- Финансовое право

Обеспечение безопасности КИИ. Что год текущий нам готовит…

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Обеспечение безопасности КИИ. Что год текущий нам готовит…». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Содержание
1. КТО МЫ, КИИ ИЛИ НЕ КИИ?
2. Подходы к внедрению процессов БРПО
3. от 17 апреля 2020 г. N 240/84/611
4. Сколько стоит аттестация?
5. Ростехнадзор опубликовал графики проверок на 2021 год
6. План проверок Роскомнадзора на 2021 год
7. Обеспечение безопасности КИИ. Что год текущий нам готовит…
8. Приказ № 239 ФСТЭК России
9. Средства защиты информации (СЗИ)
10. Что ФСТЭК нам приготовила нового?
11. План проверок фстэк на 2022 год

В соответствии со статьей 7 Федерального закона от 26 июля 2017 г. N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и Правилами категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденными постановлением Правительства Российской Федерации от 8 февраля 2018 г. N 127, субъекты критической информационной инфраструктуры осуществляют категорирование объектов критической информационной инфраструктуры Российской Федерации, в ходе которого формируют и направляют в ФСТЭК России перечни объектов критической информационной инфраструктуры, подлежащих категорированию.

КТО МЫ, КИИ ИЛИ НЕ КИИ?

Первым делом необходимо выяснить, подпадает ли организация под понятие «субъект КИИ» и сделать это можно посмотрев законодательство. Не нашли себя, выдохните, у вас немного меньше головной боли.

Какие критерии указывают что вы субъект КИИ?

Первый критерий – ОКВЭД организации. Общероссийский классификатор видов экономической деятельности (ОКВЭД), они, а их может быть много у одного предприятия, открываются в любой момент деятельности, поэтому актуальный список вы можете посмотреть в выписке ЕГРЮЛ предприятия или информационно-справочных сервисах «Контур Фокус», «Спарк» и пр. ОКВЭД явно укажет, к какой сфере деятельности относится ваше предприятие и подпадает ли под перечень следующих отраслей указанных в ФЗ №-187:

  • здравоохранение;
  • наука;
  • транспорт;
  • связь;
  • энергетика;
  • банковская сфера и иные финансовые сферы;
  • топливно-энергетический комплекс;
  • область атомной энергии;
  • оборонная промышленность;
  • ракетно-космическая промышленность;
  • горнодобывающая промышленность;
  • металлургическая промышленность;
  • химическая промышленность;
  • юридически лица и/или ИП, которые обеспечивают взаимодействие указанных систем или сетей.

Подходы к внедрению процессов БРПО

Рассматривая существующие подходы к внедрению процессов безопасной разработки ПО (БРПО), можно выделить три основных направления: отечественная регуляторика, гармонизированные международные стандарты, международные стандарты и практики. К последним двум можно отнести стандарты серии ГОСТ/ИСО МЭК 27034 «Безопасности приложений», систему стандартов ГОСТ Р ИСО/МЭК 15408 «Общие критерии», а также стандарты, разработанные на основе накопленного опыта крупных международных вендоров и некоммерческих организаций, таких как Microsoft, Cisco, OWASP и других.

Если говорить про отечественную регуляторику, то это уже упомянутый выше Приказ № 239 ФСТЭК России, а также система национальных стандартов ГОСТ Р 56939, к которой относится один утвержденный стандарт и пять опубликованных проектов стандартов. Изложенные в них подходы хорошо знакомы разработчикам средств защиты информации, которые в ходе сертификационных испытаний проводят проверки безопасности своих программных продуктов по «Методике выявления уязвимостей и недекларированных возможностей» (документ утвержден в 2020 году и имеет ограниченное распространение), а также в соответствии с требованиям Приказа № 76 ФСТЭК России.

от 17 апреля 2020 г. N 240/84/611

Для единообразного подхода к формированию перечней объектов критической информационной инфраструктуры, подлежащих категорированию, рекомендуется направлять в ФСТЭК России утвержденный руководителем субъекта критической информационной инфраструктуры (или уполномоченным лицом) перечень объектов критической информационной инфраструктуры, подлежащих категорированию, оформленный в соответствии с приложением 1.

В соответствии с пунктом 15 указанных Правил перечни объектов критической информационной инфраструктуры, подлежащих категорированию, направляются в ФСТЭК России в печатном и электронном виде (формат .ods и (или) .odt).

Одновременно отмечаем, что предоставление информации об отсутствии в организации объектов критической информационной инфраструктуры или о том, что организация не является субъектом критической информационной инфраструктуры Российской Федерации в ФСТЭК России в соответствии с законодательством о безопасности критической информационной инфраструктуры Российской Федерации не требуется.

В соответствии с пунктом 18 указанных Правил, а также пунктом 2 приказа ФСТЭК России от 21 марта 2019 г. N 59 «О внесении изменений в форму направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, утвержденную приказом Федеральной службы по техническому и экспортному контролю от 22 декабря 2017 г. N 236» сведения о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий направляются в ФСТЭК России в бумажном виде с приложением электронных копий в формате файлов электронных таблиц (формат .ods).

Дополнительно обращаем внимание субъектов критической информационной инфраструктуры на то, что пунктами 2 и 3 постановления Правительства Российской Федерации от 13 апреля 2019 г. «О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. N 127» установлен срок утверждения перечня объектов критической информационной инфраструктуры, подлежащих категорированию, — 1 сентября 2019 г., а пунктом 15 указанных Правил – максимальный срок категорирования объектов критической информационной инфраструктуры, который не должен превышать одного года со дня утверждения субъектом критической информационной инфраструктуры перечня объектов критической информационной инфраструктуры, подлежащих категорированию (внесения в него изменений).

Читайте также:  Можно ли шуметь в воскресенье в квартире Тула

к информационному сообщению

от 17 апреля 2020 г. N 240/84/611

Сколько стоит аттестация?

Стоимость аттестации зависит от множества критериев. В первую очередь от того, проводились ли ранее работы по аттестации объекта КИИ.

Полный набор критериев, от которых зависит стоимость аттестации выглядит следующим образом:

  • количественные характеристики (количество объектов вычислительной техники, сетевого и коммуникационного оборудования);
  • качественные характеристики (состав используемого прикладного программного обеспечения, типы аппаратных платформ и др.);
  • применяемые технологии обработки информации (терминальный доступ, беспроводной доступ, SAAS, облачные технологии и др.);
  • распределенность информационной системы (географическая/территориальная).

Только проведя оценку по каждому критерию, можно определить стоимость аттестации объекта КИИ.

Ростехнадзор опубликовал графики проверок на 2021 год

  • Как изменились требования по удалённому взаимодействию? (20:08)
    Смягчены требования по удалённому взаимодействию ЗО КИИ с внешним миром. Норма о запрете на взаимодействие заменена допущением на взаимодействие в отдельных случаях при условии выполнения определённых мер.

  • В каких случаях допускается удалённое взаимодействие? (23:58)
    Удалённое взаимодействия допускается в случае технической невозможности его исключения. Например, при необходимости получения извне данных для обеспечения техпроцесса.

  • Кому разрешён удалённый доступ? (24:46)
    Работникам организаций, дочерних по отношению к субъекту КИИ, который эксплуатирует значимый объект КИИ.

  • Как организовать получение обновлений для ЗО КИИ с учётом требований к удалённому доступу? (24:54)
    Так как запрещается удалённый доступ со стороны лиц, не являющихся работниками субъекта КИИ, то сотрудник субъекта может зайти на сайт производителя ПО, в личном кабинете скачать обновление и установить его. Запрещается доступ разработчика ПО (ПЛК, SCADA-пакета) к ЗО КИИ — ограничение именно на это накладывается.

  • Какие меры надо принять для организации удалённого доступа? (26:17)
    Меры уже были перечислены в Приказе №239, теперь они указаны в явном виде, чтобы не было возможности отказаться от их выполнения, заменив меры из базового набора другими мерами.

    1. Определение лиц и устройств, которым разрешён удалённый доступ;
    2. Контроль доступа;
    3. Защита данных, передаваемых по каналам удалённого доступа;
    4. Мониторинг и регистрация действий лиц, которым разрешён удалённый доступ, и анализ действий по удалённому доступу;
    5. Обеспечение невозможности отказа лиц, получивших удалённый доступ, от совершённых действий.
  • Правовые основы деятельности
  • Нормативные акты
  • Постановления Европейского Суда по правам человека
  • Судебная практика
  • Конституционный Суд
  • Верховный Суд
  • Научно-методические материалы
  • По вопросам надзора за исполнением федерального законодательства
  • По иным вопросам надзорной деятельности
  • Статистические данные
  • Об использовании выделяемых бюджетных средств
  • О деятельности органов прокуратуры

План проверок Роскомнадзора на 2021 год

Согласно документам ФСТЭК России, к СЗИ относятся: межсетевые экраны, средства обнаружения вторжений, антивирусные программы, средства доверенной загрузки и контроля съемных носителей, другие решения в области информационной безопасности. В таблице 1 приведена дифференциация требований к УД СЗИ в зависимости от класса (категории/уровня) объекта защиты.

