Марченко также напомнил о законодательстве в сфере КИИ – на слайдах более десятка различных нормативных документов, в том числе о проверках субъектов КИИ. в) работники субъекта КИИ, на которых возложены функции обеспечения безопасности (информационной безопасности) объектов критической информационной инфраструктуры. До 1 января 2030 г. субъекты критической информационной инфраструктуры (КИИ) обязаны перевести принадлежащие им значимые объекты на доверенные программно-аппаратные. Также вспомним определение объекта КИИ, приведенное в 187-ФЗ, согласно которому объектами КИИ является некое множество ИС/ИТ/АСУ, принадлежащих субъекту КИИ.
Часть 1. Категорирование объектов КИИ и обязанности субъектов КИИ
- ФСТЭК сообщила об увеличении категории значимости для более чем 40 объектов КИИ в 2023 году
- Информационное сообщение ФСТЭК России от 28 апреля 2023 г. N 240/82/818 - ФСТЭК России
- Обновление подборки законодательства о КИИ на сентябрь 2023
- Импортозамещение ПО для критической информационной инфраструктуры
ЦБ РФ напомнил о категорировании субъектов КИИ
Ответственность возлагается на должностных лиц субъекта КИИ. Министерство цифрового развития, связи и массовых коммуникаций России готовит документ, в соответствии с которым субъекты телевещания признают объектами критической. Согласно данному закону, КИИ – это объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов. нарушить правила обмена информацией об инцидентах (в частности, между субъектами КИИ). Переход субъектов КИИ на российское ПО и оборудование имеет под собой основания, по мнению представителя АРПП. О порядке перехода субъектов КИИ на преимущественное применение доверенных ПАК на принадлежащих им значимых объектах КИИ (ПП РФ 1912).
Импортозамещение ПО для критической информационной инфраструктуры
До 1 января 2030 г. субъекты критической информационной инфраструктуры (КИИ) обязаны перевести принадлежащие им значимые объекты на доверенные программно-аппаратные. Субъекты КИИ, разработчики, производители и ответственные ФОИВ должны работать в едином информационном поле. Кроме того, Приказом вводится возможность привлекать для обеспечения безопасности объектов КИИ специалистов со средним профессиональным образованием в области ИБ. Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом КИИ перечня объектов КИИ. Вывод строя или уничтожение субъектов КИИ подорвет безопасность, экономическую ситуацию, общественное здравоохранение. Основные сферы, в которых могут быть объекты КИИ. Правительство РФ утвердило для субъектов КИИ порядок перехода на использование доверенных ПАК, соответствующих специальным требованиям.
Как и кому необходимо подключаться к ГосСОПКА
- Подходы к внедрению процессов БРПО
- С сентября 2024 субъекты КИИ должны использовать только доверенные ПАК – постановление
- Список субъектов КИИ расширен сферой госрегистрации недвижимости
- ЦБ РФ напомнил о категорировании субъектов КИИ
- Обзор законодательства РФ о критической информационной инфраструктуре
Критическая информационная инфраструктура (КИИ)
У этого глобального тренда в России свое развитие. В этом году проблема защиты информации стала очевидна. Помимо традиционных рисков утечек информации и атак вирусами-шифровальщиками, с которыми и раньше сталкивалось большинство, многие компании стали жертвами т. Кроме того, мы прогнозируем, что начнет работать отложенный спрос.
Даже те компании, которые не обязаны переходить на российское ПО, закладывают бизнес-риски ухода иностранных вендоров. Доверие к ним подорвано, и в комфортном для себя темпе компании будут стремиться импортозаместиться», — комментирует Алексей Парфентьев. Респонденты — более 1000 ИБ-специалистов и ИБ-директоров.
Опрос проводится в период с сентября по ноябрь в рамках ежегодной серии конференций Road Show SearchInform. Подпишитесь на нашу рассылку и получите свод правил информационной безопасности для сотрудников в шуточных стишках-пирожках.
Устранив уязвимость, разработчик в комментариях может сделать пометку с идентификатором тикета. Тем самым будет обеспечена прослеживаемость закрытия выявленных уязвимостей. Информирование о выявленных уязвимостях и компенсирующих мероприятиях конечных пользователей. В качестве примера можно привести сообщения на сайтах крупных разработчиков средств защиты информации. Там публикуются сообщения, в которых дается ссылка на источник скачивания обновлений, указываются идентификаторы уязвимостей, а также даются ссылки на инструкции по устранению уязвимостей и проведению дополнительных мероприятий.
