На кого возлагается ответственность на объектах КИИ

Совершенствованию законодательной базы в отношении ИБ значимых объектов КИИ государство уделяет особое внимание, постоянно разрабатывая и внедряя новые механизмы защиты и контроля действий субъектов критической инфраструктуры. Вместе с тем, у организаций, которые подпадают под действие ФЗ-187 и Приказов ФСТЭК, часто возникает путаница с определением порядка действий и ответственных за поддержание информационной безопасности. Чтобы не пришлось тратить лишнее время и денежные средства на приведение деятельности в соответствие с актуальными требованиями, нужно:

• провести детальный анализ нормативно-правовой документации;
• определиться, относится ли ваше предприятие к субъектам КИИ;
• позаботиться о разработке ОРД, в частности, назначить ответственных лиц на всех этапах работы с ЗОКИИ;
• создать эффективную систему ИБ с учетом специфики бизнес-процессов, в частности, интегрировать действенные меры защиты КИИ;
• пройти установленные законом процедуры для подтверждения высокого уровня информационной безопасности;
• проводить аудит компонентов ИТ-инфраструктуры и отслеживать законодательные нововведения.

Принципиально проще и выгодней привлекать к процессу специалистов. Наш центр предоставляет профессиональную помощь на любом этапе приведения деятельности в соответствие с нормативно-правовой базой РФ, в том числе осуществляет мероприятия по разделению зон ответственности за процессы, связанные с ИБ.

Кому нужно выполнять требования по обеспечению безопасности объектов КИИ?

Вступивший в силу в 2017 году Федеральный закон № 187 определяет ключевые моменты по организации системы защиты на предприятиях, которые легально владеют (являются собственниками, арендаторами) либо обеспечивают взаимодействие объектов КИИ. К последним относятся:

• информационные системы, в частности, ИСПДн;
• корпоративные ИС, сеть Интернет и другие ИТКС;
• АСУ различных видов.

Общее условие — принадлежность к одной из 14 сфер деятельности: энергетике, металлургии, ракетостроению, химической или горнодобывающей промышленности, транспорту, науке, связи, здравоохранению, финансам, банковскому делу или топливному комплексу. Отрасль, подпадающая под действие ФЗ-187, должна быть указана в уставе и других документах, а сама организация должна быть зарегистрирована на территории Российской Федерации.

Субъекты критической информационной инфраструктуры обязаны исполнять ряд правил для того, чтобы не платить штрафы и не нести уголовную ответственность, которая возлагается на нарушителей. При этом есть разные подходы к обеспечению ИБ значимых и не значимых объектов КИИ — разобраться с тем, какие способы и средства противодействия угрозам следует выбирать, позволяет категорирование. Есть еще один важный нюанс — защитные меры потребуются всем видам организаций, начиная от государственных структур и компаний, заканчивая ИП, в том числе тем, кто не является владельцем АСУ, ИТКС или ИС, но координирует их работу.

Какие права и обязанности субъектов критической информационной инфраструктуры предусмотрены законодательством РФ?

Энергетическая, горнодобывающая, транспортная компания, банк и другие субъекты КИИ вправе:

• получать от отраслевого регулятора сведения, касающиеся методик и средств проведения кибератак, способов противодействия угрозам и выявления уязвимостей;
• быть проинформированными сотрудниками ФСТЭК по всем вопросам, которые нужны для обеспечения безопасности КИИ;
• после получения официального одобрения контролирующего органа совершать покупку, оформлять аренду средств ИБ, выполнять установку и настройку специализированного программного обеспечения с целью нейтрализации последствий хакерских атак и профилактики вторжений.

При этом субъекты КИИ обязаны:

1. Провести категорирование — установление степени значимости каждого из принадлежащих объектов критической инфраструктуры. ЗОКИИ бывают трех категорий, что определяет требования к их защите, а результаты процедуры передаются в Федеральную службу по техническому и экспортному контролю.
   Даже если после проверки не было определено значимых ОКИИ, уведомить отраслевого регулятора об итогах категорирования все равно необходимо.
2. Разработать и интегрировать меры предупреждения и реагирования на угрозы.
3. Без промедления передавать сведения о случившихся инцидентах с проникновением в защищенный периметр. Отравлять данные нужно в Центробанк или ФСБ.
4. Предоставлять необходимую помощь представителями Федеральной службы безопасности России на этапе расследования или предупреждения компьютерных атак.
5. Выполнять прописанный в соответствующих нормативно-правовых документах порядок, технические условия и правила использования СЗИ.

