суббота, 9 июня 2018 г.

Можно ли использовать несертифицированные СЗИ для защиты значимых объектов КИИ?



Если коротко, то ДА!

Но как всегда есть нюансы, поэтому давайте разбираться. Пойдем издалека, сверху вниз - от федеральных законов к подзаконным актам.

-----------------------------------------------------------------
Заглянем сначала в 187-ФЗ «О безопасности КИИ».

См. ст. 1 (сфера действия ФЗ): «Настоящий ФЗ регулирует отношения в области обеспечения безопасности КИИ РФ в целях ее устойчивого функционирования при проведении в отношении ее компьютерных атак».

И далее по тексту закона раскрываются различные аспекты обеспечения безопасности КИИ РФ, но при этом не вводится какой-то отдельной категории информации ограниченного доступа (как это было, например, с ПДн в 152-ФЗ) и не приводится ссылок на существующие категории информации ограниченного доступа.

-----------------------------------------------------------------
Далее посмотрим в 149-ФЗ «Об информации, информационных технологиях и о защите информации».

См. ст. 5: «Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа)».
Вывод 1: информация, обрабатываемая в составе ЗОКИИ, в терминах 149-ФЗ является общедоступной, если при этом она не является защищаемой по ФЗ информацией (ГТ, ПДн) и ЗОКИИ не является ГИС. Это кажется непривычным, но по букве закона получается так.

-----------------------------------------------------------------

Идем дальше, смотрим 184-ФЗ «О техническом регулировании».
См. ст. 2: «Оценка соответствия – это «прямое или косвенное определение соблюдения требований, предъявляемых к объекту»;

См. п. 3, ст.7: «Оценка соответствия проводится в формах государственного контроля (надзора), испытания, регистрации, подтверждения соответствия, приемки и ввода в эксплуатацию объекта, строительство которого закончено, и в иной форме».
Понятия «испытания» и «приемка» как формы Оценки соответствия далее в 184-ФЗ отдельно не раскрываются.

См. п. 1, ст. 5: «В отношении … продукции, используемой в целях защиты сведений, … относимых к охраняемой в соответствии с законодательством РФ иной информации ограниченного доступа, … обязательными требованиями наряду с требованиями технических регламентов являются требования, установленные государственными заказчиками, ФОИВ, уполномоченными в области обеспечения безопасности....».

См. п. 4 ст. 5: «Особенности оценки соответствия продукции, указанной в п.1, ст.5, а также соответственно процессов ее проектирования, производства, строительства… устанавливаются Правительством РФ или уполномоченными им ФОИВ».

На этом моменте в Facebook недавно возникла дискуссия. Одна из сторон диалога стояла на том, что в соответствии с п.1 и 4 ст.5 информация в ЗОКИИ должна защищаться СЗИ, прошедшими оценку соответствия требованиям технических регламентов, которых на текущий момент нет, и поэтому единственным возможным вариантом остается использование сертифицированных СЗИ. Однако, как мы уже увидели на предыдущем шаге, информация в ЗОКИИ не относится к охраняемой в соответствии с законодательством РФ и поэтому на СЗИ, используемые для ее защиты не распространяется п.1 и 4 ст.5, 184-ФЗ, опять же с оговоркой, что эта информация не является, например, ГТ или ПДн и ЗОКИИ не является ГИС.

Вывод 2: 184-ФЗ говорит о том, что «испытания» и «приемка» являются одними из возможных форм проведения оценки соответствия, но далее в 184-ФЗ эти понятия никак не раскрываются и на СЗИ, используемые для защиты ЗОКИИ, требования по их соответствию техническим регламентам, не распространяются.

-----------------------------------------------------------------

Спускаемся на уровень ниже и переходим к приказам ФСТЭК, подзаконным 187-ФЗ.

Смотрим в 235-й приказ ФСТЭК «Об утверждении требований к созданию систем безопасности ЗОКИИ РФ и обеспечению их функционирования».
См. п.18: «Для обеспечения безопасности ЗОКИИ должны применяться сертифицированные СЗИ или СЗИ, прошедшие оценку соответствия в форме испытаний или приемки в соответствии с 184-ФЗ «О техническом регулировании». Сертифицированные СЗИ применяются в случаях, установленных законодательством РФ, а также в случае принятия решения субъектом КИИ. В иных случаях применяются СЗИ, прошедшие оценку соответствия в форме испытаний или приемки, которые проводятся субъектами КИИ самостоятельно или с привлечением организаций, имеющих в соответствии с законодательством РФ лицензии на деятельность в области защиты информации».

См. п.25: «ОРД по безопасности ЗОКИИ должны определять: ..., порядок проведения испытаний или приемки СЗИ, …».
Вывод 3: Для защиты ЗОКИИ можно использовать несертифицированные СЗИ (кроме отдельных случаев, когда, например, ЗОКИИ является ГИСом), проведя для них испытания и приемку либо своими силами, либо с привлечением лицензиатов. При этом субъект КИИ должен разработать ОРД по безопасности ЗОКИИ и прописать в ней порядок проведения испытаний или (хотя на мой взгляд тут уместнее поставить союз «и») приемки СЗИ.

-----------------------------------------------------------------

Далее смотрим в 239-й приказ ФСТЭК «Об утверждении требований к обеспечению безопасности ЗОКИИ РФ», в котором раскрывается тема проведения испытаний и приемки, а также приводятся требования к СЗИ, если они являются сертифицированными. При этом часть информации пересекается с 235-м приказом.
См. п. 12.7: В ходе приемочных испытаний ЗОКИИ и его подсистемы безопасности должен быть проведен комплекс организационных и технических мероприятий (испытаний), в результате которых подтверждается соответствие ЗОКИИ и его подсистемы безопасности настоящим Требованиям, а также требованиям ТЗ на создание значимого объекта и (или) ТЗ (ЧТЗ) на создание подсистемы безопасности ЗОКИИ.

