УДК 004.056

Анализ основных нормативных документов по обеспечению безопасности критической информационной инфраструктуры Российской Федерации

Перминова Яна Александровна – магистрант Санкт-Петербургского государственного университета телекоммуникаций им. проф. М.А. Бонч-Бруевича.

Урсегов Андрей Константинович – магистрант Санкт-Петербургского государственного университета телекоммуникаций им. проф. М.А. Бонч-Бруевича.

Аннотация: В данной статье рассмотрены основные нормативные документы, которые регламентируют принципы организации информационной безопасности критической информационной инфраструктуры. Представлены государственные организации и основные системы, созданные для обеспечения мониторинга и безопасности подобных объектов. Описан новый нормативный документ о дополнительных мерах организации информационной безопасности на КИИ, который потребовался в связи с крупными кибератаками и потребности в отечественном аппаратном и программном обеспечении в 2022 году.

Ключевые слова: критическая информационная инфраструктура, информационная безопасность, функциональная устойчивость, кибератаки.

В современном мире наиболее ценным ресурсом является информация. Ежедневно ею обмениваются, узнают, продают, покупают или получают незаконными методами. Бурное развитие технологий поспособствовало тому, что информация становится более доступной из-за чего остро стоит вопрос в защите той информации, которая может привести к убыткам человека, организации или государства.

Но целью злоумышленников может стать не только ценная информация. На производстве важно также обеспечить бесперебойность технологического процесса, нарушение которого может привести не только к финансовым убыткам и снижению доверия населения, но и увеличит риск возникновения техногенной аварии.

Именно поэтому на текущий момент наиболее актуальным направлением для обсуждения является защита критических информационных инфраструктур (далее – КИИ). Именно на объекты КИИ (далее – ОКИИ) осуществляется наибольший процент кибератак, число которых с каждым годом только растет: за 2021 год их количество составляло более 90% [1]. Официальный взгляд на защиту КИИ, а именно обеспечение устойчивого функционирования и повышения ее защищенности, отражен в Доктрине информационной безопасности РФ [2]. Утверждение Доктрины послужило началом масштабного развития правовой базы в данном направлении.

Сперва был утвержден Федеральный закон от 26.07.2017 № 187 ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», который является основным регулирующим документом в рамках обеспечения безопасности КИИ [3], в котором однозначно определен понятийный аппарат в данной области, утверждены правовые отношения между органами исполнительной власти и субъектов КИИ. Кроме этого, закон закрепляет требования по категорированию ОКИИ и присвоению категории значимости на основе социальных, политических, экономических, экологический и оборонно-промышленных критериев значимости (далее – КЗ).

Под КИИ понимается ОКИИ, сети электросвязи, используемые для организации взаимодействия таких объектов. ОКИИ считаются информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов КИИ. К субъектам КИИ относятся государственные учреждения и органы власти, юридические лица и индивидуальные предприниматели, которые владеют ОКИИ.

Стоит обратить внимание, что субъект КИИ должен вести деятельность в одной из перечисленных отраслей: здравоохранение, наука, транспорт, связь, энергетика, банковская сфера или иные финансовые сферы, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

Федеральный закон № 187 также утвердил требования по созданию государственной системы обнаружения и ликвидации компьютерных атак на информационные ресурсы РФ (далее – ГосСОПКА) и Национального координационного центра по компьютерным инцидентам (далее – НКЦКИ) с целью не только централизованного противодействия кибератакам, но и ликвидации их последствий на ОКИИ. ГосСОПКА – территориально распределенный комплекс, который подключается к НКЦКИ для осуществления обмена информацией о кибератаках. Субъект КИИ должен в обязательном порядке производить подключение ОКИИ к ГосСОПКА.

Обязанности НКЦКИ закреплены приказом ФСБ РФ № 366 о НКЦКИ [4]. Кроме принятия мер в случае выявления инцидентов, непосредственное участие в ликвидации, НКЦКИ также должен осуществлять своевременное информирование субъектов КИИ о возникших атака, способах их обнаружения и устранения с целью предупреждения угроз.

Порядок проведения категорирования КИИ и перечень показателей КЗ устанавливается Постановлением Правительства РФ № 127 о правилах категорирования [5]. Для осуществления процедуры категорирования на субъекте КИИ организуется внутренняя комиссия и утверждается перечень ОКИИ. Стоит обратить внимание, что мероприятия по категорированию не должны превышать один год со дня утверждения перечня. Помимо анализа возможных угроз на ОКИИ, комиссия производит оценку объекта для определения категории значимости. Оценка производится в соответствии с перечнем показателей КЗ, описывающим статистические данные последствий в том случае, если значения параметров объекта частично отклонены от установленной нормы или объект полностью выведен из строя. После проведенного анализа выносится решение по присвоении категории ОКИИ: может быть присвоена одна из трех категорий значимости (первая категория считается высшей) или категория отсутствует. В последнем случае данный вариант возможен, если оцененные показатели не совпадают с перечнем, но объект закрепляет за собой значимость как ОКИИ. Полученные данные и результат анализа подписываются и в течении 10 дней после подписания направляются в ФСТЭК для подтверждения корректности анализа.

Данные нормативные документы определяют основы обеспечения безопасности на КИИ. Но даже они подвергаются критики, в особенности Постановление Правительства РФ № 127. Связано это с тем, что процесс категорирование ведет именно субъект КИИ из-за чего может происходить намеренное занижение результатов с целью присвоения как можно более низкой категории значимости ОКИИ. Это также было подтверждено ФСТЭК по итогу проверок в 2021 году [6] и было отмечено, что некоторые организации могут не производить категорирования некоторых ОКИИ из-за незнания. Также на основании проверок был сделан вывод о нехватке подготовленных специалистов в области информационной безопасности (далее – ИБ).

