Тема категорирования объектов КИИ по требованиям 187-ФЗ была одной из основных для обсуждения во время проведения в Москве второй межотраслевой конференции по регуляторике в сфере ИБ. Мероприятие организовала ассоциация пользователей стандартов по информационной безопасности (АБИСС).
- Введение
- Список нормативных документов по КИИ
- Процедура категорирования объектов КИИ
- Ошибки при категорировании объектов КИИ
- Государственный контроль за субъектами КИИ
- Опыт эксперта
- Выводы
Введение
За период 2021–2022 гг. кибератакам различной сложности подверглись 89 % компаний — субъектов КИИ. Исследователи отмечают, что такие организации входят в список первоочередных целей для злоумышленников.
Во втором полугодии 2022 г. большинство кибератак против предприятий КИИ пришлись на следующие отрасли: энергетика (38,5 %), промышленные производства (29,6 %), нефтегазовый сектор (28,1 %).
Как рассказал Евгений Царев, эксперт АБИСС и управляющий RTM Group, главными признаками отнесённости к КИИ являются использование государственных информационных систем, телеком-сетей, АСУ ТП (на правах собственности, аренды или ином законном основании) и принадлежность к одной из отраслей экономики, перечень которых представлен на рисунке 1.
Рисунок 1. Отрасли, подпадающие под требования 187-ФЗ
Хотя закон 187-ФЗ был принят ещё в 2018 году, степень готовности субъектов КИИ к полному исполнению его требований остаётся низкой. Как показало совместное исследование компании «K2 Кибербезопасность» и Anti-Malware.ru, проведённое летом 2023 года, на данный момент около 35 % организаций-респондентов находятся ещё на старте подготовки необходимой документации. Полностью завершили подготовку и сдали отчёт в ФСТЭК России только 7 % компаний.
Рисунок 2. Готовность компаний — субъектов КИИ («K2 Кибербезопасность», Anti-Malware.ru)
Список нормативных документов по КИИ
Алексей Авдеев, консультант по кибербезопасности компании BI.ZONE, перечислил нормативные документы по защите объектов КИИ:
- Федеральный закон № 187-ФЗ от 26.07.2017;
- указы Президента РФ № 250 от 01.05.2022 и № 166 от 30.03.2022;
- приказы ФСТЭК России № 235 от 21.12.2017 и № 239 от 25.12.2017;
- приказы ФСБ России № 367 от 24.07.2018 и № 282 от 19.06.2019.
На рисунке 3 представлен взгляд BI.ZONE на анализ уязвимостей и их устранение.
Рисунок 3. Анализ уязвимостей для объектов КИИ (BI.ZONE)
Как рассказал Евгений Царев, 187-ФЗ не всегда позволяет дать однозначный ответ, принадлежит ли компания к субъектам КИИ или нет. Более точно эти границы очерчены в распоряжении Минпромторга № 4070 от 27 сентября 2022 г. Когда требуется принять окончательное решение о необходимости проверки предприятия на принадлежность к КИИ, следует учитывать также и этот документ.
Представитель ФСТЭК России, в свою очередь, описал нормативную базу для ответственности за невыполнение регуляторных требований.
Рисунок 4. Ответственность в случае нарушения требований 187-ФЗ (ФСТЭК России)
Как показывает практика, наиболее часто встречаются нарушения связанные с контролем доступа. Они наказываются по ст. 274.1 УК РФ.
Евгений Царев привёл пример из практики уголовного преследования. Это был случай, когда сотрудник по неосторожности воспользовался паролем системного администратора при удалённом доступе к категорийному объекту, хотя по инструкции имел право удалённо входить в систему только с личным паролем. Несмотря на то что затронутый объект был определён в дальнейшем как незначимый в инфраструктуре КИИ, было возбуждено дело.
Этот инцидент не привёл к назначению реального наказания. В то же время комиссия ФСТЭК России указала на недопустимость таких происшествий.
Процедура категорирования объектов КИИ
Как рассказал Александр Хонин, эксперт АБИСС и руководитель отдела консалтинга и аудита Angara Security, за последние три года правительство РФ издало три новых постановления по изменениям в правилах категорирования объектов КИИ.
В результате были актуализированы сведения о более чем 4000 объектов КИИ в реестре Единой системы безопасности значимых объектов критической информационной инфраструктуры (ЕСБ ЗОКИИ). Этот инструмент представляет собой комплекс взаимосвязанных методологических, организационных и технических решений, которые используются для управления процессами по обеспечению безопасности объектов КИИ и для повышения эффективности защиты значимых объектов КИИ на всех этапах их жизненного цикла.
