• организационные и технические меры, применяемые для обеспечения безопасности
объекта КИИ, либо сведения об отсутствии необходимости применения указанных
мер.
Состав
13

О показателях критериев значимости объектов КИИ
14
I.
Социальная значимость
1.
Причинение ущерба жизни и здоровью людей (человек)
2.
Прекращение или нарушение функционирования объектов обеспечения жизнедеятельности
населения
3.
Прекращение или нарушение функционирования объектов транспортной инфраструктуры
4.
Прекращение или нарушение функционирования сети связи
5.
Отсутствие доступа к государственной услуге
II.
Политическая значимость
6.
Прекращение или нарушение функционирования госоргана
7.
Нарушение условий международного договора РФ, срыв переговоров или подписания договора
III.
Экономическая значимость
8.
Возникновение ущерба субъекту КИИ, который является госкорпорацией, ГУП, МУП, госкомпанией,
организацией с участием государства и (или) стратегическим АО, стратегическим предприятием
9.
Возникновение ущерба бюджетам Российской Федерации
10
Прекращение или нарушение проведения клиентами операций по банковским счетам или операций,
осуществляемых субъектом КИИ, являющимся системно значимой кредитной организацией,
оператором услуг платежной инфраструктуры системно и (или) социально значимых платежных
систем или системно значимой инфраструктурной организацией финансового рынка
IV.
Экологическая значимость
11
Вредные воздействия на окружающую среду
V.
Значимость для обеспечения обороны, безопасности государства и правопорядка
12
Прекращение или нарушение функционирования пункта управления (ситуационного центра)
13
Снижение показателей государственного оборонного заказа
14
Прекращение или нарушение функционирования ИС в области обеспечения обороны страны,
безопасности государства и правопорядка

Изменение/пересмотр установленной категории объектов КИИ
Изменение:
1) по мотивированному решению ФСТЭК, принятому по результатам проверки, проведенной в рамках гос. контроля;
2) объект КИИ перестал соответствовать критериям значимости и показателям их значений;
3) изменены или утрачены признаки субъекта КИИ (в связи с ликвидацией, реорганизацией субъекта КИИ и (или) изменением его организационно-правовой формы).
Пересмотр: не реже чем один раз в 5 лет
15

Должна обеспечивать
предотвращение
неправомерного
доступа
недопущение
воздействия на
технические
средства обработки
информации
восстановление
функционирования
значимых
объектов
непрерывное
взаимодействие с
ГосСОПКА
Система безопасности значимого объекта КИИ
Создается субъектом КИИ в отношении ВСЕХ значимых объектов КИИ в
соответствии с требованиями, утвержденными приказом ФСТЭК России
от 21.12.2017 № 235.
16

Си
ст
ем
а
без
оп
ас
но
ст
и
(СБ)
Силы (подразделения
(работники))
ответственные за обеспечение безопасности
эксплуатирующие объекты
обеспечивающие функционирование (сопровождение,
обслуживание, ремонт) объектов
участвующие в обеспечении безопасности объектов
Средства
Программные
и программно-
аппаратные
СЗИ
СЗИ от НСД
СОВ
АВЗ
АНЗ
Управления событиями
Защиты каналов связи
Система безопасности значимого объекта КИИ
17

Требования к системе безопасности значимого объекта КИИ
Требования
Силы
Средства
Организационно-
распорядительные
документы
Функционирование
СБ
18

Требования к силам обеспечения безопасности значимого объекта КИИ
C
ил
ы
ОБ
Руководитель определяет
состав и структуру СБ
Подразделение,
ответственное за обеспечение
безопасности
Функции
Совершенствование ОРД, функционирования СБ,
повышения уровня безопасности
Анализ угроз
Реализация требований по обеспечению безопасности
Реализация организационных мер, применение и
эксплуатация СЗИ
Реагирование на инциденты
Организация оценки соответствия
Координация и контроль деятельности иных
подразделений
Должны
обладать
знаниями и
навыками
Не допускается возложение функций, не связанных с ОБ
Могут привлекаться
лицензиаты, для выполнения
функций структурного
подразделения
Должны быть ознакомлены с ОРД
Подразделения, эксплуатирующие и
обеспечивающие функционирование
значимых объектов
Соблюдают ОРД
Доведены положения ОРД
Повышение уровня знаний не реже 1 раза в год
19

Требования к средствам обеспечения безопасности значимого объекта КИИ
Сре д
ства защ иты инф ормации
Прошедшие оценку соответствия в форме
Обязательной
сертификации (
если
установлено законодательством,
или по решению субъекта
)
Испытаний или приемки
согласно ФЗ «О техническом
регулировании»
(
самостоятельно или с
привлечением лицензиатов)
Обеспечивают реализацию технических мер,
согласно требованиями по безопасности
В приоритетном порядке подлежат применению
СЗИ, встроенные в ПО и (или) программно-
аппаратные средства объектов КИИ
Применяются в соответствии с инструкциями
(правилами) по эксплуатации
Обеспечены гарантийной и технической
поддержкой
Учет возможных ограничений производителей
(санкции)
20