Распространение коронавирусной инфекции заставило предприятия ОПК всерьез задуматься об обеспечении эпидемиологической безопасности сотрудников. Но COVID-19 – это не единственная угроза исполнению ГОЗ, а лишь еще одна в ряду уже известных. Актуальной остается защита критической информационной инфраструктуры (КИИ). Требования к обеспечению безопасности прописаны и доступны, но, как убедился корреспондент Mil.Press FlotProm, не все компании, участвующие в исполнении оборонных контрактов, знают об этих требованиях и предупреждены об уголовной ответственности за их несоблюдение, а также готовы к информационным инцидентам.
Основной нормативно-правовой акт, регулирующий безопасность КИИ – это Федеральный закон от 26.07.2017 №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». В законе же раскрывается понятие субъекта КИИ.
«Субъекты критической информационной инфраструктуры – государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей», – говорится в законе.
Современные информационные системы – например, системы управления производственными данными, информационные системы управления предприятием (выполняющие плановые, финансовые, налоговые функции), а также сети связи, обеспечивающие работу других объектов КИИ, – служат для интеллектуализации производства, помогают прослеживать все бизнес-процессы предприятий, чем экономят деньги организаций, ускоряют смену поколений техники и становятся базой для полноценных систем управления жизненным циклом вооружения, военной и специальной техники.
Подобные информационные системы и надлежит защищать от действия иностранных технических разведок и организаций, действующих в их интересах, а также от потенциальных инцидентов вроде вирусных атак (например, вирусов Petya/NotPetya/ExPetr или вируса Stuxnet, парализовавшем в Иране ядерные объекты, о котором неоднократно говорили собеседники Mil.Press из НИИ «Центрпрограммсистем» и Академии информационных систем), либо вредительства через удаленный доступ.
Например, в сентябре 2019 года стало известно, что успешной атаке подверглась информационная инфраструктура «Восточной верфи». Зашифрованными оказали 129,5 тысячи файлов предприятия.
Как говорится в материалах дела, злоумышленники, «используя информацию о выявленных IP-адресах, номерах портов подключения, логинах и паролях доступа к ЭВМ, используя специализированный софт, получили удаленный доступ к ЭВМ АО «Восточная верфь», после чего осуществили неправомерный доступ к охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации путем ее блокирования и модификации, что повлекло причинение вреда КИИ АО «Восточная верфь» и причинение имущественного вреда указанной организации на сумму 655 тысяч рублей».
В ходе судебного разбирательства «Восточная верфь» подтвердила, что является субъектом КИИ. У крупных исполнителей ГОЗ сомнений насчет своего статуса обычно нет. Но при этом у них есть поставщики разных порядков, от работы которых зависит своевременное исполнение государственного оборонного заказа.
Корреспондент Mil.Press FlotProm связался с четырьмя руководителями предприятий, которые выступают поставщиками второго и третьего порядка для головных исполнителей ГОЗ. Двое рассказали, что не интересовались этой темой. Еще двое сообщили, что не считают себя субъектами КИИ и не создают систему безопасности по требования ФСТЭК, а их заказчики не проверяют защиту информационной инфраструктуры.
«У нас нет формы допуска к гостайне, требований по защите информационных систем никто не предъявлял. Если будет официальное обращение со стороны специальных служб, тогда все организуем. Пока никаких инцидентов не было», – рассказал глава одного из предприятий, выпускающего комплектующие для дизельных двигателей кораблей и судов Минобороны РФ и ФСБ России.
Со стороны представителей заказчиков ситуация двойственная: кто-то предъявляет требования к поставщикам и контрагентам, а кто-то нет.
Например, в компании «Армалит», по словам коммерческого директора предприятия Евгения Коптяева, существует специальный отдел, сотрудники которого проводят регулярные аудиты предприятий, поставляющих товары и услуги для нужд завода. В том числе они проверяют соответствие требованиям к хранению, обработке и использованию информации, наличие и соблюдение правил допуска и доступа к информации конфиденциального характера.
