ГосСопка, ФСТЭК, НКЦКИ: все что нужно знать об оснащении КИИ. Часть 3

Что такое ФСТЭК?

Федеральная служба по техническому и экспортному контролю (ФСТЭК) отвечает за ведение реестра значимых объектов КИИ, формирование и государственный контроль реализации требований по обеспечению безопасности информационных систем. Порядок госконтроля в области обеспечения безопасности значимых объектов КИИ определен соответствующим постановлением Правительства Российской Федерации от 17.02.2018 №162.

Сам такой госконтроль с выездом на значимые объекты КИИ ФСТЭК России проводит с 2021-го года, включая плановые и внеплановые проверки – а значит, готовыми надо быть в любой момент времени, если нет желания обрасти букетом штрафов. Проще говоря, ФСТЭК является органом исполнительной власти, уполномоченным в области обеспечения безопасности КИИ.

Однако, если с назначением ФСТЭК проблем понимания нет, то вот с их требованиями, как правило, ситуация менее радужная. Дело в том, что минимальный набор наложенных средств защиты для соответствия требованиям приказа ФСТЭК №239 будет варьироваться от компании к компании, просчет всегда будет индивидуальным и общую рекомендацию дать невозможно, что затрудняет переход организаций на правильное ИБ-оснащение. Однако, ФСТЭК ведет специальные реестры, особый интерес среди которых представляет государственный реестр сертифицированных средств защиты информации, который помогает подобрать подходящее оснащение из одобренного государством. Именно поэтому некоторое отечественное оборудование или программное обеспечение может стоить дороже аналогов – оно заточено на максимальную защиту и строгое соблюдение всех требований инфобезопасности.

Трудность подбора реестровой техники и, следовательно, беспроблемного прохождения проверок ФСТЭК в будущем – разрозненность технологических процессов и стандартов производителей, выливающиеся в проблемы оптимизации оборудования между собой. Адекватно «подружить» решения из реестра с имеющейся инфраструктурой предприятия не всегда под силам даже специалистам, не говоря уже о самостоятельном внедрении. В общем, до тех пор, пока законодательная база не наберет достаточно практических примеров для каждой отрасли, полагаться стоит рекомендации производителей и интеграторов, доверяя внедрение тем, кто может провести десятки тестов за вас, прежде чем предложить какое-то решение.

Ознакомившись с тем, как работают основные элементы государственной системы защиты от атак на критическую инфраструктуру, в заключение цикла статей коснемся и связанного принуждающего фактора - штрафов и наказаний.

 

Что с актуальной нормативной базой?

В пополнение к уже имеющимся нормам о защите информации и киберпреступлениях в законах есть особые составы, относящиеся только к КИИ. Это можно считать нововведением, но в остальном все не сильно изменилось за последние пару лет.

Уголовная (статьи 272–274 УК РФ) и административная ответственность, помимо общих норм, связанных с наказанием за совершение киберпреступлений и правонарушений в сфере защиты информации (статьи 13.11, 13.12, 13.13, 13.14, 13.14.1, 19.7 КоАП РФ), все еще остается актуальной. Дела по ним заводят, составы квалифицируют, однако теперь куда активнее. Вдобавок, недавний Указ Президента Российской Федерации от 01.05.2022 № 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации" обязывает до 2025 года в обязательном порядке подогнать инфобезопасность на предприятиях под требования закона, не пугая статьями УК РФ, но обещая существенные штрафы от ФСТЭК, готовых наведаться с проверками.

Если раньше речь шла о добровольно-принудительном переходе к «правильной ИБ-защите», то сейчас от добровольности окончательно отказались, остановившись на методе административного принуждения. Связано это, в первую очередь, с неторопливыми темпами перехода субъектов КИИ, а также с обострившейся внешнеполитической обстановкой. Если изначально сроки окончательного перехода были обозначены 2023 годом, то сейчас они сдвинулись на 2025, и, чтобы все участники точно отнеслись серьезно к процессу, введены достаточно жесткие меры с внушительными штрафами.

