Федеральный закон "О безопасности критической информационной инфраструктуры Российской Федерации" от 26.07.2017 N 187-ФЗ вступил в силу 1 января 2018 года и ввел понятия объектов и субъектов критической информационной инфраструктуры (КИИ), а также обязанности организаций по обеспечению безопасности объектов КИИ.
Субъектами КИИ, на которые распространяются требования закона, являются государственные и коммерческие учреждения, работающие в сферах, составляющих основу функционирования государства: здравоохранении, науке, транспорте, связи, энергетике, банковской сфере и иных сферах финансового рынка, топливно-энергетическом комплексе, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности. Под объектами КИИ понимаются информационные системы (ИС), информационно-телекоммуникационные сети (ИТС), автоматизированные системы управления (АСУ) субъектов КИИ.
В соответствии с требованиями закона, предприятия и организации должны провести категорирование своих объектов КИИ и уведомить о результатах ФСТЭК России. Рекомендуемый срок – январь 2019 года. Однако в настоящее время многие организации либо еще не начали категорирование своих объектов, либо находятся в самом начале пути. При этом у ряда компаний и предприятий нет понимания не только того, как проводить категорирование, но и подпадают ли они вообще под действие данного ФЗ.
В статье, подготовленной экспертом компании «Стэп Лоджик», предлагается оптимальный вариант реализации требований по защите объектов КИИ, уточняется, на что стоит обратить внимание при проведении данных работ, а также рассказывается о факторах, влияющих на стоимость таких проектов.
С чего начать?
Самый первый вопрос, на который необходимо ответить: является ли ваша организация субъектом КИИ. Для этого регулятор (ФСТЭК России) рекомендует осуществить поиск указанных в тексте закона тринадцати видов деятельности в уставах, ОКВЭД, лицензиях организации[1]. Если ваше предприятие соответствует данному критерию, необходимо приступать к категорированию объектов.
Почему к категорированию не стоит относиться как к очередной формальности
Без категорирования объектов КИИ невозможно определить необходимые технические и организационные меры защиты. Именно от результатов категорирования зависят дальнейшие объемы работ в области ИБ.
В случае расследований инцидентов ИБ возможна ситуация, когда привлекаемые органы установят нарушения в защите объектов КИИ по причине отсутствия категорирования или его занижения. Это может повлечь за собой уголовную ответственность в соответствии с УК РФ (ст. 274.1).
Кроме того, уже анонсировано введение в начале 2019 года административной ответственности за некорректное категорирование объектов КИИ и нарушение установленных сроков. Сроки категорирования будут жестко регламентированы, и, если не начать процесс заранее, есть вероятность в них не уложиться.
Категорирование – отдать подрядчику или провести самостоятельно?
Многие организации предпочитают отдать эту часть работ подрядчикам. Есть множество примеров, когда заказчик просит не только провести категорирование, но и в целом «привести все объекты КИИ в соответствие с 187-ФЗ». Специалисты «Стэп Лоджик» рекомендуют осуществлять категорирование самостоятельно, а если и привлекать сторонних исполнителей, то только для консультации по частным вопросам.
Во-первых, в соответствии с законодательством, вся ответственность за принятие решений ложится исключительно на руководителя организации и комиссию, включающую руководителей подразделений и иных ответственных работников, а не на подрядную организацию.
Во-вторых, основа категорирования – оценка последствий от нарушений функционирования критических процессов и соответствующих объектов КИИ. Интеграторы и консультанты априори не могут знать все детали и нюансы вашей деятельности, все возможные последствия и их взаимосвязи. По опыту «Стэп Лоджик», даже в рамках группы компаний одни и те же процессы иногда реализованы по-разному, и такие нюансы могут оказать существенное влияние на результаты категорирования. Поэтому сторонние специалисты, изучив, например, десять заводов, не смогут быстро и идеально описать одиннадцатый без его обследования – вся информация в итоге будет снова запрашиваться у ответственных сотрудников. Таким образом, массив данных для категорирования предоставляется самой организацией, а суть услуг подрядчиков в 90% случаев состоит в наличии у них отработанных шаблонов и отчетных форм, а также имеющегося опыта работы с конкретной сферой.