В других случаях, если у предприятия не возникало угрозы срыва сроков исполнения ГОЗ из-за проблем контрагентов с защитой информации, никаких собственных проверок может не быть. Директор по безопасности и персоналу НИИ «Атолл» Александр Новожилов сообщил корреспонденту Mil.Press, что научно-исследовательский институт не изучает обстановку с защитой КИИ у новых контрагентов, а также не предъявляет требований к контрагентам по защите КИИ.
Ведущий преподаватель учебного центра МАСКОМ, специалист в области обеспечения безопасности объектов критической информационной инфраструктуры Александр Германович придерживается позиции, что практически каждое оборонное предприятие является субъектом критической информационной инфраструктуры и обязано полностью соблюдать законодательство по обеспечению безопасности.
По его словам, определить принадлежность предприятия к субъектам КИИ непросто: например, значение имеют виды деятельности по ОКВЭД, наличие лицензий, фактическое выполнение работ по гособоронзаказу. В вопросе определения собственной принадлежности к субъектам КИИ требуется тщательный анализ как правоустанавливающих документов предприятия, так и его бизнес-процессов.
Если требования по безопасности просто игнорировать, последует уголовная ответственность. Статья 274.1 Уголовного кодекса РФ «Неправомерное воздействие на КИИ РФ» за невыполнение требований по обеспечению безопасности, которое повлекло причинение вреда критической информационной инфраструктуре, предусматривает наказание в виде принудительных работ на срок до 5 лет, либо лишение свободы на срок до 6 лет. Если последствия несоблюдения требований по обеспечению безопасности признают тяжкими, то срок заключения может вырасти до 10 лет.
Так, руководство оборонного предприятия, которое не заботится выяснением своего статуса субъекта КИИ и игнорирует требования по защите информационной инфраструктуры, рискует в случае атаки одновременно:
После осознания руководством предприятия принадлежности к субъектам КИИ, необходимо создать внутреннюю комиссию по категорированию. Важная особенность этого процесса – привлечение в комиссию только специалистов по бизнес-процессам предприятия, которые осознают, какие существуют угрозы и как инциденты могут нарушить работу предприятия.
Принципиальную важность правильного состава комиссии подтвердил корреспонденту Mil.Press и Михаил Скулябин, начальник управления информационных технологий Крыловского государственного научного центра.
«Мероприятия по защите инфраструктуры стоят денег, которые предприятию, к сожалению, никто не компенсирует. Поэтому комиссия должна правильно отработать и согласовать со ФСТЭК критичность объектов. Недооценка значимости объекта может повлечь санкции со стороны контролирующих органов, а переоценка – к чрезмерным затратам, что особенно неприятно при нынешней ситуации с коронавирусом», – высказал свое мнение специалист.
Только в случае ответственного формирования состава комиссии можно грамотно провести предпроектное обследование и составить перечень объектов КИИ, а также присвоить им правильные категории значимости.
Регламентируется это постановлением Правительства РФ от 08.02.2018 года №127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений».
Согласно перечню, категории значимости присваиваются исходя их пяти критериев:
В результате комиссия составляет «Акт категорирования объекта КИИ», содержащий полные сведения об объекте.
После этого предприятие направляет в Федеральную службу по техническому и экспортному контролю сведения о результатах категорирования объекта КИИ по форме, установленной Приказом ФСТЭК №236 от 22.12.2017 года. Специалисты службы проверяют правильность категорирования и вносят сведения в реестр значимых объектов КИИ.
После этого наступает этап создания системы безопасности объекта КИИ. Этап включает в себя разработку технического задания, модели угроз информационной безопасности, технического проекта, рабочей документации, а также внедрение мер защиты информации и проведение опытной эксплуатации и приемочных испытаний созданной системы безопасности. Только после этого обязанность субъекта КИИ можно считать выполненной, при условии, что он поддерживает и модернизирует созданную систему безопасности на протяжении всего срока эксплуатации объекта КИИ.
В свою очередь ФСТЭК предоставляет предприятиям информацию, необходимую для для обеспечения объектов КИИ, в том числе актуальные данные о способах проведения компьютерных атак, их последствиях, а также методах предупреждения и обнаружения.
