Закон 187-ФЗ о безопасности КИИ

Тщательный анализ нормативно-правовой базы необходим как на этапе создания компании, так и в процессе деятельности, поскольку требования постоянно меняются, а ответственность за их нарушение постоянно возрастает. Отдельным направлением работы органов законодательной и исполнительной власти является обеспечение защиты критической информационной инфраструктуры страны. Для предупреждения, оперативного реагирования и ликвидации последствий кибератак на системы, задействованные в ключевых для государства и граждан сферах, был разработан Федеральный закон № 187. В нем прописаны ключевые моменты, касающиеся профилактики цифровых угроз, обязательств организаций по подержанию ИБ, а также механизма контроля исполнения установленных правил.

ФЗ о КИИ является не единственным документом, на который необходимо опираться при выстраивании системы безопасности на предприятии — также нужно учитывать приказы ФСТЭК, ФСБ, Минцифры, Банка России, правительственные постановления.

187-ФЗ: кратко о создании и структуре

Ценность информации, которую используют предприниматели, компании и особенно государственные органы, постоянно растет, соответственно, увеличивается количество компьютерных атак на ИС, а последствия утраты контроля над данными часто оказываются критичными. На определенном этапе стала очевидной необходимость формирования централизованного подхода к обеспечению безопасности объектов критической информационной инфраструктуры. Результатом работы чиновников над усовершенствованием законодательной базы стал ФЗ-187 о защите КИИ от 26 июля 2017 года, вступивший в силу с первого января следующего года. Документ включает 15 статей и определяет:

• кто подпадает под действие закона;
• расшифровку используемых понятий;
• нормативно-правовые аспекты взаимоотношений участников в сфере ИБ ОКИИ;
• главные принципы поддержания высокого уровня защищенности информации;
• особенности запуска и функционирования ГосСОПКА и порядка подключения к системе субъектов;
• распределение обязанностей и полномочий компетентных органов в области ИБ;
• порядок и требования к категорированию;
• формирование Реестра ЗОКИИ;
• предусмотренные законом права и обязанности владельцев ИС, АСУ и ИТКС;
• специфику разработки, запуска и настройки системы безопасности ЗОКИИ;
• регулярность и процессуальные тонкости проверок контролирующих органов;
• виды ответственности за неисполнение требований ФЗ-187, приказов ФСТЭК и ФСБ.

Чтобы построить результативный механизм противодействия хакерским атакам и избежать внимания со стороны контролирующих госструктур, недостаточно просто прочитать основной закон и подзаконные акты. Важно понять, как их применять на практике, а для этого нужно сориентироваться в терминологии.

Особого внимания заслуживают объекты КИИ, к которым могут относиться как ИСПДн и другие ИС, так и информационно-телекоммуникационные сети, а также АСУ, включая системы, задействованные в технологических процессах. Кроме того, следует различать между собой цифровые инциденты и атаки: в первом случае происходит сбой или остановка работы ОКИИ, а второй термин обозначает совокупность целенаправленных действий для нарушения функциональности IT-элементов.

Кто подпадает под действие Федерального закона о безопасности критической информационной инфраструктуры?

На первый взгляд, трактовка понятия субъекта КИИ в ФЗ-187 очень четкая — это государственный орган, юридическое лицо либо ИП, в чьем распоряжении на легальных основаниях (договор аренды, оформленное право собственности и т.д.) находятся объекты критической инфраструктуры, а также те фирмы и предприниматели, которые обеспечивают взаимодействие ИТКС, АСУ и ИС в сфере:

• здравоохранения и науки;
• химической, атомной, горнодобывающей, ракетной, металлургической, топливной, энергетической или оборонной промышленности;
• транспортного обеспечения и связи;
• банковской деятельности и других финансовых услуг.

К сожалению, однозначно определить, относится ли фирма к числу субъектов и должна ли исполнять многочисленные требования к СЗИ и коммуникации с НКЦКИ, бывает проблематично. Фактически для этого нужно провести как минимум подготовку к категорированию, а именно — выделить те процессы, которые потенциально могут стать причиной негативных последствий (финансовых, социальных, экологических, политических) для населения и в целом РФ. Без опыта, досконального знания нормативно-правовой базы и понимания, как исполнять правила построения системы ИБ на предприятии, справиться с этой задачей сложно. Чтобы не совершить ошибки и за короткий промежуток времени наладить бизнес-процессы, стоит привлечь профессионалов, а точнее — доверить категорирование сотрудникам нашего проверенного центра. Как лицензиат ФСТЭК, мы имеем право проводить весь спектр работ по аудиту, построению и обслуживанию системы защиты данных.

