Правовое поле КИИ: приказы ФСТЭК России
За период март-апрель 2018 года были приняты следующие документы ФСТЭК России:
1. Приказ ФСТЭК России от 22.12.2017 № 236 «Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий» (Зарегистрирован 13.04.2018 № 50753).
2. Приказ ФСТЭК России от 25.12.2017 №239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
3. «Методические рекомендации по разработке программ профессиональной переподготовки и повышения квалификации специалистов, работающих в области обеспечения безопасности значимых объектов КИИ, ПДТР и ТЗИ».
Акт категорирования объекта КИИ, форма которого утверждена Приказом ФСТЭК России №236, принципиально не изменился со времен опубликованного проекта. Теперь уже официально по результатам категорирования объектов КИИ Субъект КИИ обязан передать во ФСТЭК России детальную информацию по каждой системе, с детализацией вплоть до применяемых исполнительных устройств.
Требования по ИБ объектов КИИ, утвержденные Приказом ФСТЭК России №239, ждали с нетерпением и Субъекты КИИ, и эксперты в области ИБ. Документ, в целом, выдержан в духе уже существующих приказов №17, 21 и 31.
Наиболее важные моменты (выдержка из обзора):
1. Это требования для значимых объектов КИИ. Т. е. если объекты КИИ не отнесены к таковым, требования для применения не обязательны.
2. В Приказе много внимания уделяется «бумажной безопасности», т. е. документированию результатовмероприятий по ИБ.
3. При разработке модели угроз и, в дальнейшем, при проведении анализа уязвимостей необходимо использовать Банк данных угроз безопасности информации ФСТЭК России. Причем «по результатам анализа уязвимостей должно быть подтверждено, что в значимом объекте, отсутствуют уязвимости, как минимум содержащиеся в банке данных угроз безопасности информации ФСТЭК России».
4. Помимо усиления «бумажной» безопасности, в документе есть и про практическую ИБ. Например, при анализе уязвимостей следует применять еще и «д) тестирование на проникновение». Но, что забавно, это не просто «пентест», а «пентест в условиях, соответствующих возможностям нарушителей, определенных в модели угроз безопасности». Видимо, если в МУ учтены возможности иностранных разведок и крупных криминальных групп, то и пентестеров придется оснастить современным кибероружием и другими безграничными ресурсами.
5. Обязательная аттестация прописана лишь для государственных ИС, являющихся значимыми объектами КИИ.
6. Использование СЗИ, прошедших оценку соответствия в форме обязательной сертификации, применяются в случае принятия решения субъектом КИИ. В противном случае проводится оценка соответствия в виде испытаний и приемки.
7. Много правок внесено в уже «классический» состав мер из Приложения (таблица мер), в том числе:
- Общая нумерация и описание мер изменились, теперь они не соответствуют приказам 17/21/31.
- Появилась новая группа мер — АУД «Аудит безопасности», вобравшая в себя меры из групп РСБ и АНЗ.
- В ней же появились и новые меры: АУД.5 Контроль и анализ сетевого трафика (для 1 категории значимости), АУД.9 Анализ действия пользователей (для 1 категории значимости), АУД.10 Проведение внутренних аудитов (для всех), АУД.11 Проведение внешних аудитов (для 1 категории значимости).
- В группе «АВЗ. Антивирусная защита» появились новые меры: АВЗ.2 Антивирусная защита электронной почты и иных сервисов (для всех), АВЗ.3 Контроль использования архивных, исполняемых и зашифрованных файлов (для 1 категории значимости), АВЗ.5 Использование средств АВЗ различных производителей (для 1 категории значимости).
- Группа СОВ переименована из «обнаружения» в «предотвращение» вторжений.
- Появилась мера ЗИС.7 «Использование эмулятора среды функционирования ПО („песочница“)» (без требований).
- Появились меры ЗИС.24 «Контроль передачи речевой информации» и ЗИС.25 «Контроль передачи видеоинформации» (для 1 и 2 категории значимости).
- Новая мера ЗИС.31 «Защита от скрытых каналов передачи информации» (для 1 категории значимости).
- Новая мера ЗИС.34 «Защита от угроз отказа в обслуживании (DOS, DDoS-атаки)» (для всех).
- Убрали группу ОБР «Обеспечение безопасной разработки ПО».
ФСТЭК России уже готовит Методические рекомендации по применению мер. Без них сейчас трудно адекватно оценить измененный состав мер.
Правовое поле КИИ: приказы ФСБ России
За период март-апрель 2018 года были опубликованы проекты следующих документов ФСБ России:
1. Приказ «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации».
2. Приказ «Об утверждении Перечня информации, представляемой в ГосСОПКА и Порядка представления информации в ГосСОПКА». Документ разъясняет кому, в каком виде и при каких обстоятельствах необходимо передавать информацию в ГосСОПКА
Наибольший интерес пока вызывает, конечно, порядок передачи информации в ГосСОПКА.
Если коротко, то из соответствующего приказа можно сделать следующие выводы:
1. Если вы — субъект КИИ и у Вас есть хотя бы один значимый объект КИИ (ЗОКИИ), то Вам необходимо подключиться к технической инфраструктуре НКЦКИ (ТИ НКЦКИ) и передавать через нее в ГосСОПКА информацию об инцидентах на всех объектах (в т.ч. не ЗОКИИ). Пока Вы не подключились к ТИ НКЦКИ информацию об инцидентах передавать в ГосСОПКА необходимо через другие каналы (почта, факс, эл.почта или телефон: по адресам, указанным на сайте http://cert.gov.ru).
