1. Главная
  2. Публикации
  3. Обзор изменений законодательства КИИ за апрель 2020

Обзор изменений законодательства КИИ за апрель 2020

21 Мая 2020
131

Вопросы категорирования объектов КИИ

В Информационном сообщении ФСТЭК России от 17 апреля 2020 г. N 240/84/611 рассматриваются вопросы представления перечней объектов критической информационной инфраструктуры (далее – КИИ), подлежащих категорированию, и направления сведений о результатах категорирования объектов КИИ.

Основные тезисы Информационного сообщения:
  • Перечень объектов КИИ, подлежащих категорированию, направляемый во ФСТЭК России, рекомендовано оформить в соответствии с предлагаемой формой.
  • Перечень объектов КИИ, подлежащих категорированию, необходимо направлять в печатном и электронном виде (формат .ods и (или) .odt).
  • Уведомлять ФСТЭК России об отсутствии объектов КИИ или о том, что организация не является субъектом КИИ, не нужно.
  • Сведения о результатах категорирования необходимо направлять во ФСТЭК России в бумажном виде с приложением электронных копий в формате файлов электронных таблиц (формат .ods).
  • Обязательный для государственных организаций срок (для иных субъектов КИИ срок носит рекомендательный характер) по утверждению перечней объектов КИИ, подлежащих категорированию, истек 1 сентября 2019 г. Как следствие, категорирование объектов КИИ должно быть завершено к 1 сентября 2020 г.

Проект Методики моделирования угроз безопасности информации

ФСТЭК России информирует о разработке методического документа «Методика моделирования угроз безопасности информации». Предложения и замечания по проекту методики моделирования угроз безопасности информации (далее – УБИ) принимались до 30 апреля 2020 г.

Для того, чтобы новую Методику моделирования УБИ можно было применять, планируется модернизация раздела «Угрозы» банка данных угроз безопасности информации ФСТЭК России (далее – БДУ ФСТЭК России). Как видно из текста проекта Методики, как минимум планируется добавить в БДУ ФСТЭК России тактики и соответствующие им техники (способы), использование которых возможно нарушителем при реализации УБИ.

Также из основных моментов стоит отметить, что Методику необходимо будет применять для моделирования УБИ в ИСПДн, информационных системах, автоматизированных системах управления, информационно-телекоммуникационных сетях, в том числе отнесенных к объектам КИИ, в информационно-телекоммуникационных инфраструктурах центров обработки данных и облачных инфраструктурах, защита информации в которых или безопасность которых обеспечивается в соответствии с требованиями по защите информации (обеспечению безопасности), утвержденными ФСТЭК России в пределах своей компетенции. При этом, Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн (ФСТЭК России, 2008 г.) и Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры (ФСТЭК России, 2007 г.) в случае утверждения рассматриваемого проекта Методики будут отменены.

Важные моменты рассматриваемого проекта Методики моделирования УБИ:
  • Моделирование УБИ должно проводиться с учетом применяемых в системах и сетях СрЗИ. Однако при этом необходимо учитывать возможность наличия в организации работ и применяемых СрЗИ уязвимостей, которые могут использоваться для реализации УБИ.
  • Для моделирования УБИ возможно привлечение организаций, имеющих лицензию ФСТЭК России на деятельность по ТЗКИ.
  • Ведение модели угроз и поддержание ее в актуальном состоянии может осуществляться в электронном виде.
  • Негативные последствия необходимо будет определять на основе оценки ущерба (рисков) от нарушения основных критических процессов.
  • Предусмотрены рекомендации по формированию экспертной группы (состоящей минимум из трех экспертов) и проведению экспертной оценки.
  • При моделировании УБИ на этапе эксплуатации систем и сетей возможность идентификации и использования уязвимостей оценивается по результатам контроля защищенности систем и сетей (тестирований на проникновение).
Порядок согласования подключения значимых объектов КИИ к сети связи общего пользования

30 апреля 2020 г. ФСТЭК России опубликовала к общественному обсуждению Проект Приказа «Об утверждении Порядка согласования Федеральной службой по техническому и экспортному контролю подключения значимого объекта критической информационной инфраструктуры Российской Федерации к сети связи общего пользования» (далее – Проект Приказа), подготовленный в соответствии с пунктом 3 Правил подготовки и использования ресурсов единой сети электросвязи Российской Федерации для обеспечения функционирования значимых объектов критической информационной инфраструктуры (далее – КИИ).

