Зокии аббревиатура что значит

Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239

Руслан Рахметов, Security Vision

Обеспечение безопасности КИИ

Приказ ФСТЭК о безопасности КИИ

В прошлой публикации мы рассмотрели основные этапы процедуры категорирования объектов критической информационной инфраструктуры (далее ОКИИ), по результатам которой субъект критической информационной инфраструктуры (далее субъект КИИ) выявляет ОКИИ и присваивает им категории значимости. В данной статье мы подробно рассмотрим нормативные требования, регламентирующие обеспечение безопасности значимых объектов критической информационной инфраструктуры (далее ЗОКИИ), которые содержатся в Приказах ФСТЭК России № 235 и № 239.

Подход к обеспечению безопасности ЗОКИИ следует начинать с Приказа ФСТЭК России № 235, который предписывает субъекту КИИ создание системы безопасности ЗОКИИ. Под системой здесь понимается совокупность правовых, организационных, технических и прочих мер, которые должны быть направлены на обеспечение безопасности и устойчивого функционирования ЗОКИИ при проведении в отношении них компьютерных атак.

Обеспечение безопасности критической информационной инфраструктуры в рамках системы безопасности ЗОКИИ должна решать задачи по предотвращению неправомерного доступа к информации, недопущению воздействия на технические средства обработки информации, восстановлению функционирования ЗОКИИ и осуществлять непрерывное взаимодействие с государственной системой обнаружения, предупреждение и ликвидация последствий компьютерных атак (ГосСОПКА).

Создаваемая субъектом КИИ система обеспечения безопасности ЗОКИИ должна соответствовать ряду требований.

1. Требования к силам

К силам обеспечения безопасности ЗОКИИ в первую очередь относятся подразделения (работники), которые непосредственно являются ответственными обеспечение безопасности. Кроме того, к силам относятся структурные подразделения субъекта КИИ, которые эксплуатируют или обеспечивают функционирование ЗОКИИ.

На подразделения или работников, которые являются ответственными за безопасность критической информационной инфраструктуры в части защиты ЗОКИИ, в обязательном порядке возлагаются следующие основные функции:

— разработка предложений по совершенствованию организационно-распорядительной документации (ОРД) по безопасности ЗОКИИ;
— проведение анализа угроз и выявления уязвимостей;
— обеспечение реализации требований по обеспечению безопасности ЗОКИИ;
— реализация организационных мер, применение СЗИ и их эксплуатация;
— осуществление реагирования на компьютерные инциденты,
— организация периодических оценок соответствия ЗОКИИ требованиям по безопасности,
— подготовка предложений по совершенствованию системы и повышению уровня безопасности.

Здесь важно отметить, что Приказом не допускается возложение на структурное подразделение по безопасности, специалистов по безопасности функций, не связанных с обеспечением безопасности ЗОКИИ или обеспечением информационной безопасности субъекта КИИ в целом.

2. Требования к средствам

Данные требования касаются применяемых для обеспечения безопасности ЗОКИИ программных и программно-аппаратных средств защиты информации. К таким средствам относятся: средства защиты от несанкционированного доступа, межсетевые экраны, средства обнаружения вторжений, средства предотвращения вторжений, средства антивирусной защиты, средства контроля и анализа защищенности, средства управления событиями безопасности, средства каналов передачи данных.

Документ предписывает использовать для защиты ЗОКИИ сертифицированные средства или средства, прошедшие оценку соответствия в форме испытаний (приемки). Кроме того, все применяемые средства защиты должны быть обеспечены гарантийной, технической поддержкой со стороны разработчиков.

3. Требования к организационно-распорядительным документам

Состав и формы организационно-распорядительной документации разрабатываются субъектом КИИ самостоятельно с учетом сферы и особенностей его деятельности. При этом ОРД должна в обязательном порядке определять следующие аспекты:
— Цели и задачи обеспечения безопасности ЗОКИИ;
— Основные угрозы и категории нарушителей;
— Основные организационные и технические мероприятия;
— Состав, структуру и функции системы безопасности;
— Порядок применения, формы оценки соответствия ЗОКИИ и средств защиты информации требованиям по безопасности;
— Планы мероприятий по обеспечению безопасности ЗОКИИ;
— Модели угроз в отношении ЗОКИИ;
— Порядок реализации мер и проведения испытаний (приемки) средств защиты информации;
— Порядок реагирования на компьютерные инциденты;
— Порядок информирования и обучения работников;
— Порядок взаимодействия между подразделениями субъекта КИИ при решении задач обеспечения безопасности ЗОКИИ;
— Порядок взаимодействия с ГосСОПКА;
— Правила безопасной работы сотрудников субъекта КИИ на ЗОКИИ и действия при возникновении компьютерных инцидентов.