2. Если вы — субъект КИИ и у Вас нет ни одного ЗОКИИ, то передавать в ГосСОПКА информацию об инцидентах необходимо через каналы, приведенные выше. Если же по каким-то причинам Вы подключились к ТИ НКЦКИ, то передавать в ГосСОПКА информацию об инцидентах Вам необходимо именно через ТИ НКЦКИ.
3. Если вы — субъект КИИ или не субъект КИИ (не важно), НКЦКИ может попросить Вас передавать в ГосСОПКА дополнительный, согласованный с НКЦКИ, перечень информации, через каналы, перечисленные выше, либо через ТИ НКЦКИ (при наличии подключения). Механизм передачи выбирает сама организация.
Правовое поле КИИ: вопрос гос. тайны остается открытым
Согласно Указу Президента РФ от 02.03.2018 №98 «О внесении изменения в перечень сведений, отнесенных к государственной тайне, утвержденный Указом Президента Российской Федерации от 30 ноября 1995 г. № 1203», «сведения, раскрывающие меры по обеспечению безопасности КИИ РФ» и «сведения, раскрывающие состояние защищенности КИИ РФ от компьютерных атак» отнесены к гостайне (ГТ).
Однако сейчас рано делать какие-нибудь выводы о том, что конкретно будет относиться к ГТ. Подробный перечень сведений, которые будут составлять ГТ, должен быть определен уполномоченными ФОИВами (в данном случае ФСТЭК России и ФСБ России).
Правовое поле КИИ: мнения экспертов
В рубрике полезных статей привожу дайджест статей по теме КИИ, которые можно почитать за чашкой утреннего кофе.
1. Павел Луцик описал возможные подходы к присвоению объектам КИИ категорий значимости.
2. Андрей Прозоров написал заметку про ФСТЭК России и ФСБ России и разницу их подходов к обеспечению безопасности.
3. Весь процесс категорирования объектов КИИ и передачи информации во ФСТЭК и в ГосСОПКА — на одной схеме
4. Размышления на тему закупки комплексных решений для выполнения требований 235 и 239 Приказов ФСТЭК России, а так же для совместной работы с ГосСОПКА: Хочу купить, а что — не знаю.
5. Стоит ли рассчитывать субъекту КИИ на помощь ФСБ при компьютерных атаках?
6. Чье мнение критичнее для потенциального субъекта КИИ?
7. Почему же быть админом КИИ опаснее, чем админом ГИС/ИСПДн?
8. Комментарий к неофициальной позиции ФСТЭК по особенностям выполнения ПП127
9. Частное мнение ФСТЭК по актуальным вопросам законодательства о безопасности КИИ
Планируемые изменения в процедуре сертификации СрЗИ
Опубликован Проект приказа ФСТЭК России «Об утверждении Положения о сертификации продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа по требованиям безопасности информации», предположительный срок вступления в силу — 1 августа 2018.
В соответствии с проектом, срок действия сертификата соответствия будет составлять 5 лет. При этом клиент может эксплуатировать средство защиты без ограничения срока действия сертификата при условии, что производитель оказывает техническую поддержку СЗИ.
Предложено внести правки в КоАП за нарушение требований по ПДн
Опубликован Законопроект: О внесении изменений в Кодекс Российской Федерации об административных правонарушениях в части уточнения административной ответственности за нарушение требований Федерального закона «О персональных данных».
В частности, предлагается ввести следующие изменения:
1. Невыполнение требований оператором при сборе ПДн, в том числе посредством сети Интернет: наложение административного штрафа на граждан в размере от 3 до 5 тыс. руб.; на должностных лиц — от 10 до 20 тыс. руб.; на юридических лиц — от 15 до 75 тыс. руб.»
2. Утечка ПДн по виде лица, ответственного за их конфиденциальность: предупреждение или наложение административного штрафа на граждан в размере от 1 до 2 тыс. руб.; на должностных лиц — от 4 до 6 тыс. руб.; на индивидуальных предпринимателей — от 10 до 15 тыс. руб.; на юридических лиц — от 20 до 40 тыс. руб.
Блокировка Telegram
Думаю, что не найдется человека, который на волне хайпа вокруг блокировки Telegram не узнал про существование этого мессенджера (даже если раннее им не пользовался).
Начало цифровой войны, как ее окрестили в народе, положил Таганский районный суд Москвы, который постановил заблокировать в России мессенджер Telegram за отказ предоставить ФСБ ключи шифрования.
После такого решения Роскомнадзор официально взялся за блокировку ресурса — впрочем, довольно безуспешно. Об этом свидетельствует то, что Интернет-сообщество до сих пор следит и горячо обсуждает эту тему в самом Telegram. Причем просмотры телеграм-каналов только выросли.
Обнаружив, что блокировка Телеграма ни к чему не привела (многие пользователи установили прокси и VPN, а у еще большего числа пользователей ресурс оказался доступен и без применения дополнительных мер), Роскомнадзор решил, что лучшей тактикой в этой ситуации будет массовая блокировка IP-адресов таких гигантов, как Amazon и Google. При этом блокируются целые подсети, то есть сотни тысяч IP-адресов разом. К настоящему времени заблокировано около 16 (!) млн IP-адресов. Это уже на миллион больше, чем общее число пользователей Telegram в России.
Последствия этих блокировок уже испытали на себе многие компании и сервисы, вообще никак с Telegram не связанные (хотя Роскомнадзор утверждает, что он тут ни при чём). В том числе различные компании, являющиеся Субъектами КИИ. Актуальным становится вопрос, стоит ли добавлять регулятора как новую категорию нарушителей ИБ в Модель угроз?
При этом сам Telegram, как ни в чём не бывало, продолжает работать в России даже без прокси.