Про обязательную сертификацию для всех без исключения значимых объектов КИИ

Государственный контроль будет осуществлять ФСТЭК России путем проведения плановых и внеплановых выездных проверок.

По итогам работы вы получите:

Интеграция в ГосСОПКА требует от субъекта КИИ:

• информировать о компьютерных инцидентах ФСБ России, а также Центральный Банк Российской Федерации, если организация осуществляет деятельность в банковской сфере и иных сферах финансового рынка;
• оказывать содействие ФСБ России в обнаружении, предупреждении и ликвидации последствий компьютерных атак, установлении причин и условий возникновения компьютерных инцидентов.

Кроме того, по решению субъекта КИИ на территории объекта КИИ может быть размещено оборудование ГосСОПКА. В этом случае субъект дополнительно обеспечивает его сохранность и бесперебойную работу. Иными словами, субъектом КИИ может быть организован собственный центр ГосСОПКА.

План проверок Роскомнадзора на 2021 год

Согласно документам ФСТЭК России, к СЗИ относятся: межсетевые экраны, средства обнаружения вторжений, антивирусные программы, средства доверенной загрузки и контроля съемных носителей, другие решения в области информационной безопасности. В таблице 1 приведена дифференциация требований к УД СЗИ в зависимости от класса (категории/уровня) объекта защиты.

Таблица 1. Дифференциация требований к уровням доверия СЗИ

СЗИ, соответствующие 6-му УД, подлежат применению в значимых объектах критической информационной инфраструктуры (далее — КИИ) 3 категории, в государственных информационных системах (далее — ГИС) 3 класса защищенности, в автоматизированных системах управления производственными и технологическими процессами (далее — АСУ ТП) 3 класса защищенности, в информационных системах персональных данных (далее — ИСПДн) при необходимости обеспечения 3 и 4 уровня защищенности персональных данных.

СЗИ, соответствующие 5-му УД, подлежат применению в значимых объектах КИИ 2 категории, в ГИС 2 класса защищенности, в АСУ ТП 2 класса защищенности, в ИСПДн при необходимости обеспечения 2 уровня защищенности персональных данных.

СЗИ, соответствующие 4-му УД, подлежат применению в значимых объектах КИИ 1 категории, в ГИС 1 класса защищенности, АСУ ТП 1 класса защищенности, в ИСПДн при необходимости обеспечения 1 уровня защищенности персональных данных, в информационных системах общего пользования II класса.

Единый реестр видов контроля начнёт функционировать с 1 июля 2021 года

18 мая 2021 года Государственная Дума РФ приняла в третьем (окончательном) чтении законопроект о штрафах за нарушение безопасности критической информационной инфраструктуры. Речь идет о системах в сферах здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и т. д.

Согласно новым нормам, которые должны вступить в силу 1 сентября 2021 года, за нарушения требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры, обеспечения их работы и безопасности будут грозить штрафы. Их сумма составит от 10 000 до 50 000 рублей для должностных лиц и от 50 000 до 100 000 рублей для юридических лиц.

В конце марта 2021 года сервис для защиты информационных активов «Ростелеком-Solar» опубликовал исследование, в котором сообщил о двукратном росте числа атак на объекты критической информационной инфраструктуры (КИИ: банки, предприятия ТЭК и т.п.) путем проникновения через инфраструктуру подрядчика (метод supply chain) в 2020 году. Центр мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком-Солар» выявил и отразил свыше 1,9 млн атак, что на 73% превышает показатель 2019 года.

По словам экспертов, взлом подрядчика стал самым эффективным методом для проникновения в целевые для киберпреступников инфраструктуры, среди которых, как правило, крупнейшие федеральные организации госсектора и объекты КИИ. Это подтверждается и международным опытом. В конце 2020 года стало известно о взломе компании-разработчика ПО SolarWinds, вследствие чего пострадали такие ее клиенты, как Microsoft, Cisco, FireEye, а также несколько ключевых министерств и ведомств США. Аналогичные попытки атак на органы власти и объекты КИИ Solar JSOC фиксирует и в России.

12 марта 2021 года стало известно об уязвимости более 6300 камер видеонаблюдений, установленных на объектах критической инфраструктуры и промышленных предприятиях России. Из-за недостатков в этом оборудовании его легко взломать.

