BIS Journal №2(29)/2018

11 мая, 2018

БанКИИ

Летом прошлого года Государственная Дума приняла федеральный закон №187-ФЗ «О безопасности критической информационной инфраструктуры» (КИИ), который вступил в действие первого января текущего года. В нем установлены требования по обеспечению безопасности значимых объектов КИИ (ЗОКИИ). Причем в определениях закона указывается двенадцать сфер деятельности, объекты которых могут быть отнесены к ЗОКИИ. Следует отметить, что финансовая сфера полностью и банки в частности подпадают под действие этого закона и являются субъектами КИИ.

КРИТИЧЕСКАЯ ИНФРАСТРУКТУРА

Закон №187-ФЗ причисляет к критической информационной инфраструктуре все предприятия из указанных сфер деятельности. Относится или нет конкретное предприятие к одной из сфер определяется по ОКВЭД, который заполняется при регистрации предприятия, по полученным компанией лицензиям, а также по уставным документам. Однако обязательные требования к защите информации предъявляются только к ЗОКИИ, хотя владельцы незначимых объектов также должны исполнить ряд требований закона, например, в части подготовки перечня объектов КИИ и выполнения процедуры их категорирования.

Также в законе устанавливаются два Федеральных органа исполнительной власти (ФОИВ): один отвечает за безопасность объектов КИИ, в том числе за определение требований по защите информации для объектов КИИ, а второй - за поддержание работоспособности государственной системы обнаружения и предотвращения компьютерных атак (ГосСОПКА) на объекты КИИ. В соответствии с подписанными в конце прошлого года указами первым ФОИВ стала ФСТЭК России, которая в результате получила полномочия устанавливать требования по информационной безопасности для объектов КИИ и осуществлять контроль, а вторым – ФСБ России.

Таким образом, в законе есть две ветки требований: обеспечения безопасности объектов КИИ, контролировать которую будет ФСТЭК России в рамках своих полномочий, и взаимодействия с ГосСОПКА с соблюдением всех регламентов. С точки зрения взаимодействия с ГосСОПКА для кредитно-финансовых организаций предполагается, что оно будет осуществляться через FinCERT, который по факту будет являться ведомственным центром ГосСОПКА.

ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА №127-ПП

В начале 2018 года было принято Постановление Правительства №127-ПП, которое определяет процедуру проведения категорирования объектов КИИ. То есть описанные в нем правила позволяют определить, относится ли объект КИИ к ЗОКИИ или нет. Постановление определяет три уровня значимости - от первого до третьего (первый наивысший) - которые и определяют состав мер защиты, которые необходимо будет реализовать владельцам ЗОКИИ для их защиты. Категория значимости определяется по степени ущерба в пяти критериях значимости: социальной, политической, экономической, экологической и значимость для обеспечения обороны страны, безопасности государства и правопорядка. Таблица соотнесения показателей критериев значимости объектов КИИ и категории значимости находится в приложениях к постановлению.

Для проведения процедуры категорирования объектов КИИ нужно создать специальную комиссию, сформировать перечень объектов КИИ, определить процессы, происходящие на объектах, выявить информационные системы, которые поддерживают эти процессы и оценить ущерб, который может быть нанесен в случае нарушения и (или) прекращения функционирования информационной системы. На процедуру категорирования отводится ровно год со дня формирования и утверждения субъектом перечня объектов КИИ. Результатами этой деятельности должны стать документы о присвоении категорий значимости объектам КИИ, которые необходимо направить во ФСТЭК для регистрации в реестре ЗОКИИ. Первая плановая государственная проверка соблюдения требований по информационной безопасности может быть проведена через 3 года после регистрации объекта в реестре. Впрочем, возможны внеплановые проверки после зафиксированных инцидентов.

Чтобы объект был признан не значимым, нужно провести полноценную процедуру категорирования, пройти по всем типам ущерба и показать, что ни по одному из них он (объект) не может соответствовать указанным в постановлении уровням ущерба. Эти документы также нужно будет подготовить для ФСТЭК России, которая может и не согласиться с выводами комиссии. Однако именно не значимые объекты КИИ освобождаются от соблюдения требований приказов ФСТЭК России №235 и №239 в соответствующих закону №187-ФЗ сферах деятельности, но могут ими руководствоваться при определении требований к системе защиты информации и при построении такой системы защиты.