Приемочные испытания ЗОКИИ и его подсистемы безопасности проводятся в соответствии с ПиМИ. Результаты приемочных испытаний ЗОКИИ и его подсистемы безопасности с выводом о ее соответствии установленным требованиям включаются в акт приемки ЗОКИИ в эксплуатацию.

В случае если ЗОКИИ является ГИС, в иных случаях, установленных законодательством РФ, а также в случае принятия решения субъектом КИИ, оценка значимого объекта и его подсистемы безопасности проводится в форме аттестации ЗОКИИ в соответствии с 17-м приказом ФСТЭК.

Ввод в действие ЗОКИИ и его подсистемы безопасности осуществляется при положительном заключении (выводе) в акте приемки (или в аттестате соответствия) о соответствии ЗОКИИ установленным требованиям по обеспечению безопасности.
См. п. 28: Для обеспечения безопасности ЗОКИИ должны применяться СЗИ, прошедшие оценку на соответствие требованиям по безопасности в формах обязательной сертификации, испытаний или приемки.

СЗИ, прошедшие оценку соответствия в форме обязательной сертификации, применяются в случаях, установленных законодательством РФ, а также в случае принятия решения субъектом КИИ.
В иных случаях применяются СЗИ, прошедшие оценку соответствия в форме испытаний или приемки, которые проводятся субъектами КИИ самостоятельно или с привлечением организаций, имеющих в соответствии с законодательством РФ лицензии на деятельность в области защиты информации.

Испытания (приемка) СЗИ проводятся отдельно или в составе ЗОКИИ в соответствии с программой и методиками испытаний (приемки), утверждаемыми субъектом КИИ.
См. п. 29: В случае использования в ЗОКИИ сертифицированных на соответствие требованиям по безопасности информации СЗИ … в ЗОКИИ различных категорий применяются СЗИ и СВТ соответствующих классов.

При этом в значимых объектах 1 и 2 категорий значимости применяются СЗИ, прошедшие проверку не ниже чем по 4 уровню контроля отсутствия НДВ.

Функции безопасности СЗИ должны обеспечивать выполнение настоящих Требований.

Вывод 4: Приемка подсистемы безопасности ЗОКИИ выполняется на основании испытаний, которые проводятся на соответствие ТЗ/ЧТЗ и в соответствии с ПиМИ. При этом в ТЗ/ЧТЗ прописываются требования 239-го приказа с учетом определенной категории и актуальных угроз безопасности информации, а в ПиМИ приводится описание заданий, выполнение которых в рамках приемочных испытаний должно продемонстрировать возможность как сертифицированных (в случае их использования), так и не сертифицированных СЗИ реализовать соответствующие требования ТЗ/ЧТЗ. В случае, если испытания пройдены успешно, составляется соответствующий акт приемки  ЗОКИИ в эксплуатацию с выводом о его соответствии установленным требованиям.

Вывод 5: Если ЗОКИИ является ГИСом, то в качестве СЗИ должны использоваться только сертифицированные СЗИ, а оценка такого ЗОКИИ должна осуществляться в форме аттестации в соответствии с 17-м приказом ФСТЭК.

Вывод 6 (лайфхак): Если у Вас есть ЗОКИИ, не являющийся ГИСом и вы хотите защитить его сертифицированным СЗИ, которое не дотягивает по классу до соответствующей категории значимости или же между классом и категорией соответствие есть, но нет сертификата по НДВ (для ЗОКИИ 1 и 2 категории), то в этом случае, по крайней мере теоретически, можно использовать несертифицированные версии сертифицированного СЗИ (так, например, установка ПО СЗИ с несертифицированного CD-диска и/или отсутствие формуляра автоматически делает СЗИ в глазах регулятора несертифицированным).

-----------------------------------------------------------------

А теперь посмотрим на Проект приказа ФСБ «Об утверждении Требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий КА и реагирования на КИ», в котором приводятся требования к техническим средствам, из которых субъекты должны строить свои центры ГосСОПКА.

См. п. 18: Средства криптографической защиты обмена информацией, необходимой субъектам КИИ при обнаружении, предупреждении и (или) ликвидации последствий КА, должны быть сертифицированы в системе сертификации СЗИ.

Каких-то отдельных НПА ФСБ по криптозащите самих объектов КИИ нет, таких как, например, 378 приказ ФСБ по криптозащите ПДн.

Вывод 7: Для криптографической защиты информации при взаимодействии с НКЦКИ (в рамках ГосСОПКА) субъекты должны использовать сертифицированные ФСБ СКЗИ. Для криптозащиты информации в ЗОКИИ использование сертифицированных СКЗИ да и в целом криптозащита - не требуется.

-----------------------------------------------------------------

Вывод 8 (общий): Если ЗОКИИ не является ГИСом (ПДн умышленно не упоминаю, т.к. это отдельный разговор), и СЗИ не является СКЗИ, используемым для обмена информацией с НКЦКИ в рамках функционирования ГосСОПКА, то в этом случае можно использовать несертифицированные СЗИ. При этом субъекту стоит не забыть провести для них испытания и приемку по требованиям 239 приказа ФСТЭК перед вводом в действие ЗОКИИ, а в случае проверок быть готовым обосновать регулятору достаточность реализованных несертифицированными СЗИ мер для реализации соответствующих требований 239 приказа. 