Оповещение конечного пользователя об окончании жизненного цикла ПО. К примеру, в специальном разделе сайта разработчика могут быть организованы специальные «фильтры» по продуктам, которые ведут на страницы с планами по поддержке ПО в ходе жизненного цикла. На рис. Рекомендуем закладывать процессы таким образом, чтобы в дальнейшем расширять их до охвата всех необходимых этапов жизненного цикла. Далее мы рассмотрим проект по внедрению процесса БРПО в соответствии с требованиями регулятора. Когда прикладное ПО разрабатывается силами собственных разработчиков, необходимо внедрить наиболее полный состав процессов безопасности. В случае заказной разработки или использования вендорского ПО необходимо обеспечить наличие всех необходимых свидетельств по процессам безопасности, выстроенным на стороне вендора — производителя ПО, и приобщить их в проектную документацию на ЗО КИИ.
Как правило, типовой проект внедрения процессов безопасной разработки ПО разделяется на пять основных этапов. На первом этапе готовится технико-экономическое обоснование для руководства с верхнеуровневыми финансовыми параметрами проекта, основными этапами работ, основными результатами, которые достигаются в ходе проекта, а также персоналом, который требуется привлечь. На втором этапе проводится аудит текущих бизнес-процессов разработки, формируется целевое состояние процессов разработки, исходя из требований регулятора либо бизнес-потребностей, далее выявляются несоответствия и формируются рекомендации по внедрению организационных и технических мероприятий. На третьем этапе рекомендации ранжируются по степени их реализуемости и сводятся в дорожную карту.
За уклонение от предоставления сведений и нарушение установленных сроков предусмотрена ответственность — от административной ст. Вы относитесь к субъектам КИИ? Помните, что провести категорирование объектов можно и самостоятельно, обучив сотрудников. Но в таком случае есть риск понести значительные финансовые потери из-за ошибок, возникших при категорировании. Разумеется, это все отразится на итоговой стоимости средств защиты информации объектов КИИ. А можно обратиться к нашим специалистам, которые помогут определить, относится ли организация к субъектам КИИ, организуют и проведут полный комплекс мероприятий по категорированию объектов КИИ и обеспечению их безопасности.
Аутсорсинг функций Центра ГосСОПКА Обеспечения безопасности объектов КИИ на примерах компьютерных атак на промышленные объекты Разъяснения по составу сфер деятельности, в которых компьютерные атаки могут провоцировать техногенные аварии, экологические катастрофы, социальные потрясения и наносить серьезный ущерб Система безопасности значимых объектов КИИ: основы построения систем обеспечения безопасности информации Требования к системе безопасности значимых объектов КИИ. Структура процессов по КИИ. Рекомендуемый формат описание Процесса. Соотнесение Процессов и нормативных требований. НДС не облагается Онлайн участие —14 700 руб.
Безопасность критической информационной инфраструктуры
Согласно данному закону, КИИ – это объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов. По таким объектам КИИ установят сроки перехода на российские продукты. в) работники субъекта КИИ, на которых возложены функции обеспечения безопасности (информационной безопасности) объектов критической информационной инфраструктуры. Максимальный срок категорирования не должен превышать 1 года со дня утверждения субъектом КИИ перечня объектов.
Категорирование объектов КИИ
Далее процедура та же, как описано выше. В целях организации перехода субъектов КИИ на преимущественное применение доверенных ПАК на принадлежащих им ЗОКИИ Уполномоченными органами могут привлекаться отраслевые центры компетенций, в том числе созданные на базе организаций, подведомственных Уполномоченным органам, или иные организации в порядке, предусмотренном законодательством РФ. Краткое резюме ПАК, не являющиеся доверенными в контексте данного нормативного правового акта НПА , в том числе средства защиты информации СЗИ , можно приобрести до 01. Приобретение ПАК, не являющихся доверенными, с 01. Функции защиты на уровне идентификации, аутентификации пользователей, управления доступом реализованы во множестве ПАК, не являющихся сертифицированными СЗИ например, коммутатор, программируемый логический контроллер — это как раз те самые встроенные средства защиты, приоритетное использование которых предписывает Приказ ФСТЭК России от 25.
Акцент на соблюдение законодательства о государственной тайне тоже оставляет вопросы.