4. Требования к функционированию

Здесь Приказ ФСТЭК России №235 предписывает, что внутри субъекта КИИ должны быть внедрены и выстроены следующие процессы по обеспечению безопасности ЗОКИИ:
— Планирование и разработка мероприятий (ежегодных или более длительных);
— Реализация (внедрение) мероприятий (организационные и (или) технические);
— Контроль текущего состояния безопасности ЗОКИИ (не реже чем раз в 3 года);
— Совершенствование безопасности ЗОКИИ (предложения в план).

Важно отметить, что все эти процессы должны сопровождаться и подтверждаться различной документацией (отчетами, актами, протоколами, приказами), так как впоследствии эти документы могут являться предметом проверки со стороны регулятора.

Перейдем к следующему, не менее важному Приказу ФСТЭК России № 239. Данный Приказ ФСТЭК достаточно подробно описывает требования к обеспечению безопасности на всех стадиях жизненного цикла ЗОКИИ.

1. Создание или модернизация

При создании или модернизации подсистемы безопасности ЗОКИИ требования устанавливаются в техническом задании. Их содержание должно быть следующим:
— цель и задачи обеспечения безопасности ЗОКИИ;
— категория значимости ЗОКИИ;
— перечень нормативных правовых актов, методических документов и стандартов, которым должен соответствовать ЗОКИИ;
— перечень типов объектов защиты ЗОКИИ;
— требования к организационным и техническим мерам;
— этапы работ по созданию подсистемы безопасности ЗОКИИ;
— требования к применяемым программным и программно-аппаратным средствам;
— требования к защите средств и систем, обеспечивающих функционирование ЗОКИИ;
— требования к информационному взаимодействию ЗОКИИ с другими ОКИИ или ИС, АСУ ИТКС;
— требования к составу и содержанию разрабатываемой документации.

При разработке организационных и технических мер по обеспечению безопасности ЗОКИИ в обязательном порядке должны быть осуществлены:
— анализ угроз и разработка модели угроз безопасности информации;
— проектирование подсистемы безопасности ЗОКИИ;
— разработка рабочей документации в части обеспечения безопасности ЗОКИИ.

Требования к организационным и техническим мерам принимаются в зависимости от ранее присвоенной категории значимости ЗОКИИ и актуальных угроз безопасности, реализация которых может привести к прекращению или нарушению функционирования ЗОКИИ. Общий перечень организационных и технических мер, которые необходимо применять, представлен ниже:
— идентификация и аутентификация (ИАФ);
— управление доступом (УПД);
— ограничение программной среды (ОПС);
— защита машинных носителей информации (ЗНИ);
— аудит безопасности (АУД);
— антивирусная защита (АВЗ);
— предотвращение вторжений (компьютерных атак) (СОВ);
— обеспечение целостности (ОЦЛ);
— обеспечение доступности (ОДТ);
— защита технических средств и систем (ЗТС);
— защита информационной (автоматизированной) системы и ее компонентов (ЗИС);
— планирование мероприятий по обеспечению безопасности (ПЛН);
— управление конфигурацией (УКФ);
— управление обновлениями программного обеспечения (ОПО);
— реагирование на инциденты информационной безопасности (ИНЦ);
— обеспечение действий в нештатных ситуациях (ДНС);
— информирование и обучение персонала (ИПО).

Более подробный состав мер по обеспечению безопасности ЗОКИИ, которые необходимо применять в зависимости от присвоенной категории значимости, представлен в табличной форме Приложения к Приказу ФСТЭК России № 239.

По итогам ранее разработанных документов и на их основании осуществляется внедрение организационных и технических мер по обеспечению безопасности ЗОКИИ. Внедрение предусматривает следующие работы:
— установку и настройка средств защиты информации;
— разработку ОРД, правил и процедур;
— внедрение организационных мер;
— проведение предварительных испытаний;
— проведение опытной эксплуатации;
— анализ уязвимостей и принятие мер по их устранению;
— приемочные испытания.

