26 июля 2017 года был принят Федеральный закон №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее «187-ФЗ»), который в настоящее время считается одним из основных нормативных актов в вопросе защиты КИИ. Но основной – не значит первый! Мы решили наглядно представить, как развивалась и изменялась основная регуляторика КИИ в нашей стране и сделали ретроспективу нормативно-правовых актов по теме безопасности критической информационной инфраструктуры (за исключением регуляторики, связанной с ГосСОПКА, эта тема требует отдельного рассмотрения в дальнейшем).
С чего все начиналось
В 2007 году было опубликовано т. н. «четверокнижие» – руководящие документы ФСТЭК России по безопасности критических систем информационной инфраструктуры (тогда ещё действовала аббревиатура «КСИИ»), состоящая из «Базовой модели угроз безопасности информации в КСИИ», «Методики определения актуальных угроз безопасности информации в КСИИ», «Общих требований по обеспечению безопасности информации в КСИИ», «Рекомендации по обеспечению безопасности информации в КСИИ». Несмотря на ограниченный характер распространения (документы носили гриф «ДСП»), долгие годы эти документы оставались базовыми для организации работ по обеспечению безопасности КСИИ на местах, подходы заложенные в них органично были продолжены в последующих НПА.
2012 год, опубликован Указ президента РФ от 03.02.2012 г. № 803 «Основные направления государственной политики в области обеспечения безопасности АСУ ТП критически важных объектов инфраструктуры Российской Федерации», который впервые устанавливает в пункте 3в знакомый ныне термин «критическая информационная инфраструктура» (КИИ).
2014 год, опубликован Приказ ФСТЭК от 14.03.2014 г. №31 «Об утверждении требований к обеспечению защиты информации в АСУ ТП на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды». Данный документ активно применяется при формировании ТЗ на подсистемы ИБ АСУ ТП, связанных с опасными производствами. В приказе была своя методика оценки уровня значимости (критичности) информации и класса защищенности АСУ ТП. Из важных изменений можно отметить, что в 2018 году из редакции Приложения 2 пропал раздел связанный с мерами безопасности в ходе разработки ПО АСУ ТП, где ранее предъявлялись такие «революционные» на тот момент требования как: статический, динамический и ручной анализ кода, а также тестирование на проникновение.
2016 год, вышел Указ Президента РФ от 05.12.2016г. №646 «Об утверждении Доктрины информационной безопасности РФ», где обеспечение устойчивого и бесперебойного функционирования КИИ определено национальными интересами.
2017 год, год публикации Федерального закона от 26.07.2017 №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», который вводит понятия объектов и субъектов КИИ, государственной системы обеспечения безопасности КИИ, а также обязанности организаций по их участию в данных процессах. Единственное изменение за прошедшие годы, внесенное Федеральным законом от 10.07.2023 № 312-ФЗ, касалось расширения перечня субъектов КИИ — в него включены органы по государственной регистрации прав на недвижимое имущество и сделок с ним.
Также в конце года был опубликован Указ Президента Российской Федерации от 25.11.2017 г. № 569 «О внесении изменений в Положение от 16 августа 2004 г. № 1085», где была произведена замена термина «ключевые системы информационной инфраструктуры» на «значимые объекты критической информационной инфраструктуры» (ЗО КИИ).
ФСТЭК России к тому времени опубликовал два важных документа:
Первый – это Приказ ФСТЭК России от 21.12.2017 №235 «Об утверждении Требований к созданию систем безопасности значимых объектов КИИ РФ и обеспечению их функционирования». Документ устанавливает требования к силам обеспечения безопасности ЗО КИИ, программным и программно-аппаратным средствам, документации по безопасности ЗО КИИ, функционированию системы безопасности. Основные изменения, которые коснулись – это Приказ ФСТЭК России от 27.03.2019 г. № 64, которым введен ряд уточнений для обособленных подразделений (филиалов, представительств) субъектов КИИ, появились требования к персоналу (образование, стаж работы, периодичность обучения), а также определена периодичность контроля, а также Приказ ФСТЭК России от 20.04.2023 г. № 69, в котором появилась отсылка к требованиям 250 Указа Президента, изменен ряд требований к персоналу (в т. ч. со средним профессиональным образованием), перераспределена ответственность.
