Отставить панику! Все, что вы хотели знать про 187-ФЗ «О безопасности критической инфраструктуры»

Федеральный закон «О безопасности критической инфраструктуры» уже не нов, но и по сей день часто озадачивает большинство субъектов критической информационной инфраструктуры (КИИ), попадающих под его действие. В статье мы ответим на часто возникающие вопросы, развеем некоторые опасения, а также дадим общий и понятный порядок действий по приведению информационных систем в соответствие с 187-ФЗ.

Вопрос №1. Как вообще понять, попадаю ли я под действие закона?

1. Зайдите в ОКВЭД (общероссийский классификатор видов экономической деятельности), определите в нем свою деятельность, а затем задайте в поисковике запрос «ОКВЭДы попадающие под КИИ». Мир не без добрых людей, и в сети уже давно есть списки всех ОКВЭДов, находящихся в поле действия 187-ФЗ.
2. Удостоверьтесь (в случае, если ваша деятельность все-таки попадает под КИИ), что вы являетесь собственником (находитесь в праве арендыили владеете на ином законном основании) информационных систем, информационно-телекоммуникационных сетей или автоматизированных систем управления.

Если на оба пункта ответ «да», то вы попадаете под действие 187-ФЗ.

Вопрос №2. Что мне с этим делать?

Первым делом вам предстоит процедура, которую практически все субъекты КИИ не любят и стараются избежать (или хотя бы свести к минимальному значению) – категорирование.

Давайте разберемся, а так ли это страшно?

Категорирование представляет собой исследование бизнес-процессов, которые обеспечиваются информационными системами (ИС), информационно-телекоммуникационными сетями (ИТКС) и АСУ ТП. При этом выявляется степень критичности нарушения работы этих систем и возможное негативное воздействие или вред окружающему миру (экология, оборонный потенциал, социальная и политическая значимость).

Всего категорий официально три: первая – наивысшая, третья – самая низкая. Ну и всеми желанная (неофициальная) «нулевая» категория, которая обозначает, что объект не относится по масштабам или воздействию к КИИ.  Каждая официальная категория, в соответствии с нормативной базой, имеет свои требования по обеспечению безопасности.

Для проведения категорирования необходимо создать комиссию из сотрудников предприятия, узнать существуют ли в вашей отрасли особые методики по проведению категорирования, заполнить спецформу, отправить во ФСТЭК и ждать ответ, понимаю, что почти наверняка будут замечания. Как вариант, можно немного упростить себе жизнь и обратиться к лицензиату с опытом в подобных вещах.

Вопрос №3. Я уже сто раз поднимал вопрос о категорировании, но никто не хочет быть в комиссии.

Как ни странно, но на практике такие вопросы задают в одном случае из трех.

Для решения этой проблемы есть свой лайфхак – подойдите к генеральному директору, покажите ему выдержку из нормативной базы с наказаниями за несоблюдение ФЗ и скажите, что при отсутствии официально назначенных ответственных таковым по умолчанию считается он. Как показывает опыт, после подобного диалога ответственные назначаются достаточно быстро.

Вопрос №4. Как понизить категорию значимых объектов КИИ, чтобы сэкономить на средствах защиты?

Никак. Однако не спешите расстраиваться и считать бюджет. Сама по себе категория, что бы за ней ни стояло, мало что значит. Утверждение той или иной категории значимого объекта КИИ, не означает, что вам придется по списку закупить абсолютно все средства защиты информации в соответствии с мерами, указанными в 239 приказе ФСТЭК.

Категория, как группа крови – не хорошо и не плохо.

Здесь на первый план выходит модель угроз. Грамотно построенная, она даст вам представление о необходимости и достаточности мер по обеспечению безопасности ваших ИС, ИТКС и АСУ ТП и позволит определиться с минимальным набором подсистем и средств безопасности.

Вопрос №5. Категория – есть, модель угроз – есть. Что дальше?

Дальше не забываем про «бумажную» безопасность. Необходимо разработать пакет ОРД и ознакомить с ним всех причастных. Лучше под роспись.

Примерный перечень документов:

• Приказ о назначении лиц, ответственных за обеспечение безопасности значимых объектов КИИ.
• Должностная инструкция лица, ответственного за обеспечения безопасности значимых объектов КИИ.
• Должностная инструкция сотрудника структурного подразделения, ответственного за обеспечение безопасности значимых объектов КИИ.
• Положение об обеспечении безопасности значимых объектов КИИ.
• Регламент планирования мероприятий по обеспечению безопасности значимых объектов КИИ.
• Регламент управления инцидентами информационной безопасности.
• План реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак.
• Регламент организации парольной защиты значимых объектов КИИ.
• Регламент управления доступом значимых объектов КИИ.
• Регламент защиты машинных носителей информации значимых объектов КИИ.
• Регламент аудита информационной безопасности значимых объектов КИИ.
• Регламент антивирусной защиты значимых объектов КИИ.
• Регламент обеспечения целостности и доступности значимых объектов КИИ.
• Регламент защиты информационных систем (значимых объектов КИИ) и их компонентов (технических средств).
• Регламент управления конфигурацией и обновлениями значимых объектов КИИ.
• План мероприятий по обеспечению безопасности ЗОКИИ.
• Регламент по организации действий в нештатных ситуациях.
• Регламент обучения и повышения осведомленности работников по вопросам информационной безопасности значимых объектов КИИ.
• Регламент взаимодействия с ГосСОПКА

Перечень примерный, но суть такова.

На этом завершается первый шаг по выполнению требованию 187-ФЗ. Дальнейшие шаги по обеспечению безопасности КИИ достаточно стандартны, хоть и не лишены доли творчества:

• Разработать ТЗ.
• Спроектировать системы обеспечения информационной безопасности (СОИБ).
• Внедрить СОИБ.
• Провести испытания СОИБ.
• Подключиться к ГосСОПКА.

Если с техническим заданием, проектированием и внедрением все более-менее понятно, то на последнем пункте мы остановимся подробнее.

Отчетными документами испытаний СОИБ являются:

• Программа и методика испытаний.
• Протокол проведения предварительных испытаний.
• Акт приемки в опытную эксплуатацию (в случае успешного прохождения испытания).
• Акт завершения опытной эксплуатации (в случае успешного прохождения испытания).
• Протокол анализа уязвимостей.
• Протокол проведения приемочных испытаний.
• Заключение о проведении приемочных испытаний.

Проведение испытаний СОИБ полностью регламентировано 239-м приказом ФСТЭК. При этом анализ уязвимостей в данный перечень закрался совсем не случайно. Любые выявленные на данном этапе уязвимости СОИБ являются основным стоп-фактором в получении положительного заключения о проведении приемочных испытаний и подключению к ГосСОПКА.

В конце мы хотим сделать небольшую, но важную оговорку. Все, сказанное в этой статье, не означает, что следует довольствоваться минимально допустимым вариантом обеспечения безопасности КИИ. Мы всего лишь пытаемся сдвинуть процесс с мертвой точки и помогаем перейти от мыслей к действию.

Киберпреступность развивается семимильными шагами, и не следует отставать в противодействии. Фраза «нет предела совершенству» как нельзя лучше подходит для сферы информационной безопасности, но даже минимальные усилия в этом направлении лучше, чем совсем никаких.

Автор: Пожидаев Захар Александрович, руководитель направления обеспечения безопасности КИИ. Департамент информационной безопасности Softline