Безопасность критической информационной инфраструктуры Российской Федерации.
Рассмотрим проблемы, связанные с выработкой новых государственных подходов к обеспечению безопасности критической информационной инфраструктуры в условиях существования угроз их информационной безопасности, в том числе при проведении в отношении ее компьютерных атак. Анализируются основные положения Федерального закона от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации". Раскрыто содержание и сущность понятия "безопасность критической информационной инфраструктуры". Обосновано, что обеспечение безопасности критической информационной инфраструктуры должно основываться на принципах и методологии обеспечения национальной безопасности. Выработаны предложения по отнесению части субъектов экономической деятельности к субъектам критической информационной инфраструктуры, предложены некоторые дополнительные механизмы повышения защищенности критической информационной инфраструктуры.
В условиях возрастания новых вызовов и угроз в информационной сфере обеспечение безопасности критической информационной инфраструктуры (далее - КИИ) становится приоритетной государственной задачей. Устойчивое функционирование КИИ оказывает значительное влияние на социально-экономическое развитие России в условиях цифровой экономики, в том числе на безопасность бизнеса.
Злоумышленники постоянно совершенствуют технологии компьютерных атак на КИИ. Ярким примером являются действия вредоносных компьютерных программ-вымогателей WannaCry и Petya/Petrwrap/NotPetya/exPetr, которые использовали для компьютерной атаки уязвимости в программном обеспечении пользователей <1>. Согласно данным аналитического отчета одного из лидеров европейского рынка систем анализа защищенности и соответствия стандартам - компании Positive Technologies, во II квартале 2017 г. злоумышленники совершили около 24% компьютерных атак на объекты КИИ <2>.
<1> Барташевич С.А. Информационная безопасность - залог успеха бизнеса // Information Security (Информационная безопасность). 2017. N 4. С. 19.
<2> Аналитический отчет "Актуальные киберугрозы. II квартал 2017 года" // Аналитический центр Positive Technologies. URL: https://www.ptsecurity.com/upload/corporate/ru-ru/analytics/Cybersecurity-2017-rus.pdf (дата обращения: 20.11.2018).
Проблема безопасности КИИ уже давно интересует многих ученых. Вопреки малому количеству научных трудов по рассматриваемой теме сложилась достаточно обширная методологическая база. При всем этом в анализе проблемы безопасности КИИ Российской Федерации остается немало нерешенных задач.
Изучение генезиса заявленного вопроса требует прежде всего уяснения понятия "безопасность".
По смыслу термин "безопасность" (от лат. securitas; англ. safety, security; фр. securite) означает отсутствие опасности, т.е. состояние, при котором опасность не угрожает, существует защита от нее.
В широком смысле слова термином "безопасность" обозначается ситуация, при которой вероятность причинения объекту защиты вреда и его возможные размеры, по мнению оценивающего ситуацию субъекта, меньше некоторого субъективно установленного им же предела <3>.
<3> Атаманов Г.А. Методология безопасности // Фонд содействия научным исследованиям проблем безопасности. URL: http://naukaxxi.ru/materials/302/ (дата обращения: 10.12.2018).
Следовательно, в общем виде безопасность означает состояние защищенности личности, общества, государства от внутренних и внешних угроз или опасностей.
Понимание этого составляет основу дефиниции национальной безопасности Российской Федерации, закрепленной в Стратегии национальной безопасности Российской Федерации <4>. В свою очередь, национальная безопасность Российской Федерации существенным образом зависит от обеспечения информационной безопасности <5>.
<4> Указ Президента Российской Федерации от 31 декабря 2015 г. N 683 "О Стратегии национальной безопасности Российской Федерации" // СЗ РФ. 2016. N 1 (часть 2). Ст. 212.
<5> Терещенко Л.К. Информационная безопасность органов исполнительной власти на современном этапе / Л.К. Терещенко, О.И. Тиунов // Журнал российского права. 2015. N 8. С. 107.
Законодатель определяет безопасность КИИ Российской Федерации как состояние защищенности КИИ, обеспечивающее ее устойчивое функционирование при проведении в отношении ее компьютерных атак <6>.
<6> Федеральный закон от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" // СЗ РФ. 2017. N 31 (часть 1). Ст. 4736. URL: http://www.garant.ru/products/ipo/prime/doc/71630198/ (дата обращения: 10.12.2018).
Очевидно, что понятие "безопасность КИИ" является видовым по отношению к понятию "информационная безопасность", которое, в свою очередь, значится одним из видов безопасности и входит в понятие "национальная безопасность".
Таким образом, обеспечение безопасности КИИ должно основываться на принципах и методологии обеспечения национальной безопасности.
Закон о безопасности КИИ предписывает субъектам КИИ обеспечить безопасность своих информационных систем (далее - ИС), информационно-телекоммуникационных сетей (далее - ИТКС) и автоматизированных систем управления (далее - АСУ).
