Обзор Приказа ФСТЭК России от 21.12.2017 N 235 "Об утверждении Требований к созданию систем безопасности значимых объектов КИИ РФ и обеспечению их функционирования"

Коллеги, используя свой блог как площадку для обмена опытом и наработками по тематике КИИ, с согласия автора публикую в неизменном виде анализ 235-го приказа ФСТЭК, проведенный Начальником отдела защиты информации Трубной металлургической компании Александром Севостьяновым.

Уважаемые коллеги! 

22.02.18г. ФСТЭК в рамках требований ст.6 187-ФЗ о КИИ РФ был зарегистрирован Приказ №235 «Об утверждении требований к созданию систем безопасности объектов КИИ».

Документ кратко, но ёмко описывает процесс создания безопасности критической инфраструктуры и состав сил и средств.

Ключевые моменты и нюансы выделены в тексте отдельно жирным шрифтом!

Документ подготовлен в целях упрощенного восприятия юридической информации требований Приказа и местами дополнен примечаниями автора.

(все комментарии и примечания автора являются его частным мнением)

СОЗДАНИЕ СИСТЕМ БЕЗОПАСНОСТИ КИИ 

Основой создания является классическая модель общей безопасности: объект, субъект, силы и средства.

Что можно понимать под понятием «создание» (ибо 239-м Приказом определена еще и требования к безопасности при «эксплуатации»). Таким образом, 235-й Приказ первичен, по отношению к 239-му. Создание, если исходить из формулировок Приказа: «Системы безопасности создаются субъектами критической информационной инфраструктуры и включают в себя: правовые, организационные, технические и иные меры, направленные на обеспечение информационной безопасности (защиты информации) субъектов КИИ». При этом, основная цель, это устойчивое функционирование значимых объектов КИИ! То есть, если кратко: это комплекс взаимосвязанных мер, на основе организационной распорядительной документации!

При этом, помним, что: по решению субъекта КИИ для одного или группы значимых объектов КИИ могут создаваться отдельные системы безопасности (т.е. видимо есть возможность объединить ряд однородных объектов значимых КИИ в один, в отношении которого можно будет создать единую систему безопасности).

Система создается руководителем субъекта КИИ (либо уполномоченным лицом). В данном случае, вполне уместно подготовить некий внутренний проект под наименованием «Создание системы безопасности КИИ Предприятия», что утверждается Приказом руководителя, либо, в виде простого перераспределения функционала, определенного Приказом на ряд выбранных СП, что также утверждается Приказом руководителя. 

К силам, которые должны будут обеспечивать безопасность отнесено:

• СП и работники, ответственные за безопасность значимых объектов КИИ;
• СП и работники, эксплуатирующие значимые объекты КИИ;
• СП и работники, обеспечивающие функционирование (ремонт, сопровождение) значимых объектов КИИ;
• иные СП и работники. 

К средствам, которые должны обеспечивать безопасность значимых объектов КИИ отнесено:

1. программные средства (т.е. ПО);
2. программно-аппаратные средства (т.е. железо плюс ПО).
   При этом, системы безопасности должны функционировать в соответствии с организационно-распорядительной документацией (т.е.: как сопроводительная, так и подготовленная Предприятием самостоятельно).

Системы безопасности должны обеспечивать:

1. предотвращение неправомерного доступа к информации, обрабатываемой значимыми объектами КИИ (прим.: т.е. не всеми), уничтожения такой информации, ее модифицирования, блокирования, копирования, предоставления и распространения, а также иных неправомерных действий в отношении такой информации;
2. недопущение воздействия на технические средства обработки информации, в результате которого может быть нарушено и (или) прекращено функционирование значимых объектов КИИ (прим.: наличие СКУД и видеонаблюдения обязательно);
3. восстановление функционирования значимых объектов КИИ, в том числе за счет создания и хранения резервных копий необходимой для этого информации;
4. непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации в соответствии со ст.5 187-ФЗ (ГОССОПКА).
   