В целом же конечно для субъекта КИИ предпочтительнее использовать сертифицированные СЗИ, которые уже проверены соответствующими испытательными лабораториями и снимают с субъекта лишнюю головную боль при вводе в действие ЗОКИИ, а также при проверках регулятора.

Ну и в заключении можно предположить, что по мере насыщения рынка ИБ сертифицированными средствами защиты, способными эффективно реализовать требования 239-го приказа ФСТЭК, в законодательство по КИИ могут быть внесены соответствующие изменения, ограничивающие использование несертифицированных средств защиты. А пока рынок таких СЗИ созревает, регулятор допускает применение несертифицированных СЗИ, ибо защищать ЗОКИИ нужно уже сейчас!

суббота, 2 июня 2018 г.

Объект КИИ или не объект? Еще один извечный вопрос!



В прошлом посте мы рассмотрели одно из двух ключевых понятий законодательства о КИИ – понятие субъекта КИИ. В этом же остановимся на не менее важном понятии – объекте КИИ, от правильного понимания которого как дальше увидим будет зависеть вся дальнейшая стратегия реализации требований 187-ФЗ.
Начнем, как и в прошлый раз с определений.
По 187-ФЗ:
  • «Объекты КИИ - ИС, ИТС, АСУ ТП субъектов КИИ».
  • «Категорирование ОКИИ представляет собой установление соответствия ОКИИ критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения».
По 127-ПП:
  • «Категорированию подлежат ОКИИ, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов КИИ».
И тут, возникает два ключевых вопроса:
  1. Все ли ИС, ИТС, АСУ ТП субъекта являются ОКИИ?
  2. Все ли ОКИИ подлежат категорированию?
Давайте разбираться.
Как видим, по определению из 187-ФЗ объектами КИИ являются все без исключения ИС, ИТС, АСУ ТП (далее обобщенно - ИС) субъекта КИИ, в том числе никак не влияющие на критические процессы субъекта КИИ, например, тестовые, игровые ИС и т.д.
При этом, с одной стороны, по 187-ФЗ, категорированию подлежат все ОКИИ, т.к. в законе ничего не сказано про критические процессы и их обеспечение категоризируемыми ОКИИ.
С другой стороны, в 127-ПП приведена конкретизация, согласно которой категорированию подлежат только те ОКИИ, которые обеспечивают критические процессы субъекта в рамках его основной деятельности.
По этому поводу есть два мнения и соответственно два подхода к категоризации, не противоречащие законодательству:
  1. Категоризировать нужно все ОКИИ согласно формулировке в 187-ФЗ
  2. Категоризировать нужно только те ОКИИ, которые обеспечивают критические процессы, согласно формулировке в 127-ПП
В первом случае в составе сведений по результатам категорирования во ФСТЭК передается информация обо всех ОКИИ (в том числе не особо интересных регулятору тестовых и игровых ИС).
Во втором случае во ФСТЭК передается информация только об объектах, обеспечивающих критические процессы. И тут возникает вопрос – а с остальными ОКИИ, которые не подлежали в этом случае категорированию что делать? Они вроде являются ОКИИ, но ФСТЭК о них ничего не знает и скорее всего никогда не узнает. При этом в ГосСОПКА информация о компьютерных инцидентах на этих ОКИИ должна передаваться, потому что по крайней мере в текущей редакции проектов приказов ФСБ объекты делятся только на значимые и не являющиеся значимыми и не делятся на подлежащие категорированию и не подлежащие категорированию.
На самом деле есть еще и третий вариант, который отходит от текущих формулировок в законе, но на мой личный взгляд является наиболее адекватным. По информации от одного из активных участников тематического чата "КИИ 187-ФЗ" - Айгиза Сафиуллина, данный вариант был озвучен представителями ФСТЭК по Поволжью и представителями ФСБ на прошедшей недавно конференции ITSF и рекомендован к исполнению субъектами КИИ. Он базируется на том, что объектами КИИ являются не все ИС, а только те, которые обеспечивают критические процессы. Все остальные ИС не являются ОКИИ и не интересуют ни ФСТЭК, ни ФСБ!
При таком подходе все встает на свои места и само законодательство начинает играть новыми логичными красками, в результате чего субъект имеет следующую стратегию дальнейшего поведения:
  • только ИС, обеспечивающие критические процессы субъекта (и только они) признаются ОКИИ
  • только из этих ИС составляется перечень ОКИИ, подлежащих категорированию
  • только эти ИС подлежат категорированию
  • только об этих ИС передается информация во ФСТЭК по результатам категорирования
  • только о компьютерных инцидентах на этих ИС передается информация в ГосСОПКА
  • только за компьютерные инциденты на этих ИС может светить до 10 лет лишения свободы по ст.274.1 УК РФ.
Все весьма логично и симпатично! Осталось только дождаться закрепления этого подхода в НПА в рамках готовящихся в ближайшее время изменений. Надеюсь так и будет.
Все три описанные выше варианта изображены на схеме ниже, предоставленной Айгизом Сафиуллиным.

P.S.: В следующем посте обсудим особенности категорирования ОКИИ.

воскресенье, 20 мая 2018 г.

Субъект КИИ или не субъект? Вот в чем вопрос!


 
187-ФЗ "О безопасности КИИ" распространяется на субъектов КИИ и вступил в силу уже пол года назад, а на ключевой вопрос о принадлежности Организации к субъектам КИИ во многих случаях до сих пор нет однозначного ответа. Попробовал разобраться.
 
