Введение
Субъект КИИ или нет: правовой ликбез
Безопасность КИИ: вызовы и решения
Надёжная защита КИИ: с чего начать?
Введение
С каждым днём цифровая трансформация нашего мира усиливается. C ростом зависимости человека от информационных ресурсов возрастает и количество угроз, появляются новые уязвимости.
В этом контексте критическая информационная инфраструктура, которая включает в себя средства связи, энергетические, финансовые и другие системы, становится особенно подверженной кибератакам и другим формам угроз. Атаки на эти системы могут иметь далеко идущие последствия, включая утечки корпоративной информации, прекращение деятельности крупных организаций, нарушение жизненно важных сервисов для граждан, финансовый, социальный, экологический ущерб, и даже угрожать национальной безопасности государства.
Первые попытки урегулировать эту сферу относятся к 2007 году, когда ФСТЭК России утвердил «Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры». Позже были приняты ещё несколько документов с грифом «для служебного пользования», которые не закрепились должным образом в нормативно-правовом поле государства.
В 2017 году Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» № 187-ФЗ ввёл понятия объектов и субъектов критической информационной инфраструктуры (КИИ), а также обязанности организаций по обеспечению безопасности объектов КИИ. Были определены ответственные за реализацию закона федеральные органы исполнительной власти (ФОИВ). Федеральная служба по техническому и экспортному контролю назначена уполномоченным ФОИВ в области обеспечения безопасности КИИ; Федеральная служба безопасности – ответственной за работу государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА). В 2018 году при ФСБ России создали Национальный координационный центр по компьютерным инцидентам (НКЦКИ). Его основная задача – регулировать деятельность организаций в части обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты. Это всё равно что Центр SOC в государственном масштабе.
В настоящий момент по защите КИИ принято 92 документа, что ещё раз подтверждает важность урегулирования этой сферы.
Субъект КИИ или нет: правовой ликбез
Федеральный закон № 187-ФЗ к субъектам КИИ относит «государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, государственной регистрации прав на недвижимое имущество и сделок с ним, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей».
Чтобы понять, является ваша организация субъектом КИИ или нет, ответьте на 2 вопроса:
1. Ваша организация владеет информационными системами, автоматизированными системами управления, информационно-телекоммуникационными сетями?
2. Данные системы и сети функционируют в одной из 14 критически важных сфер?
Если ответили «да» на оба вопроса – ваша организация является субъектом КИИ и должна исполнять требования Федерального закона № 187-ФЗ.
О каких же требованиях идёт речь?
В первую очередь – предприятия и организации должны провести категорирование своих объектов КИИ и уведомить о результатах ФСТЭК России. По оценкам ФСТЭК России, более 75 тысяч организаций потенциально подпадают под действие закона, но многие либо только приступили к категорированию, либо ещё нет. Хотя рекомендованный регулятором срок для проведения процедуры − январь 2019 года давно канул в Лету. 19 сентября 2024 года вступили в силу изменения в правила категорирования объектов КИИ: организации освободили от обязанности по разработке перечней объектов КИИ. Предполагается, что объекты КИИ уже откатегорированы, отсрочки в 1 год на проведение категорирования после внесения их в перечень больше нет.
При категорировании объектов КИИ необходимо:
1️. Создать постоянно действующую комиссию по категорированию объектов КИИ.
2. Провести инвентаризацию, собрать исходные данные для проведения категорирования.
3. Провести категорирование объектов КИИ, подготовить акты категорирования.
4. Оформить сведения о результатах присвоения объектам КИИ одной из категорий значимости либо об отсутствии необходимости присвоения им одной из таких категорий по форме ФСТЭК России, направить вышеупомянутые сведения регулятору.