   
   

   При этом, создаваемые системы безопасности должны соответствовать требованиям:

к силам обеспечения безопасности значимых объектов КИИ, а именно: руководитель субъекта КИИ (Предприятия) создает или определяет структурное (или самостоятельное) подразделение (далее – СП), ответственное за обеспечение безопасности значимых объектов КИИ, или назначает (прим.: Приказом ГД) отдельных работников, ответственных за обеспечение безопасности значимых объектов КИИ, которые выполняют следующие основные функции:

• разрабатывают предложения по совершенствованию организационно-распорядительных документов по безопасности значимых объектов и представляют их руководителю субъекта КИИ (уполномоченному лицу);
• проводят анализ угроз безопасности информации в отношении значимых объектов КИИ и выявляют уязвимости в них;
• обеспечивают реализацию требований по обеспечению безопасности значимых объектов КИИ, установленных в соответствии со статьей 11 187-ФЗ (п.п. 4 п.6 Закона, т.е. Приказ ФСТЭК № 239);
• обеспечивают в соответствии с требованиями по безопасности реализацию организационных мер и применение средств защиты информации, эксплуатацию средств защиты информации;
• осуществляют реагирование на компьютерные инциденты в порядке п.6 части 4 статьи 6 187-ФЗ (т.е. информирование и реагирование, ликвидация);
• организуют проведение оценки соответствия значимых объектов КИИ требованиям по безопасности;
• готовят предложения по совершенствованию функционирования систем безопасности, а также по повышению уровня безопасности значимых объектов КИИ;
• работники СП по безопасности, штатные специалисты должны обладать знаниями и навыками, необходимыми для обеспечения безопасности значимых объектов КИИ;
• не допускается возложение на СП по безопасности, штатных специалистов функций, не связанных с обеспечением безопасности значимых объектов КИИ или обеспечением информационной безопасности субъекта КИИ в целом (прим.: т.е. только целевое использование квалифицированного персонала);
• обязанности, возлагаемые на работников СП по безопасности, штатных специалистов, должны быть определены в их должностных регламентах (должностных инструкциях) и до них должны быть доведены положения организационно-распорядительных документов по безопасности значимых объектов в части, их касающейся (тоже самое касается привлекающихся для проведения технических, ремонтных работ подрядчиков);
• СП, эксплуатирующие значимые объекты КИИ, обеспечивают безопасность эксплуатируемых ими значимых объектов КИИ, при этом: координацию и контроль их деятельности по вопросам обеспечения безопасности значимых объектов КИИ осуществляют СП по безопасности, штатные специалисты;
• субъект КИИ не реже 1 раза в год организует проведение методических занятий, лекций, семинаров, иных мероприятий, направленных на повышение осведомленности об угрозах безопасности информации и уровня знаний указанных работников по вопросам обеспечения безопасности КИИ (прим.: проводим Security Awareness).

к средствам, т.е.: программным и программно-аппаратным средствам (далее – ПО и ПАС), применяемым для обеспечения безопасности значимых объектов КИИ, а именно:

• к ПО и ПАС, применяемым для обеспечения безопасности значимых объектов КИИ, относятся средства защиты информации (СЗИ): в том числе средства защиты информации от НСД (включая встроенные в общесистемное, прикладное программное обеспечение), межсетевые экраны, средства обнаружения (предотвращения) вторжений (компьютерных атак), средства антивирусной защиты, средства (системы) контроля (анализа) защищенности, средства управления событиями безопасности, средства защиты каналов передачи данных (Прим: у многих это уже есть, осталось только переформатировать под значимые КИИ);
• для обеспечения безопасности значимых объектов КИИ должны применяться СЗИ, прошедшие оценку соответствия требованиям по безопасности в формах обязательной сертификации, испытаний или приемки;
• СЗИ, прошедшие оценку соответствия в форме обязательной сертификации, применяются в случаях, установленных законодательством Российской Федерации, а также в случае принятия решения субъектом КИИ;
• с иных случаях применяются СЗИ, прошедшие оценку соответствия в форме испытаний или приемки, которые проводятся субъектами КИИ самостоятельно или с привлечением организаций, имеющих в соответствии с законодательством РФ лицензии на деятельность в области защиты информации;
• параметры и характеристики применяемых СЗИ должны обеспечивать реализацию технических мер по обеспечению безопасности значимых объектов КИИ, принимаемыми в соответствии с требованиями по безопасности;
• в качестве СЗИ в приоритетном порядке подлежат применению СЗИ, встроенные в программное обеспечение и (или) программно-аппаратные средства значимых объектов КИИ (при их наличии);
• СЗИ должны применяться в соответствии с инструкциями (правилами) по эксплуатации, разработанными разработчиками (производителями) этих средств, и иной эксплуатационной документацией на СЗИ;
• применяемые СЗИ должны быть обеспечены гарантийной, технической поддержкой                   (т.е.: FreeWare не подойдет. При этом, варианты, когда СЗИ куплено, но не обслуживается по гарантии, вполне допустимы, хотя техническую поддержку придется восстановить)*;
• при выборе СЗИ необходимо учитывать наличие ограничений на возможность их применения субъектом КИИ на любом из принадлежащих ему значимых объектов КИИ со стороны разработчиков (производителей) или иных лиц;
• порядок применения СЗИ определяется субъектом КИИ в организационно-распорядительных документах по безопасности значимых объектов с учетом особенностей деятельности субъекта КИИ. 
  *Прим.: Предприятиям будет необходимо провести проверку наличия документов, подтверждающих право собственности на СЗИ.