Напомним, что Постановление Правительства Российской Федерации от 08.06.2019 № 743 «Об утверждении Правил подготовки и использования ресурсов единой сети электросвязи Российской Федерации для обеспечения функционирования значимых объектов критической информационной инфраструктуры» вступило в силу с 1 января 2020 года. Согласно вышеупомянутому Постановлению Правительства подключение значимого объекта КИИ к сети связи общего пользования, т.е., например, подключение к сети Интернет, допускается только по согласованию со ФСТЭК России в части достаточности применяемых средств защиты информации (далее – СрЗИ).

Проектом Приказа предусмотрено утверждение процедуры согласования ФСТЭК России подключения значимого объекта КИИ к сети связи общего пользования. Согласование имеющегося подключения на момент включения в реестр значимых объектов КИИ не требуется.

По Проекту Приказа достаточным для обеспечения безопасности значимого объекта КИИ при его подключении к сети связи общего пользования является применение следующих СрЗИ, сертифицированных или прошедших оценку на соответствие требованиям по безопасности в форме испытаний или приемки:

  • Межсетевой экран (далее – МЭ) уровня сети, реализующий в том числе функции сокрытия архитектуры и конфигурации значимого объекта КИИ. Для обеспечения безопасности значимого объекта КИИ 1 или 2 категории значимости МЭ дополнительно должен обеспечивать исключение выхода (входа) через управляемые (контролируемые) сетевые интерфейсы информационных потоков по умолчанию, а также идентификацию сторон сетевого соединения (сеанса взаимодействия) по логическим именам (имя устройства и (или) его идентификатор), логическим адресам (например, IP-адресам) и (или) по физическим адресам (например, МАС-адресам) устройства или по комбинации имени, логического и (или) физического адресов устройства.
  • Граничный маршрутизатор, обеспечивающий подключение значимого объекта КИИ к сети связи общего пользования и реализующий функцию управления сетевыми потоками. Для обеспечения безопасности значимого объекта КИИ 1 или 2 категории значимости маршрутизатор дополнительно должен обладать отдельными физическими управляемыми (контролируемыми) сетевыми интерфейсами, предназначенными для обеспечения взаимодействия публичных общедоступных ресурсов со значимым объектом КИИ, а также для каждого внешнего телекоммуникационного сервиса.
  • Средства антивирусной защиты, реализующие сигнатурные и эвристические методы выявления вредоносных компьютерных программ. Средства применяются на функционирующих между сетями связи общего пользования и компонентами значимого объекта КИИ СрЗИ (МЭ, граничных маршрутизаторах), на которых возможна установка таких средств, и (или) серверах, обеспечивающих взаимодействие значимого объекта КИИ с сетью связи общего пользования, прокси-серверах и (или) почтовых шлюзах. Для обеспечения безопасности значимого объекта КИИ 1 или 2 категории значимости средства должны реализовывать фильтрацию по содержимому электронных сообщений с использованием критериев, позволяющих относить электронные сообщения к незапрашиваемым сигнатурным и (или) эвристическим методами, фильтрацию на основе информации об отправителе электронного сообщения (в том числе с использованием списков запрещенных и (или) разрешенных отправителей), а также дополнительно должно обеспечиваться централизованное управление  установленными на компонентах значимого объекта КИИ средствами антивирусной защиты.
  • Средство криптографической защиты информации (для значимого объекта КИИ, для которого в соответствии с законодательством требуется защита криптографическими методами передаваемой информации).
  • Средства обнаружения (предотвращения) вторжений (компьютерных атак) уровня сети (для значимого объекта КИИ 1 или 2 категории значимости). Компоненты регистрации событий (сенсоры или датчики) средства размещаются между сетью связи общего пользования и компонентами значимого объекта КИИ, а также между этими компонентами и иными информационными (автоматизированными) системами и информационно-телекоммуникационными сетями.
  • МЭ уровня веб-сервера (для значимого объекта КИИ 1 категории значимости, в составе которого функционирует сервер, обслуживающий сайты, веб-службы и (или) веб-приложения), обеспечивающий контроль и фильтрацию информационных потоков по протоколу передачи гипертекста, проходящих к веб-серверу и от него.