Второй – это Приказ ФСТЭК России от 25.12.2017 №239 «Об утверждении Требований по обеспечению безопасности значимых объектов КИИ РФ», можно назвать его основным рабочим документом для специалистов ИБ на ЗО КИИ. Документ устанавливает требования к обеспечению безопасности ЗО КИИ в ходе создания, эксплуатации и вывода их из эксплуатации, к организационным и техническим мерам защиты информации и определяет состав мер для каждой категории значимости объекта. Документ претерпел три изменения: Приказом ФСТЭК России от 09.08.2018 г. № 138 были вносены изменение в Приложение с составом мер защиты информации, а также ряд правок по тексту. Приказом ФСТЭК России от 26.03.2019 г. № 60 было детализировано описание испытаний подсистемы ИБ в ходе этапов и стадий жизненного цикла ЗО КИИ, появился ряд частных требований к «граничным маршрутизаторам» и размещению технических средств на территории РФ. Кроме того, вносит ряд корректировок в Приложение с составом мер ЗИ. И последний Приказ ФСТЭК России от 20.02.2020 г. № 35 ввел требования к СЗИ, безопасности прикладного ПО (безопасная разработка, выявление уязвимостей в ходе инструментальных проверок, мероприятия в ходе поддержки его ЖЦ), а также регламентирует вопросы удаленного доступа.
В 2018 год было подготовлено Постановление Правительства РФ от 08.02.2018 №127 «Об утверждении Правил категорирования объектов КИИ РФ, а также перечня показателей критериев значимости объектов КИИ РФ и их значений», которое установило порядок и сроки категорирования объектов КИИ, с этого момента началось активное взаимодействие субъектов КИИ, регуляторов и вышестоящих организаций и ведомств. Документ достаточно регулярно обновлялся, опишем кратко:
- Постановление Правительства РФ от 13.04.2019 г. № 452 – детализирует требования к комиссии по категорированию, рассмотрению наихудших сценариев при проведении компьютерных атак, вносит корректировки в Приложение с перечнем показателей критериев значимости.
- Постановление Правительства РФ от 24.12.2021 г. № 2431 – вводит требования по поддержанию сведений о ЗО КИИ в актуальном состоянии и мониторингу изменений.
- Постановление Правительства РФ от 19.08.2022 г. № 1463 – устанавливает привлечение к мониторингу и оценке актуальности сведений ЗО КИИ организаций по согласованию с уполномоченными органами и ведомствами.
- Постановление Правительства РФ от 20.12.2022 г. № 2360 – вводит ряд новых критериев значимости в Приложении, а также перечни типовых отраслевых объектов КИИ.
События 2022 года стали катализатором процессов импортозамещения и обеспечения технологического суверенитета. В этом году были опубликованы:
Указ Президента Российской Федерации от 30.03.2022 № 166 «О мерах по обеспечению технологической независимости и безопасности КИИ Российской Федерации», документ по сути устанавливает запрет на использование иностранного ПО на ЗО КИИ к 2025 году.
Указ Президента Российской Федерации от 14.04.2022 № 203 «О Межведомственной комиссии Совета Безопасности Российской Федерации по вопросам обеспечения технологического суверенитета государства в сфере развития КИИ Российской Федерации», документ утверждает состав и функции Межведомственной комиссии Совбеза РФ по вопросам обеспечения технологического суверенитета государства в сфере развития КИИ.
Указ Президента Российской Федерации от 01.05.2022 г. № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации», документ направлен на обеспечение информационной безопасности ряда стратегических компаний России, в том числе субъектов КИИ. В Указе сделан акцент на использование СЗИ из «дружественных» стран, на назначение ответственного за информационную безопасность должностного лица в организации, необходимость создания отдельного подразделения, требования к которым детализируется в Постановлении Правительства РФ от 15.07.2022 № 1272 «Об утверждении типового положения о заместителе руководителя, ответственного за обеспечение ИБ, и типового положения о структурном ИБ». В постановлении определены права, полномочия, обязанности, квалификационные требования и ответственность заместителя руководителя по ИБ на ЗО КИИ, а также соответствующего структурного подразделения.
Заключение
За прошедшие 15 лет регуляторика в области безопасности КИИ сделала существенное развитие и была дополнена большим количеством нормативно-методических документов по ЗИ, которые детализируют меры безопасности по различным аспектам, начиная от построения процессов выявления уязвимостей и проверки обновлений ПО, и заканчивая рекомендациями по «харденингу» ОС. Упрощаются постепенно и процедуры категорирования, за счет накопившегося за пятилетний период опыта – появились детальные ведомственные перечни типовых объектов КИИ, которые упростят специалистам на местах процедуры категорирования, а также ведомственного контроля ( Перечень типовых отраслевых объектов критической информационной инфраструктуры, функционирующих в сфере энергетики, Министерство энергетики Российской Федерации, Перечень типовых отраслевых объектов критической информационной инфраструктуры, функционирующих в сфере транспорта, Министерство транспорта Российской Федерации).