к организационно-распорядительным документам (ОРД) по безопасности значимых объектов КИИ (состав и форма которых значимых объектов определяются субъектом КИИ, с учетом особенностей его деятельности и утверждаются руководителем субъекта КИИ (уполномоченным лицом) и должны быть доведены до руководства субъекта критической КИИ, СП по безопасности, штатных специалистов, а также до иных СП (работников), участвующих в обеспечении безопасности значимых объектов КИИ, в части, их касающейся):

• ОРД по безопасности значимых объектов являются частью общей системы документов (стандартов организации) по вопросам обеспечения информационной безопасности (защиты информации) субъекта КИИ. При этом положения, определяющие порядок и правила обеспечения безопасности значимых объектов КИИ, могут быть включены в общие документы по вопросам обеспечения информационной безопасности (защиты информации), а также могут являться частью документов по вопросам функционирования значимого объекта КИИ;
• ОРД по безопасности значимых объектов разрабатываются применительно к особенностям деятельности субъекта КИИ на основе настоящих требований, требований по безопасности, иных нормативных правовых актов в области обеспечения безопасности КИИ и защиты информации;
• ОРД должны определять: 1 - цели и задачи обеспечения безопасности значимых объектов КИИ; 2 -  основные угрозы безопасности информации и категории нарушителей; 3 - основные организационные и технические мероприятия по обеспечению безопасности значимых объектов КИИ; 4 -   состав и структуру системы безопасности и функции ее участников; 5 -  порядок применения, формы оценки соответствия значимых объектов критической информационной инфраструктуры и СЗИ требованиям по безопасности; 6 - планы мероприятий по обеспечению безопасности значимых объектов КИИ; 7 -  модели угроз безопасности информации в отношении значимых объектов КИИ; 8 -  порядок реализации отдельных мер по обеспечению безопасности значимых объектов КИИ; 9 - порядок проведения испытаний или приемки СЗИ; 10 - порядок реагирования на компьютерные инциденты; 11 -  порядок информирования и обучения работников; 12 -  порядок взаимодействия подразделений (работников) субъекта КИИ при решении задач обеспечения безопасности значимых объектов КИИ; 13 - порядок взаимодействия субъекта КИИ с ГОССОПКА; 14 - правила безопасной работы работников субъекта КИИ на значимых объектах КИИ; 15 -  действия работников субъекта КИИ при возникновении компьютерных инцидентов и иных нештатных ситуаций.

к функционированию системы безопасности в части организации работ по обеспечению безопасности значимых объектов КИИ, рамках которой должны быть внедрены следующие процессы:

• планирование и разработка мероприятий по обеспечению безопасности значимых объектов КИИ (т.е.: разработка СП по безопасности и ежегодного (или более) плана мероприятий по обеспечению безопасности значимых объектов КИИ и его утверждение руководителем субъекта КИИ, включающего: наименования мероприятий по обеспечению безопасности значимых объектов КИИ, сроки их выполнения, наименования СП (работников), ответственных за реализацию каждого мероприятия; организационные и технические мероприятия по обеспечению безопасности значимых объектов КИИ, направленные на решение задач, установленных требованиями. На основе общего плана, в местах эксплуатации могут готовиться локальные планы). Выполнение плана контролируется СП по безопасности, которые ежегодно готовят отчет по его выполнению);
• реализация (внедрение) мероприятий по обеспечению безопасности значимых объектов КИИ (т.е.: является результатом выполнения плана мероприятий и осуществляется в соответствии с ОРД по безопасности значимых объектов. В ходе реализации мероприятий по обеспечению безопасности значимых объектов принимаются организационные меры и (или) внедряются СЗИ на значимых объектах КИИ, направленные на блокирование (нейтрализацию) угроз безопасности информации, при этом: результаты подлежат документированию в порядке, установленном субъектом КИИ в ОРД по безопасности значимых объектов).
• контроль состояния безопасности значимых объектов КИИ (т.е.: проводится ежегодно комиссией, назначаемой субъектом КИИ в состав: СП по безопасности, штатные специалисты, подразделений, эксплуатирующих значимые объекты КИИ, и подразделений, обеспечивающих функционирование значимых объектов КИИ, а также иные работники других СП. По результатам готовиться Акт, подписываемый членами комиссии и утверждается руководителем субъекта КИИ, при этом: в случае проведения внешней оценки (внешний аудит силами лицензионной по НСД Организации), внутренний контроль может не проводиться).
• совершенствование безопасности значимых объектов КИИ (т.е.: силами СП по безопасности проводится анализ функционирования системы безопасности и состояния безопасности значимых объектов КИИ, по результатам которых разрабатываются предложения по развитию системы безопасности и меры по совершенствованию безопасности значимых объектов критической информационной инфраструктуры, которые представляются руководителю субъекта КИИ). 
  