Если ЗОКИИ отсутствуют, обязанности субъектов КИИ сводятся к составлению регламента реагирования на кибератаки. В нем следует детально прописать:

• как действовать при наступлении инцидента;
• какой используется алгоритм передачи информации о цифровой атаке в ФСБ или Центробанк;
• на кого возлагается ответственность на объектах КИИ, кто и каким образом будет взаимодействовать с представителями компетентных структур на этапе расследования.

Кроме основных, есть и дополнительные обязанности по защите ЗОКИИ:

• следование правилам информационной безопасности, указанным в приказах ФСТЭК;
• исполнение полученных от должностных лиц рекомендаций и иных предписаний при наличии у представителей регулирующего органа компетенции для их выдачи. В основном, речь идет о своевременном устранении выявленных во время проверки организационных либо технических нарушений;
• разработка, утверждение и исполнение внутреннего регламента действий на случай проникновения в систему злоумышленника, включающего подготовку схемы коммуникации с ФСБ;
• предоставление права доступа к ЗОКИИ на этапе реализации своих полномочий сотрудниками ФСТЭК. Чиновникам законодательство дает право исследовать документы, связанные с обеспечением безопасности значимых объектов критической информационной инфраструктуры, а также оценивать эффективность мероприятий по защите.

Резюмируя, можно отметить, что субъект КИИ для исполнения требований регулятора должен выделить ЗОКИИ, определиться с оптимальной схемой ИБ, закупить и установить СЗИ, вовремя реагировать на инциденты, а также на регулярной основе проводить аудит компонентов информационной системы.

Нормативно-правовая база в сфере поддержания ИБ объектов КИИ

На начальном этапе организациям, ИП и госорганам, владеющим либо координирующим ИС, ИТКС и АСУ критической инфраструктуры, необходим тщательный анализ законодательства. Изучить приказы, законы, постановления и инструкции необходимо, чтобы грамотно подобрать меры защиты КИИ, исполнить в полном объеме требования ФСТЭК и минимизировать риск несанкционированного проникновения в систему. Приоритетными документами являются:

• ФЗ-187, ФЗ-149, ФЗ-152;
• ФЗ № 395-1, ФЗ № 98;
• ПП № 1119;
• Президентский указ № 351;
• Приказ ФСБ № 378;
• Приказы ФСТЭК № 64, 239, 60, 35, 17, 21, 31 и 239;
• Положение Банка РФ № 382-П.

Нюансы, связанные с обеспечением безопасности объектов КИИ, прописаны в приказах ФСТЭК № 235 и № 239. В соответствии с ними, предприятие обязано разработать и внедрить систему ИБ, чтобы не только снижать вероятность кибератак, но и оперативно останавливать злоумышленников, бороться с последствиями инцидентов. Контролировать процесс отслеживания, реагирования и передачи сведений в ГосСОПКА должны сотрудники отдельного департамента. Работники, отвечающие за защиту ЗОКИИ, не должны привлекаться ни к каким другим процессам, которые касаются обеспечения информационной безопасности. Это означает, что персонал, занимающийся настройкой, интеграцией либо эксплуатацией компонентов ИТ-инфраструктуры, для этих целей не подходит — нужно нанимать узкопрофильных специалистов.

Ответственные за обеспечение безопасности КИИ и выполняемые ими задачи

Одновременно источником проблем и средством защиты информации на предприятии выступает персонал. Руководству необходимо четко донести, зачем работнику защищать КИИ и безопасность, позаботиться о внедрении эффективных СЗИ и документальном оформлении, а также грамотно распределить обязанности по обеспечению ИБ. В таком случае удастся минимизировать количество инцидентов, рационально использовать технические и финансовые ресурсы, а также исключить проблемы на этапе информационного обмена с отраслевыми регуляторами.

В зависимости от выполняемых функций персонал организации делится на четыре категории:

