Распространение коронавирусной инфекции заставило предприятия ОПК всерьез задуматься об обеспечении эпидемиологической безопасности сотрудников. Но COVID-19 – это не единственная угроза исполнению ГОЗ, а лишь еще одна в ряду уже известных. Актуальной остается защита критической информационной инфраструктуры (КИИ). Требования к обеспечению безопасности прописаны и доступны, но, как убедился корреспондент Mil.Press FlotProm, не все компании, участвующие в исполнении оборонных контрактов, знают об этих требованиях и предупреждены об уголовной ответственности за их несоблюдение, а также готовы к информационным инцидентам.
Основной нормативно-правовой акт, регулирующий безопасность КИИ – это Федеральный закон от 26.07.2017 №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». В законе же раскрывается понятие субъекта КИИ.
«Субъекты критической информационной инфраструктуры – государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей», – говорится в законе.
Современные информационные системы – например, системы управления производственными данными, информационные системы управления предприятием (выполняющие плановые, финансовые, налоговые функции), а также сети связи, обеспечивающие работу других объектов КИИ, – служат для интеллектуализации производства, помогают прослеживать все бизнес-процессы предприятий, чем экономят деньги организаций, ускоряют смену поколений техники и становятся базой для полноценных систем управления жизненным циклом вооружения, военной и специальной техники.
Подобные информационные системы и надлежит защищать от действия иностранных технических разведок и организаций, действующих в их интересах, а также от потенциальных инцидентов вроде вирусных атак (например, вирусов Petya/NotPetya/ExPetr или вируса Stuxnet, парализовавшем в Иране ядерные объекты, о котором неоднократно говорили собеседники Mil.Press из НИИ «Центрпрограммсистем» и Академии информационных систем), либо вредительства через удаленный доступ.
Например, в сентябре 2019 года стало известно, что успешной атаке подверглась информационная инфраструктура «Восточной верфи». Зашифрованными оказали 129,5 тысячи файлов предприятия.
Как говорится в материалах дела, злоумышленники, «используя информацию о выявленных IP-адресах, номерах портов подключения, логинах и паролях доступа к ЭВМ, используя специализированный софт, получили удаленный доступ к ЭВМ АО «Восточная верфь», после чего осуществили неправомерный доступ к охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации путем ее блокирования и модификации, что повлекло причинение вреда КИИ АО «Восточная верфь» и причинение имущественного вреда указанной организации на сумму 655 тысяч рублей».
В ходе судебного разбирательства «Восточная верфь» подтвердила, что является субъектом КИИ. У крупных исполнителей ГОЗ сомнений насчет своего статуса обычно нет. Но при этом у них есть поставщики разных порядков, от работы которых зависит своевременное исполнение государственного оборонного заказа.
Корреспондент Mil.Press FlotProm связался с четырьмя руководителями предприятий, которые выступают поставщиками второго и третьего порядка для головных исполнителей ГОЗ. Двое рассказали, что не интересовались этой темой. Еще двое сообщили, что не считают себя субъектами КИИ и не создают систему безопасности по требования ФСТЭК, а их заказчики не проверяют защиту информационной инфраструктуры.
«У нас нет формы допуска к гостайне, требований по защите информационных систем никто не предъявлял. Если будет официальное обращение со стороны специальных служб, тогда все организуем. Пока никаких инцидентов не было», – рассказал глава одного из предприятий, выпускающего комплектующие для дизельных двигателей кораблей и судов Минобороны РФ и ФСБ России.
Со стороны представителей заказчиков ситуация двойственная: кто-то предъявляет требования к поставщикам и контрагентам, а кто-то нет.
Например, в компании «Армалит», по словам коммерческого директора предприятия Евгения Коптяева, существует специальный отдел, сотрудники которого проводят регулярные аудиты предприятий, поставляющих товары и услуги для нужд завода. В том числе они проверяют соответствие требованиям к хранению, обработке и использованию информации, наличие и соблюдение правил допуска и доступа к информации конфиденциального характера.
В других случаях, если у предприятия не возникало угрозы срыва сроков исполнения ГОЗ из-за проблем контрагентов с защитой информации, никаких собственных проверок может не быть. Директор по безопасности и персоналу НИИ «Атолл» Александр Новожилов сообщил корреспонденту Mil.Press, что научно-исследовательский институт не изучает обстановку с защитой КИИ у новых контрагентов, а также не предъявляет требований к контрагентам по защите КИИ.
Ведущий преподаватель учебного центра МАСКОМ, специалист в области обеспечения безопасности объектов критической информационной инфраструктуры Александр Германович придерживается позиции, что практически каждое оборонное предприятие является субъектом критической информационной инфраструктуры и обязано полностью соблюдать законодательство по обеспечению безопасности.
По его словам, определить принадлежность предприятия к субъектам КИИ непросто: например, значение имеют виды деятельности по ОКВЭД, наличие лицензий, фактическое выполнение работ по гособоронзаказу. В вопросе определения собственной принадлежности к субъектам КИИ требуется тщательный анализ как правоустанавливающих документов предприятия, так и его бизнес-процессов.
Если требования по безопасности просто игнорировать, последует уголовная ответственность. Статья 274.1 Уголовного кодекса РФ «Неправомерное воздействие на КИИ РФ» за невыполнение требований по обеспечению безопасности, которое повлекло причинение вреда критической информационной инфраструктуре, предусматривает наказание в виде принудительных работ на срок до 5 лет, либо лишение свободы на срок до 6 лет. Если последствия несоблюдения требований по обеспечению безопасности признают тяжкими, то срок заключения может вырасти до 10 лет.
Так, руководство оборонного предприятия, которое не заботится выяснением своего статуса субъекта КИИ и игнорирует требования по защите информационной инфраструктуры, рискует в случае атаки одновременно:
После осознания руководством предприятия принадлежности к субъектам КИИ, необходимо создать внутреннюю комиссию по категорированию. Важная особенность этого процесса – привлечение в комиссию только специалистов по бизнес-процессам предприятия, которые осознают, какие существуют угрозы и как инциденты могут нарушить работу предприятия.
Принципиальную важность правильного состава комиссии подтвердил корреспонденту Mil.Press и Михаил Скулябин, начальник управления информационных технологий Крыловского государственного научного центра.
«Мероприятия по защите инфраструктуры стоят денег, которые предприятию, к сожалению, никто не компенсирует. Поэтому комиссия должна правильно отработать и согласовать со ФСТЭК критичность объектов. Недооценка значимости объекта может повлечь санкции со стороны контролирующих органов, а переоценка – к чрезмерным затратам, что особенно неприятно при нынешней ситуации с коронавирусом», – высказал свое мнение специалист.
Только в случае ответственного формирования состава комиссии можно грамотно провести предпроектное обследование и составить перечень объектов КИИ, а также присвоить им правильные категории значимости.
Регламентируется это постановлением Правительства РФ от 08.02.2018 года №127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений».
Согласно перечню, категории значимости присваиваются исходя их пяти критериев:
В результате комиссия составляет «Акт категорирования объекта КИИ», содержащий полные сведения об объекте.
После этого предприятие направляет в Федеральную службу по техническому и экспортному контролю сведения о результатах категорирования объекта КИИ по форме, установленной Приказом ФСТЭК №236 от 22.12.2017 года. Специалисты службы проверяют правильность категорирования и вносят сведения в реестр значимых объектов КИИ.
После этого наступает этап создания системы безопасности объекта КИИ. Этап включает в себя разработку технического задания, модели угроз информационной безопасности, технического проекта, рабочей документации, а также внедрение мер защиты информации и проведение опытной эксплуатации и приемочных испытаний созданной системы безопасности. Только после этого обязанность субъекта КИИ можно считать выполненной, при условии, что он поддерживает и модернизирует созданную систему безопасности на протяжении всего срока эксплуатации объекта КИИ.
В свою очередь ФСТЭК предоставляет предприятиям информацию, необходимую для для обеспечения объектов КИИ, в том числе актуальные данные о способах проведения компьютерных атак, их последствиях, а также методах предупреждения и обнаружения.
Помимо выполнения текущих требований по защите критической информационной инфраструктуры на предприятие ложится еще одна обязанность: мониторинг изменений законодательства.
Так, например, субъектам КИИ стоит ожидать перехода на российское оборудование для защиты информационных систем и АСУ ТП. По данным РБК, в 2019 году вице-премьер Юрий Борисов, курирующий оборонную промышленность, поручил подготовить изменения в закон «О безопасности критической информационной инфраструктуры» для поэтапного замещения используемого иностранного оборудования.
Действующее законодательство не позволяет правительству России устанавливать требования об использовании российского программного обеспечения и оборудования на объектах КИИ.
Но если дополнение Юрия Борисова будет внесено в закон, субъекты КИИ будут обязаны использовать российское оборудование и софт, а иностранным компаниям запретят «обеспечивать взаимодействие» с сетями и информационными системами критической инфраструктуры.
Еще одним грядущим обновлением нормативно-правовой базы станет введение административной ответственности для предприятий, не обеспечивающих безопасность КИИ, если на него совершена компьютерная атака, которая не причинила инфраструктуре прямого ущерба. Соответствующий проект Федерального Закона разработала ФСТЭК в 2019 году.
«ФСБ и ФСТЭК планируют совершенствовать нормативно-правовую базу как путем внесения изменений в нормативные акты – приказы ФСТЭК, постановления Правительства, – так и путем выпуска методических документов по моделированию угроз, по оценке соответствия требованиям безопасности и так далее. Все субъекты КИИ вынуждены эти изменения отслеживать. Учебный центр «МАСКОМ» специально для таких предприятий отслеживает все текущие изменения и отражает их в своих учебных курсах», – подытожил специалист в области обеспечения безопасности объектов КИИ Александр Германович.
февраль, 2021
пн
вт
ср
чт
пт
сб
вс
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
Курс будет, также, полезен и лицензиатам ФСБ, поскольку многие его положения одинаковы для обоих регуляторов. Курс «Секретный». Необходимые документы: Справка о соответствующей форме допуска к сведениям, составляющим государственную тайну; Предписание на
Раскрыть
Курс будет, также, полезен и лицензиатам ФСБ, поскольку многие его положения одинаковы для обоих регуляторов.
Курс «Секретный». Необходимые документы:
При отсутствии указанной справки сотрудник Заказчика не допускается к занятиям.
Данный курс является базовым по подготовке специалистов в вопросах организации, проведения и оформления результатов сертификационных испытаний и сертификации по требованиям безопасности информации в целом. Подробно рассмотрены этапы сертификации (оформление Заявки, отбор образцов, проведение испытаний и оформление Сертификата). В рамках курса слушатели получают основные знания по вопросам нормативной правовой базы системы сертификации, состава и методик сертификационных испытаний, взаимодействия всех участников работы, состава и видов оформляемых документов.
Обучение вопросам сертификации по требованиям безопасности информации направлено на практическую реализацию требований по информационной безопасности для различных ОИ. Позволяет разработчикам средств защиты и контроля защищённости оптимизировать параметры своих разработок. Коллективам испытательных лабораторий позволяет организовывать и выполнять сертификационные испытания в соответствии с утверждёнными требованиями к средствам защиты и контроля. А владельцам ОИ помогает сориентироваться при выборе средств защиты и/или средств контроля защищённости.
Большое внимание в курсе уделяется общим вопросам метрологии, исполнению требований ФЗ № 102 «Об обеспечении единства измерений» при выполнении сертификационных испытаний.
Раздел 1. Общие сведения о системе сертификации по РОСС RU.0001.01БИ00 Основные документы
Раздел 2. Тенденции развития средств защиты и их сертификации
Раздел 3. Сертификационные требования (утверждённые)
1. Сертификационные требования к генераторам САЗ ПЭМИН:
2. Сертификационные требования к генераторам САЗ АВАК:
Раздел 4. Документальное оформление Запрос на сертификацию (в отдел сертификации и лицензирования ФСТЭК)
Итоговая аттестация
48 000 р
72 часа / 8 дней
30.03.2021 27.04.2021 25.05.2021 29.06.2021 27.07.2021 31.08.2021 28.09.2021 25.10.2021 30.11.2021
Руководство и сотрудники аккредитованных ФСТЭК испытательных лабораторий
Руководство и сотрудники центрального органа и органов по сертификации
Руководство и сотрудники организаций и предприятий, ведущих разработку средств защиты информации и средств контроля защищённости ОИ
Руководители и сотрудники служб безопасности и защиты информации
+7 (495) 540-85-00 доб. 1310, доб 1306
+7 (495) 136-40-10 доб. 1310, доб 1306
г. Москва, Старокалужское шоссе, д.62, стр.1 к.4