Что должен сделать субъект КИИ согласно ФЗ-187?

Список обязанностей, предусмотренных законодательством для владельцев или координаторов ИС, АСУ и ИТКС критически важных отраслей достаточной большой. Основные действия, которые предстоит осуществить:

1. Создание комиссии для проведения категорирования.
2. Составление перечня объектов критической инфраструктуры и утверждение его отраслевым регулятором.
3. Установление значимости ОКИИ, выделение категорий ЗОКИИ с учетом требований, прописанных в правительственном постановлении № 127.
4. Информирование ФСТЭК о результатах процедуры.
5. Поддержание достаточно высокого уровня ИБ, передача сведений в НКЦКИ об инцидентах, расследование кибератак и принятие мер по оптимизации системы защиты.

Уникальность ФЗ о КИИ

Если сравнивать с нормативно-правовыми актами в области ИБ, которые принимались ранее, закон № 187 имеет ряд важных особенностей:

• переход от оборонительной позиции к наступательной — если прежде акцент делался на устранении последствий, то теперь государство устанавливает требование активно противодействовать кибератакам, сообщать об инцидентах и взаимодействовать с НКЦКИ;
• возложение на организации, ИП и госорганы, попадающие под действие ФЗ о критической инфраструктуре, обязанности предоставлять доступ к элементам ИТ-системы уполномоченным сотрудникам ФСТЭК во время запланированных проверок или расследований;
• повышенное внимание не только к профилактике внешних угроз, но и к устранению уязвимостей в процессе повседневного функционирования системы;
• инициация внепланового аудита со стороны отраслевого регулятора при наличии подозрений на несоблюдение правил эксплуатации АСУ, ИС или ИТКС;
• комплексный подход — вступивший в силу в 2018 году документ ориентирован на защиту не только используемых субъектами данных, но и применяемого оборудования. Хотя в реальности сотрудники ФСТЭК чаще концентрируются на контроле сохранности и целостности сведений и поддержке безопасности каналов передачи, чем на оценку работы «железа».

Ключевые моменты, прописанные в законе о КИИ

Детальный анализ основного ФЗ, касающегося объектов критической ИТ-инфраструктуры, требует немало времени и знания юридических тонкостей, но есть нюансы, о которых нужно знать каждому субъекту:

1. В отношении сетей связи общественного использования закон действует в рамках ФЗ-126 от 07.07.2003.
2. Безопасность КИИ обеспечивается на основе трех принципов: соблюдение нормативно-правовой базы, максимальный акцент на предупреждение действий злоумышленников, непрерывная и всесторонняя защита элементов ИТ-инфраструктуры.
3. Для поиска, профилактики и нейтрализации цифровых угроз создан специальный комплекс (ГосСОПКА) и НКЦКИ. Также за ИБ отвечают территориальные подразделения и сотрудники ФСТЭК, представители СБ предприятий, ИП и органов власти, владеющих или координирующих работу КИИ.
4. В качестве средств борьбы с хакерами могут использоваться специальные программы, устройства, криптографические СЗИ.
5. ГосСОПКА осуществляет сбор информации об инцидентах, разработку эффективных защитных мер, а также обеспечивает взаимодействие участников системы.
6. Полномочия по исполнению закона разделяются между Президентом РФ, Правительством и отраслевым регулятором.
7. Неотъемлемым этапом приведения деятельности в соответствие с ФЗ-187 о критической информационной инфраструктуре является категорирование. Процедуру проводят с учетом политической, экономической, экологической, общественной и оборонной значимости ОКИИ, выделяя три категории — от данного параметра зависят требования по интеграции тех или иных мер защиты.
8. После окончания категорирования субъекту КИИ необходимо уведомить о результатах регулирующий орган, даже если ни одному из объектов не была присвоена категория. Максимальный срок выполнения данного требования — 10 дней после подписания акта. Дальше ФСТЭК в течение 30 суток проводит проверку и заносит значимые КИИ в общий реестр с обязательным сообщением о выполненном действии (уведомление должно быть подано не позднее, чем через 10 дней после передачи данных). Если будут выявлены ошибки, то сведения в письменной форме возвращаются с официальным обоснованием. На доработку дается 10 суток, после чего подавать информацию регулятору можно повторно.
9. В реестре содержатся данные о наименовании субъекта и ЗОКИИ, детализации механизма взаимодействия объекта с сетями электросвязи, а также об ответственных за эксплуатацию лицах на предприятии, присвоенной категории значимости, применяемом программном обеспечении и защитных мероприятиях. Если ОКИИ перестает соответствовать условиям К1, К2 или К3, то есть перестает быть значимым, запись в реестре удаляют.
10. Помимо обязанностей ИП и компании, арендующие, владеющие или обеспечивающие взаимодействие КИИ, имеют право на получение от ФСТЭК квалифицированной помощи для поддержания высокого уровня защиты данных. ФЗ-187 о безопасности критической инфраструктуры предусматривает также возможность выбора подходящего по техническим и эксплуатационным характеристикам ПО для ИБ, его внедрение в бизнес-процессы и индивидуальную настройку.
11. Чтобы минимизировать риск несанкционированного удаления, изменения или другого использования данных, компаниям нужно создать эффективную систему безопасности, гарантировать её бесперебойную работу и синхронизацию с НКЦКИ.
12. Для оценки надежности системы ИБ отраслевой регулятор может инициировать проверку. В плановом режиме процедура проходит, когда истекает трехлетний срок со дня занесения данных в Реестр ЗОКИИ либо от даты прошлой проверки. Внепланово представители ФСТЭК могут потребовать доступ к ИТ-инфраструктуре если:
    • не были устранены выявленные нарушения;
    • произошел компьютерный инцидент;
    • поступил соответствующий приказ от уполномоченного в сфере КИИ.