Напомним, что в ст. 2 Закона от 27 июля 2006 г. N 149-ФЗ <7> отражены дефиниции ИС и ИТКС. В свою очередь, понятие АСУ нашло свое отражение в ст. 2 Закона от 26 июля 2017 г. N 187-ФЗ <8>. Данный термин носит в основном технологический характер и довольно широко используется в обиходе представителей технических специальностей.
<7> Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" // СЗ РФ. 2006. N 31 (часть 1). Ст. 3448.
<8> Федеральный закон от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" // Там же.
В широком смысле слова АСУ в какой-то степени состоит из ИС и ИТКС, являющихся базовыми элементами КИИ, хотя имеет свою особую технологическую основу, способную выделить ее в самостоятельный объект КИИ.
Видится, что наиболее тяжелым последствием компьютерных инцидентов является нарушение технологического процесса на предприятии. Это, в свою очередь, может, например, привести к повреждению выпускаемого продукта или снижению качества обслуживания клиентов, а также снижению объемов или временной остановке производства. Кроме того, подобные инциденты могут повлечь за собой снижение стоимости акций компании, репутационный ущерб, штрафные санкции, что также в конечном итоге может являться целью компьютерной атаки <9>. Поэтому мы считаем, что субъектам КИИ необходимо выстраивать слаженную систему своей информационной безопасности, а уже в рамках системы выполнять требования к обеспечению защиты информации. На наш взгляд, такие требования определены в соответствующих актах <10>.
<9> Сердюк В.А. Некоторые аспекты защиты АСУ ТП / В.А. Сердюк, И.К. Тарви // Information Security (Информационная безопасность). 2017. N 6. С. 12.
<10> Приказ Федеральной службы по техническому и экспортному контролю от 14 марта 2014 г. N 31 "Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды" // Российская газета. 2014. 6 августа.
К субъектам КИИ относятся госорганы и российские компании, которым принадлежат ИС, ИТКС и АСУ и которые обеспечивают взаимодействие этих систем и сетей <11>.
<11> Федеральный закон от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" // Там же.
При этом указанные субъекты КИИ должны осуществлять свою деятельность только в некоторых социально-экономических сферах деятельности <12>.
<12> Там же.
По нашему мнению, помимо указанных сфер деятельности возможны и иные виды экономической деятельности, например, жилищно-коммунальное хозяйство, строительство, сельское хозяйство, пищевая промышленность и т.д. Однако указанные виды к субъектам КИИ почему-то не отнесены, хотя в отношении их ИС, ИТКС и АСУ также могут быть совершены компьютерные атаки.
Предполагается, что, например, в результате компьютерных атак на сервисы для расчета и оплаты коммунальных услуг, мониторинга деятельности управляющих и ресурсоснабжающих организаций и состояния объектов государственного учета жилищного фонда может быть нарушено функционирование государственной информационной системы жилищно-коммунального хозяйства <13> - одной из важнейших социально значимых информационных систем государства.
<13> Приказ Министерства связи и массовых коммуникаций Российской Федерации от 14 июня 2016 г. N 264 "О вводе в эксплуатацию государственной информационной системы жилищно-коммунального хозяйства" // Официальный сайт Министерства связи и массовых коммуникаций Российской Федерации. URL: http://minsvyaz.ru/ru/documents/5069/.
В этой связи отметим, что законодателю еще предстоит отнести часть субъектов экономической деятельности, не нашедших отражения в действующем законодательстве, к субъектам КИИ.
По нашему мнению, для успешного решения этого вопроса законодателю необходимо использовать данные Общероссийского классификатора видов экономической деятельности (ОКВЭД 2) <14>. Именно по данным этого классификатора целесообразно соотносить вид экономической деятельности с предполагаемым субъектом КИИ.
<14> Приказ Федерального агентства по техническому регулированию и метрологии от 31 января 2014 г. N 14-ст "О принятии и введении в действие Общероссийского классификатора видов экономической деятельности (ОКВЭД2) ОК 029-2014 (КДЕС Ред. 2) и Общероссийского классификатора продукции по видам экономической деятельности (ОКПД2) ОК 034-2014 (КПЕС 2008)" // Бухгалтерское приложение к газете "Экономика и жизнь". 2014. N 21.
Для более эффективного противодействия компьютерным атакам и обеспечения устойчивого функционирования объектов КИИ в условиях возникновения компьютерных инцидентов <15> в стране появилась ГосСОПКА <16>, полномочия по созданию которой возложены на органы безопасности <17> и органы государственной охраны <18>. На наш взгляд, подобная консолидация сил и средств указанных специальных служб позволит оперативно выявлять компьютерные атаки, пресекать их и снижать действие поражающих факторов при компьютерных инцидентах.
<15> Компьютерный инцидент - факт нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки.
<16> ГосСОПКА - государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.
<17> Указ Президента Российской Федерации от 15 января 2013 г. N 31с "О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации" // СЗ РФ. 2013. N 3. Ст. 178.
<18> Указ Президента Российской Федерации от 27 февраля 2018 г. N 89 "О внесении изменений в Положение о Федеральной службе охраны Российской Федерации, утвержденное Указом Президента Российской Федерации от 7 августа 2004 г. N 1013" // СЗ РФ. 2018. N 10. Ст. 1477.
Заявлено, что главной задачей ГосСОПКА является осуществление государственного контроля за безопасностью КИИ Российской Федерации и степенью их защищенности от компьютерных атак.
Однако следует отметить, что безопасность КИИ зависит не только от степени государственного контроля в этой сфере, но и от выполнения субъектами КИИ (бизнес-сообществом) конкретных требований по созданию систем безопасности и обеспечению их функционирования.
Перечень таких требований определен соответствующим Приказом ФСТЭК России от 21 декабря 2017 г. N 235 <19>.
<19> Приказ Федеральной службы по техническому и экспортному контролю от 21 декабря 2017 г. N 235 "Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования" // Официальный интернет-портал правовой информации. URL: www.pravo.gov.ru (по сост. на 22.02.2018).
Повышение защищенности КИИ невозможно без должной оценки ее текущего состояния, всех рисков и угроз. На наш взгляд, объем финансовых расходов бизнес-сообщества на обеспечение информационной безопасности своей КИИ должен быть основан исключительно на вышеуказанной оценке. Это важнейший вопрос безопасности бизнеса!
Механизмы классификации и категорирования объектов КИИ на сегодняшний день являются наиболее актуальными для субъектов, поскольку от них напрямую зависят финансовые затраты на обеспечение безопасности.
По нашему мнению, все объекты КИИ следует классифицировать на "значимые" и "незначимые", поскольку только к значимым объектам можно предъявить специальные требования информационной безопасности. Именно по таким видам целесообразно классифицировать объекты КИИ.
К значимым объектам КИИ законодатель относит объекты КИИ, которые наделены категорией значимости <20> и включены в соответствующий реестр <21>.
<20> Федеральный закон от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" // Там же.
<21> Приказ Федеральной службы по техническому и экспортному контролю от 6 декабря 2017 г. N 227 "Об утверждении Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации" // Официальный интернет-портал правовой информации. URL: www.pravo.gov.ru (по сост. на 09.02.2018).
В свою очередь, в соответствии с ч. 3 ст. 7 Федерального закона "О безопасности КИИ Российской Федерации" в отношении всех значимых объектов КИИ устанавливаются три категории значимости - I, II и III <22>. Такое деление должно быть поддержано субъектами КИИ, тем более что от выбранных значений показателей критериев значимости объектов КИИ Российской Федерации будет зависеть применение организационных и технических мер, обеспечивающих нейтрализацию (блокирование) угроз безопасности информации, последствиями которых может быть прекращение или нарушение функционирования объекта.
<22> Федеральный закон от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" // Там же.
Постановлением Правительства РФ от 8 февраля 2018 г. N 127 <23> установлено, что категорирование будет проводиться специально созданной комиссией субъекта на основании критериев значимости объектов КИИ. К таким показателям отнесены социально-экономическая значимость и общественно-политическая значимость объекта КИИ.
<23> Постановление Правительства Российской Федерации от 8 февраля 2018 г. N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений" // СЗ РФ. 2018. N 8. Ст. 1204.
Категорированию подлежат объекты КИИ, которые обеспечивают производственные, управленческие, технологические и иные процессы. Принципиально важно, чтобы все объекты КИИ принадлежали субъектам на законном основании. Иначе отнести их к значимым объектам невозможно.
Стоит указать, что субъекты КИИ обязаны:
1) разработать и утвердить перечень объектов КИИ, подлежащих категорированию;
2) согласовать с территориальным подразделением ФСТЭК России утвержденный перечень объектов КИИ;
3) согласовать с территориальным подразделением ФСТЭК России сроки проведения категорирования объектов;
4) провести мероприятия по категорированию объектов;
5) составить акт категорирования и направить его в территориальное подразделение ФСТЭК России.
Как нам представляется, мероприятия по категорированию объектов КИИ могут проводиться собственными силами субъектов либо с привлечением сторонней организации, имеющей соответствующую лицензию ФСТЭК России по технической защите конфиденциальной информации.
Согласование со ФСТЭК России перечня объектов КИИ и сроков проведения их категорирования, направление акта категорирования являются обязательными для всех субъектов КИИ.
Учитывая все вышесказанное, мы предлагаем разработать и внедрить:
- ФГОС ВО по направлению "Безопасность КИИ";
- курсы переподготовки и повышения квалификации по направлению "Безопасность КИИ";
- механизм повышения квалификации должностных лиц субъектов КИИ по различным вопросам обеспечения ее безопасности;
- механизм страхового обеспечения безопасности КИИ;
- механизм организации всероссийских, региональных и отраслевых киберучений на объектах КИИ Российской Федерации.
Таким образом, подводя итоги исследования, можно констатировать, что безопасность КИИ напрямую зависит от правильности принятия решений в деле противодействия компьютерным атакам, быстроты и эффективности действий их субъектов.