Об уязвимости камер на электростанциях, промышленных предприятиях, АЗС и т. п. сообщили в компании Avast со ссылкой на данные поисковой системы по интернету вещей Shodan.io. IP-адреса этих камер открыты, и к ним могут получить доступ киберпреступники, рассказали «Коммерсанту» эксперты.

Доступ к ряду камер сегодня защищен самыми простыми паролями, которые легко можно подобрать, подтвердил изданию гендиректор компании «Интернет Розыск» Игорь Бедеров. Такие камеры, по его словам, могут быть размещены в том числе в банках, что потенциально грозит утечками данных кредитных карт и паспортов клиентов. На базе камер с открытым IP можно организовать нелегальную систему видеонаблюдения или аналитики, допустил Бедеров. Если дополнить такую систему модулями распознавания лиц, получится система тотальной слежки, сказал он.

Все материалы сайта Министерства внутренних дел Российской Федерации могут быть воспроизведены в любых средствах массовой информации, на серверах сети Интернет или на любых иных носителях без каких-либо ограничений по объему и срокам публикации.

Это разрешение в равной степени распространяется на газеты, журналы, радиостанции, телеканалы, сайты и страницы сети Интернет. Единственным условием перепечатки и ретрансляции является ссылка на первоисточник.

Никакого предварительного согласия на перепечатку со стороны Министерства внутренних дел Российской Федерации не требуется.

Отраслевая специфика ИБ

15–16 марта 2023 г. в Москве состоялась одиннадцатая конференция «Информационная безопасность АСУ ТП критически важных объектов», в которой приняли участие представители ФСТЭК России, ФСБ России, профильных органов власти Республики Беларусь и Республики Казахстан, специалисты компаний из ТЭК, электроэнергетики, ОПК, транспорта и других отраслей. Всего в этом году в конференции приняли участие 628 делегатов. При этом 37% участвующих в опросе участников заявили, что обеспечивают работу систем АСУ ТП и других операционных технологий. Организатором конференции выступил Издательский дом «КОННЕКТ».

Деловую программу конференции открыл доклад начальника управления ФСТЭК России Торбенко Елены Борисовны, которая рассказала об изменениях регулирования в области защиты КИИ, а также поделилась первыми результатами проведенного государственного контроля за соблюдением требований Закона № 187-ФЗ «О безопасности КИИ». По ее словам, ни в одной из проведенных проверок не было выявлено полного соблюдения всех требований регуляторов. В своем докладе она раскрыла наиболее популярные из выявленных нарушений и предупредила об ужесточении наказания как за предоставление недостоверных сведений, так и за нарушение требований в области защиты КИИ.

Главный элемент в системе безопаснос­ти — люди. Именно им предстоит органи­зовать защиту, оформить документы, вне­дрить СЗИ и т.д. Сотрудники делятся на 4 сущности (далее по статье — функциональные роли), у каждой свои задачи и ответ­ственность. При этом только совместные действия всех людей, отвечающих за объект КИИ, помогут максимально эффективно предотвратить угрозы.

Первая функциональная роль — руководитель или назначенное им уполномоченное лицо. Этот человек обязан создать систему безопасности, контроли­ровать ее функционирование и следить за тем, чтобы она постоянно функциони­ровала. Именно он несет ответственность за ее отсутствие или неработоспособность.

Его главные задачи — назначить ответ­ственных за 3 другие сущности и убедиться в выполнении требований закона. Если в значимом объекте КИИ или структурных подразделениях произойдут изменения, ру­ководитель также будет отвечать за внесе­ние корректировок в систему безопасности.

Вторая функциональная роль — служба безопасности (СБ). Ее формирует руководитель предприятия. ФСТЭК России отмечает, что это должно быть специально выделенное подразделение, занимающе­еся организацией безопасности объектов КИИ. Создать фиктивную СБ, состоящую из ИТ-­администратора и бухгалтера, вряд ли удастся. При этом руководитель может возложить эти обязанности на уже сущес­твующую службу безопасности.

Основные задачи СБ объектов КИИ — формирование и актуализация организа­ционно-распорядительной документации по реализации мер защиты для остальных категорий сотрудников. Это подразделение определяет, как защищаться от актуальных угроз и какие СЗИ применять.

Но самое важное — реагирование на компьютерные инциденты. При выяв­лении такого случая СБ должна сообщить о нем в НКЦКИ в течение суток с момента его обнаружения и принять меры по лока­лизации и нейтрализации угрозы, а также минимизации ущерба. Она же будет нести ответственность за попытки замалчивания инцидентов.