1. Директор либо уполномоченный им представитель, которому предстоит курировать разработку системы безопасности, осуществлять постоянный надзор за её функционированием, принимать решение о необходимости проведения аудиторских проверок, а также прорабатывать ОРД. Руководитель должен быть опытным специалистом с практическими навыками управления объектами КИИ, поскольку на него возлагается основная ответственность за недоработки или сбои в функционировании системы. Именно он определяет лиц, которые будут отвечать за защиту элементов ИТ-инфраструктуры на разных уровнях, а также утверждает корректировку параметров ИБ и курирует расследование инцидентов.
2. Работники службы безопасности. В соответствии с последними изменения законодательной базы, у каждого субъекта КИИ должна быть отдельная служба, представители которой будут детально вникать во все нюансы функционирования СЗИ, обеспечивать мониторинг защищенности ИС, АСУ и ИТКС. Впрочем, их главной задачей является быстрое реагирование на компьютерные атаки. Применяя имеющиеся технические средства, работники СБ локализуют и ликвидируют угрозу, прилагают усилия для уменьшения ущерба и в течение 24 часов отправляют сведения о попытке взлома в НКЦКИ. За замалчивание факта кибератаки им грозит наказание в виде штрафа, выговора, увольнения. Дополнительно сотрудники этого департамента занимаются составлением и изменением ОРД, подбором наиболее результативных вариантов предупреждения и нейтрализации цифровых уязвимостей.
3. Службы, которые осуществляют эксплуатацию ЗОКИИ и должны обеспечивать меры защиты, прописанные в организационно-распорядительных документах. Постоянно взаимодействуя с объектами КИИ, специалисты «на местах» должны придерживаться определенных правил и при наступлении инцидента сразу проинформировать ИБ, параллельно осуществляя предусмотренные на случай кибератаки действия по устранению угрозы.
4. Сотрудники, ответственные за поддержание работоспособности значимых объектов критической инфраструктуры. Они на регулярной основе не взаимодействуют с ЗОКИИ, но вовлекаются в их эксплуатацию при исполнении некоторых служебных обязанностей. Как правило, это айтишники, которых привлекают для обновления программного обеспечения, коррекции настроек, установки дополнительного софта, исправления сбоев в отдельных сегментах системы. Их задача — работать с ИТ-инфраструктурой, руководствуясь ОРД, которую подготовили специалисты службы безопасности.

Обязанность субъекта КИИ — сделать выделение перечисленных групп, обеспечить им оптимальные условия для выполнения текущих задач, а также подготовить организационно-распорядительную документацию. На каждом этапе формирования системы ИБ нужно ориентироваться на актуальные нормативно-правовые требования. Особое внимание следует обратить на те профессиональные качества и опыт, которые должны быть у сотрудников СБ (при необходимости нужно организовать персоналу прохождение курса повышения квалификации с получением официального сертификата).

Контроль выполнения законодательных требований в области КИИ

Важное условие эффективного отслеживания соблюдения субъектами критической инфраструктуры правил ИБ — наличие единого регулирующего органа. Основные обязанности государство возлагает на ФСТЭК, а наиболее важные аспекты деятельности прописаны в правительственном постановлении № 162 от 17 февраля 2018 года. Госструктура обеспечивает следующие функции:

• разработку требований, инструкций, положений и прочей документации в сфере ИБ;
• контроль исполнения правил информационной безопасности на предприятиях-субъектах КИИ;
• ведение реестра ЗОКИИ;
• сбор сведений о случающихся инцидентах;
• создание результативных средств и способов противодействия цифровым атакам.

При необходимости на разных этапах деятельности служба может работать совместно с ФСБ, Центробанком, а также Министерством цифрового развития.

Необходимость поддержания высокой степени защищенности объектов критической инфраструктуры очевидна для государства, поэтому отраслевые регуляторы очень тщательно следят за выполнением законодательных требований в области ИБ. Что касается субъектов КИИ, то для них существенными стимулами заботиться о противодействии компьютерным атакам выступают:

• формирование имиджа надежной организации;
• перспектива победы в тендерах на выполнение государственных контрактов;
• предусмотренные законодательством наказания на неисполнение правил по обеспечению ИБ.

Наказание на нарушение требований ФЗ-187 и ФСТЭК

Недостаточное обеспечение безопасности объектов критической информационной инфраструктуры и другие ошибки при исполнении нормативно-правовой базы в отношении субъектов КИИ предполагают несение административной либо уголовной ответственности. Последние нововведения предусматривают возможность лишения нарушителя свободы на срок до десяти лет за отказ в предоставлении доступа к СЗИ или некорректную эксплуатацию технических средств. Что касается штрафов, то они варьируются от 10 тыс. р. до 50 тыс. р. для граждан, компаниям же придется заплатить от 50 тыс. рублей до полумиллиона рублей.

Среди нарушений, за которые полагается наказание согласно действующему законодательству:

• несоблюдение правильного порядка категорирования;
• намеренные или случайные ошибки на этапе создания службы безопасности;
• недостаточность интегрированных средств защиты для поддержания ИБ значимых ОКИИ;
• задержка или отсутствие информирования компетентных органов о случившемся инциденте;
• неисполнение мер по ликвидации последствий компьютерной атаки;
• несвоевременное предоставление данных о результатах категорирования;
• отказ в доступе к документации и средствам защиты представителям ФСБ, ФСТЭК.