Процедура категорирования может проводиться банками самостоятельно, либо для этого могут привлекаться сторонние компании, имеющие необходимые лицензии ФСТЭК России.

ПРИКАЗЫ ФСТЭК РОССИИ

В рамках реализации требования закона №187-ФЗ ФСТЭК России разработала пять приказов, которые определяют различные аспекты обеспечения защиты значимых объектов КИИ - от формы представления результатов в Службу до правил ведения реестра ЗОКИИ.

Ключевыми являются два приказа: №235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования» и №239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации». Первый относится к субъектам, а второй - к объектам. Первый определяет обязанности владельцев ЗОКИИ по построению службы информационной безопасности, которая будет обеспечивать контроль ИБ всех критических объектов. Второй же устанавливает требования к самим системам защиты, которые обеспечивают безопасность объектов критической инфраструктуры от целенаправленных атак и управляются службами ИБ.

ФСТЭК России отмечает, что строить параллельную структуру для соответствия требованиям приказа №235 не нужно. Важно только, чтобы служба ИБ занималась именно защитой, а не техническим сопровождением ИТ и другими не свойственными ей обязанностями. Впрочем, для защиты можно привлекать и сторонние организации, которые имеют соответствующие лицензии на предоставление услуг по защите информации.

Требования приказа №239 определяют меры, которые необходимо будет выполнить для защиты объектов КИИ. При этом сертификация средств защиты в явном виде не требуется и может быть заменена процедурой оценки соответствия. Она необходима только при условии, что ИС является государственной (в соответствии с требованиями закона №149-ФЗ). Однако же оценка эффективности средств защиты должна быть проведена в любом случае. В частности, ее можно провести в виде приемочных испытаний. Фактически этот приказ определяет минимально необходимый уровень безопасности для всех предприятий России, и исполнение этих требований должно повысить уровень защищенности всего российского бизнеса.

ГосСОПКА и FinCERT

Вторая часть закона №187-ФЗ относится к построению системы обнаружения вторжений и взаимодействию с распределенной системой ГосСОПКА. К счастью, банкам не нужно взаимодействовать с ГосСОПКА напрямую - взаимодействие может происходить через ведомственный центр, который получил наименование FinCERT. Ранее он функционировал в рамках предписаний Центробанка, а теперь получает более высокий статус. Естественно, взаимодействие с ним будет обязательным как минимум для тех банков, которые будут признаны ЗОКИИ.

В настоящее время Центробанк ведет работу по значительному расширению возможностей по взаимодействию банков через FinCERT как в части информирования об инцидентах, так и в части процессов расследования и реагирования на них.

На сегодняшний день важно отметить, что все банки являются субъектами КИИ и подпадают под действие Федерального закона №187-ФЗ. В первую очередь банки должны составить перечень объектов КИИ и провести процедуру их категорирования в соответствии с требованиями Постановление Правительства №127. Несмотря на то, что на эту процедуру формально отводится один год, с нашей точки зрения лучше уже сейчас начать планировать данные работы.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

01.03.2024
Банки будут строже следить за криптотранзакциями, связанными с дропперами
01.03.2024
Холода прошли, но голос берегите — скамеры усиленно собирают слепки
01.03.2024
Лишение банковской лицензии — это ещё не всё
01.03.2024
«Они подобны смартфонам на колёсах». В США проверят «умные» авто из Китая
01.03.2024
Набиуллина: Дважды «красные» клиенты будут исключаться из реестра
01.03.2024
Банк России усовершенствует платформу цифрового рубля
01.03.2024
Организации здравоохранения США стали жертвами массовых кибератак
29.02.2024
«ИнфоТеКС» — о проблемах стандартизации ИБ
29.02.2024
Почему нормативные акты выполняются формально
29.02.2024
Почему затянулся переход на российские решения

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных