В этой статье мы провели всесторонний обзор изменений и рассказали, что именно предстоит сделать субъектам КИИ для обеспечения соответствия новым требованиям.
Область действия закона: что нового?
Область действия федерального закона № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» подвергнется существенной корректировке. Если ранее он распространялся на государственные органы и учреждения, юридических лиц и индивидуальных предпринимателей, то сейчас ИП исключаются из-под действия закона.
В законе также чётко определено, что требованиями 187-ФЗ должны будут руководствоваться, независимо от их статуса как субъектов КИИ:
1) государственные органы;
2) государственные унитарные предприятия;
3) государственные учреждения;
4) государственные фонды и государственные компании;
5) юридические и коммерческие организации, в которых Российская Федерация обладает контрольным пакетом акций.
Что изменится для Правительства РФ?
С вступлением в силу нового закона № 58-ФЗ Правительство Российской Федерации наделяется рядом ключевых обязанностей, напрямую влияющих на деятельность субъектов КИИ. В частности, Правительству предстоит разработать и утвердить:
− перечни типовых отраслевых объектов КИИ. Это позволит стандартизировать подходы к определению объектов КИИ в различных сферах деятельности, обеспечивая единообразие в применении законодательства;
− отраслевые особенности категорирования объектов КИИ. Эти документы определят специфические критерии и правила категорирования объектов КИИ для каждой отрасли в зависимости от их значимости и потенциального ущерба в случае инцидента.
Таким образом, субъекты КИИ получат в своё распоряжение официальные нормативные документы, на основании которых они смогут проводить категорирование своих объектов в соответствии с требованиями законодательства. В отличие от действующих методических рекомендаций отраслевых министерств, которые носили рекомендательный характер, новые документы будут обязательными для исполнения. Важно, что разработка этих документов будет осуществляться при согласовании со ФСТЭК России и ЦБ РФ в рамках их компетенции. Теперь, с появлением чётких и обязательных нормативов, специалисты смогут работать по понятным правилам категорирования.
Не менее важной задачей, стоящей перед Правительством РФ, является установление требований к использованию программно-аппаратных средств (ПАС) на значимых объектах КИИ. Иными словами, Правительство должно определить, когда и как субъекты КИИ должны применять определённые ПАС для обеспечения надлежащего уровня информационной безопасности. В настоящее время такие требования отсутствуют, что затрудняет практическую реализацию требований безопасности на ЗОКИИ.
Одним из важных аспектов обеспечения безопасности КИИ является импортозамещение программного обеспечения. В связи с этим Правительство РФ установит порядок и сроки для перехода субъектов КИИ на использование отечественного программного обеспечения на своих значимых объектах КИИ. Важно подчеркнуть, что речь идёт именно о программном обеспечении, а не о «железе». Эта тема в настоящее время находится под пристальным вниманием регуляторов, и они пристально будут следить за её реализацией.
Для контроля за исполнением данной обязанности Правительство РФ также разработает порядок осуществления мониторинга. Кто именно будет осуществлять этот мониторинг, пока не ясно. Возможно, к этой работе будут привлечены отраслевые министерства. Однако, очевидно, что для реализации новых требований и процедур появятся новые нормативно-правовые акты.
Что изменится для ФСБ России?
Новый закон официально закрепит полномочия Федеральной службы безопасности (ФСБ России) в части обмена информацией не только о компьютерных инцидентах, но и о компьютерных атаках. До принятия закона деятельность в этой области была основана на подзаконных актах и не имела достаточной юридической силы.
Разница между двумя понятиями принципиальна. Представьте себе ситуацию с преступностью: компьютерная атака – это как попытка ограбления, а компьютерный инцидент – это уже свершившееся ограбление. ФСБ теперь обязана собирать и распространять информацию не только о совершённых преступлениях (инцидентах), но и о планирующихся (атаках), чтобы предотвратить их осуществление. Компьютерная атака – это подготовка, план, попытка нанести вред информационной системе. Компьютерный инцидент – это уже нанесённый вред, реализованная угроза, факт нарушения безопасности, когда система подверглась успешной атаке и произошёл сбой, утечка данных или иное негативное событие.
Расширение полномочий ФСБ России свидетельствует о переходе к более проактивной стратегии обеспечения кибербезопасности. Теперь ведомство будет не только реагировать на уже произошедшие компьютерные инциденты, но и активно участвовать в профилактике и предотвращении киберугроз, что должно повысить уровень защиты информационных ресурсов. Для реализации этой задачи ведомство пересмотрит и актуализирует свою нормативную базу. Скорее всего, внесут изменения и дополнения в следующие приказы:
− приказ ФСБ России от 24 июля 2018 г. № 368;
− приказ ФСБ России от 19 июня 2019 г. № 282;
− приказ ФСБ России от 6 мая 2019 г. № 196;
− приказ ФСБ России от 19 июня 2019 г. № 281.
Здесь важно отметить, что все действия, касающиеся банковской сферы и иных сфер финансового рынка, ФСБ России должен согласовывать с Центральным банком РФ.
Помимо упомянутых функций, ФСБ России получает дополнительные обязанности по координации деятельности органов и организаций по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты и иных органов и организаций. Это, как правило, аккредитованные Национальным координационным центром по компьютерным инцидентам (НКЦКИ) или ФСБ России организации, а также участники Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). В свою очередь, для оперативного противодействия и расследования за ними законодательно закрепляется обязанность уведомлять ФСБ России о компьютерных атаках и компьютерных инцидентах.
Что изменится для ФСТЭК России?
После утверждения Правительством РФ нормативных документов, определяющих типовые отраслевые объекты КИИ и правила их категорирования, изменится и работа Федеральной службы по техническому и экспортному контролю (ФСТЭК России). Она возьмёт на себя функцию контроля за их практическим применением. Это означает, что ФСТЭК будет проверять, как организации соблюдают эти правила, и требовать от них предоставления сведений о категорировании в определённые сроки.
Помимо этого, ФСТЭК должна будет обеспечить включение в реестр ЗОКИИ, помимо наименования, обязательных сведений о доменном имени и сетевом адресе каждого объекта. Вероятно, придётся внести изменения в Приказ ФСТЭК от 22 декабря 2017 г. № 236, чтобы обязать указывать эту информацию.
Что изменится для субъектов КИИ?
В связи с изменениями в законодательстве о безопасности КИИ значительно возрастёт и ответственность субъектов КИИ. Они должны будут:
− руководствоваться перечнями типовых отраслевых объектов КИИ и отраслевыми особенностями категорирования объектов КИИ;
− уведомлять не только о компьютерных инцидентах, но и о компьютерных атаках;
− уведомлять ФСТЭК России в течение 10 дней об изменении наименования ЗОКИИ, его доменного имени и сетевого адреса. Эта обязанность прямо прописана в Постановлении Правительства РФ от 8 февраля 2018 г. № 127 и направлена на поддержание актуальности информации в реестре ЗОКИИ;
− использовать на ЗОКИИ отечественное ПО;
− соблюдать требования к использованию на ЗОКИИ программно-аппаратных средств;
− при использовании средствами, предназначенными для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, руководствоваться порядком и техническими условиями установки и эксплуатации. Это требование существовало и ранее, однако теперь оно будет закреплено законодательно.
Таким образом, новые требования повысят ответственность субъектов КИИ за обеспечение безопасности своих объектов. Но эффективность этих мер во многом будет зависеть от своевременной разработки и публикации необходимых нормативных актов.
Что изменится в АльфаДок?
Соответствие законодательству по защите КИИ требует постоянного мониторинга нормативных документов и своевременного реагирования. Наш АльфаДок автоматизирует разработку организационной и технической документации по защите объектов КИИ. В связи с поправками в 187-ФЗ он будет адаптирован под новые требования закона.
Изменятся состав и содержание документации, создаваемой с помощью приложения. В частности, потребуется внести корректировки:
− в политику обеспечения безопасности КИИ, чтобы закрепить новые обязанности субъектов КИИ;
− положение обеспечения безопасности КИИ, чтобы скорректировать подходы и принципы обеспечения информационной безопасности с учётом новых обязанностей;
− приказ о комиссии по категорированию, чтобы закрепить необходимость руководствоваться типовыми перечнями объектов КИИ и отраслевыми особенностями категорирования;
− положение о внешнем взаимодействии, чтобы добавить информацию о компьютерных атаках и пересмотреть условия взаимодействия с внешними организациями.
В числе пользователей АльфаДок есть также государственные органы и учреждения и иные организации, не являющиеся субъектами КИИ, поэтому специалистам НПЦ КСБ ещё предстоит изучить, какие изменения потребуются для них.
Как видно из обзора, изменения в 187-ФЗ требуют комплексного подхода к обеспечению безопасности КИИ, затрагивая как деятельность регулирующих органов, так и непосредственно субъектов КИИ. Однако, несмотря на новые вызовы, мы уверены, что благодаря АльфаДок вы сможете легко и эффективно соответствовать всем требованиям. Наша цель – выпустить обновление с необходимыми изменениями к моменту вступления в силу новых норм, к 1 сентября 2025 года. Мы готовы сотрудничать и ответим на все ваши вопросы, чтобы вместе обеспечить надёжную защиту вашей КИИ.