Кто же такие субъекты КИИ?
По определению из 187-ФЗ – это государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат ИС, ИТС, АСУ (далее обобщенно - ИС), функционирующие в 12 сферах. ФСТЭК объединяет Энергетику и ТЭК в одну сферу, поэтому сфер 12, а не 13 (далее – указанные сферы), в 227-м приказе ФСТЭК это явно прописано и устно проговаривалось представителями ФСТЭК на конференциях.
Тут важно понимать и это следует из определения в законе, что к субъектам КИИ относятся не те Организации, которые работают в указанных сферах, как некоторые это интерпретируют, а те, которым принадлежат ИС, функционирующие в этих сферах (хотя, как мы дальше увидим, это почти одно и то же). Отдельно стоит отметить государственные органы и государственные учреждения. Бытует мнение, что все они являются субъектами КИИ. Но по определению (и частное мнение представителей ФСТЭК это подтверждает), государственные органы или государственные учреждения являются субъектами КИИ наравне с юридическими лицами лишь тогда, кода им на законных основаниях принадлежат ИС. Если у государственного органа или государственной организации нет таких ИС, то он или она не субъект КИИ.
Формально нигде в законодательстве или на каком-то ином (кроме понятийного) уровне не закреплено отнесение ИС к определенной сфере. Для себя на понятийном уровне выделил два подхода отнесения ИС к определенной сфере – косвенный и прямой:
Косвенный подход (он же подход ФСТЭК). ИС относится к определенной сфере в том случае, если она явно или косвенно обеспечивает реализацию функций, относящихся к определенным видам деятельности Организации в рамках рассматриваемой сферы. В этом случае, система может быть классической ИС и не выполнять специализированных функций, явно относящихся к данной сфере, но при этом обеспечивать реализацию критических для рассматриваемой сферы процессов. В качестве примера можно рассмотреть систему продаж ЖД билетов и систему управления турникетами прохода пассажиров на ЖД платформы. Так, по функционалу система продаж ЖД билетов ничем не отличается от классической системы продаж билетов, например, в кинотеатре. А система управления турникетами прохода пассажиров на ЖД платформы работает аналогично системе управления турникетами в каком-нибудь бизнес-центре. Но при этом от работы системы продажи ЖД билетов и системы управления турникетами прохода пассажиров на ЖД платформы существенно зависит доступность транспортных услуг. Примеров таких систем может быть много, и вообще невозможно себе представить ситуацию, при которой Организация осуществляет деятельность в одной из сфер и при этом не имеет ни одной ИС, обеспечивающей реализацию процессов, в рамках этой деятельности, если только она не делает все на бумаге.
Прямой подход. ИС относится к определенной сфере в том случае, если она выполняет специализированные функции, явно относящиеся к данной сфере, т.е. является специализированной ИС в рассматриваемой сфере. При этом скорее всего эти специализированные функции и вообще отнесение самой ИС к сфере прописаны в проектной документации на систему (ТЗ, Паспорт и т.п.). Например, это может быть система централизации стрелок и сигналов на ЖД станциях. Тут вопросов о том относится данная система к транспортной сфере или нет – не возникает. И в документации на эту систему думаю можно явно найти этому подтверждение.
В итоге, в случае применения косвенного подхода, при определении принадлежности Организации к субъектам КИИ первостепенным становятся уже не ИС, а виды деятельности Организации в указанных сферах. И если Организация осуществляет виды деятельности, относящиеся к одной из указанных сфер, то автоматом найдутся ИС, явно или косвенно обеспечивающие реализацию процессов в рамках осуществления Организацией соответствующих видов деятельности. Именно с такого подхода рекомендует начинать ФСТЭК при определении принадлежности Организации к субъектам КИИ. По рекомендации ФСТЭК, если по ОКВЭД, лицензиям, уставным документам или иным источникам Организация попала в одну из указанных сфер (т.е. основные виды деятельности Организации осуществляются в указанных сферах), то очень велика вероятность (~100%) того, что у Организации есть системы, связанные (обеспечивающие выполнение) с основными видами деятельности и поэтому подпадающие под понятие «функционирующие в указанных сферах». Тут важно еще отметить, что у Организации не все лицензии или записи в ОКВЭД могут быть актуальными, т.к. некоторыми видами деятельности организация на текущий момент может и не заниматься (занималась раньше или на всякий случай когда-то прописала некоторые виды деятельности про запас). В этом случае по логике Организация не является субъектом КИИ, но у ФСТЭК по этому поводу могут возникнуть вопросы к Организации, кода регулятор увидит, что по ОКВЭД или лицензиям Организация занимается деятельностью, подпадающей под одну из сфер, но не предоставила результаты категорирования.
Если же ориентироваться на прямой подход, первостепенным становится определение наличия специализированных ИС, явно относящихся к определенной сфере. Если хотя бы одна такая ИС находится, то не зависимо от того подпадает Организация под одну из указанных сфер или нет, она становится субъектом КИИ. Т.е. возможна ситуация, когда Организация по ОКВЭД, лицензиям и уставным документам не подпадает ни под одну из сфер, но при этом владеет специализированными ИС, которые под эти сферы подпадают, в результате Организация автоматически становится субъектом КИИ. Тут тоже важно отметить ситуацию, когда Организация владеет специализированной ИС, функционирующей в определенной сфере, но по каким-то причинам не получила лицензии и/или не указала в уставных документах виды деятельности, отнесенные к сфере, в которой функционирует данная специализированная ИС. В этом случае, рекомендуется получить соответствующую лицензию и указать в уставных документах соответствующие виды деятельности (даже без привязки к 187-ФЗ), иначе это будет уже нарушением 99-ФЗ "О лицензировании отдельных видов деятельности". Также возможна и обратная ситуация, при которой организация подпадает под одну из сфер, но не имеет специализированных ИС, связанных с этой сферой и поэтому формально не является субъектом КИИ.
Посмотрим сначала, как на практике выглядит процесс определения видов деятельности Организации по ОКВЭД, Уставу и лицензиям, а затем попробуем разобраться во всех возможных вариантах определения принадлежности организации к субъектам КИИ.
Рассмотрим процесс определения видов деятельности на примере одной из Организаций сферы ЖД транспорта (не РЖД). Для определения видов деятельности данной Организации по ОКВЭД воспользуемся одним из публичных сервисов, который в том числе в качестве источника информации использует ЕГРЮЛ:  www.list-org.com.