  
  

   КРАТКИЕ ВЫВОДЫ: 

1. В настоящий момент Предприятию потребуется значительная и глубокая переработка всей локальной нормативной базы по защите информации и приведения ее в соответствии 187-ФЗ, если таковая не имеется (включая документы кадрового администрирования).
2. Реализация всех требования потребует создания отдельного самостоятельного подразделения по информационной безопасности критической информационной инфраструктуры, либо расширения штатной численности уже имеющихся подразделений защиты информации.
3. Целесообразность привлечение для целей выполнения всех требований Приказа №235 сторонних профильных Организаций до момента принятия всего пакета ключевой подзаконной нормативной документации по реализации все требований 187-ФЗ, пока под сомнением (однако, в рамках консалтинга это вполне будет уместно).
4. До момента утверждения перечня объектов КИИ и отправки его во ФСТЭК, у Предприятия есть время для маневра (но не большое).
5. В Приказах 235 и 239 нет прямых ограничений или запретов на использование удаленной технической поддержки КИИ на территории РФ, оказываемой иностранной Компанией по договору гарантийного обслуживания (в т.ч. из-за границы). 
   

   
   

   ВАРИАНТЫ ПЕРВИЧНЫХ ДЕЙСТВИЙ: 

0 - й временной период (начало процесса)

1. Ожидание регистрации ключевого Приказа ФСТЭК № 239.
2. Ожидание документов ФСБ по ГОССОПКА (но можно и пропустить).
3. Изучение учредительных документов Предприятия с целью определения сфер деятельности, подпадающих под 187-ФЗ (по ОКВЭД).
4. Изучение собственной нормативной базы по защите информации с целью приведения ее в соответствие на верхних уровнях иерархии (Концепция ИБ, Политика ИБ), включая введение основополагающего термина «КИИ».
5. Инвентаризация имеющегося ПО и ПАС с целью определения из возможности по закрытию вопросов безопасности объектов КИИ.
6. Определение сил для реализации требований 187-ФЗ (на уровне СП и работников).
7. Создание Приказом ГД комиссии ко категорированию.
8. Выполнение части требований п. 5 ПП 127 с подготовкой проекта Перечня объектов КИИ, но без отправки его во ФСТЭК.
9. Начало приведения в строгое соответствие всей ОРД Предприятия требованиям 235 и 239 ФСТЭК (можно вести параллельно).
10. Окончательное завершение требований п.5 ПП 127 (без оставления Актов категорирования).
11. Утверждение и отправка Перечня объектов КИИ во ФСТЭК (в теч. 5 дней) сопроводительным письмом за подписью руководителя субъекта КИИ с подтверждение получения (DHL, Major Express и т.д.).

1-й временной период (начало отсчета годового срока на категорирование) 

12. Завершение выполнения требований Приказов ФСТЭК 235 и 239 в части сил и средств защиты КИИ (подготовка и введение в действие ОРД; закупка и внедрение ПО и оборудования и т.д.).
13. Продолжение категорирования с составление предусмотренных Актов.
14. Утверждение Актов категорирования и отправка Актов категорирования во ФСТЭК (в теч. 10 дней).

2-й временной период (начало отсчета 3-х летнего срока до гос. контроля)

Таким образом, выполнение всех основных требований к созданию систем безопасности КИИ по 235 Приказу и реализация требований безопасности к самим значимым объектам КИИ по 239 Приказу, должна быть выполнена в течении одного года, после отправки Перечня объектов КИИ во ФСТЭК!

С Уважением

Севостьянов Александр!