Регулятор получил возможность запрашивать дополнительную информацию и актуализировать собранные в системе данные. Появилась возможность привлекать к выполнению работ по мониторингу подведомственные организации. Была также повышена категория значимости для более чем 40 объектов КИИ по изменённым показателям.
Рисунок 5. Последние изменения в правилах категорирования объектов КИИ (ФСТЭК России)
Как отметил Александр Хонин, при выполнении категорирования наиболее часто возникают следующие вопросы:
- Как выделить объекты КИИ?
- Что должны включать в себя объекты КИИ?
- Как определить категорию значимости?
- Как правильно заполнить все пункты формы 236?
Рисунок 6. Правила для подготовки отчётов по 187-ФЗ для ФСТЭК России
При сборе исходных данных составляется методика категорирования, определяются критические процессы, подготавливается описание ИС / АСУ / ИТКС, формируется перечень объектов КИИ, а также составляется предварительное определение для категорий их значимости.
При составлении методики категорирования компаниям необходимо определить показатели, по которым будут оцениваться значимость объектов КИИ и масштабы возможных последствий кибератак.
В процессе подготовки описания ИС / АСУ / ИТКС необходимо учитывать функциональное назначение системы, состав обрабатываемой там информации и другие факторы (см. рис. 6).
Ошибки при категорировании объектов КИИ
Как рассказала Анна Христолюбова, замначальника регионального центра НПП «Гамма» по взаимодействию с предприятиями ОПК, уполномоченные ФСТЭК России органы часто выявляют в ходе мониторинга характерные ошибки при документировании работы комиссий по категорированию. Основные из них перечислены на слайде докладчика (рис. 7).
Рисунок 7. Ошибки в отчётах по 187-ФЗ (НПП «Гамма»)
Чтобы избегать подобных ошибок, компаниям следует заранее подготовить необходимые документы и фиксировать управленческие действия с указанием причин выбора того или иного решения. Такой подход позволяет не только аргументировать свою позицию перед контролирующими органами, но и решить много сопутствующих проблем. Например, он обеспечивает преемственность результатов категорирования в случае увольнения работников, которые ранее занимались подготовкой документов для регулятора. Это будет полезно и в случае реорганизации компании.
Задокументированные управленческие решения также будут важным аргументом при защите в ходе судебных разбирательств, если таковые будут инициированы. Этот подход поможет лучше управлять комплаенс-рисками, из которых может возникать административная ответственность.
Анна Христолюбова назвала также распространённые ошибки, вследствие которых принятые комиссией по категорированию решения могут быть оспорены (рис. 8).
Рисунок 8. Ошибки при категорировании объектов КИИ
Типичные ошибки при документировании, выявляемые в ходе проводимых мониторингов, представлены на рисунке 9.
Рисунок 9. Документационные ошибки при работе комиссий по категорированию
Анна Христолюбова обратила внимание на специальный бесплатный опросник, который был разработан в помощь компаниям — субъектам КИИ. Он позволяет оценить качество выполнения требований законодательства по КИИ, помогает выявить «тонкие места» в организации системы защиты и подготовить план по её совершенствованию.
Государственный контроль за субъектами КИИ
Государство осуществляет контроль за правильностью и полнотой исполнения требований 187-ФЗ, отметил на конференции АБИСС представитель ФСТЭК России. Контроль может быть плановым или внеплановым. Оповещение о проведении планового контроля осуществляется не менее чем за три дня до начала проверки.
Рисунок 10. Процедура проверки соблюдения требований 187-ФЗ (ФСТЭК России)
Плановые проверки проводятся с 2021 года силами ФСТЭК России и прокуратуры РФ.
Как рассказал представитель ФСТЭК России, за прошедшее время были проверены 433 значимых объекта в 73 субъектах КИИ. По результатам проверок было выявлено более 600 нарушений. Более 250 нарушений были устранены в соответствии с выданными предписаниями.
Было также отмечено, что в случае выявления правонарушений ФСТЭК России имеет право возбудить административное дело. К текущему моменту таких дел уже более 25. В основном это статья 13.12(1) КоАП (нарушение требований), но есть дела и по ст. 19.7(15) (непредоставление сведений). Как выяснилось, не все организации успели актуализировать данные, а некоторые из них «даже не знали о такой необходимости».
Опыт эксперта
В рамках конференции АБИСС мы задали ряд дополнительных вопросов Александру Хонину, эксперту АБИСС и руководителю отдела консалтинга и аудита в компании Angara Security. Он раскрыл практические детали применения регуляторных требований по категорированию объектов КИИ.