Таблица 1. Дифференциация требований к уровням доверия СЗИ

УД СЗИ КИИ (категория) ГИС АСУ ТП ИСПДн
(уровень защищенности ПДн)
(класс защищенности)
6 3 3 3 3, 4
5 2 2 2 2
4* 1 1 1 1
1, 2, 3 Государственная тайна
* включая информационные системы общего пользования II класса

СЗИ, соответствующие 6-му УД, подлежат применению в значимых объектах критической информационной инфраструктуры (далее — КИИ) 3 категории, в государственных информационных системах (далее — ГИС) 3 класса защищенности, в автоматизированных системах управления производственными и технологическими процессами (далее — АСУ ТП) 3 класса защищенности, в информационных системах персональных данных (далее — ИСПДн) при необходимости обеспечения 3 и 4 уровня защищенности персональных данных.

СЗИ, соответствующие 5-му УД, подлежат применению в значимых объектах КИИ 2 категории, в ГИС 2 класса защищенности, в АСУ ТП 2 класса защищенности, в ИСПДн при необходимости обеспечения 2 уровня защищенности персональных данных.

СЗИ, соответствующие 4-му УД, подлежат применению в значимых объектах КИИ 1 категории, в ГИС 1 класса защищенности, АСУ ТП 1 класса защищенности, в ИСПДн при необходимости обеспечения 1 уровня защищенности персональных данных, в информационных системах общего пользования II класса.

Обеспечение безопасности КИИ. Что год текущий нам готовит…

Роскомнадзор осуществляет следующие формы проверок:

  • Плановая. О таких проверках руководитель предупреждается заблаговременно. За трое суток до проведения мероприятия компании отправляется уведомление, в котором указана дата проверки. Кроме того, план контрольных мероприятий расположен на сайте Роскомнадзора. На сайте руководитель может проверить, входит ли он в перечень ЮЛ, подлежащих проверке.
  • Внеплановая. Назначается в том случае, если в отношении компании поступили жалобы. Жалобы эти могут быть связаны, к примеру, с постоянными телефонными звонками. О внеплановом контрольном мероприятии фирма предупреждается за сутки.
  • Документарная. Роскомнадзор отправляет запрос в фирму с перечнем документов, которые нужно направить на проверку. Руководитель при получении такого запроса должен отправить в государственный орган копии бумаг.
  • Выездная. Проверка осуществляется на месте. То есть инспекторы сами приезжают в фирмы.
Читайте также:  Лицензия на алкоголь для общепита 2023 Москва

Даже в том случае, если проверка будет плановой, у руководителя остается очень мало времени на подготовку. По этой причине нужно готовится заблаговременно.

Для успешного прохождения проверки рекомендуется нанять сотрудника, который будет отвечать за верность оформления всех документов, связанных с информационным направлением. Необходимость эта связана с тем, что для подготовки нужно проверять правильность огромного объема документации. Проще озаботиться этим вопросом заранее. Однако вариант с наймом сотрудника актуален только для больших предприятий.

Маленьким компаниям можно воспользоваться услугами стороннего эксперта. Рассмотрим план по подготовке к проверке:

  1. Установление наличия уведомления о работе с ПД, направленного в Роскомнадзор. Отправлять это уведомление нужно перед началом работы с данными.
  2. Проверка соответствия деятельности информации, прописанной в едином реестре.
  3. Назначение лица, ответственного за работу с ПД.
  4. Составление Политики фирмы в отношении обработки ПД.
  5. Подготовка сотрудников к контрольному мероприятию. В ходе нее работники знакомятся с бумагами, касающимися обработки данных, устанавливаются правила поведения.
  6. Проверка правильности хранения документов, ограниченности доступа к ним.
  7. Проверка системы безопасности: наличие замков и сейфов.

Для подготовки бумаг можно использовать специальные онлайн-сервисы.

Сначала в компанию направляется уведомление о предстоящей проверке. В документе нужно указать сроки проведения, а также реквизиты приказа, на основании которого осуществляется мероприятие. Сначала инспекторы проверяют документы, связанные с информационным направлением. Затем в компанию направляется запрос. Ответить на него нужно на протяжении 10 дней. Руководитель должен направить в контролирующий орган копии документов. Их требуется заверить подписью.