Вводим  имя Организации или один из других доступных параметров. В ответ получаем следующий результат.

Видим, что, рассматриваемая Организация имеет вид деятельности, явно подпадающий в сферу Транспорта. При этом важно отметить, что данным и другими подобными ресурсами может и вполне возможно будет пользоваться ФСТЭК, особенно если учесть, что ресурс работает и в обратную сторону, т.е. если указать определенный вид деятельности, то можно найти все организации, которые эти виды деятельности осуществляют. В частности, если в поиске указать полученный на предыдущем шаге вид деятельности 49.10.1, то в качестве результата можно увидеть количество (67) и перечень всех Организаций, осуществляющих данный вид деятельности. 


Если же после просмотра информации по ОКВЭД еще остаются вопросы, переходим к просмотру лицензий, позволяющих осуществлять определенные виды деятельности. Сами лицензии или информация о них часто публикуются на официальном сайте Организации, собственно там я одну из лицензий и взял.


По лицензии так же видно, что деятельность Организации явно попадает в сферу Транспорта. Далее, для чистоты эксперимента смотрим в Устав Организации (тоже взят на официальном сайте Организации) и в очередной раз убеждаемся, что по осуществляемым видам деятельности Организация попадает в сферу Транспорт.

Рассмотрим теперь по очереди все возможные варианты, связанные с определением принадлежности Организации к субъектам КИИ.
Организация подпадает под указанные сферы и у нее есть специализированные ИС, функционирующие в указанных сферах.
В качестве примера возьмем РЖД, владеющей упомянутыми выше системами централизации стрелок и сигналов на ЖД станциях. РЖД однозначно подпадает по ОКВЭД, лицензиям и уставным документам под сферу транспорта. А указанные системы явно (и по прямому и по косвенному подходам) функционирует в указанных сферах. Таким образом, по обоим подходам, РЖД – субъект КИИ.


Организация подпадает под указанные сферы, но у нее нет специализированных ИС, функционирующих в указанных сферах
 В качестве примера возьмем другую Организацию в сфере ЖД транспорта. Данная организация так же, как и РЖД по ОКВЭД, лицензиям и уставным документам однозначно подпадает под сферу транспорта. При этом она не владеет подвижным составом, не управляет стрелками и сигналами на станциях и не оказывает непосредственно транспортные услуги, однако обеспечивают продажу билетов на пригородные электрички, а также управляет турникетами для прохода пассажиров на ЖД платформы с применением соответствующих систем, упомянутых выше. В этом случае по косвенному подходу, Организация подпадает под определение субъекта КИИ, а по прямому нет. В данном случае рекомендуется направлять официальный запрос во ФСТЭК на разъяснения. Именно так и поступила рассматриваемая в данном варианте Организация, отправив в запросе информацию о себе и двух ключевых системах, о которых идет речь выше. В ответ от ФСТЭК пришел неожиданно конкретный ответ о том, что в соответствии с такими-то пунктами 187-ФЗ указанные системы функционируют в сфере транспорта и поэтому Организация является субъектом КИИ, а ее системы объектами КИИ. Тут еще остается открытым вопрос о наличии у ФСТЭК полномочий на официальные разъяснения норм 187-ФЗ. Валерий Комаров делал об этом недавно отдельный пост. И хоть формально ФСТЭК на такие разъяснения не уполномочен, но по факту на официальные письма с запросами на разъяснения регулятор регулярно отвечает и проверки субъектов КИИ, владеющих значимыми объектами, тоже будет проводить ФСТЭК. Более того, на одной из конференций представитель ФСТЭК говорил о том, что если регулятор увидит массовое уклонение от 187-ФЗ (непризнание себя субъектом КИИ) и/или непредоставление в разумные сроки перечня объектов КИИ, подлежащих категорированию, то подготовит и внесет в правительство текст документа, на основании котором правительство потом выпустит соответствующее постановление о внесении изменений в КоАП, предусматривающее административное наказание для уклонистов и/или Организаций, затягивающих сроки предоставления перечня объектов КИИ. Правда по новой статье КоАП правоприменителем может стать и не ФСТЭК, но это уже совсем другая история.

Организация не подпадает под указанные сферы, но у нее есть специализированные ИС, функционирующих в указанных сферах
Чтобы не ходить далеко за примером, рассмотрим любой Водоканал, о котором уже многое говорилась. Суть в том, что по косвенному подходу, предлагаемому ФСТЭК, Водоканал не подпадает ни под одну из сфер. Делаются конечно некоторыми коллегами попытки подвести его по лицензиям под сферу химической промышленности, но я лично лицензий Водоканала, которые могли бы явно отнести Водоканал к сфере химической промышленности, не нашел. При этом у Водоканала есть специализированные ИС, связанные с процессом химической очистки воды и по прямому подходу подпадающие под понятие «функционирующие в указанных сферах». Получается, что по косвенному подходу Водоканал не подпадает под понятие субъекта КИИ, а по прямому – подпадает. Тут совет аналогичный – пишите письма во ФСТЭК или самостоятельно принимайте решение о том, что Вы субъект КИИ. Если же самостоятельно принять решение о том, что Вы не субъект КИИ, то в случае возможных компьютерных инцидентов, повлекших серьезные последствия, к Вам могут быть предприняты серьезные меры (какие – пока не понятно, но как говорится следствие разберется, возможно, что и по ст.274.1 УК).


