Государственная информационная система – субъект критической информационной инфраструктуры Российской Федерации

е.реализация модели нарушителя);–оценка уязвимостей применяемых систем (т.н. аудит безопасности);–определение возможных методов реализации угроз и устранения их последствий.В случае разработки нового программного обеспечения как части подсистемы безопасности значимого объекта КИИ следует применять стандарты безопасной разработки ПО.При эксплуатациисредств защиты информации преимущество отдается встроенному защитному инструментарию, а при реагировании на компьютерные происшествиятребуется отправлять информацию о них в систему ГосСОПКА.Рисунок 2 – Схема передачи информации в систему ГОсСОПКАОрганизационные и технические мероприятия, предусмотренные положениями Приказа №239 [17], в зависимости от категории важности объекта ИКТ и угроз безопасности информации:–идентификация и аутентификация;–контроль доступа;– ограничение программной среды;–защита компьютерных носителей;– экспертиза безопасности;–антивирусная защита;–предотвращение вторжений (компьютерных атак);– обеспечение целостности;–обеспечение доступности;–защита технических средств и систем;–защита информационной (автоматизированной) системы и ее компонентов;–развертывание средств защиты;–управление конфигурацией;–управление обновлениями программного обеспечения;–реагирование на инциденты информационной безопасности;–обеспечение действий в нештатных ситуациях;–информирование и обучение персонала.Алгоритм выбора и использования мер защиты:–выбор базового набора мер для требуемой категории актуальности объекта КИИ на основе перечня, предложенного в Приказе;–применение выбранного базового комплекса мер, предполагающее исключение неактуальных базовых мер, в зависимости от используемых технологий и особенностей объекта КИИ;–дополнение комплекса другими мерами, необходимыми для устранения текущих угроз;–данный набор дополняется мерами, установленными другими применимыми нормативными правовыми документами, например, по защите информации в ГИС, криптографической защите информации и др.Но если объект критической информационной инфраструктуры уже использует меры промышленной, функциональной или физической безопасности, достаточные для устранения актуальных угроз информационной безопасности, то никаких других мер защиты не требуется.Критически важны непрерывность функционирования объекта КИИ и отсутствие негативного влияния на него применяемых мер: субъект КИИ может использовать вместо основных более подходящие компенсационные меры, которые также нейтрализуют актуальные угрозы безопасности. Также должны применяться компенсационные меры в случае применения новых ИТ-решений и обнаружения новых угроз, которые не были учтены составителями приказа.Средства защиты информации, проанализированные на предмет соответствия требованиям безопасности, могут быть использованы в форме контроля, приемки или обязательной сертификации. Контроль и приемка осуществляются субъектами КИИ самостоятельно или с привлечением лицензиатов ФСТЭК. При использовании сертифицированных средств защиты информации требования следующие: на объектах 1-й категории важности должны применяться средства защиты информации не ниже 4-го класса, на объектах 2-й категории – не ниже 5-го класса, на объектах 3-я категория – не ниже 6 класса. На всех значимых объектах всех категорий должны применяться средства защиты информации 5 класса.Указывается важность использования средств защиты информации, предоставляемых гарантийной и (или) технической поддержкой, а также возможные оговорки по использованию программно-аппаратных средств или средств защиты информации.Значимый объект КИИ должен требовать:–не допускать удаленного и локального доступа для обновления или управления лицами, не являющимися сотрудниками субъекта КИИ, сотрудниками его дочерних и зависимых организаций. Если удаленный доступ исключить невозможно, необходимо постоянно контролировать подключаемые устройства, обмен информацией и анализировать действия;–предотвращать бесконтрольный обмен информацией об объекте КИИ с производителем и другими лицами.–все программно-технические средства объекта КИИ категории важности 1 и 2 должны находиться на территории России (за исключением случаев, предусмотренных законодательством).Требования к прикладному программному обеспечению на значительном объекте КИИ:–безопасная разработка программного обеспечения (оценка угроз информационной безопасности, использование методов безопасной разработки программного обеспечения);–обнаружение уязвимостей в ПО (статический анализ алгоритмов, поэтапное тестирование, динамический анализ кода);–устранение уязвимостей создателем программного обеспечения;–систематическая поддержка поставщиков (информирование клиентов, обновление программного обеспечения).Статья 274.1 УК РФ предусматривает ответственность за неправомерное воздействие на КИИ РФ. Данная статья действует с 01.01.2018 и введена Федеральным законом от 26.07.2017 № 194[19]. Данная статья предусматривает уголовное наказание за следующее:–написание, распространение и реализация программ, направленных на противоправное влияние на КИИ;–неправомерный доступ к информации в КИИ и, как следствие, причинение ущерба КИИ;–несоблюдение правил использования средств хранения, обработки и передачи информации в КИИ или правил доступа к информации в КИИ и, как следствие, причинение ущерба КИИ;–эти же действия, но совершенные группой лиц по предварительному сговору или в составе организованной группы, либо с использованием своего служебного положения;–эти же действия, если они повлекли тяжкие последствия (то есть ущерб на сумму более 1 млн. рублей), влекут за собой ответственность в виде лишения свободы на срок до десяти лет, что автоматически переводит данное деяние в разряд тяжких преступлений со сроком давности до 10 лет.Эта статья касается как значимых, так и незначимых объектов КИИ. Это правило не различает, к какой категории значимости относился затронутый объект КИИ, а также не различает, был ли он вообще прокатегоризирован. Размер причиненного вреда является оценочной характеристикой и определяется судом. Данные преступления расследуются следственным управлением ФСБ РФ, мера пресечения на период следствия – содержание под стражей в следственном изоляторе.