Третья роль — подразделения, эксплуатирующие значимые объекты КИИ. Это сотрудники, которые непосредственно взаимодействуют со значимым объектом. На них возлагается обязанность по обеспе­чению безопасности на основании органи­зационно-­распорядительных документов, разработанных СБ. То есть служба безо­пасности передает функции реализации непосредственно подразделениям и специ­алистам, которые работают со значимым объектом. При возникновении инцидента они должны первыми реагировать, руко­водствуясь ОРД, и сообщать о произошед­шем в СБ.

Четвертая роль — сотрудники, обеспечивающие функционирование значимых объектов КИИ. Они взаимо­действуют с объектом только для реали­зации определенных функций. Это могут быть ИТ-­специалисты, обслуживающие информационные системы. Для них, так же как и для подразделений, обеспечи­вающих эксплуатацию, служба безопас­ности разрабатывает ОРД, включающую информацию по работе с объектом КИИ.

Что ФСТЭК нам приготовила нового?

К наиболее часто встречающимся недочетам, которые обнаруживаются при проверке оператора, можно отнести:

— отсутствие любых средств защиты информации;

— недостаточный уровень знаний специалистов, отвечающих за информационную безопасность;

— отсутствие сертификатов на используемые средства защиты или завершение их срока действия сертификат;

— некорректное использование средств защиты информации, неправильную их настройку или не использование, несмотря на их наличие;

— отсутствие аттестации у государственной информационной системы;

— некорректно составленную модель угроз и нарушителей;

— отсутствие нормативной документации и формуляров;

— игнорирование факта проведения запланированных мероприятий по защите информации;

— низкий уровень физической защиты технических средств.

Непривычно, когда слово «визит» используется контролерами. Обычно визитом принято называть простое посещение какого-либо места или человека и совсем не с целью проверки. Тем не менее, в новом Федеральном законе «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации» от 31.07.2020 № 248-ФЗ словосочетание «инспекционный визит» применяется как официальное название одной из новых форм проверок.

Замена плановой выездной проверки инспекционным визитом возможна во втором полугодии 2021 года. Контролеры вправе провести такую замену, если:

• выездная проверка включена в ежегодный план проверок на 2021 год;
• решение о замене принято контролирующим органом не позднее чем за 20 рабочих дней до даты начала плановой проверки.

Если решение о замене будет принято контролирующим органом, проверяемую компанию или ИП должны уведомить о замене в течение 10 рабочих дней после принятия такого решения (п. 2-3 Постановления № 1969).

Получается, что те компании и ИП, чьи плановые выездные проверки запланированы на вторую половину 2021 года, могут получить от контролеров бонус: срок проверки сократится с 10 до 1 рабочего дня, и у инспекторов не будет возможности проверить бизнесмена по полной программе в рамках выездной проверки (инспекторы не смогут провести весь комплекс контрольных действий, предусмотренных ст. 65 Закона № 248-ФЗ).

Современные технологии позволяют проводить проверки без непосредственного присутствия инспекторов в проверяемой компании. В ходе инспекционного визита закон позволяет контролерам использовать дистанционные технологии: взаимодействовать с проверяемым лицом посредством аудио- или видеосвязи.

Преимущества Digital Design

• Имеем практический опыт реализации проектов по категорированию и защите КИИ
• Имеем опыт реализации масштабных проектов по защите информации АСУ ТП для предприятий энергетической отрасли
• Обладаем лицензией на защиту сведений, составляющих государственную тайну
• Имеем лицензии ФСТЭК и ФСБ
• Разрабатываем собственные решения в области информационной безопасности
• Компания соответствует международным стандартам ИСО/МЭК 20000-1, ИСО/МЭК 27001
• Реализуем меры защиты как на базе отечественного ПО, так и с использованием зарубежных аналогов
• Взаимодействуем с вендорами на уровне вопросов доработки продуктов
• Digital Design входит в число крупнейших российских ИТ-компаний и является членом Правительственной комиссии по импортозамещению

Похожие записи:

• Почему договор аренды заключают на 11 месяцев с автоматической пролонгацией
• Налог на продажу автомобиля
• Как оплатить транспортный налог и НДФЛ в 2023 году