Отдельно хотелось бы обратиться к регуляторам/законодателям с просьбой определить критерии отнесения ИС к определенной сфере, либо скорректировать определение субъекта КИИ в 187-ФЗ для более однозначного определения принадлежности Организации к субъектам КИИ.


Ну и в качестве выводов предлагается несколько советов Организациям, стоящим перед выбором - субъект КИИ или не субъект.
Вывод 1: Если по ОКВЭД, лицензиям, уставу и т.п. документам Вы относитесь к одной из сфер, то можете считать, что Вы субъект, даже если считаете, что у Вас нет специализированных систем, функционирующих в указанных сферах, (достаточно иметь обычные ИС, см.косвенный подход). Если все же сомневаетесь в этом – пишите письма во ФСТЭК.
Вывод 2: Если по ОКВЭД, лицензиям, уставу и т.п. подобным документам Вы не относитесь ни к одной из сфер, но есть специализированные ИС, по логике функционирующие в указанных сферах, не отсиживайтесь, пишите письма во ФСТЭК, чтобы хоть как-то застраховать себя на будущее.

Вывод 3: Если Вы подпадаете под 187-ФЗ, но не хотите признавать этого, в какой-то момент к Вам могут постучать (правда пока не совсем понятно какой регулятор) и попросить пересмотреть свой взгляд на этот вопрос. Ведь у регулятора есть все инструменты для этого (доступ к ОКВЭД, лицензиям, уставным документам). Лучше до этого не доводить.

Вывод 4: Актуализируйте свои лицензии и информацию об актуальных видах деятельности, которая попадает в уставные документы и ОКВЭД, особенно если эти виды деятельности подпадают под сферы из 187-ФЗ, но Вы считаете, что не являетесь субъектом КИИ, имея при этом лицензии и записи в уставных документах и ОКВЭД, относящие Вас к субъектам.

Вывод 5: Если Вы не доверяете мнению ФСТЭК, считая (не без основательно), что регулятор не уполномочен на разъяснения положений 187-ФЗ, можно направить в прокуратуру запрос о законной силе подобных разъяснений со стороны ФСТЭК. Или же можно сразу направить в прокуратору запрос с разъяснением по интересующему Вас вопросу по 187-ФЗ, хотя лично мне слабо верится в то, что прокуратура ответит на такой запрос в конструктивном ключе.


P.S.: Запись выступления Заместителя начальника управления ФСТЭК России Елены Торбенко на ТБ Форуме 2018 по теме категорирования объектов КИИ можно посмотреть здесь (про принадлежность хозяйствующего субъекта к субъектам КИИ – см. начиная с времени 3.15). Мою презентацию по особенностям реализации требований 187-ФЗ можно скачать отсюда (скриншоты выше взяты из нее). Презентации коллег о подходах и средствах защиты в разрезе КИИ можно скачать отсюда.

среда, 16 мая 2018 г.

По следам секции "Безопасность КИИ: практические аспекты" на PHDays 8

Сегодня весьма продуктивно прошел первый день Форума PHDays, в рамках которого в том числе состоялась секция Безопасность КИИ: практические аспекты, вызвавшая живой интерес у присутствующих, по крайней мере, если судить по количеству заинтересованных лиц в зрительном зале. Секция продлилась 2,5 часа и включила в себя несколько выступлений и панельную дискуссию в том числе с участием представителя ФСБ (НКЦКИ). И в рамках выступлений и в рамках панельной дискуссии было озвучено довольно много любопытной информации, кроме этого несколько вопросов удалось обсудить с представителями ФСБ в кулуарах. В этом посте, так сказать по горячим следам, решил остановиться лишь на некоторых моментах.

Выступления

По поводу категорирования в крупных субъектах КИИ, имеющих разветвленную сеть территориальных подразделений
В нескольких докладах было озвучено, что в случае распределенной организации субъекта КИИ целесообразно провести предварительную методическую работа по категорированию в головной организации. Так, в центре целесообразно сформировать перечень всех территориальных подразделений, а затем бизнес-процессов и привязать их к территориальным подразделениям. После чего сформировать методические рекомендации по категорированию в том числе с описанием типизации объектов КИИ, если это возможно, разработать шаблоны документов (перечень объектов КИИ, подлежащих категорированию, акт категорирования, сведения, передаваемые во ФСТЭК по результатам категорирования). И далее не забыв про контрольную функцию Центра спустить данные наработки на территориальные подразделения (обкатав их предварительно на одном-двух подразделениях), которые в свою очередь должны будут убедиться, что перечень бизнес-процессов, спущенный сверху, актуален (при необходимости актуализировать), сформировать перечень объектов КИИ, подлежащих категорированию, осуществить моделирование угроз для объектов КИИ из данного перечня, провести категорирование и сформировать отчетные документы, на основе спущенных сверху шаблонов.

По поводу обязательности подключения к ГосСОПКА
В одном из выступлений было озвучено дословно, что «Необходимо развернуть специализированные системы взаимодействия с технической инфраструктурой НКЦКИ (ТИ НКЦКИ) (для значимых объектов КИИ ОБЯЗАТЕЛЬНО, остальным опционально)».