Конечным результатом первого этапа является ввод в эксплуатацию ЗОКИИ и его подсистемы безопасности при положительном заключении, который оформляется актом приемки.

В ходе эксплуатации ЗОКИИ Приказ ФСТЭК России № 239 предписывает реализацию следующих мероприятий:
— планирование мероприятий по обеспечению безопасности ЗОКИИ;
— проведения анализа угроз и последствий от их реализации;
— администрирование подсистемы безопасности ЗОКИИ;
— управление конфигурацией ЗОКИИ и подсистемы безопасности;
— реагирование на компьютерные инциденты;
— обеспечение действий в нештатных ситуациях;
— информирование и обучение персонала ЗОКИИ;
— осуществление контроля за обеспечением безопасности ЗОКИИ.

3. Вывод из эксплуатации

При принятии решения об окончании жизненного цикла ЗОКИИ субъекту КИИ необходимо осуществить ряд процедур, которые предусматривает нормативный документ:
— архивирование информации ЗОКИИ;
— уничтожение данных и остаточной информации из ЗОКИИ;
— уничтожение или архивирование данных об архитектуре и конфигурации ЗОКИИ;
— архивирование или уничтожение эксплуатационной документации на ЗОКИИ.

Важно отметить, что процедуры уничтожения должны быть задокументированы субъектом КИИ с указанием наименования, состава документов, способов и даты их уничтожения.

Как мы видим, документы регулятора предписывают осуществлять достаточно большой объем обязательных процедур, не считая непосредственной операционной деятельности по отражению компьютерных атак. Необходимо учитывать, что значимые критические ИС, АСУ или ИТКС не являются статическими сущностями, они очень часто подвергаются модернизации, а это в свою очередь влечет необходимость пересмотра всех ранее разработанных документов ЗОКИИ, вплоть до пересмотра категории значимости объекта. Поэтому субъектам КИИ важно понимать, что обеспечение безопасности ЗОКИИ – это непрерывный процесс на протяжении всего существования критических ИС, АСУ или ИТКС. Собственно, именно по этой причине регулятор предписывает выделять специалистов, ответственных за безопасность ЗОКИИ, в отдельное структурное подразделение и не допускать возложения на них косвенных функций и задач.

Источник

Обзор российского законодательства по защите критической информационной инфраструктуры

Друзья, в предыдущей публикации мы рассмотрели вопросы защиты персональных данных с точки зрения российского и международного законодательства. Однако существует и еще одна актуальная тема, касающаяся большого количества российских компаний и организаций — мы говорим о защите критической информационной инфраструктуры. Защищенность и устойчивость ИТ-систем как отдельных крупных компаний, так и целых отраслей промышленности в современных условиях играют решающую роль. Во всем мире фиксируются попытки осуществления целенаправленных и изощренных кибератак на объекты инфраструктуры, и не обращать внимания на такие факты было бы весьма недальновидно. Создание ГосСОПКА (государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации), а также подписание Федерального Закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и разработка соответствующих подзаконных актов послужили логичным ответом на вызовы текущих реалий.

Рассмотрим этот аспект информационной безопасности подробнее. Вперёд!

Основные положения

Начало работ по защите информационной инфраструктуры в государственном масштабе было положено с подписанием Указа Президента Российской Федерации от 15 января 2013 г. № 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации». Далее, в июле 2017 г. был подписан Федеральный Закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», который вступил в силу с 1 января 2018 года. Под критической информационной инфраструктурой (далее — КИИ) понимаются информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов КИИ, а также сети электросвязи, используемые для организации их взаимодействия. Субъектами КИИ являются компании, работающие в стратегически важных для государства областях, таких как здравоохранение, наука, транспорт, связь, энергетика, банковская сфера, топливно-энергетический комплекс, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, а также организации, обеспечивающие взаимодействие систем или сетей КИИ. Компьютерная атака определяется как целенаправленное вредоносное воздействие на объекты КИИ для нарушения или прекращения их функционирования, а компьютерный инцидент — как факт нарушения или прекращения функционирования объекта КИИ и/или нарушения безопасности обрабатываемой объектом информации.