Если в процессе проверки были обнаружены недочеты, назначается выездная проверка. В компанию приезжает минимум два инспектора. Они должны предъявить удостоверение, а также копию приказа, на основании которого проводится мероприятие.

Во время проверки:

  1. Вы имеете право ознакомиться с документами, относящимися к проверке, с положениями и регламентом;
  2. Не экономьте на помощи профессионалов. Даже присутствие юриста придаст вам уверенности и поможет не упустить из виду важных мелочей в переговорах и оформлении документов;
  3. Не паникуйте;
  4. Тщательно проверяйте документы, прежде чем передать их инспектору. По возможности снимайте со всего копии;
  5. Выездной осмотр может проводиться только в присутствии понятых. Если их нет, вы имеете право обжаловать результаты проверки через суд;
  6. Инспекторы не имеют права изымать документы, не имеющие отношения к предмету проверки;
  7. Не предоставляйте требуемые документы мгновенно. Вы имеете право на некоторое время для обработки запроса. Не торопитесь, проверьте все еще раз перед передачей инспектору.

Приказ № 239 ФСТЭК России

Перечислены меры защиты, которые нужно применять исходя из присвоенной объекту категории.

Средства защиты информации (СЗИ)

Чаще всего у нас спрашивают: нужно ли ис­пользовать только те средства защиты, кото­рые прошли сертификацию во ФСТЭК? Пункт 28 Приказа № 239 говорит о том, что вы можете применять инструменты ИБ, сертифициро­ванные регулятором, но не обязательно толь­ко их. Для использования средств защиты, не прошедших сертификацию, необходимо провести их испытания и приемку. Они долж­ны доказать, что, например, антивирус выпол­няет заявленный функционал и соответствует требованиям Приказа № 239. Для объектов 3­-й категории должны быть проведены следую­щие приемо-­сдаточные испытания: «АВЗ.2 – Антивирусная защита электронной почты и иных сервисов», «АВЗ.4 – Обновление базы данных признаков вредоносных компьютер­ных программ (вирусов)», «АВЗ.1 – Реализация антивирусной защиты».

Проблема с несертифицированным анти­вирусом особенно актуальна для промышлен­ных предприятий, использующих импортное оборудование. Зачастую его производители крайне негативно относятся к применению СЗИ, не прошедших испытания в их лабораториях, и рекомендуют только одобренные ими про­дукты. При исполнении гарантийных обяза­тельств в случае неисправности оборудования они в первую очередь проверяют, не вмеши­вался ли эксплуатант в его работу и не уста­навливал ли он нерекомендуемое ПО. При вы­ явлении попыток вмешательства вендор АСУ ТП просто снимает оборудование с гарантии. Поэтому мы постоянно видим на промышлен­ных предприятиях несертифицированные регулятором средства защиты.

Также субъектов волнует, какие именно средства защиты нужно внедрить для вы­полнения требований регулятора. Ответить однозначно не сможет никто. Во­-первых, кате­горируются 3 разные сущности: информацион­ные системы, информационно-телекоммуни­кационные сети и АСУ ТП. Для каждой из них есть свои рекомендованные СЗИ. Во­-вторых, выполнение более половины требований Приказа No 239 обеспечивается встроенными возможностями. В­-третьих, всегда нужно все­сторонне оценивать существующие средства защиты, особенно для АСУ ТП.

В качестве примера рассмотрим субъект с АСУ ТП, которая ранее не защищалась, а сей­час ей присвоена 3-­я категория значимости. Мы предлагаем обратить внимание на сред­ства защиты из табл. 3. Мы всегда предостав­ляем на выбор решения нескольких вендоров, а если возможно, то и несколько вариантов от выбранного производителя. Например, если субъект хочет установить межсетевой экран, мы предложим продукты как минимум 3 про­изводителей, а затем варианты из модельного ряда, представленного в России.

Читайте также:  Расчет налога на имущество Москва в 2023 году

Что ФСТЭК нам приготовила нового?

К наиболее часто встречающимся недочетам, которые обнаруживаются при проверке оператора, можно отнести:

— отсутствие любых средств защиты информации;

— недостаточный уровень знаний специалистов, отвечающих за информационную безопасность;

— отсутствие сертификатов на используемые средства защиты или завершение их срока действия сертификат;

— некорректное использование средств защиты информации, неправильную их настройку или не использование, несмотря на их наличие;

— отсутствие аттестации у государственной информационной системы;

— некорректно составленную модель угроз и нарушителей;

— отсутствие нормативной документации и формуляров;

— игнорирование факта проведения запланированных мероприятий по защите информации;

— низкий уровень физической защиты технических средств.