Президент России Владимир Путин подписал Федеральный закон «О внесении изменения в статью 2 Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации». Федеральный закон принят Государственной Думой 28 июня 2023 года и одобрен Советом Федерации 5 июля 2023 года.
Опубликован 10 июля.
Следует учитывать выбранные компанией коды ОКВЭД и сведения о видах деятельности, указанные в учредительных документах. Эквивалентен ли он новому понятию КИИ? Впрочем, в этом законе КСИИ не упоминаются вовсе. Вопросы определения КСИИ и обеспечения их безопасности регламентировались на уровне подзаконных актов и ведомствен ных документов с ограниченным доступом. Исходя из Указа Президента РФ от 25.
ФСТЭК от 18. ФСТЭК от 19. Таким образом, требования Закона о КИИ применяются ко всем объектам критической информационной инфраструктуры, даже если они соответствуют ранее действовавшим требованиям к КСИИ. Переаттестация законодательством не предусмотрена. И какие категории существуют на сегодняшний день? Наиболее важно определить, какие из них являются так называемыми значимыми объектами КИИ.
И внутренняя оценка рисков из-за этого страдает — нет правильной оценки риска возникновения инцидента, он воспринимается как маловероятный. И это накладывает свой отпечаток. Когда со сцены «SOC-Форума» звучало, что, мол, как же вы, ребята, не выполняете требования закона, не защищаете себя самих — это некорректно.
Самих себя субъекты КИИ как владельцы информации, информационных систем или киберфизических систем как-то защищают, причем, скорее всего, вполне адекватно. Внутренняя модель рисков работает. Поэтому закон именно расширяет охват, заставляет защищать от последствий не столько себя самого, сколько остальных.
Понятно, что если реализовать требования закона и подзаконных актов, более защищенным станет именно объект КИИ — он будет менее подвержен тому спектру угроз, который там прописан. И в том числе повысится внутренняя безопасность предприятия, и в примере выше не надо будет надевать противогазы — резервуар не лопнет от хакерской атаки. Для того чтобы всё это заработало, мало просто порассуждать об этом.
Надо действительно что-то менять. Сейчас в плане обеспечения выполнения требований закона о КИИ у нас есть статья Уголовного кодекса 274. В принципе, она достаточно серьезна — там есть несколько пунктов, часть из них говорит как раз об атаках с внешней стороны: если кто-то зловредный нарушит работу объекта КИИ и это нанесет ущерб, то статья работает, кого-то сажают.
Даже есть судебные прецеденты — несколько месяцев назад на Дальнем Востоке было судебное решение по отношению к группе лиц, которые что-то «нахимичили» с объектом КИИ, им дали условные сроки от 2 до 3 лет. Это — одна из первых правоприменительных практик на этот счет. И есть пункты, которые касаются ответственности за безопасность объекта КИИ в самой организации: если ты не соблюдаешь установленные правила эксплуатации и в результате что-то произошло, то уголовная ответственность тоже должна наступить.
Насколько это эффективно, пока не очень понятно. Если в случае с персональными данными ответственность очевидно может стать финансовой, и ущерб можно компенсировать, то в случае с инцидентами на объекте КИИ сделать это сложнее. Вот есть предприятие, остановилась подача электричества, полгорода сидело во тьме несколько часов.
Как это предприятие должно компенсировать ущерб? Можно предполагать, что какая-то ответственность прописана. Например, если электрические провода обрываются в случае внезапных погодных проблем, то ни о каких компенсациях речи нет — ремонтная бригада просто выезжает и натягивает эти провода.
По-моему, простым гражданам никаких компенсаций в таком случае не положено — люди просто сидят без света и ждут, когда всё починят. Следует ли отдавать это на откуп хозяйствующим субъектам, или государству тоже нужно брать бразды в свои руки? Если страдают другие юридические организации, тоже достаточно крупные, у нас культура в области кибербезопасности меняется и, возможно, в договорах между генераторами и потребителями электроэнергии могут появиться пункты про компенсации.
Но у нас же есть физлица, у которых отключение электричества — это самый простой вариант. А если химическое облако полетело — это вред здоровью. Есть и другие последствия.
Если это — крупное предприятие, и оно обеспечивает определенный процент поступлений средств в местный бюджет, то у него возникнут проблемы с производством, упадет прибыль, оно меньше заплатит налогов. Это — один из рисков, которые рассматриваются в рамках 187-ФЗ. Ты уже пострадал, а тут приходит налоговая инспекция и говорит: «Прибыль у вас упала, вы недоплатили налогов, потому что плохо защищали.
К такому механизму возникает много вопросов. А есть еще моменты, связанные с нарушением обороноспособности. Приходит Минобороны и говорит: «Родина в опасности, потому что вы плохо защищали объект КИИ и сорвали гособоронзаказ.
Как вы будете это компенсировать? С другой — инциденты возникают нечасто, что позволит воспринимать их как некий форс-мажор. Возможно, стоит прописывать это в договорах наряду с другими вариантами прерывания получения услуги.
И если всё-таки ядовитое облако накрывает город, то это — серьезная ситуация: здесь возможен коллективный иск в сторону предприятия, что оно должно компенсировать потерю здоровья, лечение достаточно большой группе людей. И, наверное, этот механизм может быть работающим. Встает вопрос о верификации инцидентов.
У нас информацию об инцидентах почти никто не публикует. Передавать ее надо, но обязанности такой нет. Как в ряде случаев определить, что это было — кибератака или какой-то сбой оборудования?
Это же — разная ответственность. Но здесь удивляет позиция правоохранительных органов. Если есть явная информация, что скорее всего совершено преступление, украдены персональные данные из какого-то конкретного банка — надо провести проверку.
Есть экспертные организации, которые расследуют, — надо это сделать с их помощью. Я допускаю, что есть ситуации, в которых достоверно не разберешься. Но большинство крупных прецедентов, связанных с массовыми утечками данных, не так часто происходит, они все — на слуху.
И важно, чтобы эта функция со стороны правоохранительных органов появилась и работала — надо разбираться, приезжать в банк, проверять ритейлеров, всех «протрясти». Важно двигаться вперед.
Обновлены проекты о переводе субъектов КИИ на отечественный софт
N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" и Положением о Федеральной службе по техническому и экспортному контролю, утвержденным Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, ФСТЭК России осуществляет рассмотрение представляемых субъектами критической информационной инфраструктуры далее — КИИ перечней объектов КИИ, подлежащих категорированию далее — перечень , а также сведений о присвоении объектам КИИ одной из категорий значимости либо неприсвоения им одной из таких категорий далее — сведения.
В перечень предприятий, которые собираются обязать выполнять требования, включены наименее важные объекты третьей категории и объекты без присвоенной категории. Не только те, от которых зависит информационная безопасность и обороноспособность страны. Шохин приводит в пример частные банки, поликлиники, мобильных операторов, операторов по продаже билетов. По мнению главы РСПП, на российском рынке мало ПО и оборудования, которые могут заменить импортные аналоги, "только 49 из 3827 позиций перечня российской радиоэлектронной продукции "теоретически" могут быть использованы на производстве, указывает он, ссылаясь на анализ, проведенный представителями промышленности", говорится в статье.
Бизнес опасается того, что требования будут ужесточены в процессе внедрения. То есть получается, что мы можем доказать необходимость использования иностранного ПО и оборудования на наших предприятий, но регулятор в любой момент введет дополнительные требования", — ответили в РСПП по запросу ТАСС. Что отвечают IT-компании Разработчики, то есть те компании, которые должны осуществить импортозамещение на объектах КИИ, не согласны с позицией РСПП и предприятий, выступающих против готовящихся требований. Кроме того, приведенный показатель в пять раз превышает весь рынок ПО и в 10 раз превышает IT-бюджет крупнейшего российского банка чистая прибыль "Сбера" — 760 млрд рублей , — говорит Дмитрий Комиссаров.
Субъекты КИИ и запятая Ещё раз посмотрим на формулировку в статье 2 187-ФЗ: «8 субъекты критической информационной инфраструктуры - государственные органы, государственные учреждения, российские юридические лица и или индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и или индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей». Вот если бы перед запятой был союз «и», тогда слово «функционирующие» относилось бы к юрлицам и т. Для этого не надо быть филологом. Учёт и контроль - кого или чего? А как в НПА? Если мы откроем зарегистрированные в Минюсте приказы ФСТЭК России, регулирующие вопросы учёта направления сведений , ведения реестра , то увидим, что там учитывается сфера деятельности именно объекта КИИ, а не субъекта, в нумерации объектов предусмотрена ситуация: «В случае если значимый объект критической информационной инфраструктуры функционирует в нескольких сферах областях деятельности или расположен на территории нескольких федеральных округов, второй и третьей группам цифр присваивается обозначение сферы области деятельности или территории, указанные субъектом критической информационной инфраструктуры первыми. Обозначение других сфер областей деятельности, в которых функционирует значимый объект критической информационной инфраструктуры, или территорий федеральных округов, на которых он располагается, вносится в графу Реестра, содержащую дополнительные сведения о значимом объекте критической информационной инфраструктуры ». Водоканал - субъект КИИ? Когда-то наблюдал дискуссию по отнесению или неотнесению предприятий системы «Водоканал» к субъектам КИИ.
