Текущий статус законодательства по безопасности критической инфраструктуры
1. 21 июля 2017
Бизнес-консультант по безопасности
Законодательство по
безопасности критической
инфраструктуры
Текущий статус
Алексей Лукацкий
2. Disclaimer
Презентация описывает
законодательство, которое
находится в самом начале своего
развития. В связи с этим в
будущем возможны изменения,
по сравнению с описываемыми в
презентации.
Данная презентация описывает
личную точку зрения автора и
может не совпадать с точкой
зрения его работодателя или
иных официальных лиц, с
которыми автора связывают
какие-либо отношения!
3. И еще одно напоминание
• Коммерческие предприятия
действуют по принципу «все, что не
запрещено, разрешено»
• Государственные органы действуют
по противоположному принципу «все,
что не разрешено, запрещено»
Если что-то не описано в НПА явно, то делать
это госоргану нельзя
☝
4. 4-я попытка
роста числа
инцидентов ИБ на
объектах
КИИ/КСИИ/КВО и
изменение
геополитической
ситуации ситуация
сдвинулась с
мертвой точки
Под влиянием
2006
• Первая попытка
урегулировать КИИ
2012
• Законопроект ФСТЭК
2013
• Законопроект ФСБ
2016
• Законопроект ФСБ
внесен в Госдуму
2017 - 2018
• Принятие законов и
подзаконных актов
5. 3 законопроекта
Внесение в ГосДуму
• Выполнение
требований ФСБ
по
реагированию
на инциденты
• Присоедине-
ние к сетям
электросвязи
• Новый
регулятор
• Категорирование
объектов КИИ
Декабрь 2016
• Присоединение
к ГосСОПКЕ
6. Кто будет отнесен к КИИ?
единообразия в терминологии
в основных нормативных
правовых актах –
законопроекте о безопасности
КИИ, основах госполитики в
области безопасности АСУ ТП,
приказе ФСТЭК №31 и
документах МинЭнерго и МЧС
Отсутствие
7. Что такое критическая
информационная инфраструктура?
Законопроект «О безопасности КИИ»
2013
• Совокупность
автоматизированных
систем управления
производственными и
технологическими
процессами критически
важных объектов и
обеспечивающих их
взаимодействие
информационно-
телекоммуникационных
сетей, а также
информационных систем
и сетей связи,
предназначенных для
решения задач
государственного
управления, обеспечения
обороноспособности,
безопасности и
правопорядка
2014
• Совокупность
информационных систем,
информационно-
телекоммуникационных
сетей и сетей связи,
прекращение или
нарушение которых может
повлечь отрицательные
(негативные) последствия
в политической,
социальной,
экономической,
экологической сферах, а
также в сфере
обороноспособности,
обеспечения
безопасности государства
и правопорядка,
управления и
предоставления
государственных услуг
2016
• Совокупность объектов
критической
информационной
инфраструктуры, а также
сетей электросвязи,
используемых для
организации
взаимодействия объектов
критической
информационной
инфраструктуры между
собой
2017
• Объекты критической
информационной
инфраструктуры, а также
сети электросвязи,
используемые для
организации
взаимодействия таких
объектов
8. Объекты vs субъекты КИИ
1. Владельцы объекта КИИ
2. Лица или организации,
обеспечивающие
взаимодействие объектов КИИ
между собой
3. Лицо, эксплуатирующее
объект КИИ
4. Разработчики
(проектировщики) объекта
КИИ
Субъекты
1. Информационные системы
2. Информационно-
телекоммуникационные
сети
3. Автоматизированные
системы управления
субъектов критической
информационной
инфраструктуры
Объекты
9. Объекты КИИ образца 2017-го года
Наука
Оборонная
промышленность
Здравоохранение Транспорт Отрасль связи
Банковская и
финансовая сфера
Энергетика ТЭК Атомная энергетика
Ракетно-космическая
промышленность
Горнодобывающая
промышленность
Металлургическая
промышленность
Химическая
промышленность
Правоохранительные
структуры
МЧС
Географические и
навигационные
системы
Системы
спецназначения
Водоснабжение и
гидротехнические
сооружения
Управление
потенциально
опасными объектами
Системы
телерадиовещания и
информирования
населения
Общегосударственные
кадастры и базы
данных
Лица, обеспечивающие
взаимодействие
указанных систем и
сетей
Госорганы и
госучреждения
По сравнению с КСИИ
10. А другие отрасли попадут?