Помимо выполнения текущих требований по защите критической информационной инфраструктуры на предприятие ложится еще одна обязанность: мониторинг изменений законодательства.
Так, например, субъектам КИИ стоит ожидать перехода на российское оборудование для защиты информационных систем и АСУ ТП. По данным РБК, в 2019 году вице-премьер Юрий Борисов, курирующий оборонную промышленность, поручил подготовить изменения в закон «О безопасности критической информационной инфраструктуры» для поэтапного замещения используемого иностранного оборудования.
Действующее законодательство не позволяет правительству России устанавливать требования об использовании российского программного обеспечения и оборудования на объектах КИИ.
Но если дополнение Юрия Борисова будет внесено в закон, субъекты КИИ будут обязаны использовать российское оборудование и софт, а иностранным компаниям запретят «обеспечивать взаимодействие» с сетями и информационными системами критической инфраструктуры.
Еще одним грядущим обновлением нормативно-правовой базы станет введение административной ответственности для предприятий, не обеспечивающих безопасность КИИ, если на него совершена компьютерная атака, которая не причинила инфраструктуре прямого ущерба. Соответствующий проект Федерального Закона разработала ФСТЭК в 2019 году.
«ФСБ и ФСТЭК планируют совершенствовать нормативно-правовую базу как путем внесения изменений в нормативные акты – приказы ФСТЭК, постановления Правительства, – так и путем выпуска методических документов по моделированию угроз, по оценке соответствия требованиям безопасности и так далее. Все субъекты КИИ вынуждены эти изменения отслеживать. Учебный центр «МАСКОМ» специально для таких предприятий отслеживает все текущие изменения и отражает их в своих учебных курсах», – подытожил специалист в области обеспечения безопасности объектов КИИ Александр Германович.
июль, 2022
пн
вт
ср
чт
пт
сб
вс
-
-
-
-
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
Курс секретный. Необходимые документы: Справка о соответствующей форме допуска к сведениям, составляющим государственную тайну; Предписание на выполнение задания; Копия СНИЛС и диплома о высшем профессиональном образовании (в соответствии с требованиями
Раскрыть
Курс секретный.
Необходимые документы:
При отсутствии указанной справки сотрудник Заказчика не допускается к занятиям.
Данный курс имеет ярко выраженную практическую направленность, разработан в Учебном центре «МАСКОМ» и основывается на многолетнем опыте преподавания курса — проведение СИ по различным каналам утечки информации. Основные цели курса – получение слушателями знаний, умений и навыков по проведению СИ в соответствии с требованиями ФСБ РФ.
Обучение проводится в аудиториях, оснащенных современным оборудованием.
Целевые установки курса
Знать:
Уметь и иметь навык:
Программа курса согласована с ФСБ России, прошла лицензирование и аккредитацию в департаменте образования.
Раздел 1. Нормативно-правовая база обеспечения информационной безопасности. Законодательная и нормативно-методическая база обеспечения информационной безопасности и её краткая характеристика.
Раздел 2. Основы теории измерений и обработки результатов. Классификация измерений. Виды электрических измерений. Методы электрических измерений. Погрешности измерений и обработка результатов измерений. Вероятностные оценки ряда наблюдений. Вероятностные оценки погрешности результата наблюдений на основании ряда наблюдений.
Раздел 3. Сущность методик проведения СИ. Общие методические указания. Перечень методик. Назначение и цель методик. Основные требования к аппаратуре.
Раздел 4. Методики СИ по требованиям ФСБ РФ.
Выпускники Учебного центра в рамках пройденного курса могут получать бесплатные консультации.
75 000 р
80 часов / 8 дней
05.07.2022 02.08.2022 06.09.2022 04.10.2022 08.11.2022 06.12.2022
Лицензиаты (соискатели) ФСБ России
Специалисты по поисковым мероприятиям
Инженерно-технические работники, системные и сетевые администраторы, администраторы безопасности
Руководители и сотрудники служб безопасности и защиты информации
Требования к квалификации поступающего на обучение: Уровень образования лица, поступающего на обучение, - высшее образование по специальностям и направлениям подготовки укрупненной группы 10.00.00 «Информационная безопасность» или иное высшее образование ипрофессиональная
Раскрыть
Требования к квалификации поступающего на обучение:
Курс секретный.