Также стоит отметить, что для компаний сферы топливно-энергетического комплекса существуют свои нормы, которые определены Федеральным Законом от 21 июля 2011 г. № 256-ФЗ «О безопасности объектов топливно-энергетического комплекса», которые также диктуют необходимость обеспечения безопасности информационных систем объектов топливно-энергетического комплекса путем создания систем защиты информации и информационно-телекоммуникационных сетей от неправомерных доступа, уничтожения, модифицирования, блокирования информации и иных неправомерных действий, а также необходимость обеспечения функционирования таких систем.

Далее было подписано Постановление Правительства РФ от 8 февраля 2018 г. №127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также Перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений», которые предъявляют конкретные требования для субъектов КИИ по проведению категорирования объектов КИИ в их зоне ответственности, а также содержат перечень критериев значимости объектов КИИ — количественных показателей для корректного выбора категории значимости. Категория значимости объекта КИИ может принимать одно из трех значений (где самая высокая категория — первая, самая низкая — третья) и зависит от количественных показателей значимости этого объекта в социальной, политической, экономической и оборонной сферах. Например, если компьютерный инцидент на объекте КИИ может привести к причинению ущерба жизни и здоровью более 500 гражданам, то объекту присваивается максимальная первая категория, а если транспортные услуги в результате инцидента могут стать недоступны для 2 тыс. — 1 млн. граждан, то объекту присваивается минимальная третья категория.

Итак, объекты КИИ следует категорировать. Это выполняется постоянно действующей внутренней комиссией по категорированию субъекта КИИ, которая также производит и документально оформляет следующие действия:

ГосСОПКА

Итак, субъект КИИ, относящийся к органу государственной власти, в соответствии с текущими законодательными нормами должен подключиться к соответствующему ведомственному Центру ГосСОПКА. У субъекта КИИ, не являющегося органом государственной власти, есть возможность либо осуществить самостоятельное подключение к системе ГосСОПКА, либо создать свой собственный корпоративный Центр ГосСОПКА, либо подключиться к уже созданному Центру, оказывающему услуги по подключению к системе ГосСОПКА.

При самостоятельном подключении к Центру ГосСОПКА субъекту КИИ предстоит решить следующие задачи:

АСУТП

Перейдем к принципам защиты автоматизированных систем управления производственными и технологическими процессами. Приказ ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды» (в ред. Приказа ФСТЭК России от 9 августа 2018 г. № 138) устанавливает законодательные требования в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами (далее — АСУТП). Несмотря на наличие двух казалось бы дублирующихся направлений защиты КИИ (187-ФЗ по КИИ с подзаконными актами и указанный Приказ №31 по АСУТП), в настоящее время государственные регуляторы придерживаются следующей точки зрения: если объект КИИ признан значимым (т.е. ему присвоена одна из трех категорий значимости), то используется Приказ ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации», а если объект КИИ признан незначимым (т.е. категория значимости не была присвоена), то по решению субъекта КИИ можно применять как Приказ №31 по АСУТП, так и Приказ №239 по КИИ.

В соответствии с Приказом №31 объектами защиты в АСУТП являются информация о параметрах или состоянии управляемого объекта или процесса, а также все сопутствующие технические средства (рабочие станции, серверы, каналы связи, контроллеры), ПО и средства защиты. Данный документ указывает, что предпринимаемые организационные и технические меры по защите АСУТП должны, в первую очередь, обеспечивать доступность и целостность обрабатываемой в АСУТП информации, а обеспечение конфиденциальности логично ставится на второе место. Кроме этого, указывается, что принимаемые меры должны быть гармонизированы с мерами по обеспечению других видов безопасности, например, промышленной, пожарной, экологической, и не должны оказывать отрицательного влияния на штатный режим функционирования АСУТП. Предъявляются требования и к СЗИ в АСУТП — они должны пройти оценку соответствия.