КИИ — это физическое оборудование или виртуальные (программные) объекты?
Александр Хонин: И то и другое. Это может быть как физический сервер, так и виртуальный на базе физического.
Если в процессе подготовки отчёта по требованиям 187-ФЗ возникают разногласия, то кто отвечает за итоговое решение?
А. Х.: За всё отвечает руководитель субъекта КИИ. Как ответственное лицо он подтверждает результат своей личной подписью и печатью. Ответственность лежит прежде всего на нём.
Если инцидент коснулся того, что не было учтено в отчёте для регулятора, какую роль играет в этом случае отчёт?
А. Х.: Отчёт может быть дополнен впоследствии, если появляются новые риски, которые должны быть учтены.
Какую цель преследует назначение субъекту статуса КИИ?
А. Х.: Основная цель — защитить особо важные ресурсы предприятия от различных угроз, в том числе от внешних атак. Задача определения субъекта КИИ решается поэтапно. Сначала требуется выделить необходимые объекты, затем — провести их категорирование. После этого формируются требования для обеспечения их безопасности и внедрения СЗИ для минимизации рисков в отношении выделенных ресурсов.
Как формируется комиссия для подготовки отчёта по субъекту КИИ?
А. Х.: Есть определённые практики ИБ и ИТ. Сразу назначить всех участников комиссии очень трудно в силу необходимости учёта очень многих вопросов. Понимание необходимых компетенций приходит только после того, как рабочая группа определит область угроз и требуемый уровень защищённости. Тогда появляется возможность назначать членов комиссии.
Почему у регулятора нет готовой методики по формированию комиссии?
А. Х.: Регулятор не может учесть пожелания и особенности всех субъектов КИИ. Отраслей очень много, компании очень разные, процессы у каждой компании свои. Но регулятор предоставляет общий концепт, как должно быть, а остальное участники детализируют и дорабатывают с учётом особенностей внутри компаний.
Ведётся ли работа по обобщению опыта при формировании комиссий в субъектах КИИ?
А. Х.: Идёт обобщение практики по двум направлениям. Первое направление — это категорирование. Второе — это выявление признаков, которые определяют требования по ИБ.
Требуется ли периодический пересмотр системы рисков для субъектов КИИ?
А. Х.: Регулятор требует периодически пересматривать объекты, входящие в субъект КИИ, для уточнения рисков. Это должен быть комплексный, постоянный процесс оценки на соответствие текущим рискам (внутренним, внешним). По мере появления изменений в инфраструктуре, конъюнктуре требуется обновлять понимание того, какие угрозы возникают на «день Х», как их следует закрывать, следует ли что-то менять в системе безопасности.
Кто должен заниматься пересмотром списка рисков?
А. Х.: Требование привлекать внешнего исполнителя в рамках подготовки отчёта по субъекту КИИ сейчас отсутствует. Субъекты КИИ могут проводить оценку рисков самостоятельно без привлечения внешнего партнёра.
Некоторые компании привлекают интеграторов, в первую очередь для оптимизации своих затрат. Такой подход даёт возможность получить взгляд на проблему со стороны. Это позволяет выявить особенности, которые внутренняя команда ИБ может не увидеть. Но такой обязанности пока нет.
В настоящее время к КИИ относятся 15 отраслей экономики. Насколько полон этот список и будет ли он пересматриваться в будущем?
А. Х.: Этот вопрос «мучает» всех участников рынка. Первоначальный список был определён в 187-ФЗ, в него входило 13 отраслей. Далее было добавлено, в частности, направление регистрации недвижимости. Но вопросы остаются до сих пор.
Например, многие направления госсектора до сих пор не попадают в список КИИ. С другой стороны, из формулировки закона следует, что в первую очередь надо защищать государственные ресурсы, системообразующие отрасли и так далее. Поэтому вопросы о том, ожидается ли расширение списка отраслей для субъектов КИИ, задаются до сих пор.
P. S. Как заявил представитель ФСТЭК России на прошедшей конференции АБИСС, регулятор пока не готовит новых предложений по расширению списка.
Выводы
Как показала прошедшая конференция АБИСС, регулятор настроен вести с компаниями конструктивный диалог по возникающим вопросам, связанным с категорированием объектов КИИ. Хотя за нарушения полагается наложение штрафов, регулятор старается помочь компаниям исправлять ошибки заранее, чтобы избежать возникновения инцидентов.