Такие документы называются отраслевыми. Итак, после утверждения отраслевого плана уполномоченные органы в течение 20 рабочих суток направляют готовый вариант организации, работающей с субъектом КИИ. В нем организация обязана указать ряд сведений: общие данные о субъекте КИИ; список значимых субъектов КИИ, принадлежащих этому субъекту, данные о котором есть в спецреестре; данные об эксплуатируемом ПАК; плановые и фактические доли доверенных ПАК, которые использует субъект КИИ; прогнозируемый объем расходов субъекта КИИ по реализации плана перехода. После того, как сведения поступят в госорган, представители последнего в течение месяца его рассмотрят и решат вносить ли его в список аналогичных планов. Если вердикт будет положительным, то уполномоченные органы оповестят компанию о нем в течение 5 рабочих дней, а дальше будут вести специальный отчет. По стандарту план перехода утверждает руководитель субъекта КИИ, а затем в течение последующих 10 дней отправляет в уполномоченные органы, соблюдая требования законодательства в отношении гостайны.
Неделя HR в Казани
- Постановление Правительства PФ от 14 ноября 2023 г. № 1912 | Новости RTM Group
- Повышенная ответственность
- Обзор законодательства РФ о критической информационной инфраструктуре
- Кабмин будет определять типы информсистем для их отнесения к важным объектам КИИ
Владельцы социально значимых объектов КИИ будут использовать ПАК
Итак, мы с вами разобрались, что такое КИИ и кого мы можем называть субъектом критической информационной инфраструктурой. Согласно документу, к субъектам критической информационной инфраструктуры (КИИ) теперь будут отнесены лица, которым на праве собственности, аренды или на ином законном. Права и обязанности субъектов КИИ, реестр значимых объектов (ЗО) КИИ, надзорная деятельность регулятора.
Субъект КИИ: два подхода к определению статуса
Например, разрешено не пользоваться программой, приобретенной до этой даты, или если у этого ПАК нет аналогов из списка доверенных. Правила перехода субъектов КИИ к эксплуатации ПАК Чтобы перейти на преимущественное использование программно-аппаратных комплексов, необходимо следовать специальному плану перехода. При этом госорганы требуют индивидуального подхода к составлению в зависимости от сферы деятельности компании. Такие документы называются отраслевыми. Итак, после утверждения отраслевого плана уполномоченные органы в течение 20 рабочих суток направляют готовый вариант организации, работающей с субъектом КИИ. В нем организация обязана указать ряд сведений: общие данные о субъекте КИИ; список значимых субъектов КИИ, принадлежащих этому субъекту, данные о котором есть в спецреестре; данные об эксплуатируемом ПАК; плановые и фактические доли доверенных ПАК, которые использует субъект КИИ; прогнозируемый объем расходов субъекта КИИ по реализации плана перехода.
Также важно не забыть про вспомогательные процессы, нарушение которых может привести к проблемам в КИИ. Например, мониторинг и управление критическими процессами или управление телеком сетями в этот список также попадают». По требованиям Постановления, заниматься этой работой должна постоянно действующая комиссия, куда обязаны входить все ответственные лица: от руководителя субъекта КИИ до работников структурных подразделений по защите от ЧС. Определив объекты КИИ, можно переходить непосредственно к категорированию. Финансовым организациям в этом списке следует обратить внимание на III раздел «Экономическая значимость».
Хотя в тексте есть детали, которые особенно важно не пропустить. Например, в п.
Положение утверждает перечень должностных лиц, уполномоченных на осуществление контрольных мероприятий, объекты контроля и порядок его проведения. Согласно Положению, на сайте Минцифры России будет вестись учет объектов контроля в виде постоянно обновляемого реестра.