По поводу обязательности подключения к ТИ НКЦКИ ни в 187-ФЗ, ни в проектах приказов ФСБ ничего не сказано. Более того, в последней редакции проектов приказов (см. п. 3 документа с номером 18 в таблице) нет даже разделения на значимые объекты и не значимые, а просто говориться о том, что информация о компьютерных инцидентах, связанных с функционированием объектов КИИ передается в ГосСОПКА либо через техническую инфраструктуру НКЦКИ, либо через иные каналы связи (почта, эл.почта, телефон, факс).

Панельная дискуссия

О текущей ситуации с категорированием объектов КИИ.
Интер РАО. «Не всегда отраслевой регулятор может выступать локомотивом и снабжать подведомственные организации необходимыми методиками и инструкциями по категорированию, а также участвовать в составе комиссии по категорированию, как это предписывает 127-ПП. Так, например, Интер РАО не дождавшись реакции от отраслевого регулятора, приступил к работам самостоятельно. В итоге сам разработал методические рекомендации по категорированию, составил комиссию по категорированию, утвердив приказом и наделив ее участников необходимыми ролями. В настоящее время формируется перечень ОКИИ, подлежащих категорированию».

Мегафон. «В составе большой четверки сотовых операторов обсудили подход к разработке отраслевого стандарта по реализации требований 187-ФЗ (возможно имелось ввиду только часть требований, касающихся категорирования). Это целесообразным, т.к. у всех операторов объекты КИИ довольно типовые. Разработка стандарта ведется по согласованию и с участием обоих регуляторов. Таким образом правила игры согласовываются централизованно, на берегу, во избежание появления в дальнейшем зоопарка различных подходов и методик категорирования. В Мегафоне создан в начале года Центра Компетенций по защите КИИ, выделена штатная единица, которая занимается в структуре вопросами ИБ. Непосредственно в самом Мегафоне практически подписан приказ о создании комиссии по категорированию, определен единый подход к категорированию и сейчас идет обсуждение данного подхода. По срокам – до конца 2019 года планируется провести категорирование. К началу осени 2018 – разработать и утвердить отраслевой стандарт. До конца 2018 - сформировать по определенной в стандарте методике перечень объектов КИИ, подлежащих. И далее до конца 2019 года завершить категорирование. Из особенностей категорирования - у  Мегафона как и у всех сотовых операторов принципы построения сети сотовой связи являются одинаковыми, поэтому при создании системы защиты будут выделяться некие типовые доверенные зоны, которые будут соответствующим типовым образом категорироваться и далее по результатам категорирования и проведенного аудита будут соответствующим образом защищаться».

Газпромбанк.  «Требования по обеспечению ИБ для банков не новы. Уже довольно давно действует тот же СТО БР и другие регулирующие НПА в области обеспечения ИБ. В настоящее время Газпромбанк, как и многие другие банки озадачен вопросом корреляции требований СТО БР и 187-ФЗ. До начала активных действий по категорированию банки ждут от ЦБ, как от отраслевого регулятора, соответствующие четкие инструкции, методики и указания».

О подключении к ГосСОПКА
Мегафон. «Количество компьютерных инцидентов за 2017 год - несколько сот. Но опять же смотря что считать инцидентом. Пока это не до конца понятно. Так, например, недавно произошла авария – в течение двух часов было порвано оптоволокно в двух местах, которые друг друга резервируют, при этом произошла деградация качества услуг связи по нескольким регионам. В процессе расследования инцидента были привлечены представители ФСБ, которые на вопрос является ли данный инцидент компьютерным инцидентом ответить однозначно затруднились, хотя по логике случай вопиющий и вполне вероятно тщательно спланированный. Мегафон в настоящее время к технической инфраструктуре НКЦКИ не подключен, но в ближайшее время планирует это сделать».

НКЦКИ. «К ГосСОПКА на настоящий момент уже подключилось порядка полутора тысяч объектов (участников), с которыми организовано двухстороннее взаимодействие. Информация о найденных угрозах и уязвимостях шарится между всеми подключенными участниками. Изначально ГосСОПКА задумывалась не только для КИИ, а как система обмена соответствующей информацией для всех заинтересованных лиц. В 2017 году количества инцидентов, в расследовании которых принимал участие НКЦКИ, по сравнению с 2016 годом увеличилось в 5 раз. В абсолютных значениях, в 2017 году ФСБ приняло участие в расследовании порядка двухсот инцидентов, а также приняло меры по закрытию более 3000 вредоносных ресурсов.  Планируется разработка соответствующего документа (а точнее документ уже разработан, но пока в открытом доступе его нет), дающего разъяснения того, что считать инцидентом, без привязки к конкретным сферам, определенным в 187-ФЗ. Кроме этого уже существует документ, разработанный НКЦКИ, описывающий форматы передачи данных в ГосСОПКА и по запросу в НКЦКИ можно его получить. Перечень же информации, передаваемый в ГосСОПКА приведен в соответствующем проекте приказа ФСБ (см. п. 18), который в течением месяца должен быть утвержден и передан на регистрацию в Минюст. Есть отдельные исследователи, исследовательские организации и некоторые вендоры, которые поставляют в ГосСОПКА информацию о найденных уязвимостях еще до того, как эта информация будет опубликована публично. Далее данная информация также шарится между всеми участниками, подключенными к ГосСОПКА».