• Определение субъекта КИИ (а не
отраслей) является закрытым и
используется также в Стратегии развития
информационного общества
• Внесение в него изменений в обозримом
будущем не предполагается
• Непопавшие в список отраслей субъекты,
не могут считаться владельцами КИИ
• Почему в список не попал Пенсионный
фонд?
11. Отдельные категории субъектов КИИ
уже не перейдут под
регулирование Банка России с
его множеством нормативных
документов по защите
информации (дальше
предложений дело не пошло)
Финансовые
организации
подпадают под регулирование
Министерства связи и массовых
коммуникаций, которое
разработает требования по
защите по согласованию с ФОИВ
по безопасности КИИ и с ФСБ в
части ГосСОПКИ
(могут не иметь объектов КИИ,
но являются субъектами КИИ)
Операторы
связи
12. От чего зависит категория объекта КИИ?
• социальной значимости
(включая недоступность
госуслуг)
• политической значимости для
РФ
• экономической значимости
• экологической значимости
• значимости для обеспечения
обороноспособности,
безопасности государства и
правопорядка
Критерии
на основании установленных
критериев и в соответствии с
утвержденными показателями
этих критериев, осуществляют
отнесение принадлежащих им
на праве собственности или
ином законном основании
объектов КИИ к установленным
категориям
Субъекты КИИ
13. Парадокс
• Объект (например, АСУВ) может иметь очень
высокую значимость с точки зрения
обороноспособности страны
• Объект (например, ПФР) может иметь очень
высокую социальную значимость
• Объект (например, ГАС «Выборы») может иметь
очень высокую политическую значимость
• Объект (например, водохранилище) может иметь
очень высокую экологическую значимость
• но при этом не быть КИИ!
🤦
14. Объекты КИИ
Субъект КИИ проводит
категорирование в соответствие с
установленными показателями
критериев
Что такое значимые
объекты?
Значимые объекты
КИИ
Любая из категорий
значимости
?%
15. Когда будут известны критерии?
• Проект Постановления Правительства «Об
утверждении показателей критериев
категорирования элементов критической
информационной инфраструктуры,
значений таких показателей, а также
порядка категорирования объектов
критической информационной
инфраструктуры»
• Принятие в течение 6 месяцев после
определения ФОИВ, уполномоченного в
области безопасности КИИ
16. А смогу ли я занизить категорию или
вовсе не категорировать себя?
1. Субъект КИИ отправляет результаты
категорирования регулятору, который
может не согласиться с выставленной
категорией
2. Регулятор может потребовать от
организации провести категорирование, а
дальше см.п.1
17. Кто регулятор?
ФОИВ по
безопасности КИИ
• Правила ведения
реестра
• Проверка
правильности
категорирования
• Требования по
безопасности для
каждой категории
значимых объектов
• Госконтроль
ФОИВ по ГосСОПКЕ
• Оценка состояния
защищенности
• Порядок
реагирования на
компьютерные
инциденты
• Порядок ликвидации
последствий
компьютерных атак
• Порядок обмена
информацией об
инцидентах
• Устанавливает на
объектах КИИ и
сетях электросвязи
элементы ГосСОПКИ
• Требования к
ГосСОПКЕ
Минкомсвязи
• Требования по
безопасности для
объектов связи и
ИТС
• Порядок и
техусловия
установки элементов
ГосСОПКИ на сетях
электросвязи
Правительство
• Показатели
критериев
категорирования
• Порядок
категорирования
• Порядок госконтроля
значимых объектов
• Порядок подготовки и
использования сетей
электросвязи для
значимых объектов
18. Национальный координационный
центр по компьютерным инцидентам
НКЦКИ
Субъекты КИИ
Уполномоченные
органы иностранных
государств
Международные и
неправительственные
организации
Обмен информацией о
компьютерных инцидентах
19. Парадокс
• НКЦКИ обеспечивает обмен информацией об
инцидентах между субъектами КИИ, субъектами
КИИ и иностранными/международными
организациями, а также уполномоченными
органами иностранных государств
• А обмен информации внутри между НКЦКИ и
другими ФОИВами, например, по безопасности
КИИ или Минкомсвязью, не предусмотрен
🤦
20. Что означает присоединение к
ГосСОПКЕ?
• Информирование об инцидентах
• Установка средств обнаружения атак
(вероятно, сертифицированных по
требованиях ФСБ)
• Выполнение правил реагирования на
инциденты
• Беспрепятственный доступ сотрудников
ФСБ на объекты КИИ
22. 3 законопроекта
Принятие в третьем
чтении
• Исключение из
надзора по ФЗ-
294
• Уголовная
ответственно
сть
• Отнесение к
гостайне
• Выполнение
требований по ИБ
Июль 2017
• Установка
средств
обнаружения
атак на сетях
операторов
связи
Подписание
Президентом
запланировано на
конец июля – август
2017
23. Что будут относить к гостайне?