В документе описаны организационные шаги по защите информации (далее — ЗИ) в АСУТП: формирование требований к ЗИ, разработка и внедрение системы защиты АСУТП, обеспечение ЗИ в ходе эксплуатации АСУТП и при выводе её из эксплуатации. Именно на этапе формирования требований проводится важная работа по классификации АСУТП: системе устанавливается один из трех классов защищенности (где самый низкий класс — третий, самый высокий — первый), при этом класс защищенности определяется в зависимости от уровня значимости обрабатываемой информации, т.е. степени возможного ущерба от нарушения её свойств безопасности (целостность, доступность и, если применимо, конфиденциальность). Степень ущерба же может быть высокой (ЧП федерального или межрегионального масштаба), средней (ЧП регионального или межмуниципального масштаба) или низкой (происшествие носит локальный характер).

Кроме классификации АСУТП, на этапе формирования требований определяются угрозы безопасности АСУТП путем составления модели угроз: выявляются источники угроз, оцениваются возможности нарушителей (т.е. создается модель нарушителя), анализируются уязвимости используемых систем, определяются возможные способы реализации угроз и последствия этого, при этом следует использовать БДУ ФСТЭК России. Важность создания модели нарушителя на данном этапе заключается еще и в том, что применяемые меры защиты в АСУТП 1-го класса защищенности должны обеспечивать нейтрализацию действий нарушителя с высоким потенциалом, в АСУТП 2-го класса защищенности — нарушителя с потенциалом не ниже среднего, в АСУТП 3-го класса защищенности — нарушителя с низким потенциалом (потенциалу нарушителей даётся определение на странице БДУ).

Далее, Приказ №31 предлагает алгоритм выбора и применения мер для обеспечения безопасности, уже знакомый нам по Приказам ФСТЭК России №21 (ПДн) и №17 (ГИС): сначала осуществляется выбор базового набора мер на основании предложенного списка, далее производится адаптация выбранного базового набора мер, предполагающая исключение нерелевантных базовых мер в зависимости от особенностей информационных систем и использующихся технологий, затем адаптированный базовый набор мер уточняется для нейтрализации актуальных угроз не выбранными ранее мерами, и наконец осуществляется дополнение уточненного адаптированного базового набора мерами, установленными иными применимыми нормативными правовыми документами. При этом в Приказе №31 подчеркивается важность непрерывности технологических процессов: можно применять компенсирующие защитные меры в случае прогнозируемого негативного влияния на штатный режим функционирования АСУТП.

В Приказе №31 указаны следующие группы мер по обеспечению безопасности АСУТП, которые должны быть применены в зависимости от требуемого класса защищенности АСУТП:

Безопасность значимых объектов КИИ

Рассмотрим теперь один из основных подзаконных актов по защите объектов КИИ, а именно Приказ ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».

Требования, изложенные в Приказе ФСТЭК России №239, предъявляются к информационным системам, автоматизированным системам управления и информационно-телекоммуникационным сетям значимых объектов КИИ. Критерии отнесения объектов КИИ к значимым описаны в Постановлении Правительства №127, о котором написано выше. Выполнение требований рассматриваемого приказа предполагает, что категорирование объектов КИИ уже было предварительно проведено, опять же в соответствии с нормами ПП-127. Кроме значимых объектов, по решению субъекта КИИ нормы рассматриваемого документа могут применяться и к незначимым объектам, равно как и требования Приказа №31. В Приказе №239 отдельно указано, что объекты КИИ, обрабатывающие ПДн, подпадают также и под нормы защиты ПДн, а в случае, если объект КИИ является ГосИС, то применяются нормы Приказа ФСТЭК России №17 по защите ГИС и проводится аттестация значимого объекта КИИ.

Приказ №239 указывает, что разработка мер ЗИ значимого объекта КИИ должна включать в себя анализ угроз безопасности и разработку модели угроз, а внедряемые меры защиты не должны оказывать негативного влияния на функционирование самого объекта. Как и в Приказе №31, анализ угроз должен включать выявление источников угроз, оценку возможностей нарушителей (т.е. создание модели нарушителя), анализ уязвимостей используемых систем (в том числе и тестирование на проникновение — пентест), определение возможных способов реализации угроз и их последствий, при этом следует использовать БДУ ФСТЭК России.

В Приказе №239 особо оговорено, что в случае разработки нового ПО как части подсистемы безопасности значимого объекта КИИ следует применять стандарты безопасной разработки программного обеспечения. При использовании СЗИ приоритет отдается штатному защитному функционалу, а при реагировании на компьютерные инциденты требуется отправлять информацию о них в систему ГосСОПКА.