Необходимые документы:
— Справка о соответствующей форме допуска к сведениям, составляющим государственную тайну;
— Предписание на выполнение задания;
— Копия СНИЛС и диплома о высшем профессиональном образовании (в соответствии с требованиями ФИС «ФРДО»)
Программа обучения согласована со ФСТЭК России
Данный курс будет интересен специалистам, которые хотят не просто услышать пересказ Модели 2025, а научиться работать с задачами по ПД на практике, разобрать различные виды разведок и особенности противодействия им.
В процессе прохождения курса слушатели разрабатывают проекты документов по ПД ИТР, выполняют расчеты по оценке разведдоступности объектов защиты и оценке эффективности мероприятий по ПД ИТР.
Раздел 1. Планирование и организация работ по ПД ИТР
Раздел 2. Мероприятия по ПД ИТР
Раздел 3. Контроль состояния ПД ИТР на объектах защиты
66 000 р
144 часа / 11 дней
19.09.2022 10.10.2022
Руководители и специалисты(включая государственных гражданских служащих),работающие в области противодействия иностранным техническим разведкам, в части организации и проведения работ по ПД ИТР
Курс секретный. Необходимые документы: Справка о соответствующей форме допуска к сведениям, составляющим государственную тайну; Предписание на выполнение задания. При отсутствии указанной справки сотрудник Заказчика не допускается к занятиям. Программа курса предусматривает рассмотрение комплекса организационно – технических мероприятий,
Раскрыть
Курс секретный.
Необходимые документы:
Программа курса предусматривает рассмотрение комплекса организационно – технических мероприятий, проводимых в целях соблюдения требований режима секретности, при обработке сведений составляющих государственную тайну с использованием средств вычислительной техники.
Для обучения на данном курсе слушатель обязан представить справку о допуске к секретным сведениям (форма 8 Постановления Правительства РФ от 6 февраля 2010 г. N 63 «Об утверждении инструкции о порядке допуска должностных лиц и граждан РФ к государственной тайне)».
51150 р
50 часов / 5 дней
25.07.2022 29.08.2022 26.09.2022 24.10.2022 28.11.2022 19.12.2022
Ответственные за защиту государственной тайны
Лицензиаты (соискатели) ФСТЭК России и ФСБ России
Курс секретный. Необходимые документы: — Справка о соответствующей форме допуска к сведениям, составляющим государственную тайну; — Предписание на выполнение задания; — Копия СНИЛС и диплома о высшем профессиональном образовании (в соответствии с требованиями ФИС «ФРДО») При отсутствии указанной справки
Раскрыть
Курс секретный.
Необходимые документы:
— Справка о соответствующей форме допуска к сведениям, составляющим государственную тайну;
— Предписание на выполнение задания;
— Копия СНИЛС и диплома о высшем профессиональном образовании (в соответствии с требованиями ФИС «ФРДО»)
При отсутствии указанной справки сотрудник Заказчика не допускается к занятиям.
В соответствии с рекомендациями, содержащимися в Решении Межведомственной комиссии по защите государственной тайны № 402 от 18 декабря 2020 г., на данном курсе для слушателей, уже прошедших первичное повышение квалификации по программе базового уровня «Обеспечение защиты государственной тайны в организации» продолжительностью 201 академический час.
НОУ ДПО «УЦБИ «МАСКОМ» решением Межведомственной комиссии по защите государственной тайны № 305 от 28 апреля 2015 г., включен в Перечень организаций, осуществляющих образовательную деятельность, по окончании которых выдается документ об образовании и (или) о квалификации, дающий право руководителям организаций, ответственным за защиту сведений, составляющих государственную тайну, считаться прошедшими государственную аттестацию.