• К гостайне относятся сведения о мерах по
обеспечению безопасности КИИ и о состоянии ее
защищенности от компьютерных атак
• Должен быть принят нормативный акт,
устанавливающий конкретный перечень сведений,
относимых к гостайне
• Это могут быть ТЗ, ТП, информация о госзакупках
и тендерах, применяемые меры/средства защиты,
результаты аудитов/пентестов и др.
• Речь не идет о необходимости иметь сертификат
на ГТ у средств защиты КИИ
🙈
🙉
🙊
24. Рынок
кибербезопасности РФ
2000+ интеграторов
300+ производителей
100+ аудиторов
30+ образовательных центра
40+ испытательных лаборатории
9 органов по сертификации
440+ органов по аттестации
Рынок кибербезопасности РФ
Рынок
кибербезопасности
КИИ РФ
20+ интеграторов
15+ производителей
7+ аудиторов
3+ образовательных центра
10%
25. Опыт в безопасности КИИ и гостайны
ГТ
Рынок
кибербезопасности
АСУ ТП
Рынок кибербезопасности РФ
связанные с лицензией на
работу со сведениями,
составляющими гостайну
• Персонал
• Консалтинг
• Технологии АСУ ТП
• Технологии ИБ
• Процессы
Ограничения
26. Что надо делать для выполнения закона?
☔
Категорирование
Обеспечение ИБ
Присоединение к ГосСОПКЕ
27. Какие требования по защите?
• Предотвращение неправомерного доступа, уничтожения,
модифицирования, блокирования, копирования,
предоставления, распространения информации на объекте
КИИ
• Недопущение воздействия на тех.средства обработки
информации, в результате которого может быть нарушено
или прекращено функционирование объекта КИИ
• Обнаружение и предупреждение компьютерных атак
• Восстановление функционирования объекта КИИ, в том
числе и за счет создания и хранения резервных копий
информации
• Непрерывное взаимодействие с государственной системой
обнаружения, предупреждения и ликвидации последствий
компьютерных атак на информационные ресурсы РФ
• Сбор, анализ и хранение сведений о проведенных атаках
🔏Зависят от категории
28. Надо ли мне защищаться, если у меня
нет значимых объектов КИИ?
• Необходимо обеспечить
информирование ГосСОПКИ и Банка
России (если речь идет о финансовых
организациях) об инцидентах
• Необходимо содействовать сотрудникам
ФСБ при расследовании инцидентов
• Порядок информирования и содействия
должны быть еще разработаны
29. Иерархия требований по безопасности
ФЗ
ФОИВ в области
безопасности
КИИ
Требования к АСУ
ТП
Деятельность по
обеспечению
безопасности
Требования к
информационным
системам
Минкомсвязь
Требования к
ИТС и сетям
связи
ФОИВ по
ГосСОПКЕ
Требования к
элементам
ГосСОПКИ
Требования по
реагированию на
инциденты
Требования по
отражению атак
Иные ФОИВы
Дополняющие
требования
Субъект КИИ
Корпоративные
требования
30. Какие документы уже есть?
• Документы ФСТЭК по КСИИ
• Основы госполитики в области
обеспечения безопасности АСУ ТП
КВО
• Указ Президента №31с
• ПП-861 по уведомлению об
инцидентах на объектах ТЭК
• Методические рекомендации по
созданию центров ГосСОПКИ
• Приказы ФСТЭК №31 (2014) и №31
(2017)
• РД на промышленные МСЭ
Разработаны
31. Идентиф./аутентиф.
Управление доступом
Ограничение среды
Защита носителей
Регистрация событий
Антивирусная защита
Обнаружение вторж.
Анализ защищенности
Обеспеч.целостности
Обеспечение доступн.
Защита виртуализац.
Защита техсредств
Защита АСУ ТП
SDLC
Управление обновлен.
Планирование
Нештатные ситуации
Нетехнические меры
Как Сisco соответствует требованиям 31-го
приказа ФСТЭК по АСУ ТП?
Нетехнические меры
Обучение / осведомл. Нетехнические меры
Анализ рисков и угроз
Управление инцидент.
Нетехнические меры
Управление конфигур.