Из кулуарного общения с представителями ФСБ

Ожидаемый срок утверждения всех 6 проектов приказов ФСБ – конец июня 2018.
Кроме этого планируется разработка Типового положения о типовом Центре ГосСОПКА (отраслевыми или корпоративными центры ГосСОПКА больше не будут называться, т.к. их нет в 187-ФЗ). В этой связи Методические рекомендации по созданию корпоративных и отраслевых центров ГосСОПКА скорее всего станут неактуальными.
В проекте приказа ФСБ (см. п. 19) говорится о том, что для организации мероприятий по реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак с привлечением подразделений и должностных лиц ФСБ России субъектом КИИ, которому принадлежат значимые объекты КИИ, во взаимодействии с НКЦКИ разрабатывается, согласовывается с 8 Центром ФСБ и утверждается Регламент. Формат данного регламент планируется разработать ФСБ в обозримом будущем.

четверг, 26 апреля 2018 г.

Возможные подходы к присвоению объектам КИИ категорий значимости



В последнее время на разных информационных площадках все чаще поднимается вопрос о том, как проводить категорирование объектов КИИ (ОКИИ). Ранее уже схематично изображал весь процесс категорирования ОКИИ. В этом же посте решил остановиться на основных по моему мнению возможных подходах к реализации ключевого этапа процесса категорирования – этапа присвоения ОКИИ категории значимости (КЗ).

Итак, какие видятся основные возможные подходы к присвоению КЗ:

1.       Рекомендуемый подход. Присвоение КЗ на основании масштаба возможных последствий в случае возникновения компьютерных инцидентов на ОКИИ, без учета существующих средств защиты  и компенсирующих мер, которые могут существенно снизить масштаб возможных последствий и как следствие – снизить КЗ или вообще привести к отсутствию необходимости присвоения КЗ. Это наиболее правильный и непротиворечивый с сточки зрения 127-ПП подход. Если у субъекта уже используются какие-то СЗИ или компенсирующие меры, которые могут снизить масштаб возможных последствий, они не учитываются при определении КЗ, но их можно будет учесть при формировании базового набора мер для определенной КЗ и дальнейшей его адаптации с учетом моделирования угроз. При этом субъекту можно с большой долей вероятности быть уверенным, что у ФСТЭК не будет вопросов по присвоению КЗ ни при согласовании результатов категорирования, ни при проверках.

2.       Нерекомендуемый (неживой) подход. Присвоение КЗ на основании масштаба возможных последствий, с учетом существующих на ОКИИ средств защиты (например, уже внедрен «джентельменский набор» СЗИ) или компенсирующих мер (например, вручную открывается калитка для прохода пассажиров на платформы на ЖД станции в случае атаки на систему управления турникетами). Данный подход имеет существенный недостаток, но при определенной трансформации (см.подход 3) тоже может использоваться. Что касается основного недостатка - в 127-ПП нет никаких указаний на то, что при определении масштаба возможных последствий могут учитываться существующие СЗИ или компенсирующие меры. Но если субъект все же решит их учесть на свой страх и риск, то в этом случае он каким-то образом должен доказать ФСТЭК, что применяемые им СЗИ или компенсирующие меры позволяют защититься от актуальных угроз и соответственно снизить масштаб возможных последствий и как итог присвоить более низкую КЗ или вообще обойтись без ее присвоения. В 127-ПП есть п.17, который определяет состав сведений о результатах категорирования, который субъект должен направить на согласование во ФСТЭК по результатам категорирования. В состав данных сведений в том числе входят:

a.       Сведения о программных и программно-аппаратных средствах, используемых на ОКИИ, в том числе о средствах, используемых для обеспечения безопасности ОКИИ

b.      Возможные последствия в случае возникновения компьютерных инцидентов на ОКИИ

c.       Сведения об угрозах безопасности информации и о категориях нарушителей.

d.      Организационные и технические меры, применяемые для обеспечения безопасности ОКИИ

При данном подходе субъект указывает в составе сведений о результатах категорирования угрозы, категории нарушителей и возможные последствия от реализации угроз, а также применяемые для нейтрализации угроз СЗИ и компенсирующие меры. В случае использования субъектом при категорировании данного подхода у ФСТЭК могут возникнуть к субъекту вопросы как на этапе согласования результатов категорирования, так и на этапе проведения проверок.

3.       Приемлемый (в теории) подход. Присвоение КЗ на основании масштаба возможных последствий с учетом существующих СЗИ и компенсирующих мер, которые могут существенно снизить масштаб возможных последствий и как следствие – снизить КЗ или вообще привести к отсутствию необходимости присвоения КЗ. Этот подход очень похож на предыдущий подход, но отличается от него очень важным нюансом – существующие СЗИ и/или компенсирующие меры включаются в состав ОКИИ. Т.е. упомянутая выше калитка включается в состав ОКИИ в качестве одного из режимов работы ОКИИ. Но с данным подходом нужно обращаться аккуратно и со здравым смыслом, т.к. та же калитка может не справиться, например, с большим потоком пассажиров в час-пик и может начаться давка, которой не было бы при работающих турникетах или ее кто-то может по какой-то причине закрыть, как это случилось во время недавней трагедии в кинотеатре в Кемерово. Данный подход не противоречит 127-ПП, но все же может вызвать вопросы у ФСТЭК при согласовании результатов категорирования или при проведении проверок. Поэтому в результаты категорирования, отправляемые на согласование во ФСТЭК, стоит включить соответствующее обоснование включения СЗИ или компенсирующих мер в состав ОКИИ.

Вывод: Лучше всего присваивать КЗ без учета имеющихся на ОКИИ СЗИ и компенсирующих мер, но если субъект готов обосновать перед ФСТЭК их включение в состав ОКИИ, то такой подход теоретически возможен.

P.S. Уверен, что по данным подходам могут быть разные мнения, да и самих подходов может быть гораздо больше. Интересно увидеть другие варианты и поучаствовать в дискуссии.