19.08.2016, 15:37:31
Войти Зарегистрироваться
Авторизация на сайте

Ваш логин:

Ваш пароль:

Забыли пароль?

Навигация
Новости
Архив новостей
Реклама
Календарь событий
Right Left

Закон про безпеку КВІ та аутсорсинг: питань ще багато

Затверджено правила категорирования об'єктів критичної інформаційної інфраструктури.

Закон, що вступив в січні в силу закон № 187-ФЗ «Про безпеку критичної інформаційної інфраструктури Російської Федерації» викликав багато запитань . Повне розуміння у регулятора і об'єктів регулювання виникне, коли з'являться всі нормативні правові акти, але починати роботи по реалізації закону треба вже зараз. Для початку - зрозуміти, до яких категорій критичної інформаційної структури (КВІ) відносяться наявні в організації інформаційні системи.

Категорії значущості КВІ

Картину частково прояснює підписану 8 лютого 2018 Постанова Уряду РФ N 127 "Про затвердження Правил категорирования об'єктів критичної інформаційної інфраструктури Російської Федерації. Вводяться три категорії значущих КВІ (найвища - перша), до четвертої категорії можна віднести КВІ, що не потрапили під критерії значимості, перераховані в додатку до Постанови. Так, якщо порушення функціонування мережі зв'язку торкнеться не всю територію муніципального освіти і без зв'язку залишиться менше 50 тис. чоловік, то за цим показником КВІ не відноситься до значних, якщо всю (або якщо без зв'язку залишаться від 50 тис. до м лліона людина) - до третьої категорії. Якщо територія, на якій можливе припинення або порушення функціонування мережі зв'язку, виходить за межі суб'єкта Федерації (або без зв'язку залишиться більше п'яти мільйонів чоловік) - то до першої категорії значущості.

Законодавство досить ліберально в плані категорирования об'єктів КВІ. Суб'єкти господарської діяльності: державні органи і установи, російські юридичні особи та індивідуальні підприємці проводять його самі.

Області діяльності, в яких функціонують об'єкти КВІ

01

Охорона здоров'я

02

наука

03

транспорт

04

зв'язок

05

Банківська сфера та інші сфери фінансового ринку

06

Паливно-енергетичний комплекс

07

Атомна енергія

08

Оборонна промисловість

09

Ракетно-космічна промисловість

10

Гірничодобувна промисловість

11

металургійна промисловість

12

Хімічна промисловість

За матеріалами доповіді на ТБ-Форумі заступника начальника управління ФСТЕК Росії Олени Торбенко


Щоб зрозуміти, чи є організація суб'єктом КВІ, потрібно подивитися статутні документи, ліцензії та інші дозвільні документи на види діяльності, і звіритися з загальноросійським класифікатором видів економічної діяльності.

Що робити?

Перший етап - скласти перелік об'єктів КВІ, що підлягають категоріювання. У проекті постанови, на який рекомендував орієнтуватися ФСТЕК всього два тижні тому, на цю роботу відводилося півроку. У підсумку вирішили, що шість місяців - занадто багато, і взагалі прибрали термін. 14 лютого на минулому в Москві ТБ-Форумі представники ФСТЕК озвучили термін 23 лютого. Рік не пролунав, з чого деякі слухачі зробили висновок, що термін пересунули на 2019 рік, але все ж скоріше мова йде про поточний. В принципі треба дочекатися письмових роз'яснень від регулятора, але краще відразу випустити наказ про створення комісії з категорування і призначити відповідальних за планування заходів.

Основні етапи категорирования об'єктів КВІ РФ

результат

Створення комісії з категоріювання

Наказ про створення комісії

Аналіз вихідних даних для категорирования

Перелік об'єктів КВІ, що підлягають категоріювання. Направляється в ФСТЕК протягом 5 днів після створення переліку

Категоріювання об'єктів КВІ

Акт категорирования об'єкта КВІ

Напрямок відомостей про категорірованіі в ФСТЕК РФ (протягом 10 днів після створення акта категорирования)

Внесення до реєстру значущих об'єктів КВІ

За матеріалами доповіді на ТБ-Форумі заступника начальника управління ФСТЕК Росії Олени Торбенко


Комісія проаналізує вихідні дані і створить перелік об'єктів КВІ, що підлягають категоріювання. Далі з термінами зрозуміло - в перебігу п'яти днів перелік у встановленій формі повинен бути відправлений у ФСТЕК. На усунення зауважень регулятора і категорирование об'єктів КВІ відводиться рік з дня затвердження суб'єктом КВІ переліку об'єктів. Це крайній термін для складання акта категорирования об'єктів КВІ та напрямки (протягом десяти днів після затвердження) в ФСТЕК відомостей про результати категорирования.

Вихідні дані для категорирования об'єктів КВІ РФ

Відомості про об'єкт КВІ

Процеси (управлінські, технологічні, виробничі, фінансово-економічні) в рамках виконання функцій суб'єкта КВІ

Склад інформації, що обробляється об'єктами КВІ, послуги, що надаються об'єктами КВІ

Декларація промислової безпеки небезпечного виробничого об'єкта, декларація безпеки гідротехнічної споруди, паспорт об'єкта паливно-енергетичного комплексу, на яких функціонує об'єкт КВІ, якщо їх розробка передбачена законодавством РФ

Відомості про взаємодію об'єкта КВІ з іншими об'єктами КВІ

Загрози безпеці, а також дані про комп'ютерні інциденти, що сталися на об'єктах КВІ даного типу

За матеріалами доповіді на ТБ-Форумі заступника начальника управління ФСТЕК Росії Олени Торбенко

Категоріювання об'єктів КВІ проводиться з урахуванням їхньої політичної, економічної, соціальної, екологічної значимості і важливості для забезпечення оборони країни. Оцінка проводиться за кожним критерієм, а категорія присвоюється за вищим значенням.