Безопасность КИИ: вызовы и решения
На сегодняшний день критическая информационная инфраструктура подвергается всё более частым и сложным киберугрозам. По информации вице-премьера Правительства РФ Д. Чернышенко, в 2023 году зафиксировано более 65 тысяч атак на объекты КИИ. По данным Национального координационного центра по компьютерным инцидентам, в 2023 году число кибератак на объекты КИИ выросло на 16% в сравнении с 2022-м. За первую половину 2024 года 69% высококритичных атак были направлены на субъекты КИИ, тогда как в первом полугодии 2023 года − только 46%. По статистике ФСТЭК России, каждая вторая проверяемая ими система содержит критические уязвимости.
Поэтому государственное регулирование имеет первостепенное значение в обеспечении безопасности ключевых информационных систем, влияющих на жизнедеятельность граждан и функционирование важнейших предприятий. Благодаря нормативному контролю государства улучшается общая устойчивость и надёжность этих систем.
В 2017 году в связи с принятием Федерального закона № 187-ФЗ внесли изменения в Уголовный кодекс Российской Федерации. Главу 28 дополнили ст. 274.1 «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации», в которой перечислены наказания за различные противоправные посягательства на КИИ: неправомерное воздействие; несанкционированный доступ; разработка и распространение вредоносных программных продуктов; нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в КИИ, и др. Наказания варьируются в зависимости от тяжести проступка. Могут приговорить к принудительным работам, вынести штраф до 1 млн руб., запретить работу на объектах КИИ и даже лишить свободы от 3 до 5 лет.
На официальном сайте ГосСОПКА регулярно обновляется информация о судебных решениях по ст. 274.1. На момент подготовки статьи в разделе собрано 114 дел: 2018 г. – 0, 2019 г. – 4, 2020 г. – 15, 2021 г. – 16, 2022 г. – 32, 2023 г. – 30, 2024 г. – 17. Из них 96 дел (84%) – с обвинительным приговором. При этом чаще всего суды применяют наказания в виде условного осуждения – 78 дел (81%). Самое суровое наказание, вынесенное Каменским районным судом Ростовской области, − 3 года лишения свободы в ИК общего режима. Только 14 (12%) уголовных дел прекращены.
Приведём реальный случай, когда Ростовский областной суд назначил наказание в виде лишения свободы на срок 2 года с отбыванием наказания в колонии-поселении и штрафом в размере 500 тыс. руб. IT-специалист был признан виновным за осуществление DDoS-атак на информационные ресурсы относящихся к КИИ российских госструктур (на сайты Президента РФ, Минобороны РФ, Сбербанка России, Газпромбанка) из-за неприятия специальной военной операции на территории Украины.
Вообще, судебной практики по ст. 274.1 ещё мало. И если изменения в УК РФ вносили для борьбы с хакерами, угрожающими безопасности страны, на деле около 10% приговоров вынесены за организацию компьютерных атак на объекты КИИ. Чаще всего под понятием «вред КИИ» суды подразумевали репутационный ущерб для субъекта КИИ.
Почему так произошло?
Привлечь квалифицированного хакера к уголовной ответственности – дело сложное, а по сложившейся правовой традиции просто недопустимо, чтобы статья не работала. Поэтому формировать судебную практику начали в отношении сотрудников салонов связи, оформлявших SIM-карты на чужие или поддельные паспортные данные, медицинских работников из-за подделки сертификатов о вакцинации против COVID-19. Их обвиняли в неправомерном доступе к компьютерной информации, относящейся к КИИ, и изменении базы данных из-за внесения недостоверных сведений. Суды считают, что ввод фальшивой информации нарушает целостность информационной системы и приводит к потере объективности, достоверности и актуальности содержащихся в ней данных.
Но, по мнению адвоката П. Домкина, указанные противоправные действия «ни коим образом не отражаются на устойчивости функционирования объектов КИИ», «не связаны с нарушением работоспособности объектов КИИ», «не выполняются с помощью компьютерных атак», поэтому «не могут образовывать состава преступления, предусмотренного статьей 274.1 УК РФ».
Сейчас юристы настаивают на том, что привлечь по ст. 274.1 можно лишь в том случае, когда вред, наносимый КИИ РФ, состоит в нарушении и/или приводит к остановке работы объектов КИИ и/или возникновению угрозы. При этом Генпрокуратура России под вредом КИИ подразумевает уничтожение, блокирование, модификацию, копирование информации, содержащейся в КИИ, нейтрализацию средств защиты указанной информации или выведение из строя аппаратных и программных средств, обеспечивающих функционирование КИИ.
Что ещё стоит учесть?
1. Уголовные дела возбуждают не только в ФСБ, но и в МВД.
2. Основное внимание оперативных и следственных органов ФСБ сосредоточено на работниках сфер связи, транспорта, здравоохранения.
3. Практика применения ст. 274.1 УК РФ закрепилась в регионах.
4. Уголовное наказание предусмотрено только за вред значимым объектам КИИ, внесённым в Реестр ФСТЭК России.
Административные наказания за нарушение требований в области КИИ применяются с 2023 года. И по словам начальника управления ФСТЭК России Е. Торбенко, «только за 9 месяцев возбуждено и доведено до финала более 50 административных дел». Так, нарушение требований в области обеспечения безопасности КИИ РФ влечёт наложение административного штрафа на должностных лиц – от 10 до 50 тыс. руб., на юридических лиц – от 50 до 100 тыс. руб. (ст. 13.12.1 КоАП РФ); непредставление сведений, предусмотренных законодательством в области обеспечения безопасности КИИ РФ, предусматривает наложение административного штрафа на должностных лиц – от 10 до 100 тыс. руб., на юридических лиц – от 50 до 200 тыс. руб. (ст. 19.7.15 КоАП РФ). В последнее время ФСТЭК начала передавать полномочия и задачи из Центрального аппарата в территориальные управления, которые часто принимают решения под своим углом. Анализ судебной практики показывает, что под проверки в первую очередь подпадают промышленные предприятия, кибератака на которые принесёт реальный ущерб населению и окружающей природной среде. При этом учитывайте, что срок давности привлечения к административной ответственности за правонарушения в области КИИ устанавливается в один год.
Эти уголовные и административные наказания являются частью правоохранительной политики государства и важны для предупреждения правонарушений и обеспечения безопасности объектов КИИ в России.
Надёжная защита КИИ: с чего начать?
В свете быстро изменяющегося ландшафта угроз информационной безопасности и в условиях ужесточения ответственности за нарушение требований регуляторов в области КИИ предприятиям необходимо как можно раньше провести категорирование объектов КИИ, моделирование угроз безопасности и разработать технические решения для безопасности значимых объектов КИИ.
Ускорить эти процессы и разработать документацию в соответствии с актуальными требованиями законодательства вам поможет приложение АльфаДок. Уже более 1000 субъектов КИИ используют его в своей работе. При помощи него можно:
-
Сформировать приказ о создании комиссии по категорированию объектов критической информационной инфраструктуры и положение о комиссии по категорированию объектов КИИ за 5 минут и выгрузить их в нужном формате.
-
Определить категорию значимости объектов КИИ после внесения необходимых данных. Если у пользователей появятся вопросы по расчёту определённых показателей, можно обратиться в нашу Службу поддержки.
-
Подготовить сведения для отправки во ФСТЭК России по утверждённой в Приказе от 22 декабря 2017 г. № 236 форме. И что важно, документ можно выгрузить в запрашиваемом регулятором ODS-формате.
-
Поддерживать актуальную информацию об активах организации на объектах КИИ с учётом масштабирования, а также иметь полный комплект документов для информирования регулятора в соответствии с действующим законодательством в области КИИ. В продукте также содержится рекомендованный перечень мероприятий по защите объектов КИИ.
-
Централизовать и упорядочить хранение сведений о ваших объектах КИИ.
АльфаДок обеспечит полное документальное сопровождение процесса защиты объектов КИИ от категорирования до регламентации обеспечения безопасности значимых объектов КИИ. Это повысит кибербезопасность компании, упростит оценку уровня риска, снизит риски безопасности за счёт регулярной проверки и обновления документов.
Перейдите на наш сайт и попробуйте приложение совершенно бесплатно! Убедитесь сами, как оно упрощает подготовку документов по защите объектов КИИ.