Здесь имеет смысл упомянуть, что далеко не все упирается в нежелание субъектов кооперироваться с госорганами: в массе своей, они встречают вполне объективные препоны на своем пути. К примеру, реестр технических средств ГосСОПКА, рекомендованных НКЦКИ, так и не появился, тональность докладов ФСТЭК по проблематике разработки/производства отечественных СрЗИ не меняется, Минцифры/Минпромторг не может реализовать требования по импортозамещению для КИИ из-за недостаточности технологий и техники для импортозамещения. Да и постоянное изменение действующей базы нормативно-правовых актов (НПА) и появление все новых проектов НПА, не имеющих прямого отношения к обеспечению безопасности КИИ от компьютерных атак, серьезно демотивирует субъектов КИИ. При этом, вносимые изменения не направлены на решение проблем субъекта КИИ, а только создают дополнительную "бумажную" нагрузку.

Если посмотреть на последние изменения в порядок категорирования (ПП127), порядок ведения Реестра ЗОКИИ (227 приказ ФСТЭК), порядок реагирования на КА/КИ (приказ 282 ФСБ), то увидим полное отсутствие процедур и механизмов реализации требований. Зато количество переписки между субъектом КИИ и регуляторами увеличивается в разы. Между тем, несмотря на неясности и назревшие проблемы в законодательном регулировании, выполнять требования все же необходимо, и быстро – до 2025 года времени хватает «впритык» чтобы перевестись на нужное ПО, реестровую технику и оснаститься должной защитой.

 

Что будет, если не начать оперативно подстраиваться под требования закона?

Вариантов последствий всего два - наказание административное и уголовное.

«Административка» у нас определяется рядом статей КоАП РФ, причем, что характерно, штрафы там больше, чем за нарушение в области защиты гостайны.

Федеральным законом от 26 мая 2021 г. № 141-ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях" были введены два специальных состава административных правонарушений, касающихся субъектов КИИ:

• ст. 13.12.1. "Нарушение требований в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации";
• ст. 19.7.15. "Непредставление сведений, предусмотренных законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации".

Если ч. 6 ст. 13.12 КоАП РФ предусматривает ответственность за нарушение любых требований о защите информации, то ст. 13.12.1 КоАП РФ – только за требования, предусмотренные в приказах ФСТЭК России от 21.12.2017 № 235 и от 25.12.2017 № 239 и приказах ФСБ России от 24.07.2018 № 368 и от 19.06.2019 № 282. Соответственно, максимальный размер штрафа для юридических лиц по ч. 6 ст. 13.12 КоАП РФ составляет 50 тыс. руб., а по ч. 1 ст. 13.12.1 КоАП РФ – 150 тыс. руб. (минимальный – 50 тыс. руб.).

При этом с толкованием ст. 19.7.15 КоАП РФ есть определенные сложности. Так, ч. 1 ст. 19.7.15 КоАП РФ предусматривает ответственность за два вида бездействия:

• непредоставление во ФСТЭК России сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости ее присвоения, предусмотренных законодательством, то есть субъект КИИ утвердил и направил во ФСТЭК России перечень объектов КИИ, подлежащих категорированию, но не завершил категорирование в максимально установленный срок (один год) либо завершил категорирование, но "забыл" отправить сведения;
• нарушение сроков предоставления во ФСТЭК России сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости ее присвоения, предусмотренных законодательством, то есть субъект КИИ категорировался, но своевременно сведения во ФТЭК России не предоставил, а предоставил их уже по истечении установленного законодательством срока (10 рабочих дней со дня утверждения акта категорирования или утверждения требований к создаваемому объекту КИИ).

Как видно, в ч. 1 ст. 19.7.15 КоАП РФ отсутствует характерная для общего состава ответственность за действия – предоставление неполных или неверных сведений. Часть 2 ст. 19.7.15 также не менее интересна. Объективная сторона правонарушения выражается в непредоставлении или нарушении сроков и порядка предоставления информации, описанных в перечне информации, предоставляемой в ГосСОПКА, и порядке ее предоставления. Таким образом, ответственность за совершение правонарушения, предусмотренного в ч. 2 ст. 19.7.15 КоАП РФ, несут:

• должностные лица ФСТЭК России – п. 1–4 перечня информации;
• субъекты КИИ, в случае нарушения правил предоставления информации в ГосСОПКА в отношении компьютерных инцидентов на объектах КИИ, не имеющих категории значимости (п. 5–6 перечня информации), в отношении значимых объектов КИИ, – несут ответственность по ч. 2 ст. 13.12.1 КоАП РФ, в силу наличия соответственной отсылки.

И из самого свежего, что стоит держать в уме: прямо сейчас на рассмотрении в Госдуме находится проект, вводящий новые штрафы за непредоставление, несвоевременное предоставление или предоставление недостоверных сведений для ФСТЭК от субъектов КИИ. Сейчас субъекты должны сообщать о присвоении объекту КИИ категории значимости или о том, что присваивать ее не нужно. Сами размеры штрафов менять пока не будут - сейчас должностные лица платят от 10 тыс. до 50 тыс. руб., компании — от 50 тыс. до 100 тыс. руб. Еще планируют ввести ответственность за повторное нарушение. Должностных лиц оштрафуют на сумму от 50 тыс. до 100 тыс. руб., организации — от 100 тыс. до 200 тыс. руб.

«Уголовку» схватить можно по статье УК РФ 274.1., «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации». Конкретно нас интересует пункт 3, который предупреждает, что «нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в КИИ, или информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи, относящихся к КИИ РФ, либо правил доступа к указанным информации, информационным системам, информационно-телекоммуникационным сетям, автоматизированным системам управления, сетям электросвязи, если оно повлекло причинение вреда КИИ РФ, наказывается принудительными работами на срок до 5 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового либо лишением свободы на срок до 6 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового». Более того, если это повлекло «тяжкие последствия» - сроки существенно подрастут, составив от 5 до 10 лет. Хотя и тут есть подводные камни – из-за недостаточной правоприменительной практики, сейчас судами одни и те же преступные действия квалифицируются по разным составам преступления (неправомерный доступ или нарушение правил эксплуатации), под ВПО экспертизы подводят любое свободно распространяемое ПО, "использование служебного положения" как лотерея - то есть, то нет.

Важно отметить, что субъективная сторона состава данного преступления характеризуется двумя формами вины. Нарушение правил эксплуатации и доступа может совершаться как умышленно, при этом умысел должен быть направлен на нарушение правил эксплуатации и доступа (например, системный администратор компании установил на элемент инфраструктуры программное обеспечение для майнинга криптовалюты, не включенное в перечень разрешенного), так и по неосторожности: программист, работающий в больнице, поставил полученную им по сетям программу без предварительной проверки ее на наличие в ней компьютерного вируса, в результате чего произошел отказ в работе систем жизнеобеспечения реанимационного отделения больницы. Поэтому основной субъект данного преступления – это, сотрудник субъекта КИИ, то есть внутренний нарушитель, а значит – ответственность руководителя учреждения.

Проще говоря, сесть можно за то, что вовремя не позаботился о защите от хакеров… или если сисадмин забыл вовремя сменить пароли. В этом смысле специальный орган, который требуется создать в компании согласно указу 250, который мы обсуждали выше, должен взять на себя обязанности по своевременному отслеживанию таких опасных ситуаций.

Что делать прямо сейчас?

По-хорошему, оснаститься ГосСОПКОЙ и соответствующей системой защиты КИИ надо было «еще вчера». На практике же процесс этот не столь быстрый, и законодатель это также осознает, а посему до 2025 года необходимо:

• Определить ответственное лицо, которое будет нести личную ответственность за соблюдение ИБ в учреждении. Как правило, это руководитель отдела безопасности. Отдельно стоит обратить внимание на обязательное наличие специализированного образования, чтобы специалист считался компетентным для этой должности.
• Убедится, что все организации, с которыми имеются договоры и подряды на оказание ИБ-услуг имеют лицензию от ФСТЭК на осуществление деятельности по технической защите конфиденциальной информации.
• Убедиться, что предприятие подключено к ГосСОПКА через собственный центр или лицензированный сторонний.
• Если вы субъект КИИ, необходимо провести оценку уровня защищенности своих информационных систем и направить ее результаты в Правительство РФ, в случае, если эта процедура еще не была выполнена. Подробнее о процедуре оценки можно прочесть на сайте ФСТЭК, а направить информацию в Правительство – по электронной почте или через специальный сайт (см. предыдущие статьи).

Непосредственно за помощью в подключении или оснащении можно обратиться к нам, группе компаний ВБК, обладающей всеми необходимыми компетенциями и опытом. Консультация бесплатна.