При осуществлении государственного контроля применяется уже известная система оценки и управления рисками причинения вреда охраняемым законом ценностям. Минцифры России при планировании контрольных мероприятий оценивает объекты контроля по трем уровням риска в соответствии с приложением к Положению: высокий — проверка 1 раз в 2 года; средний — 1 раз в 2,5 года; низкий — не установлена периодичность. При проведении контрольных мероприятий допускается фото-, видеосъемка, аудиозапись для фиксации свидетельств выявленных нарушений при этом требуется фиксировать факт нарушения не менее чем 2 снимками. Указанные материалы являются приложением к Акту о результатах контрольного надзорного мероприятия.
Положение вступает в силу с 1 июня 2023 года. Аккредитация владельцев и операторов Официально опубликовано постановление Правительства Российской Федерации от 28. Постановлением утверждены требования к владельцам и операторам информационных систем, обеспечивающих аутентификацию физических лиц. Требования включают в том числе: необходимость владения шифровальными средствами и лицензии на деятельность по разработке, производству, распространению шифровальных криптографических средств последнее актуально для операторов ; наличие в штате не менее 2 работников, осуществляющих эксплуатацию указанных информационных систем; обязательное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации ГосСОПКА ; использование для аутентификации программного обеспечения, входящего в единый реестр российского программного обеспечения ; использование для обработки биометрических ПДн векторов ЕБС, находящихся только на территории Российской Федерации; для операторов — обязательность выполнения требований по обеспечению безопасности информации в соответствии с ч.
Постановление также утверждает Правила осуществления аккредитации для владельцев и операторов информационных систем, обеспечивающих аутентификацию физических лиц. Согласно Правилам, аккредитация проводится Минцифры России. Правила включают порядок подачи и рассмотрения заявления на аккредитацию, содержание такого заявления, сроки мероприятий в рамках получения аккредитации, основания для приостановления и прекращения действия аккредитации, внесения изменений в перечень аккредитованных органов, а также порядок обжалования полученных решений. Постановление вступает в силу с 1 июня 2023 года и действует до 1 июня 2029 года.
Электронные документы, удостоверяющие личность Для общественного обсуждения представлен проект Указа Президента Российской Федерации «О предъявлении документов с использованием информационных технологий». Общественное обсуждение проекта завершилось 27 апреля, по итогам обсуждения опубликована версия, доработанная в соответствии с поступившими предложениями. Согласно проекту, предъявление сведений из документов, удостоверяющих личность, размещенных в мобильном приложении федеральной государственной информационной системы «Единый портал государственных и муниципальных услуг» Госуслуги будет приравниваться к предъявлению оригинала таких документов. Использование мобильного приложения для указанных целей осуществляется гражданами добровольно.
Согласно проекту, Президент РФ постановляет Правительству РФ определить порядок и условия применения мобильного приложения, а также состав и порядок обработки и защиты предъявляемых сведений.
Если речь — про отпечаток пальца, то придется пользоваться не привычным, а остальными. И это — тоже некое неудобство, которое можно также просчитать. Такая схема касается персональных данных, там ситуация является классической в смысле триады «конфиденциальность, целостность, доступность». Когда мы говорим о следующем объекте регулирования — критической информационной инфраструктуре, — там эта триада уже эффективно не работает. Там мы говорим о безопасности киберфизических систем, там о конфиденциальности этих данных мало кто беспокоится, всех волнует то, чтобы резервуар с какими-то химикатами не лопнул из-за избыточного давления и ядовитое облако не накрыло город.
Тут ситуация несколько меняется: это — риски не ИБ, не нарушения конфиденциальности, и нет процесса передачи информации какому-то оператору, как в случае с персональными данными. Есть много сторон, заинтересованных в том, чтобы эти последствия не наступили: чтобы отопление продолжало поступать в дома, чтобы работало электричество и никого не накрывало ядовитыми облаками. Но схема — примерно та же самая: те риски, которые видит для себя промышленное предприятие, химпредприятие, медицинское учреждение, транспортное, и те риски, которые могут возникнуть вне самого предприятия, но из-за проблем у них — разные. И мы можем предполагать, что эту внутреннюю оценку рисков предприятия для себя сделали. Но последствия для других они точно при этой оценке не рассматривали. На SOC-Форуме Виталий Лютиков в одном из вопросов очень эмоционально сказал, что сообщество информационной безопасности оказалось не готово работать с внешней моделью рисков, которая заложена в 187-ФЗ.
