Алексей Ветров
Эксперт по защите данных IC-TECH
Субъекты КИИ обязаны не просто “ставить антивирус”, а создавать полноценную систему предотвращения, обнаружения и ликвидации последствий компьютерных атак. Эти обязанности установлены 187-ФЗ, ПП № 127, приказами ФСТЭК № 235 и № 239, а также регламентами взаимодействия с ГосСОПКА.
Если говорить простым языком: Субъект КИИ обязан своевременно выявлять атаки, защищать свои объекты, предупреждать инциденты и взаимодействовать с государственными центрами (ГосСОПКА).
Это не рекомендация, а юридическая обязанность.
Если говорить простым языком: Субъект КИИ обязан своевременно выявлять атаки, защищать свои объекты, предупреждать инциденты и взаимодействовать с государственными центрами (ГосСОПКА).
Это не рекомендация, а юридическая обязанность.
Что говорит законодательство
Федеральный закон № 187-ФЗ
Устанавливает следующие ключевые обязанности субъекта КИИ:
- Обеспечивать защиту объектов КИИ от компьютерных атак и несанкционированного доступа
(ст. 8 закона). - Принимать меры по предотвращению и выявлению компьютерных атак
— создание системы мониторинга, внедрение средств защиты, организация контроля. - Обеспечивать устойчивое функционирование объектов КИИ
в условиях внешних и внутренних угроз, включая целевые кибератаки. - Сообщать о компьютерных инцидентах в государственную систему обнаружения и предупреждения компьютерных атак (ГосСОПКА)
в порядке, установленном ФСБ. - Необходимо предотвращать возможность использования объектов КИИ для совершения атак на другие ресурсы
— субъект отвечает не только за защиту, но и за недопущение того, чтобы его инфраструктуру использовали злоумышленники.
ПП РФ № 127 (категорирование)
Деление объектов на категории (1, 2, 3) определяет, насколько строгие меры должны применяться для предотвращения атак:
- чем выше категория, тем жёстче требования;
- субъект обязан учитывать угрозы при проектировании системы защиты;
- меры по предупреждению атак должны соответствовать уровню значимости.
Приказ ФСТЭК № 235
Устанавливает обязанности субъектов по построению системы безопасности значимого объекта КИИ, включая:
- организацию мониторинга событий безопасности;
- контроль целостности;
- управление конфигурациями;
- анализ угроз;
- обеспечение своевременного обнаружения атак.
Приказ ФСТЭК № 239
Определяет обязательные меры по предотвращению и обнаружению атак, среди которых:
- сегментация сети;
- защита каналов связи;
- ограничения доступа;
- использование СЗИ для предотвращения атак;
- регистрация и анализ событий безопасности;
- защита от вредоносного ПО;
- предотвращение вторжений;
- контроль действий пользователей и администраторов.
Требования ФСБ (ГосСОПКА)
Обязывают субъектов:
- взаимодействовать с центрами ГосСОПКА;
- направлять информацию об атаках;
- предоставлять данные для анализа угроз;
- обеспечивать совместимость инструментов мониторинга;
- выполнять предписания по реагированию.
Как это работает на практике
Субъекты КИИ обязаны выполнять следующие процессы:
- Постоянный мониторинг
- сбор логов;
- анализ трафика;
- контроль целостности систем;
- корреляция событий.
- Предотвращение атак
- защита периметра;
- межсетевые экраны;
- СКЗИ;
- система предотвращения вторжений (IPS);
- изоляция критичных сегментов.
- Обнаружение атак
- средства анализа аномалий;
- SIEM-система;
- IDS;
- обнаружение атак на АСУ ТП.
- Реагирование
- локализация инцидента;
- восстановление работоспособности объекта;
- документирование действий;
- уведомление ГосСОПКА.
- Недопущение повторных атак
- анализ причин;
- пересмотр мер защиты;
- изменение настроек безопасности;
- проведение тестов на устойчивость.
Выводы и рекомендации
Обязанности субъектов КИИ в части предотвращения компьютерных атак включают:
- внедрение мер защиты, установленных ФСТЭК;
- обеспечение мониторинга, обнаружения и анализа атак;
- своевременное реагирование и восстановление;
- обязательное взаимодействие с ГосСОПКА;
- исключение возможности использования КИИ злоумышленниками;
- обеспечение устойчивости объектов при атаке.
Эти обязанности являются обязательными, и их невыполнение ведёт к административной ответственности по ст. 13.11.2 КоАП РФ.
Возникли трудности с категорированием КИИ?
Выявим объекты КИИ, проведем категорирование, разработаем полный пакет документации и проконсультируем по взаимодействию с органами.