В-третьих, для того чтобы подрядчик смог качественно провести категорирование, ему необходимо полностью изучить все бизнес-процессы организации, ее инфраструктуру, показатели деятельности (договоры, финансовую отчетность, иную статистику). Очевидно, что в данном случае проект займет не один месяц, а стоимость работ может оцениваться в миллионы рублей, если речь идет о крупных предприятиях или группах компаний. Насколько это оправдано с учетом сказанного выше?
Проведение категорирования своими силами – это еще один повод детально разобраться в бизнес-процессах организации, оценить все риски и ответить на главный вопрос: к каким последствиям может привести недостаточное соблюдение организационных и технических мер защиты информации. Это важно понимать самой организации, в том числе при дальнейшей реализации мер защиты и обосновании соответствующих проектов.
Если вы решились проводить категорирование самостоятельно, получить ответы на отдельные вопросы можно из следующих источников:
- По телефону горячей линии ФСТЭК России: 8 (499) 246-11-89, на методических сборах регулятора и конференциях, где выступают специалисты ФСТЭК;
- В подробной методике категорирования объектов КИИ от «Стэп Лоджик» с шаблонами необходимых документов и ответами на часто задаваемые вопросы. Методика распространяется на безвозмездной основе, доступна для скачивания на сайте компании и постоянно обновляется с учетом взаимодействия с регулятором и полученного опыта;
- На профильных ресурсах (например, чат КИИ 187-ФЗ в Telegram);
- Также можно привлекать консультантов для решения конкретных вопросов. Но в данном случае это частное мнение, основанное на субъективных знаниях и опыте, и оно не всегда будет верным. Лучше сопоставлять информацию из нескольких источников.
Категорирование выполнено. Что дальше?
Дальнейшие шаги будут различаться в зависимости от того, есть ли у организации значимые объекты КИИ по результатам категорирования.
Если значимых объектов нет, то дополнительные требования по защите объектов КИИ, определяемые ФСТЭК России, не требуются. Но это не значит, что защищать ничего не нужно – вполне вероятно, что после оценки возможного ущерба при инцидентах организация сама пересмотрит важность безопасности своих ресурсов и будет заинтересована в реализации дополнительных мер защиты. В соответствии с требованиями 187-ФЗ, необходимо будет обеспечить взаимодействие с ГосСОПКА в части предоставления сведений об инцидентах ИБ. Детали по передаваемой информации и организации взаимодействия можно найти в соответствующих приказах ФСБ России и методических документах НКЦКИ (органа, ответственного за оперирование ГосСОПКА).
Если у организации есть значимые объекты КИИ, то ей потребуется реализовать систему безопасности для защиты данных объектов в соответствии с нормативными документами ФСТЭК России.
Организация проектов по защите объектов КИИ. Рекомендации
С учетом высокой загрузки отделов и департаментов по ИБ и нехватки профильных специалистов в самих организациях, данные работы обычно реализуют в виде проектов с привлечением подрядчиков. Далее рассмотрим рекомендации «с другой стороны баррикад», так как часто организации сами загоняют себя в угол, и из-за банальных неточностей в постановке задачи получают не те результаты, на которые рассчитывали.
1. Разбейте проект на части
Не стоит объединять в один проект (договор) все работы «под ключ». Есть несколько этапов, от результата которых зависит объем всех последующих работ, поэтому до их завершения подрядчик не сможет корректно оценить сроки и бюджет проекта. Соответственно, будет или демпинг и не слишком качественный результат, в случае объема работ выше ожидаемого, или, наоборот, попытка перезаложиться для закрытия своих рисков. Поэтому в «Стэп Лоджик» рекомендуют разбить проект на этапы и реализовывать их последовательно, приступая к следующему этапу только после завершения предыдущего:
- Категорирование объектов. На данном этапе фактически определяется область дальнейших работ – перечень объектов КИИ и их границы;
- Разработка требований ИБ. Это ключевой этап, на котором осуществляется оценка угроз и формируются требования к необходимым мероприятиям и средствам защиты или обосновывается возможность использования существующих мер защиты;
- Все последующие работы, связанные с реализацией мер, определенных на втором этапе.