Программа курса:
Раздел 1. Организационно-правовое обеспечение защиты государственной тайны.
Раздел 2. Обеспечение защиты государственной тайны в организации.
Раздел 3. Обеспечение проведения работ по противодействию иностранным техническим разведкам и технической защите информации в организации.
Раздел 4. Обеспечение пропускного и внутриобъектового режима в организации.
56 часов
25.07.2022 29.08.2022 26.09.2022 24.10.2022 28.11.2022
Курс будет, также, полезен и лицензиатам ФСБ, поскольку многие его положения одинаковы для обоих регуляторов. Курс «Секретный». Необходимые документы: Справка о соответствующей форме допуска к сведениям, составляющим государственную тайну; Предписание на
Раскрыть
Курс будет, также, полезен и лицензиатам ФСБ, поскольку многие его положения одинаковы для обоих регуляторов.
Курс «Секретный». Необходимые документы:
При отсутствии указанной справки сотрудник Заказчика не допускается к занятиям.
Данный курс является базовым по подготовке специалистов в вопросах организации, проведения и оформления результатов сертификационных испытаний и сертификации по требованиям безопасности информации в целом. Подробно рассмотрены этапы сертификации (оформление Заявки, отбор образцов, проведение испытаний и оформление Сертификата). В рамках курса слушатели получают основные знания по вопросам нормативной правовой базы системы сертификации, состава и методик сертификационных испытаний, взаимодействия всех участников работы, состава и видов оформляемых документов.
Обучение вопросам сертификации по требованиям безопасности информации направлено на практическую реализацию требований по информационной безопасности для различных ОИ. Позволяет разработчикам средств защиты и контроля защищённости оптимизировать параметры своих разработок. Коллективам испытательных лабораторий позволяет организовывать и выполнять сертификационные испытания в соответствии с утверждёнными требованиями к средствам защиты и контроля. А владельцам ОИ помогает сориентироваться при выборе средств защиты и/или средств контроля защищённости.
Большое внимание в курсе уделяется общим вопросам метрологии, исполнению требований ФЗ № 102 «Об обеспечении единства измерений» при выполнении сертификационных испытаний.
Раздел 1. Общие сведения о системе сертификации по РОСС RU.0001.01БИ00 Основные документы
Раздел 2. Тенденции развития средств защиты и их сертификации
Раздел 3. Сертификационные требования (утверждённые)
1. Сертификационные требования к генераторам САЗ ПЭМИН:
2. Сертификационные требования к генераторам САЗ АВАК:
Раздел 4. Документальное оформление Запрос на сертификацию (в отдел сертификации и лицензирования ФСТЭК)
Итоговая аттестация
53 000 р
72 часа / 8 дней
26.07.2022 30.08.2022 27.09.2022 25.10.2022 29.11.2022
Руководство и сотрудники аккредитованных ФСТЭК испытательных лабораторий
Руководство и сотрудники центрального органа и органов по сертификации
Руководство и сотрудники организаций и предприятий, ведущих разработку средств защиты информации и средств контроля защищённости ОИ
Руководители и сотрудники служб безопасности и защиты информации
Курс секретный. Необходимые документы: Справка о соответствующей форме допуска к сведениям, составляющим государственную тайну; Предписание на выполнение задания; Копия СНИЛС и диплома
Раскрыть
Курс секретный.
Необходимые документы:
При отсутствии указанной справки сотрудник Заказчика не допускается к занятиям.
В ходе изучения курса слушатели получают знания и навыки в области проведения специальных исследований в каналах акустоэлектрического преобразования, в соответствии с действующими нормативными методическими документами.
Для обучения на данном курсе слушатель обязан представить справку о допуске к секретным сведениям (форма 8 Постановления Правительства РФ от 6 февраля 2010 г. N 63 «Об утверждении инструкции о порядке допуска должностных лиц и граждан российской федерации к государственной тайне)».
21 000 р
20 часов / 2 дня
28.07.2022 01.09.2022 29.09.2022 27.10.2022 01.12.2022 22.12.2022
Лицензиаты (соискатели) ФСТЭК России и ФСБ России