Новости

О требованиях к средствам защиты объектов критической информационной инфраструктуры РФ

Атаки злоумышленников (например, прошлогодние WannaCry или недавние VPNfilter и Purgen, атакующий объекты здравоохранения) уже давно угрожают не только простым пользователям или корпоративным сетям, но и целым государствам. Речь в таких случаях зачастую идет о применении кибероружия хакерскими группами или спецслужбами для нанесения максимально возможного урона попавшему под атаку государству. С учетом информатизации энергосистем, систем управления технологическими процессами и других важных отраслей транспорта, промышленности, финансов и управления такие атаки могут иметь последствия в виде больших материальных потерь.

С первого января 2018 года в России процесс обеспечения безопасности таких информационных систем регулируется федеральным законом №187 "О безопасности критической информационной инфраструктуры Российской Федерации".

ЧТО ТАКОЕ КРИТИЧЕСКАЯ ИНФРАСТРУКТУРА

По закону, к объектам критической инфраструктуры (КИИ) относятся информационные системы, информационно-телекоммуникационные сети государственных органов, а также информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления технологическими процессами, функционирующие в оборонной промышленности, области здравоохранения, транспорта, связи, кредитно-финансовой сфере, энергетике, топливной, атомной, ракетно-космической, горнодобывающей, металлургической и химической промышленности.

Владельцы КИИ создают комиссию, которая категорирует объекты КИИ исходя из критериев, установленных Постановлением Правительства РФ от 08.02.2018 № 127. Дальше происходит процедура проверки верного отнесения объекта к той или другой категории федеральным органом исполнительной власти, уполномоченным заниматься этим вопросом (эти функции выполняет ФСТЭК России).

Если категория присвоена правильно, ФСТЭК включает объект КИИ в реестр значимых объектов критической информационной инфраструктуры.

В настоящее время реестр таких объектов находится в процессе создания, но поэтапно в него могут войти большинство государственных систем и АСУ ТП значимых предприятий в упомянутых выше областях деятельности. Причем объекты КИИ могут быть как в государственной и муниципальной, так и в частной собственности.

ТРЕБОВАНИЯ К СРЕДСТВАМ ЗАЩИТЫ ИНФОРМАЦИОННЫХ СИСТЕМ

Требования к средствам защиты КИИ в настоящее время дорабатываются и будут определяться приказом ФСБ России. Согласно проекту приказа "Об утверждении Требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты" общие требования к средствам защиты основываются на следующих пунктах:
  • отсутствие принудительного обновления и управления средствами защиты со стороны их производителей или третьих лиц;
  • возможность обновления и гарантийной и технической поддержки российскими организациями, не находящихся под контролем иностранных физических или юридических лиц;
  • соответствие техническим требованиям к собственной безопасности и реализуемым функциям, упомянутым в приказе.

Перечень требований приказа, обеспечивающих отечественное происхождение средств защиты информации, соответствует последним изменениям в критериях включения программ в «Единый реестр российских программ для электронных вычислительных машин и баз данных», принятых Министерством цифрового развития, связи и массовых коммуникаций РФ, в части средств класса «Средства обеспечения информационной безопасности».

Напомним, что решения компании Айдеко - Ideco ICSIdeco Selecta - находятся в реестре российского ПО и относятся к данному классу программ.
Использование зарубежных средств для защиты КИИ (как программных, так и программно-аппаратных) исходя из требований законодательства невозможно.

ОТВЕТСТВЕННОСТЬ ЗА ЗАЩИТУ КРИТИЧЕСКОЙ ИНФРАСТРУКТУРЫ

Согласно статьи 14 закона о безопасности КИИ, «нарушение требований настоящего Федерального закона и принятых в соответствии с ним иных нормативных правовых актов влечет за собой ответственность в соответствии с законодательством Российской Федерации».

В прошлом году были внесены изменения в УК РФ, и теперь ответственность за ущерб КИИ определяется в статье 274.1 "Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации".

В частности, ответственность за эксплуатацию информационных систем КИИ определяется пунктами 3, 4 и 5.

3. Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, или информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи, относящихся к критической информационной инфраструктуре Российской Федерации, либо правил доступа к указанным информации, информационным системам, информационно-телекоммуникационным сетям, автоматизированным системам управления, сетям электросвязи, если оно повлекло причинение вреда критической информационной инфраструктуре Российской Федерации,
— наказывается принудительными работами на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового либо лишением свободы на срок до шести лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.

4. Деяния, предусмотренные частью первой, второй или третьей настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой, или лицом с использованием своего служебного положения,
— наказываются лишением свободы на срок от трех до восьми лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.

5. Деяния, предусмотренные частью первой, второй, третьей или четвертой настоящей статьи, если они повлекли тяжкие последствия,
-наказываются лишением свободы на срок от пяти до десяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового.
При этом ответственность по данным статьям могут нести как непосредственные исполнители, так и руководство юридических лиц и государственных органов.

ЧТО ДАЛЬШЕ

Процесс вступления в силу подзаконных актов, а также формирования реестра КИИ продолжается.

Значимым изменением является полный отказ от зарубежных средств защиты информации в сфере критической инфраструктуры РФ, а также серьезная ответственность за неправильную эксплуатацию информационных систем в случае успешно проведенных злоумышленниками атак, повлекших серьезный ущерб.

Как российский производитель межсетевых экранов нового поколения и решений для контентной фильтрации мы стремимся развивать продукты для их соответствия высоким требованиям безопасности в критичных для государства областях.
Вопросы по необходимости соответствия ваших информационных систем новым требованиям вы можете задавать нашим менеджерам отдела продаж:
по телефонам: 8 800 555 33 40, +7 (495) 987 32 70;
по электронной почте: sales@ideco.ru
2018-07-18 15:42 Статьи