32. Регуляторов может быть много
имеют право по согласованию с ФОИВ по
безопасности КИИ установить
дополнительные требования по ИБ,
учитывающие особенности
функционирования объектов КИИ в
установленных сферах деятельности
Другие регуляторы
МинЭнерго, Банк России, Минтранс уже
ведут такую работу
33. Что субъекты КИИ могут ждать от
регуляторов?
Субъект
КИИ
ФОИВ по
безопасности
КИИ
ФОИВ по
ГосСОПКЕ
Информация по:
• Угрозам
• Уязвимостям
• требованиям ИБ
Информация по:
• средствам и способам атак
• методам обнаружения и
предупреждения
• требованиям к ГосСОПКЕ
34. Какие документы планируется принять?
• Постановления Правительства «Об
утверждении показателей критериев
категорирования элементов КИИ, значений
таких показателей, а также порядка
категорирования объектов КИИ»
• Постановления Правительства «Об
утверждении порядка осуществления
госконтроля в области обеспечения
безопасности значимых объектов КИИ»
+12 месяцев
+12 месяцев
35. Какие документы планируется принять?
• Приказ Минкомсвязи «Об утверждении
требований по обеспечению безопасности
значимых объектов критической
информационной инфраструктуры
Российской Федерации»
• Постановление Правительства
РФ «Об утверждении порядка подготовки
и использования ресурсов единой сети
электросвязи для обеспечения
функционирования значимых объектов
критической информационной
инфраструктуры Российской Федерации»
+6 месяцев
+12 месяцев
36. Какие документы планируется принять?
• Приказ уполномоченного ФОИВ об
утверждении требований по обеспечению
безопасности значимых объектов КИИ
• Приказ уполномоченного ФОИВ об
утверждении формы предоставления
сведений о проведенном категорировании
• Приказ уполномоченного ФОИВ об
утверждении формы реестра объектов КИИ
и правил его ведения
( +12 месяцев
37. Требования ФСТЭК по сертификации
промышленных СрЗИ
• Предполагается установление
требований по оценке соответствия
средств защиты информации,
используемых для защиты АСУ ТП
• Для объектов КИИ требований по
оценке соответствия закон не
предусматривает
Долгосрочная
перспектива (2019+)
38. Cisco была первой в России
• Smart Grid коммутатор и маршрутизатор
• Коммутаторы IE3000 (как МСЭ)
• Система предотвращения вторжений IPS for
SCADA
Первые сертификаты
• Завершается сертификация Cisco Firepower
NGIPS, поддерживающий около 20
промышленных протоколов и около 300
сигнатур атак для АСУ ТП и промышленного
оборудования различных производителей
39. Какие документы планируется принять?
• Об утверждении порядка реагирования
на компьютерные инциденты и ликвидации
последствий компьютерных атак на значимых
объектах критической информационной
инфраструктуры Российской Федерации
• Об утверждении перечня сведений,
предоставляемых в государственную систему
обнаружения, предупреждения и ликвидации
последствий компьютерных атак
на информационные ресурсы Российской
Федерации, и порядка их предоставления
• Об утверждении порядка доступа к информации,
содержащейся в государственной системе
обнаружения, предупреждения и ликвидации
последствий компьютерных атак
на информационные ресурсы Российской
Федерации
+9 месяцев
40. Какие документы планируется принять?