Последние законодательные нововведения в сфере обеспечения безопасности КИИ предусматривают не только административную, но и уголовную ответственность за несоблюдение требований ФЗ-187 и приказов ФСТЭК.

Реализация ФЗ о безопасности критической информационной инфраструктуры РФ

Принятие Федерального закона, регулирующего ключевые аспекты борьбы с хакерскими атаками на ОКИИ, стало важным событием для Российской Федерации. Однако недостаточно лишь сформировать нормативно-правовую базу. Чтобы произошли радикальные изменения, необходимо:

• стимулировать участников;
• обеспечить быструю координацию действий субъектов и регулятора;
• подготовить методические рекомендации (инструкции, требования и т.д.);
• обучить специалистов по ИБ;
• позаботиться о финансовой и технической поддержке.

По многим из перечисленных направлений уже удалось добиться успеха, но с реализацией ФЗ-187 все равно возникают трудности.

Проблемы с исполнением законодательных требований

По мнению экспертов больше всего трудностей с выполнением законодательных правил возникает из-за:

• отсутствия единого органа, который бы нес ответственность за реализацию закона о КИИ (сейчас за исполнение разных аспектов отвечают ФСБ, ФСТЭ, НКЦКИ, Центробанк и Минцифры);
• недостаточно высокой квалификации работников территориальных подразделений ФСТЭК;
• недоработанных методических рекомендаций, где нечетко определяются ключевые термины, не учтены последние изменения основной законодательной базы;
• минимального выбора средств защиты отечественного производства — предложений много, но меньше половины разрабатываемого софта не отвечает требованиям отраслевых регуляторов;
• слишком медленного или недостаточно тщательного обнаружения уязвимых мест в ИС, АСУ и ИТКС.

План действий для предприятий

Принимая во внимание разноплановые требования к субъектам ОКИИ, а также множество нюансов (как технических, так и организационных) по обеспечению ИБ, при запуске бизнеса разумнее довериться экспертам. Объем работы, сроки и стоимость могут варьироваться, но в обязательном порядке нужно будет:

1. Убедиться в том, что ваш бизнес попадает под действие ФЗ о безопасности критической информационной инфраструктуры. Для этого следует составить список АСУ, ИТКС, ИС с указанием конкретной области их функционирования.
2. Провести категорирование в установленном законом порядке, выделив ЗОКИИ и разделив их на категории.
3. Передать сведения в ФСТЭК, дождаться окончания проверки и получения уведомления о внесении ОКИИ в реестр.
4. Подготовить регламент передачи сведений в ФСБ и подключится в ИТ-инфраструктуре НКЦКИ.
5. Создать и утвердить план борьбы с хакерскими атаками и нейтрализации последствий компьютерных инцидентов.
6. Подготовить, согласовать и интегрировать систему безопасности ЗОКИИ в организации.
7. Сделать так, чтобы эксплуатации объекта критической инфраструктуры была безопасной.