События 2022 года оказали сильное влияние на подход к безопасности КИИ. За последний год в связи с политической обстановкой в стране множество иностранных компаний, занимающихся обеспечением ИБ, прекратили свою деятельность на территории Российской Федерации [7]. Нестабильная политическая обстановка и отказ в поддержке оборудования и программного обеспечения со стороны зарубежных компаний повлекли за собой еще большую волну атак со стороны злоумышленников.

Так, например, одной из пострадавших организаций стал ПАО «Сбербанк» [8-9], являющийся субъектом КИИ, так как относится к банковской сфере. К марту 2022 года атаки на банк типа «отказ в обслуживании» могли достигать до 46 инцидентов в неделю, что на 46% выше по сравнению с январем. Впоследствии также было обнародовано, что за первое полугодие были украдены данные не менее 13 млн банковских карт клиентов. Ущерб от данного инцидента был оценен не менее чем в 4,5 млрд рублей.

Помимо Сбербанка 6 декабря 2022 года ВТБ подвергся крупнейшей и широкомасштабной DDoS-атаке за все время его существования. В ходе кибератаки, нацеленной на нарушение работоспособности различных веб-сервисов компании, практически полностью приостановились все финансовые операции. Пользователи не могли оплатить штрафы, перевести денежные средства и тому подобное [10].

Также значительное увеличение инцидентов по ИБ пришлось на государственные учреждения. По сравнению с 2021 годом, произошло увеличение кибератак в 2-3 раза, а утечка данных участилась примерно в 1,5-2 раза [11].

На основании уже известных проблем и с целью предупреждения возникновения инцидентов, остро потребовалась срочная модернизация решений. В связи с этим был подписан Указ Президента Российской Федерации: № 166 от 30.03.2022 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации» [12]. Теперь запрещена закупка иностранного оборудования и ПО на КИИ без согласования с ФСТЭК и до 1 января 2025 года субъекты КИИ должны произвести полный переход на отечественное ПО.

Данные требования очевидны и необходимы в текущей ситуации, но они также обнажили ряд проблем. Для поддержания прежнего качества системы безопасности потребуется полный аудит текущего оборудования и ПО, используемого на КИИ, а также анализ решений, представленных на рынке. В процессе анализа может выясниться, что необходимое альтернативное решение требует доработки или создания из-за чего переход на отечественное ПО может задержаться.

Учитывая рассмотренные выше нормативные документы в области защиты КИИ и обеспечения его бесперебойного функционирования можно сделать вывод, что правовая база требуется совершенствования, в особенности по части ужесточения контроля в области категорирования КИИ. Кроме этого, можно предположить, что полный переход на отечественное ПО до 1 января 2022 года может быть невыполнимой задачей для некоторых организаций. Это также связано с нехваткой квалифицированных кадров в данной области.

Список литературы

1. Отчет об атаках и инструментарии профессиональных кибергруппировок в 2021 году [Электронный ресурс] // Ростелеком-Солар. URL: https://rt-solar.ru/analytics/reports/2270/ (дата обращения: 10.06.2023).
2. Об утверждении Доктрины информационной безопасности Российской Федерации: Указ Президента Российской Федерации от 05 декабря 2016 г. № 646 // Техэксперт : [сайт]. - URL: https://docs.cntd.ru/document/420384668 (дата обращения: 10.06.2023).
3. О безопасности критической информационной инфраструктуры Российской Федерации: федер. Закон Рос. Федерации от 26 июля 2017 г. № 187-ФЗ: принят Государственной Думой 12 июля 2017г.: одобр. Советом Федерации 19 июля 2017г. // Техэксперт : [сайт]. - URL: https://docs.cntd.ru/document/ 436752114 (дата обращения: 11.06.2023).
4. О Национальном координационном центре по компьютерным инцидентам: Приказ Федеральной службы безопасности Российской федерации от 24 июля 2018г. № 366 // Техэксперт : [сайт]. - URL: https://docs.cntd.ru/document/ 551068602 (дата обращения: 12.06.2023).
5. Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры РФ и их значений: Постановление Правительства Российской Федерации от 8 февраля 2018г. № 127 // Техэксперт: [сайт]. - URL: https://docs.cntd.ru/document/ 556499040 (дата обращения: 12.06.2023).
6. Проверки ФСТЭК выявили нехватку сотрудников, отвечающих за безопасность [Электронный ресурс] // BIS Journal. URL:https://ib-bank.ru/bisjournal/news/16643 (дата обращения:06.2023).
7. Информационная безопасность (рынок России) [Электронный ресурс] // TAdviser. URL: https://www.tadviser.ru/ (дата обращения: 11.06.2023).
8. Руководитель кибербезопасности Сбербанка рассказал о DDoS-атаках небывалой мощности и новых тактиках киберпреступников [Электронный ресурс] // СберБанк. URL: https://www.sberbank.com/ru (дата обращения: 11.06.2023).
9. Утечки данных в России [Электронный ресурс] // TAdviser. URL: https://www.tadviser.ru/ (дата обращения: 11.06.2023).
10. ВТБ подвергся «беспрецедентной кибератаке» [Электронный ресурс] // РБК. URL: https://www.rbc.ru/ (дата обращения: 12.06.2023).
11. Хакеры атаковали госорганы в 3 раза чаще в 2022 году [Электронный ресурс] // Ведомости. URL: https://www.vedomosti.ru (дата обращения:06.2023).
12. О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации: Указ Президента Российской Федерации от 30 марта 2022 № 166. // Техэксперт : [сайт]. - URL: https://docs.cntd.ru/document/350112617 (дата обращения: 13.06.2023).