• Об утверждении требований к техническим
средствам государственной системы
обнаружения, предупреждения и ликвидации
последствий компьютерных атак
на информационные ресурсы Российской
Федерации
• Об утверждении технических условий установки
и эксплуатации технических средств
государственной системы обнаружения,
предупреждения и ликвидации последствий
компьютерных атак на информационные
ресурсы Российской Федерации
• Об утверждении Положения о Национальном
координационном центре по компьютерным
инцидентам
+9 месяцев
41. Резюме по срокам
• Закон вступает в силу с 1-го января 2018-го
года
• + полгода на определение регулятора
• + еще полгода на определение показателей
критериев категорирования
• Оценка (минималистичная): начало 2019 года
• Оценка (если если ФОИВ по ИБ КИИ - ФСТЭК): начало 2019
года
• Оценка (если ФОИВ по ИБ КИИ - ФСБ): непредсказуемо
⏰
42. Уголовная ответственность
• Создание, распространение и (или)
использование компьютерных программ
либо иной компьютерной информации,
заведомо предназначенных для
неправомерного воздействия на
критическую информационную
инфраструктуру Российской Федерации, в
том числе для уничтожения, блокирования,
модификации, копирования информации,
содержащейся в ней, или нейтрализации
средств защиты указанной информации
• до пяти лет со штрафом
🎓
43. Уголовная ответственность
• Неправомерный доступ к охраняемой
компьютерной информации, содержащейся в
критической информационной инфраструктуре
Российской Федерации, в том числе с
использованием компьютерных программ либо
иной компьютерной информации, которые
заведомо предназначены для неправомерного
воздействия на критическую информационную
инфраструктуру Российской Федерации, или иных
вредоносных компьютерных программ, если он
повлек причинение вреда критической
информационной инфраструктуре Российской
Федерации
• до шести лет со штрафом
🎓
44. Уголовная ответственность
• Нарушение правил эксплуатации средств хранения,
обработки или передачи охраняемой компьютерной
информации, содержащейся в критической информационной
инфраструктуре Российской Федерации, или
информационных систем, информационно-
телекоммуникационных сетей, автоматизированных систем
управления, сетей электросвязи, относящихся к критической
информационной инфраструктуре Российской Федерации,
либо правил доступа к указанным информации,
информационным системам, информационно-
телекоммуникационным сетям, автоматизированным
системам управления, сетям электросвязи, если оно повлекло
причинение вреда критической информационной
инфраструктуре Российской Федерации
• до шести лет с лишением права занимать должность
🎓
45. Уголовная ответственность
• Деяния, предусмотренные частью первой,
второй или третьей настоящей статьи,
совершенные группой лиц по
предварительному сговору или
организованной группой, или лицом с
использованием своего служебного
положения
• до восьми лет с лишением права занимать
должность
🎓
46. Уголовная ответственность
• Деяния, предусмотренные частью первой,
второй, третьей или четвертой настоящей
статьи, если они повлекли тяжкие
последствия
• до десяти лет с лишением права занимать
должность
🎓
47. Госконтроль и надзор
• Выведен из под действия ФЗ-294
• Проводится ФОИВом по безопасности КИИ
• Плановая проверка – раз в три года
• Внеплановая проверка – истечение срока
предписания, инцидент, поручение
Президента, Правительства, требование
прокурора
+
48. Парадокс
• Внеплановую проверку проводит ФОИВ по
безопасности КИИ по причине инцидента
• Но закон не предусматривает передачу
информации об инцидентах между
ГосСОПКОЙ и ФОИВ по безопасности
КИИ!
🤦
49. Влияние законопроекта
• Дополнительное регулирование
• Новый надзорный орган и правила контроля
• Рост ответственности (вплоть до уголовной)
• Ограничение конкуренции (гостайна /
сертификация / обмен информации об
угрозах)
• Раскрытие информации об инцидентах
• Технологические ограничения (ГосСОПКА)
• Дополнительные затраты
50. Статьи затрат
• Категорирование объекта КИИ и оценка защищенности
• Выполнение требований по ИБ
• Присоединение к ГосСОПКЕ
• Приобретение (замена) сертифицированных средств
защиты информации (как минимум, СОА)
• Выстраивание процесса реагирования на компьютерные
атаки по документам ФСБ
• Обязательное уведомление ГосСОПКИ об инцидентах
• Сбор и хранение информации об атаках
• Создание (аутсорсинг) первых отделов (под гостайну)
• Обучение персонала
Объем затрат пока не поддается прогнозу ввиду отсутствия перечня субъектов,
попадающих под действие законопроекта
51. Что у вас
есть?
Чего вам не
хватает?
Что вам
понадобится?
Идентифицируйте имеющиеся у вас
активы и используемые вами технологии
ИБ, не забывая про моделирование угроз
Проанализируйте разрыв между описанными
в законе мерами защите (а также в 31-х
приказах ФСТЭК) и составьте план поэтапной
реализации (если вы еще этого не сделали)
Начните реализацию 31-х приказов ФСТЭК
(для АСУ ТП), 21-го (не для АСУ ТП) и
документов ЦБ (для ФО), не дожидаясь
принятия всех подзаконных актов.
Внедрите процесс реагирования на
инциденты. Донесите риски до руководства
Что сделать после семинара?
53. Пишите на security-request@cisco.com
Быть в курсе всех последних новостей вам помогут:
Где вы можете узнать больше?
http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussia
http://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco
http://blogs.cisco.ru/
http://habrahabr.ru/company/cisco
http://linkedin.com/groups/Cisco-Russia-3798428
http://slideshare.net/CiscoRu
https://plus.google.com/106603907471961036146/posts
http://www.cisco.ru/