Обеспечение безопасности субъекта критической информационной инфраструктуры



Ключевые слова: критическая информационная инфраструктура, информационная безопасность, обеспечение безопасности, защита информации.

В 2017 году новый Федеральный закон в сфере информационной безопасности «О безопасности критической информационной инфраструктуры Российской Федерации» [1] ввел такое понятие, как критическая информационная инфраструктура (далее — КИИ). Данное понятие широко охватывает вопросы обеспечения информационной безопасности на объекте. На сегодняшний день развитие информационных технологий занимает лидирующие позиции в мире. В Российской Федерации активно внедряются различные государственные информационные системы, а также коммерческие проекты, направленные на работу с пользователями. В связи с этим надо понимать, что объекты критической информационной инфраструктуры без должной защиты являются весьма уязвимыми, в случае если злоумышленник получит к ним доступ, то под угрозой может оказаться большое количество пользователей. Таким образом, в данной статье будут рассмотрены три основных вопроса, которые связаны с обеспечением безопасности на объекте с критической информационной инфраструктурой:

1. Какими документами необходимо руководствоваться при обеспечении безопасности субъекта КИИ?
2. Как определить, относится ли организация к субъекту КИИ?
3. Как обеспечить безопасность объекта КИИ?

Перейдем к первому вопросу данной статьи: «Какими документами необходимо руководствоваться при обеспечении безопасности субъекта КИИ?»

Основным документом о безопасности КИИ является Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» [1]. Далее идут Постановления Правительства и приказы ведомств, отвечающих за безопасности КИИ.

Для построения системы защиты информации на субъекте КИИ в 2018 году Правительство утвердило два постановления, а именно:

— Постановление Правительства РФ № 127 [2], в котором подробно описан процесс проведения категорирования объектов КИИ;

— Постановление Правительства РФ № 162 [3], в котором устанавливается порядок осуществления мероприятий по государственному контролю в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации.

Согласно указу [4], обеспечение безопасности КИИ возложено на ФСТЭК России, таким образом в Федеральной службе по техническому и экспортному контролю Российской Федерации в 2017 году утвердили 5 приказов, которые регламентируют работу с субъектами КИИ, а именно:

— Приказ № 227 [5], который определяет правила формирования и ведения Реестра значимых объектов критической информационной инфраструктуры Российской Федерации;

— Приказ № 229 [6], который определяет форму акта проверки, составляемого по итогам проведения государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации;

— Приказ № 235 [7], который устанавливает требования к созданию субъектами критической информационной инфраструктуры Российской Федерации систем безопасности значимых объектов критической информационной инфраструктуры и по обеспечению их функционирования;

— Приказ № 236 [8], который устанавливает форму направления сведения о присвоении или об отсутствии необходимости присвоения категории значимости;

— Приказ № 239 [9], который устанавливает требования по обеспечению безопасности объектов КИИ РФ.

Перейдем ко второму вопросу данной статьи: «Как определить, относится ли организация к субъекту КИИ?

Для определения того, относится ли организация к субъекту критической информационной инфраструктуры, необходимо определить сферу деятельности предприятия. Для определения сферы деятельности необходимо в учредительной документации ознакомится с кодами ОКВЭД, присвоенными организации. Каждая сфера деятельности имеет свой код, так сфера деятельности в области здравоохранения имеет код 86-й серии, в области образования — 85-ый и т. д. Согласно Федеральному закону [1] к предприятиям с критической информационной инфраструктурой могу быть отнесены организации функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей. В случае наличия лицензий или других разрешительных документов, на указанные выше виды деятельности, также можно сделать вывод о том, что предприятие является субъектом КИИ.

Теперь перейдем к третьему вопросу данной статьи. Как обеспечить безопасность объекта КИИ?