Непривычно, когда слово «визит» используется контролерами. Обычно визитом принято называть простое посещение какого-либо места или человека и совсем не с целью проверки. Тем не менее, в новом Федеральном законе «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации» от 31.07.2020 № 248-ФЗ словосочетание «инспекционный визит» применяется как официальное название одной из новых форм проверок.

Замена плановой выездной проверки инспекционным визитом возможна во втором полугодии 2021 года. Контролеры вправе провести такую замену, если:

  • выездная проверка включена в ежегодный план проверок на 2021 год;
  • решение о замене принято контролирующим органом не позднее чем за 20 рабочих дней до даты начала плановой проверки.

Если решение о замене будет принято контролирующим органом, проверяемую компанию или ИП должны уведомить о замене в течение 10 рабочих дней после принятия такого решения (п. 2-3 Постановления № 1969).

Получается, что те компании и ИП, чьи плановые выездные проверки запланированы на вторую половину 2021 года, могут получить от контролеров бонус: срок проверки сократится с 10 до 1 рабочего дня, и у инспекторов не будет возможности проверить бизнесмена по полной программе в рамках выездной проверки (инспекторы не смогут провести весь комплекс контрольных действий, предусмотренных ст. 65 Закона № 248-ФЗ).

Современные технологии позволяют проводить проверки без непосредственного присутствия инспекторов в проверяемой компании. В ходе инспекционного визита закон позволяет контролерам использовать дистанционные технологии: взаимодействовать с проверяемым лицом посредством аудио- или видеосвязи.

План проверок фстэк на 2022 год

Государственный контроль за соблюдением закона 54-ФЗ в 2022 году будет осуществляться следующими методами:

  • контрольная закупка у предпринимателя;
  • выездное обследование;
  • наблюдение за соблюдением предпринимателем обязательных требований;
  • документальная проверка.

Разберем каждый метод контроля подробно.

Это самая банальная проверка ККТ в 2022 году. Во время её проведения может проверяться документация на кассовую технику, ежедневные отчеты, регистрационные карточки онлайн-кассы и прочие документы.

Такая проверка проводится путем:

  • получения письменных объяснений с ИП и его сотрудников;
  • истребования документов;
  • экспертизы.

Экспертиза кассовой техники является крайним методом проведения проверки и используется только по серьёзным основаниям.

Документальные ревизии могут проводится и удаленно: путем обмена сообщениями и скан-копиями документов через личный кабинет ККТ.

Впервые мораторий на плановые проверки в форме так называемых «надзорных каникул» был введен 1 января 2016 года[1]. В этот период было отменено более полумиллиона проверок. Мера оказалась эффективной, и ее продлили до 1 апреля 2020 года[2]. Послабления распространялись только на малое предпринимательство.

  • Новые ПОТ: что было, что стало и кому это надо?
  • Маски, деньги, ФСС: как компенсировать «антиковидные» затраты?
  • Проверки и досудебное обжалование
  1. Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) (Text with EEA relevance)
  2. Guidelines on Consent under Regulation 2016/679 (wp259rev.01)
  3. 中华人民共和国个人信息保护法 2021年8月20日第十三届全国人民代表大会常务委员会第三十次会议通过)
    Комментарий. Закон Китайской Народной Республики о защите личной информации (Принято на 30-м заседании Постоянного комитета 13-го Всекитайского собрания народных представителей 20 августа 2021 г.). Англоязычная аббревиатура PIPL от Personal Information Protection Law. Данный закон, как и GDPR, экстротерриториален.

08.02.2022

  1. В раздел «Банковская безопасность. Нормативно-правовые акты Банка России» добавлены документы Указание Банка России от 16.12.2021 N 6018-У, Указание Банка России от 17.10.2018 N 4933-У, Информационное письмо Банка России от 28.06.2018 N ИН-03-13/40.
    16.01.2022
    1. В раздел «Электронная подпись» добавлены документы: Приказ Минкомсвязи России от 14.09.2020 N 472, Минцифры России от 10.08.2021 N ОП-П15-085-33604, Приказ Минцифры России от 18.08.2021 N 857, Приказ Минцифры России от 18.08.2021 N 858.

    Аудит, категорирование и формирование требований Эскизное и комплексное проектирование мер защиты Поставка средств защиты, внедрение и передача в пром. эксплуатацию Поддержка и развитие системы защиты КИИ

    Проведение аудита, моделирование угроз, формирование требований к мерам защиты значимых объектов критической информационной инфраструктуры.


    Похожие записи:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *