Распространение коронавирусной инфекции заставило предприятия ОПК всерьез задуматься об обеспечении эпидемиологической безопасности сотрудников. Но COVID-19 – это не единственная угроза исполнению ГОЗ, а лишь еще одна в ряду уже известных. Актуальной остается защита критической информационной инфраструктуры (КИИ). Требования к обеспечению безопасности прописаны и доступны, но, как убедился корреспондент Mil.Press FlotProm, не все компании, участвующие в исполнении оборонных контрактов, знают об этих требованиях и предупреждены об уголовной ответственности за их несоблюдение, а также готовы к информационным инцидентам.
Основной нормативно-правовой акт, регулирующий безопасность КИИ – это Федеральный закон от 26.07.2017 №187-ФЗ “О безопасности критической информационной инфраструктуры Российской Федерации”. В законе же раскрывается понятие субъекта КИИ.
“Субъекты критической информационной инфраструктуры – государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей”, – говорится в законе.
Современные информационные системы – например, системы управления производственными данными, информационные системы управления предприятием (выполняющие плановые, финансовые, налоговые функции), а также сети связи, обеспечивающие работу других объектов КИИ, – служат для интеллектуализации производства, помогают прослеживать все бизнес-процессы предприятий, чем экономят деньги организаций, ускоряют смену поколений техники и становятся базой для полноценных систем управления жизненным циклом вооружения, военной и специальной техники.
Подобные информационные системы и надлежит защищать от действия иностранных технических разведок и организаций, действующих в их интересах, а также от потенциальных инцидентов вроде вирусных атак (например, вирусов Petya/NotPetya/ExPetr или вируса Stuxnet, парализовавшем в Иране ядерные объекты, о котором неоднократно говорили собеседники Mil.Press из НИИ “Центрпрограммсистем” и Академии информационных систем), либо вредительства через удаленный доступ.
Например, в сентябре 2019 года стало известно, что успешной атаке подверглась информационная инфраструктура “Восточной верфи”. Зашифрованными оказали 129,5 тысячи файлов предприятия.
Как говорится в материалах дела, злоумышленники, “используя информацию о выявленных IP-адресах, номерах портов подключения, логинах и паролях доступа к ЭВМ, используя специализированный софт, получили удаленный доступ к ЭВМ АО “Восточная верфь”, после чего осуществили неправомерный доступ к охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации путем ее блокирования и модификации, что повлекло причинение вреда КИИ АО “Восточная верфь” и причинение имущественного вреда указанной организации на сумму 655 тысяч рублей”.
В ходе судебного разбирательства “Восточная верфь” подтвердила, что является субъектом КИИ. У крупных исполнителей ГОЗ сомнений насчет своего статуса обычно нет. Но при этом у них есть поставщики разных порядков, от работы которых зависит своевременное исполнение государственного оборонного заказа.
Корреспондент Mil.Press FlotProm связался с четырьмя руководителями предприятий, которые выступают поставщиками второго и третьего порядка для головных исполнителей ГОЗ. Двое рассказали, что не интересовались этой темой. Еще двое сообщили, что не считают себя субъектами КИИ и не создают систему безопасности по требования ФСТЭК, а их заказчики не проверяют защиту информационной инфраструктуры.
“У нас нет формы допуска к гостайне, требований по защите информационных систем никто не предъявлял. Если будет официальное обращение со стороны специальных служб, тогда все организуем. Пока никаких инцидентов не было”, – рассказал глава одного из предприятий, выпускающего комплектующие для дизельных двигателей кораблей и судов Минобороны РФ и ФСБ России.
Со стороны представителей заказчиков ситуация двойственная: кто-то предъявляет требования к поставщикам и контрагентам, а кто-то нет.
Например, в компании “Армалит”, по словам коммерческого директора предприятия Евгения Коптяева, существует специальный отдел, сотрудники которого проводят регулярные аудиты предприятий, поставляющих товары и услуги для нужд завода. В том числе они проверяют соответствие требованиям к хранению, обработке и использованию информации, наличие и соблюдение правил допуска и доступа к информации конфиденциального характера.
В других случаях, если у предприятия не возникало угрозы срыва сроков исполнения ГОЗ из-за проблем контрагентов с защитой информации, никаких собственных проверок может не быть. Директор по безопасности и персоналу НИИ “Атолл” Александр Новожилов сообщил корреспонденту Mil.Press, что научно-исследовательский институт не изучает обстановку с защитой КИИ у новых контрагентов, а также не предъявляет требований к контрагентам по защите КИИ.
Ведущий преподаватель учебного центра МАСКОМ, специалист в области обеспечения безопасности объектов критической информационной инфраструктуры Александр Германович придерживается позиции, что практически каждое оборонное предприятие является субъектом критической информационной инфраструктуры и обязано полностью соблюдать законодательство по обеспечению безопасности.
По его словам, определить принадлежность предприятия к субъектам КИИ непросто: например, значение имеют виды деятельности по ОКВЭД, наличие лицензий, фактическое выполнение работ по гособоронзаказу. В вопросе определения собственной принадлежности к субъектам КИИ требуется тщательный анализ как правоустанавливающих документов предприятия, так и его бизнес-процессов.
Если требования по безопасности просто игнорировать, последует уголовная ответственность. Статья 274.1 Уголовного кодекса РФ “Неправомерное воздействие на КИИ РФ” за невыполнение требований по обеспечению безопасности, которое повлекло причинение вреда критической информационной инфраструктуре, предусматривает наказание в виде принудительных работ на срок до 5 лет, либо лишение свободы на срок до 6 лет. Если последствия несоблюдения требований по обеспечению безопасности признают тяжкими, то срок заключения может вырасти до 10 лет.
Так, руководство оборонного предприятия, которое не заботится выяснением своего статуса субъекта КИИ и игнорирует требования по защите информационной инфраструктуры, рискует в случае атаки одновременно:
После осознания руководством предприятия принадлежности к субъектам КИИ, необходимо создать внутреннюю комиссию по категорированию. Важная особенность этого процесса – привлечение в комиссию только специалистов по бизнес-процессам предприятия, которые осознают, какие существуют угрозы и как инциденты могут нарушить работу предприятия.
Принципиальную важность правильного состава комиссии подтвердил корреспонденту Mil.Press и Михаил Скулябин, начальник управления информационных технологий Крыловского государственного научного центра.
“Мероприятия по защите инфраструктуры стоят денег, которые предприятию, к сожалению, никто не компенсирует. Поэтому комиссия должна правильно отработать и согласовать со ФСТЭК критичность объектов. Недооценка значимости объекта может повлечь санкции со стороны контролирующих органов, а переоценка – к чрезмерным затратам, что особенно неприятно при нынешней ситуации с коронавирусом”, – высказал свое мнение специалист.
Только в случае ответственного формирования состава комиссии можно грамотно провести предпроектное обследование и составить перечень объектов КИИ, а также присвоить им правильные категории значимости.
Регламентируется это постановлением Правительства РФ от 08.02.2018 года №127 “Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений”.
Согласно перечню, категории значимости присваиваются исходя их пяти критериев:
В результате комиссия составляет “Акт категорирования объекта КИИ”, содержащий полные сведения об объекте.
После этого предприятие направляет в Федеральную службу по техническому и экспортному контролю сведения о результатах категорирования объекта КИИ по форме, установленной Приказом ФСТЭК №236 от 22.12.2017 года. Специалисты службы проверяют правильность категорирования и вносят сведения в реестр значимых объектов КИИ.
После этого наступает этап создания системы безопасности объекта КИИ. Этап включает в себя разработку технического задания, модели угроз информационной безопасности, технического проекта, рабочей документации, а также внедрение мер защиты информации и проведение опытной эксплуатации и приемочных испытаний созданной системы безопасности. Только после этого обязанность субъекта КИИ можно считать выполненной, при условии, что он поддерживает и модернизирует созданную систему безопасности на протяжении всего срока эксплуатации объекта КИИ.
В свою очередь ФСТЭК предоставляет предприятиям информацию, необходимую для для обеспечения объектов КИИ, в том числе актуальные данные о способах проведения компьютерных атак, их последствиях, а также методах предупреждения и обнаружения.
Помимо выполнения текущих требований по защите критической информационной инфраструктуры на предприятие ложится еще одна обязанность: мониторинг изменений законодательства.
Так, например, субъектам КИИ стоит ожидать перехода на российское оборудование для защиты информационных систем и АСУ ТП. По данным РБК, в 2019 году вице-премьер Юрий Борисов, курирующий оборонную промышленность, поручил подготовить изменения в закон “О безопасности критической информационной инфраструктуры” для поэтапного замещения используемого иностранного оборудования.
Действующее законодательство не позволяет правительству России устанавливать требования об использовании российского программного обеспечения и оборудования на объектах КИИ.
Но если дополнение Юрия Борисова будет внесено в закон, субъекты КИИ будут обязаны использовать российское оборудование и софт, а иностранным компаниям запретят “обеспечивать взаимодействие” с сетями и информационными системами критической инфраструктуры.
Еще одним грядущим обновлением нормативно-правовой базы станет введение административной ответственности для предприятий, не обеспечивающих безопасность КИИ, если на него совершена компьютерная атака, которая не причинила инфраструктуре прямого ущерба. Соответствующий проект Федерального Закона разработала ФСТЭК в 2019 году.
“ФСБ и ФСТЭК планируют совершенствовать нормативно-правовую базу как путем внесения изменений в нормативные акты – приказы ФСТЭК, постановления Правительства, – так и путем выпуска методических документов по моделированию угроз, по оценке соответствия требованиям безопасности и так далее. Все субъекты КИИ вынуждены эти изменения отслеживать. Учебный центр “МАСКОМ” специально для таких предприятий отслеживает все текущие изменения и отражает их в своих учебных курсах”, – подытожил специалист в области обеспечения безопасности объектов КИИ Александр Германович.
декабрь, 2023
пн
вт
ср
чт
пт
сб
вс
-
-
-
-
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
Курс проходит 2 очными сессиями (даты на 2024 год): 1 ОЧНАЯ 2 ОЧНАЯ 29.01.24-09.02.24 01.04.24-12.04.24 15.04.24-27.04.24 17.06.24-28.06.24 01.07.24-12.07.24 16.09.24-27.09.24 30.09.24-11.10.24 02.12.24-13.12.24 Курс секретный. Программа профессиональной переподготовки по
Раскрыть
Курс проходит 2 очными сессиями (даты на 2024 год):
1 ОЧНАЯ | 2 ОЧНАЯ |
29.01.24-09.02.24 | 01.04.24-12.04.24 |
15.04.24-27.04.24 | 17.06.24-28.06.24 |
01.07.24-12.07.24 | 16.09.24-27.09.24 |
30.09.24-11.10.24 | 02.12.24-13.12.24 |
Курс секретный.
Программа профессиональной переподготовки по направлению «Информационная безопасность», разработанная Учебным центром МАСКОМ, прошла согласование со ФСТЭК России и удовлетворяет требованиям, предъявляемым к программам профессиональной переподготовки в области информационной безопасности.
Необходимые документы:
Курсом предусмотрено 360 часов очных аудиторных занятий, из них не менее 70 % семинаров и практической работы, на которых подробно разбираются вопросы:
Раздел 1. Организационно-правовые основы ТЗИ, содержащей сведения, составляющие государственную тайну:
Раздел 2. Аппаратные средства вычислительной техники:
Раздел 3. Системы и сети передачи информации:
Раздел 4. Способы и средства технической защиты информации, содержащей сведения, составляющие государственную тайну, от утечки по техническим :каналам:
Раздел 5. Меры и средства технической защиты информации, содержащей сведения, составляющие государственную тайну, от несанкционированного доступа:
Раздел 6. ТЗИ, содержащей сведения, составляющие государственную тайну, от специальных воздействий:
Раздел 7. Организация защиты информации, содержащей сведения, составляющие государственную тайну, на объектах информатизации:
Раздел 8. Аттестация объектов информатизации по требованиям безопасности информации:
Раздел 9. Контроль состояния ТЗИ, содержащей сведения, составляющие государственную тайну:
Данный курс подходит под лицензионные требования “п. 7 Постановление Правительства РФ от 15.04.1995 N 333;
п.26 Требований ФСТЭК России от 20.10.2016 N 025 (дсп)
Наличие в структуре предприятия подразделения по защите государственной тайны и необходимого числа специально подготовленных сотрудников для работы по защите информации, уровень квалификации которых достаточен для обеспечения защиты государственной тайны; п. 3.5 Методических рекомендаций по оценке уровня подготовки специалистов по противодействию иностранным техническим разведкам, технической защите информации и проведению работ, связанных с созданием средств защиты информации, содержащей сведения, составляющие государственную тайну от 2022 года (дсп, только для аттестационных центров). Для соискателей лицензий/лицензиатов доступна Выписка из Методических рекомендаций; п. 3.6 Методических рекомендаций по оценке уровня подготовки специалистов по противодействию иностранным техническим разведкам, технической защите информации и проведению работ, связанных с созданием средств защиты информации, содержащей сведения, составляющие государственную тайну от 2022 года (дсп, только для аттестационных центров). Для соискателей лицензий/лицензиатов доступна Выписка из Методических рекомендаций.
обучение по согласованным ФСТЭК России программам профессиональной переподготовки по специальности в соответствии с заявленным видом деятельности (нормативный срок обучение – не менее 360 часов)” на осуществление деятельности по технической защите информации, содержащей сведения, составляющие государственную тайну.
Расписание курса предусматривает 100 часов лекций и 108 часов практических занятий.
128 000 р
504 часа
13.12.2023 - 26.12.2023 29.01.2024 - 09.02.2024 01.04.2024 - 12.04.2024 15.04.2024 - 27.04.2024 17.06.2024 - 28.06.2024 01.07.2024 - 12.07.2024 16.09.2024 - 27.09.2024 30.09.2024 - 11.10.2024 02.12.2024 - 13.12.2024
Руководители и сотрудники организаций-лицензиатов (соискателей лицензии) ФСТЭК России
Руководители и сотрудники служб безопасности, подразделений информационной безопасности, подразделений технической защиты информации
Руководители и сотрудники органов государственной власти и местного самоуправления, выполняющие функции в области технической защиты информации
Курс секретный. Необходимые документы: — Справка о соответствующей форме допуска к сведениям, составляющим государственную тайну; — Предписание на выполнение задания; — Копия СНИЛС и диплома о высшем профессиональном образовании (в соответствии с требованиями ФИС «ФРДО»). При отсутствии указанной справки
Раскрыть
Курс секретный.
Необходимые документы:
— Справка о соответствующей форме допуска к сведениям, составляющим государственную тайну;
— Предписание на выполнение задания;
— Копия СНИЛС и диплома о высшем профессиональном образовании (в соответствии с требованиями ФИС «ФРДО»).
При отсутствии указанной справки сотрудник Заказчика не допускается к занятиям.
В соответствии с рекомендациями, содержащимися в Решении Межведомственной комиссии по защите государственной тайны № 402 от 18 декабря 2020 г., на данном курсе для слушателей, уже прошедших первичное повышение квалификации по программе базового уровня «Обеспечение защиты государственной тайны в организации» продолжительностью 201 академический час.
НОУ ДПО «УЦБИ «МАСКОМ» решением Межведомственной комиссии по защите государственной тайны № 305 от 28 апреля 2015 г., включен в Перечень организаций, осуществляющих образовательную деятельность, по окончании которых выдается документ об образовании и (или) о квалификации, дающий право руководителям организаций, ответственным за защиту сведений, составляющих государственную тайну, считаться прошедшими государственную аттестацию.
Программа курса:
Раздел 1. Организационно-правовое обеспечение защиты государственной тайны.
Раздел 2. Обеспечение защиты государственной тайны в организации.
Раздел 3. Обеспечение проведения работ по противодействию иностранным техническим разведкам и технической защите информации в организации.
Раздел 4. Обеспечение пропускного и внутриобъектового режима в организации.
Данный курс подходит под лицензионное требование “п. 7, п. 11 Постановление Правительства РФ от 15.04.1995 N 333 Государственная аттестация руководителей, ответственных за защиту сведений, составляющих государственную тайну. Государственная аттестация руководителей предприятий организуется органами, уполномоченными на ведение лицензионной деятельности, а также министерствами и ведомствами Российской Федерации, Государственной корпорацией по атомной энергии “”Росатом”” и Государственной корпорацией по космической деятельности “”Роскосмос””, руководители которых наделены полномочиями по отнесению к государственной тайне сведений в отношении подведомственных им предприятий. Методические рекомендации по организации и проведению государственной аттестации руководителей предприятий разрабатываются Межведомственной комиссией. Расходы по государственной аттестации руководителей предприятий относятся на счет предприятий. Руководители предприятий, имеющие документ об образовании и (или) о квалификации, выданный организацией, осуществляющей образовательную деятельность, включенной в перечень, определяемый Межведомственной комиссией, считаются прошедшими государственную аттестацию, если со времени окончания организации, осуществляющей образовательную деятельность, прошло не более 5 лет.” на осуществление деятельности по работе с государственной тайной
Расписание курса предусматривает 36 часов лекций 18 часов практических занятий
56 часов
09.01.2024 - 16.01.2024 19.02.2024 - 27.02.2024 27.05.2024 - 03.06.2024 08.07.2024 - 15.07.2024 26.08.2024 - 02.09.2024 21.10.2024 - 28.10.2024 16.12.2024 - 24.12.2024