На первом этапе необходимо произвести категорирование объекта КИИ. Алгоритм категорирования объекта КИИ выглядит следующим образом:

— определяем, относится ли наша организация к субъекту КИИ;

— выявляем процессы, которые имеют место быть в нашей организации, будь то управленческие процессы, технологические, экономические и т. д.;

— из выявленных процессов необходимо определить те процессы, которые несут в себе критический характер в случае сбоя;

— теперь определяем объекты, которые производят обработку критических процессов, а также осуществляют контроль и управление критической системой;

— далее необходимо обратиться к Постановлению Правительства РФ [2], в котором с помощью перечня показателей критериев значимости объектов КИИ можно определить, к какой категории относится объект КИИ;

— последним этапом при категорировании является отправка во ФСТЭК России акта о «Категорирование объекта КИИ».

После определения категории субъекта КИИ, необходимо приступить к разработке и внедрению системы обеспечения информационной безопасности. Для обеспечения безопасности необходимо разработать и внедрить организационные и технические меры по обеспечению безопасности значимого объекта. Согласно приказу ФСТЭК России [9], система обеспечения информационной безопасности объекта КИИ должна в себя включать:

— разработку модели угроз, а также анализ угроз информационной безопасности;

— проектирование подсистемы защиты информации;

— разработку документации.

К организационным мерам, применяемым для обеспечения безопасности значимого объекта критической информационной инфраструктуры, относятся следующие меры:

— установление контролируемой зоны;

— контроль физического доступа к объекту;

— разработка и внедрение регламентов, положений, инструкций, политик по обеспечению безопасности;

— аудит безопасности;

— обучение персонала.

Также необходимо определить администратора информационной безопасности. Под администратором информационной безопасности подразумевается субъект доступа, ответственный за защиту автоматизированной системы от несанкционированного доступа к информации [11].

Технические меры по обеспечению информационной безопасности, субъекта КИИ реализуются путем применения программных и программно-аппаратных средств защиты информации. К техническим мерам, применяемым для обеспечения безопасности значимого объекта критической информационной инфраструктуры, относятся следующие меры:

— идентификация и аутентификация пользователей системы;

— управление доступом;

— ограничение программной среды

— защита машинных носителей информации;

— управление конфигурацией.

Все используемые средства защиты информации на объекте КИИ должны быть сертифицированы по требованиям безопасности информации. На объектах первой категории значимости применяются средства защиты информации не ниже четвертого класса защиты, на объектах второй категории значимости применяются не ниже пятого класса защиты, на объектах третьей категории значимости применяются не ниже шестого класса защиты.

Таким образом, для обеспечения информационной безопасности субъекта критической информационной инфраструктуры сначала необходимо произвести тщательный анализ и определить, является ли субъект субъектом КИИ. Далее проводится категорирование объекта КИИ и определяется категория для дальнейшего построения системы защиты. Безопасности субъекта КИИ достигается путем внедрения организационных и технических мер, которые направлены на нейтрализацию угроз информационной безопасности.

Литература:

1. О безопасности критической информационной инфраструктуры Российской Федерации: Федеральный закон от 26 июля 2017 г. № 187-ФЗ
2. Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений: Постановление Правительства РФ от 8 февраля 2018 г. № 127.
3. Об утверждении Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации: Постановление Правительства РФ от 17 февраля 2018 г. № 162.
4. О внесении изменений в Положение о Федеральной службе по техническому и экспортному контролю, утвержденное Указом Президента Российской Федерации от 16 августа 2004 г. № 1085: Указ Президента Российской Федерации от 25.11.2017 г. № 569.
5. Об утверждении Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации: Приказ Федеральной службы по техническому и экспортному контролю от 6 декабря 2017 г. № 227.
6. Об утверждении формы акта проверки, составляемого по итогам проведения государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации: Приказ Федеральной службы по техническому и экспортному контролю от 11 декабря 2017 г. № 229.
7. Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования: Приказ Федеральной службы по техническому и экспортному контролю от 21 декабря 2017 г. № 235.
8. Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий: Приказ Федеральной службы по техническому и экспортному контролю от 22 декабря 2017 г. № 236.
9. Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации: Приказ Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239.
10. Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения: утвержден решением председателя Гостехкомиссии России от 30.03.1992 г.