2. Используйте результаты предыдущих работ
Нередко объекты КИИ также являются информационными системами персональных данных (ИСПДн) и/или государственными информационными системами (ГИС). В таких случаях необходимо выполнить требования нормативных документов из нескольких сфер. Стоит включить в работы ревизию уже выполненных ранее проектов и ответить на следующие вопросы:
- Соответствуют ли друг другу «старая» и «новая» модели угроз, выполненные для одной и той же системы – например, для ГИС (ИСПДн), которая стала еще и объектом КИИ?
- Насколько соответствуют реализованные ранее требования по защите информации новым, какие из существующих средств защиты планируется использовать для защиты объекта КИИ?
- Насколько соответствуют существующие нормативно-методические документы организации по вопросам ИБ новым требованиям?
3. Не стоит изобретать велосипед
В приказах ФСТЭК №235 и №239 в явном виде определены все работы, их содержание и документация, которая должна быть разработана в ходе реализации проектов по защите объекта КИИ. При формировании задания на работы рекомендуется строго придерживаться этих формулировок, чтобы четко выполнить поставленную задачу и не увеличить сроки и бюджет проекта. Даже незначительная корректировка может иногда повлечь заметные изменения в проекте.
4. Используйте средства защиты, «прошедшие оценку соответствия»
Применение сертифицированных средств защиты не во всех случаях является обязательным. Чтобы не загнать себя и исполнителя в угол, пропишите в требованиях формулировку из нормативных документов: «использование средств защиты, прошедших оценку соответствия». Грамотный исполнитель сам определит необходимость применения сертифицированных средств защиты и возможность использования альтернатив.
Факторы, влияющие на стоимость работ по реализации требований 187-ФЗ
Напоследок следует затронуть немаловажный вопрос – стоимость проектов, а точнее, факторов, которые могут на нее повлиять.
Объем работ. Большая часть работ напрямую связана с числом объектов КИИ в организации, так как все объекты необходимо изучить в отдельности, понять их взаимосвязи, интеграцию в общую инфраструктуру. Кроме того, многие обязательные документы разрабатываются для каждого объекта. Меры защиты в части случаев также могут реализовываться раздельно для объектов.
Возможная оптимизация. Рекомендуется укрупнять объекты КИИ при категорировании. Если 10 систем реализуют один технологический процесс и размещены в едином сегменте сети, то их можно обобщить (в части случаев это стоит делать даже с распространением повышенной категории значимости на все системы).
Гетерогенность объектов. Если в организации 20 «офисных» ИС, расположенных в стандартной ЛВС, то объем работ будет меньший, чем, например, для 10 «офисных» ИС и 10 АСУ ТП. Данные типы систем различаются в архитектуре, будут иметь различные риски ИБ и подходы к их защите.
Централизация. Для групп компаний имеет смысл проводить работы в рамках централизованного проекта. В данном случае будет обеспечен стандартизованный подход с использованием типовых документов и проектных решений. Суммарный объем объектов защиты останется прежним, но повысится коэффициент типизации систем, что позволит уменьшить общую стоимость работ.
Зрелость существующих процессов обеспечения ИБ. Если в организации уже реализованы проекты по защите ИСПДн, ГИС, АСУ ТП, существует система управления ИБ с налаженными процессами, такими как управление рисками, мониторинг и выявление инцидентов ИБ, управление конфигурацией и т.д., то весьма вероятно, что проект сведется к грамотному обоснованию достаточности существующих мер и предоставлению ссылок на соответствующую документацию.
Принадлежность к органам государственной власти. Для объектов КИИ, являющихся ГИС, становятся актуальными требования по использованию сертифицированных мер защиты и аттестации объектов. Если данные требования еще не были выполнены, то это значительно повлияет на увеличение бюджета и сроков работ. Для юридических лиц рекомендуется не включать эти требования в задания на работы, так как они не являются обязательными.
Автор: Денис Пащенко, ведущий аналитик отдела консалтинга и аудита информационной безопасности «Стэп Лоджик»
Примечания
- ↑ Детали разбора с примерами можно найти в подробной методике категорирования объектов КИИ, разработанной специалистами «Стэп Лоджик»