Моделирование угроз безопасности для объектов КИИ
Хотя Федеральному закону РФ от 26 июля 2017 года №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» скоро стукнет год, законодательство в этой сфере еще развивается и, к сожалению, на сегодняшний день не охватывает все нюансы его исполнения.
Так, в соответствии с законом и уже принятыми подзаконными актами, для объектов критической информационной инфраструктуры Российской Федерации (КИИ) необходимо проводить моделирование угроз безопасности информации.
При этом документы для предыдущего понятия «ключевые системы информационной инфраструктуры» (КСИИ) формально уже не действуют, и сам этот термин более не применяется – ему на смену пришли объекты КИИ. Но и новых методик моделирования угроз регулятор ИБ-сообществу пока не предоставил, хотя требования выполнять уже нужно. В связи с этим у экспертов возникают вопросы, по каким требованиям и принципам необходимо разрабатывать Модель угроз для объектов КИИ?
К счастью, регулятор дал официальный ответ. К несчастью, этот ответ – не новая долгожданная методика, заточенная под нюансы исполнения 187-ФЗ, а отсылка к старым наработкам.
В соответствии с информационным сообщением ФСТЭК России от 4 мая 2018 г. N 240/22/2339, Базовая модель угроз безопасности информации КСИИ и методика моделирования угроз КСИИ, официально могут применяться для моделирования угроз значимых объектов КИИ (до утверждения ФСТЭК России соответствующих новых методических документов).
Примечательно, что оба документа носят гриф ДСП и чаще всего недоступны рядовому Субъекту КИИ для изучения. Поэтому нужно отметить, что такой подход носит рекомендательный, а не обязательный характер. При этом сроков публикации хотя бы проектов новых методических документов ФСТЭК России пока не называет.
Такие документы, как Общие требования по обеспечению безопасности информации в КСИИ и Рекомендации по обеспечению безопасности информации в КСИИ (также под грифом ДСП), признаются официально утратившими силу, и более не могут использоваться при построении систем защиты.
Полезные ссылки по 187-ФЗ
Для тех, кто желает более полно погрузиться в тему и быть в курсе актуальных обсуждений по теме КИИ, прикрепляю перечень постов в блогах по теме КИИ и 187-ФЗ, сформированный и поддерживаемый нашим коллегой Алексеем Комаровым.
Кроме того, в открытом доступе размещены материалы Методического сбора ФСТЭК России по вопросам обеспечения безопасности объектов КИИ, прошедшего 27.06.2018 в Новосибирске.
Новые полномочия ЦБ по ИБ
27 июня Президент РФ подписал Федеральный закон 167-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части противодействия хищению денежных средств».
Так, в законодательные акты вносятся в том числе следующие изменения:
- При выявлении признаков совершения перевода денежных средств без согласия клиента оператор по переводу денежных средств обязан приостановить на срок не более двух рабочих дней исполнение распоряжения о совершении операции, а также приостановить на такой же срок использование клиентом электронного средства платежа.
- При этом устанавливается, что признаки совершения перевода денежных средств без согласия клиента определяются Банком России и размещаются на его официальном сайте.
- Предусматривается наделение Банка России полномочиями по формированию и ведению базы данных о случаях совершения перевода денежных средств без согласия клиента и определению порядка направления и получения операторами по переводу денежных средств, операторами платёжных систем и операторами платёжной инфраструктуры информации из этой базы данных.
- Кроме того, в соответствии с планируемыми изменениями, Банк России будет устанавливать обязательные для кредитных и некредитных организаций требования к обеспечению защиты информации при осуществлении банковской деятельности (Статьи 57.4 и 76.4.1 закона «О Центральном банке Российской Федерации»).
- Иными словами, если раньше Банк России устанавливал обязательные требования по безопасности только для участников Национальной платежной системы (по ст.27 ФЗ-161), то по истечении 90 дней с момента опубликования 167-ФЗ, Центробанк получит права устанавливать обязательные требования для кредитных организаций, а также для всех некредитных финансовых организаций – страховых, негосударственных пенсионных фондов, бирж, микрофинансовых организаций, ломбардов и т. п.