ЗАКЛЮЧЕНИЕПосле 30 марта 2022 года, когда был опубликован Указ Президента Российской Федерации от 30.03.2022 № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации»,отношение к защите критической информационной инфраструктуры в России кардинально изменилось. В настоящее время готовится законопроект о преимущественном использовании отечественного программного обеспечения, аппаратно-программных комплексов, телекоммуникационного оборудования и радиоэлектронной продукции.Российским компаниям, выступающим в качестве субъектов критической информационной инфраструктуры, будет запрещено покупать иностранное программное обеспечение, даже если оно не имеет отечественных аналогов. КИИ – это не проходная тема в информационной безопасности. Это потенциально самая большая тема, по крайней мере, за последние 10 лет. Все субъекты КИИ должны не только выполнить большое количество трудоемких и дорогостоящих мероприятий, но и создать полноценные системы безопасности. Эти системы должны включать в себя части для управления, для технической защиты и так далее. Эти системы необходимо поддерживать, модернизировать и совершенствовать. Все это требует значительных финансовых и трудовых ресурсов, а также компетенций, которые еще предстоит сформировать на рынке.В данной работе были проанализированы нормативные акты Российской Федерации, а также США и стран Европы, даны характеристики критической инфраструктуре и её субъектам, даны рекомендации по защите объектов КИИ.Ведь КИИ – это новая реальность, и как показывает опыт, кто первым встроиться в новые реалии – тому будет проще в дальнейшем.СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВФедеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». - URL: http://www.kremlin.ru/acts/bank/42128(Дата обращения: 20.10.2022).Приказ ФСТЭК России от 06.12.2017 г. №227 «Об утверждении Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации». - URL: https://fstec.ru/normotvorcheskaya/akty/53-prikazy/1587-prikaz-fstek-rossii-ot-6-dekabrya-2017-g-n-227(Дата обращения: 20.10.2022).Постановление Правительства РФ от 08.02. 2018 г. №127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений». - URL: https://base.garant.ru/71876120/(Дата обращения: 20.10.2022).Постановление Правительства РФ от 17.02.2018 №162 «Об утверждении Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации». - URL: http://government.ru/docs/all/115448/(Дата обращения: 20.10.2022).Приказ ФСТЭК России от 21.12.2017 г. №235 «Об утверждении требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования». - URL: http://publication.pravo.gov.ru/Document/View/0001201802220016(Дата обращения: 20.10.2022).Пошаговая инструкция от экспертов по реализации 187-ФЗ. -URL: https://rubezh.ru/gossektor/news/18/11/20/ poshagovaya-instrukcziya-ot-ekspertov-po-realizaczii-187-fz, свободный (Дата обращения: 20.10.2022).The Clinton Administration’s Policy on Critical Infrastructure Protection, Presidential Decision Directive 63 (PDD/NSC 63) Critical Infrastructure Protection - White Paper, Washington. 22 May 1998. - URL: http://fas.org/irp/offdocs/pdd/CIP_ 2001_CongRept.pdf (Датаобращения 03.12.2022).Improving Critical Infrastructure Cybersecurity Executive Order 13636 Preliminary Cybersecurity Framework National Institute of Standards and Technology. - February. - 2014.– 132 р.Framework for Improving Critical Infrastructure Cybersecurity Version 1.1 National Institute of Standards and Technology. – April. 2018. – 241 р.Коварик Я. Критическая инфраструктура и гражданская защита // Конференция Гражданская Защита. – 2007. С.145-153.Communication from the Commission to the Council and the European Parliament - Critical Infrastructure Protection in the fight against terrorism, COM/2004/0702 final, CELEX: 52004DC0702, Commission Of The European Communities, Brussels 20. 10. 2004. - URL: https://eur-lex.europa.eu/legal-content/EN/LSU/?uri=CELEX%3A52004DC0702 (Датаобращения 03.12.2022).Green Paper on a European Programme for Critical Infrastructure Protection. Commission Of The European Communities. Brussels, 17.11.2005, COM/2005/576 final, CELEX:52005DC0576. - URL: https://www.europeansources.info/record/green-paper-on-a-european-programme-for-critical-infrastructure-protection/ (Датаобращения 03.12.2022).Директива 2008/114/СЕ Совета ЕС от 8 декабря 2008 года об идентификации и назначении европейских критических инфраструктур и оценке необходимости улучшения их защиты. - URL: https://base.garant.ru/70333008/ (Дата обращения 03.12.2022).Бабенко А. А. Модель профиля угроз информационной безопасности корпоративной информационной системы // НБИ технологии. - 2018. - Т. 12, № 1. - C. 6-11.Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации (утв. Президентом РФ 03.02.2012 № 803). - URL: https://login.consultant.ru/link/?req=doc&base=LAW&n=150730&demo=1 (Дата обращения 03.12.2022).Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (ред. от 05.12.2022). - URL: http://www.consultant.ru/document/cons_doc_LAW_61798/(Дата обращения 03.12.2022).Приказ ФСТЭК России от 25 декабря 2017 г. №239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации». - URL: https://login.consultant.ru/link/?req=doc&base=LAW&n=362242&demo=1 (Дата обращения 03.12.2022).Приказ ФСТЭК России от 11 февраля 2013 г. №17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в Государственных информационных системах». URL: https://login.consultant.ru/link/?req=doc&base=LAW&n=355893&dst=1000000001&demo=1 (Дата обращения 03.12.2022).Федеральный закон от 26 июля 2017 г. № 194-ФЗ «О внесении изменений в Уголовный Кодекс Российской Федерации и статью 151 Уголовно-Процессуального Кодекса Российской Федерации в связи с принятием Федерального Закона «О безопасности критической информационной инфраструктуры Российской Федерации». URL: http://www.consultant.ru/document/cons_doc_LAW_220891/ (Дата обращения 03.12.2022).