Все эти риски, на его взгляд, оказались непонятными. Потому что все «крутились» внутри. Если у тебя что-то происходит — простой производства, взорвался резервуар с химикатами, еще что-либо, — то, наверное, ты можешь посчитать, сколько на территории твоего предприятия займет нейтрализация последствий. Может, вообще ничего не потребуется и облако просто унесет на город, само предприятие никак не пострадает: все противогазы надели, полчаса посидели и сняли. Единственное, что есть — это поврежденный резервуар; вероятность того, что это случится из-за каких-то киберпроблем, крайне низка. Поэтому защитные мероприятия — не очень то и серьезные.
Но облако пошло в сторону города, его накрыло, и будем надеяться, что никто не умер. И этот риск — это не полчаса посидеть в противогазе. До принятия закона его никто не оценивал. Сейчас «нормативка» по ФЗ-187 расширяет и формализует имеющуюся оценку рисков. Если кто-то делал оценку рисков умозрительно, ему это непривычно. Если как-то пытался формализовать — с калькулятором, Excel или еще чем-то, — то ему всё равно непривычно, потому что он оценивал внутренние риски для своей организации.
А об экологии, жизни и здоровье граждан никто не заботился. Но и ждать от организаций, что они сами будут расширять оценку рисков, было бы странно. Особенность защиты технологических сетей состоит в том, что инцидентов не очень много — публичными являются всего несколько в год по всему миру. И внутренняя оценка рисков из-за этого страдает — нет правильной оценки риска возникновения инцидента, он воспринимается как маловероятный. И это накладывает свой отпечаток. Когда со сцены «SOC-Форума» звучало, что, мол, как же вы, ребята, не выполняете требования закона, не защищаете себя самих — это некорректно.
Самих себя субъекты КИИ как владельцы информации, информационных систем или киберфизических систем как-то защищают, причем, скорее всего, вполне адекватно. Внутренняя модель рисков работает. Поэтому закон именно расширяет охват, заставляет защищать от последствий не столько себя самого, сколько остальных. Понятно, что если реализовать требования закона и подзаконных актов, более защищенным станет именно объект КИИ — он будет менее подвержен тому спектру угроз, который там прописан. И в том числе повысится внутренняя безопасность предприятия, и в примере выше не надо будет надевать противогазы — резервуар не лопнет от хакерской атаки. Для того чтобы всё это заработало, мало просто порассуждать об этом.
Надо действительно что-то менять. Сейчас в плане обеспечения выполнения требований закона о КИИ у нас есть статья Уголовного кодекса 274. В принципе, она достаточно серьезна — там есть несколько пунктов, часть из них говорит как раз об атаках с внешней стороны: если кто-то зловредный нарушит работу объекта КИИ и это нанесет ущерб, то статья работает, кого-то сажают. Даже есть судебные прецеденты — несколько месяцев назад на Дальнем Востоке было судебное решение по отношению к группе лиц, которые что-то «нахимичили» с объектом КИИ, им дали условные сроки от 2 до 3 лет. Это — одна из первых правоприменительных практик на этот счет. И есть пункты, которые касаются ответственности за безопасность объекта КИИ в самой организации: если ты не соблюдаешь установленные правила эксплуатации и в результате что-то произошло, то уголовная ответственность тоже должна наступить.
Насколько это эффективно, пока не очень понятно. Если в случае с персональными данными ответственность очевидно может стать финансовой, и ущерб можно компенсировать, то в случае с инцидентами на объекте КИИ сделать это сложнее. Вот есть предприятие, остановилась подача электричества, полгорода сидело во тьме несколько часов. Как это предприятие должно компенсировать ущерб? Можно предполагать, что какая-то ответственность прописана. Например, если электрические провода обрываются в случае внезапных погодных проблем, то ни о каких компенсациях речи нет — ремонтная бригада просто выезжает и натягивает эти провода.
По-моему, простым гражданам никаких компенсаций в таком случае не положено — люди просто сидят без света и ждут, когда всё починят. Следует ли отдавать это на откуп хозяйствующим субъектам, или государству тоже нужно брать бразды в свои руки? Если страдают другие юридические организации, тоже достаточно крупные, у нас культура в области кибербезопасности меняется и, возможно, в договорах между генераторами и потребителями электроэнергии могут появиться пункты про компенсации.