ФСТЕК перевіряє правильність категорирования, при необхідності відправляє матеріали суб'єкту КВІ на доопрацювання і вносить дані до реєстру значущих об'єктів КВІ. Перегляд категорії значущості проводиться не рідше ніж раз на п'ять років.

Питання аутсорсингу КВІ

«Може виникнути ситуація, коли об'єкт КВІ належить одному суб'єкту, але в цілях господарської діяльності використовується іншим суб'єктом. В цьому випадку категорирование виробляє суб'єкт - власник КВІ на підставі даних, які він отримує від господарюючого суб'єкта », - пояснила заступник начальника управління ФСТЕК Росії Олена Торбенко на 23-му міжнародному форумі« Технології безпеки ».

В цьому випадку категорирование виробляє суб'єкт - власник КВІ на підставі даних, які він отримує від господарюючого суб'єкта », - пояснила заступник начальника управління ФСТЕК Росії Олена Торбенко на 23-му міжнародному форумі« Технології безпеки »

Якщо регулятор мав на увазі надання послуг з сервісної моделі, то на практиці реалізувати такі вимоги не завжди просто. Візьмемо хмарного провайдера, який надає послуги бухгалтерів з моделі SaaS, наприклад надає 1С. Виходить, що він тепер повинен послати всім своїм клієнтам запит, чи не є робота їх бухгалтерії критичної для політичної, економічної або соціальної ситуації в регіоні і країні? Інакше як він зможе категоризувати свою інформаційну інфраструктуру?

А якщо послуга надається по моделі IaaS? Чи завжди провайдери знають, для яких завдань використовуються виділяється клієнту інфраструктура? Чи була проведена на неї атака, про яку він тепер зобов'язаний повідомити регулятору ? Причому хмарний провайдер може не бути власником інфраструктури, а також брати її в оренду. Тоді відповідальність перекладається на власників дата-центру. Ще складніша ситуація з наданням послуги за моделлю colocation. Клієнт може розгортати на орендованих обчислювальних потужностях що завгодно, контролювати це провайдер не може.

І чи завжди постачальник послуг отримає відповідь на свій запит про категорії значущості розгорнутої у нього інформаційної системи? Не допоможуть і загальні дані про діяльність замовника. Компанія, що займається водопостачанням, формально не потрапляє в область діяльності функціонування КВІ. При цьому може виявитися, що вона поставляє воду для АЕС і використовувана нею інформаційна інфраструктура відноситься до першої категорії значущості.

Крайнім може виявитися дата-центр. Відповідальність не маленька - в гіршому випадку при настанні тяжких наслідків через неправомірні впливів на КІІ з 1 січня нового року можна отримати за статтею 274.1 КК РФ до 10 років позбавлення волі . Хоча в даному випадку скоріше загрожує шість років за порушення правил експлуатації засобів зберігання, обробки або передачі охороняється в КВІ інформації.

Якщо дата-центр належить операторам зв'язку або кому-то ще з представітелей12 галузей, перерахованих в законі - категоризувати інформаційну інфраструктуру і виконувати роботи за новим законом 187-ФЗ треба. Якщо ЦОД комерційний - вже не очевидно. З іншого боку КЦОДу має сенс виконати вимоги регулятора щодо забезпечення безпеки свого клієнта з найвищою категорією значущості КВІ, інакше він піде до іншого.

Категоріювання - тільки перший етап. Найскладніше - забезпечення безпеки КВІ. Причому чим вище значимість КВІ, тим вимоги будуть жорсткіше. І тут з'являються нові можливості для аутсорсингу. Перш за все аутсорсингу інформаційної безпеки, адже більшості підприємств буде не по кишені утримувати фахівців з ІБ, вже не кажучи вже про власний SOC. Та й перекладання відповідальності на власників інформаційних інфраструктур сприятиме зростанню використання хмарних моделей. У дата-центру є експертиза, фахівці, програмні та апаратні засоби забезпечення інформаційної безпеки. Провайдерам інформаційних інфраструктур легше забезпечити виконання вимог регуляторів.

Питань багато, але вони можуть бути вирішені. Головне - активно їх задавати, адже ФСТЕК не може продумати все сам за всі господарюючі суб'єкти країни. Посилати питання можна на електронну пошту ФСТЕК [email protected] з позначкою «Питання по КВІ». Зрештою, в цьому зацікавлені всі.

Помітили неточність або помилку в тексті? Виділіть її мишкою та натисніть: Ctrl + Enter. Дякуємо!

Що робити?
Виходить, що він тепер повинен послати всім своїм клієнтам запит, чи не є робота їх бухгалтерії критичної для політичної, економічної або соціальної ситуації в регіоні і країні?
Інакше як він зможе категоризувати свою інформаційну інфраструктуру?
А якщо послуга надається по моделі IaaS?
Чи завжди провайдери знають, для яких завдань використовуються виділяється клієнту інфраструктура?
І чи завжди постачальник послуг отримає відповідь на свій запит про категорії значущості розгорнутої у нього інформаційної системи?
Помітили неточність або помилку в тексті?