В списке организационных и технических мер, предусмотренных положениями данного приказа в зависимости от категории значимости объекта КИИ и угроз безопасности информации, указаны пункты, аналогичные таковым в Приказе №31:

Требования предъявляются также и к самим СЗИ: можно применять средства, прошедшие оценку на соответствие требованиям по безопасности в форме испытаний, приемки или обязательной сертификации. Испытания и приемка проводятся субъектами КИИ самостоятельно либо с помощью лицензиатов ФСТЭК России. При использовании сертифицированных СЗИ требования к ним следующие: на объектах 1-й категории значимости следует применять СЗИ не ниже 4-го класса защиты, на объектах 2-й категории — СЗИ не ниже 5-го класса, а на объектах 3-й категории — СЗИ не ниже 6-го класса; при этом на значимых объектах всех категорий требуется применять СВТ не ниже 5-го класса.

Интересно также и то, что в Приказе №239 приведены требования и к уровням доверия СЗИ. Уровни доверия (далее — УД) определяются в соответствии с Приказом ФСТЭК России №131 от 30 июля 2018 г., в котором установлены шесть УД (самый низкий – 6-ой, самый высокий – 1-ый). Так, на объектах 1-й категории значимости следует применять СЗИ, соответствующие 4-му или более высокому УД, на объектах 2-й категории — СЗИ, соответствующие 5-му или более высокому УД, а на объектах 3-й категории — СЗИ, соответствующие 6-му или более высокому УД. Заметим, что пункты про уровни доверия применяемых СЗИ были введены в марте 2019 г. уже после выпуска первоначальной версии Приказа: ранее требования предъявлялись к уровню контроля отсутствия недекларированных возможностей (на объектах 1-й и 2-й категорий следовало применять СЗИ, прошедшие проверку по 4-му уровню НДВ), но с выходом упомянутого выше Приказа №131, вступившего в силу с июня 2019 г., требования руководящего документа по НДВ фактически прекратили действие.

Кроме того, в Приказе №239 подчеркивается, что на объектах 1-й категории значимости в качестве граничных маршрутизаторов следует использовать устройства, сертифицированные на соответствие требованиям по безопасности информации, а в случае невозможности их использования следует оценивать функции безопасности обычных граничных маршрутизаторов на этапах приемки или испытаний значимых объектов КИИ.

В дополнение к ранее указанному, в Приказе указывается на важность использования СЗИ, которые обеспечиваются гарантийной и/или технической поддержкой, а также на возможные ограничения по использованию программного/аппаратного обеспечения или СЗИ (видимо, имеются ввиду санкционные риски). Также указано, что на значимом объекте КИИ требуется запретить удаленный и локальный бесконтрольный доступ для обновления или управления лицами, не являющимися работниками субъекта КИИ, а также запретить бесконтрольную передачу информации из объекта КИИ производителю или иным лицам. Кроме этого, все программные и аппаратные средства объекта КИИ 1-й категории значимости должны располагаться на территории РФ (за исключением оговоренных законодательством случаев).

Как мы видим, Приказ №239, несмотря на схожую с другими приказами ФСТЭК России структуру, имеет целый ряд новаций: это и требования по соответствию СЗИ уровням доверия, и упоминание санкционных рисков, и повышенное внимание обеспечению безопасности сетевого взаимодействия. Следует отметить, что данный приказ является ключевым при выполнении требований по защите объектов КИИ, так что субъектам КИИ следует изучить его положения с особым вниманием.

Ответственность

Ответственность за неправомерное воздействие на КИИ РФ предусмотрена статьей 274.1 Уголовного Кодекса. Данная статья была введена Федеральным Законом № 194 от 26.07.2017 г. и действует с 01.01.2018 г. В соответствии с данной статьей уголовно наказуемы:

Кроме вышеуказанной уголовной ответственности, субъектов КИИ и должностных лиц ожидают также и возможные административные взыскания: в настоящий момент рассматриваются изменения в КоАП РФ, предполагающие введение двух новых статей и существенных денежных штрафов за их нарушение:

Список документов

Кроме рассмотренных выше нормативных актов (187-ФЗ, ПП-127, Приказы ФСТЭК России №31 и №239), в настоящий момент вопросы защиты КИИ законодательно регулируют следующие документы:

Источник