Изменения Требований по обеспечению безопасности значимых объектов КИИ РФ (позиция ФСТЭК России)

На организованной Гротек в сентябре онлайн-конференции “Кибербезопасность АСУ ТП критически важных объектов” одним из докладчиков выступил Алексей Валентинович Кубарев, заместитель начальника управления ФСТЭК России.

Доклад его мне представляется важным - как минимум с той точки зрения, что понятным человеческим языком сформулированы основные тезисы и даны ответы на многие вопросы и конкретную критику в адрес ФСТЭК России.

Взял на себя смелость в связи с этим улучшить монтаж исходного ролика, заодно заменив изображения слайдов на более качественные из публично доступной презентации.

Впрочем, так как формат видео не слишком удобен для последующего оперативного поиска нужного ответа, решил выписать основные тезисы, снабдив их ссылками на соответствующий тайминг доклада.

Так как доклад сам достаточно объёмный, ограничился исключительно темой изменений, внесённых в Требования по обеспечению безопасности значимых объектов КИИ РФ в 2020 году (начало на видео в 11:34).

Речь о Приказе ФСТЭК России №35 от 20.02.2020 «О внесении изменений в Требования по обеспечению безопасности ЗО КИИ РФ, утвержденные приказом ФСТЭК №239 от 25.12.2017».


О работе над приказом

  • Когда были зарегистрированы изменения? (11:44)
    Приказ зарегистрирован Минюстом 11.09.2020 (№ 59793).

  • Почему февральский приказ зарегистрирован только в сентябре? (12:02)
    Было несколько итераций с Минюстом по отработке формулировок. Дата утверждения приказа никакой роли не играет. Приказ опубликован на официальном интернет-портале правовой информации 14.09.2020 и через 10 дней вступил в силу.

  • Почему ФСТЭК России “сочиняет на ходу” дополнительные мероприятия, которые “в копеечку” бизнесу обходятся? (12:51)
    ФСТЭК России не придумывает, а выполняет поручения Президента и Правительства Российской Федерации. Изменения были согласованы с Минкомсвязи России.

  • Почему ФСТЭК России “никому не показала” проект приказа? (13:21)
    Была большая рабочая группа из ~30 субъектов КИИ, с которыми “отточили каждую формулировочку”, из-за чего документ очень сильно смягчился. Документ проходил процедуру общественного обсуждения по установленной процедуре, каждый имел возможность высказаться и около 90% поступивших предложений были учтены.

Основные изменения

Модернизация значимого объекта КИИ

  • Как теперь определены признаки модернизации ЗО КИИ? (15:04)
    Два ключевых признака:
    1. Меняется архитектура ЗО КИИ, в том числе подсистема его безопасности.
    2. Должно быть ТЗ на модернизацию ЗО КИИ или ТЗ/ЧТЗ на модернизацию подсистемы безопасности.
  • Является ли обновление ПО модернизацией ЗО КИИ? (15:46)
    Если для обновления пишется ТЗ и меняется архитектура объекта, то безусловно. В остальных случаях - нет.

Изменённые требования по безопасности

  • По отношению к чему изменениями определены требования по безопасности? (16:07)
    Установлены требования к программным и программно-аппаратным средствам, применяемым для обеспечения безопасности ЗО КИИ: как к наложенным средствам, так и к встроенным в системное и прикладное ПО.

Новые требования к средствам защиты информации (СЗИ)

  • Какие введены новые требования к СЗИ? (16:24)
    Требования по оценке соответствия по 6 (шестому) Уровню доверия устанавливаются с 01 января 2023 года.

  • Как могут быть проверены требования к СЗИ? (16:38) (17:29)
    Самостоятельно либо лицензиатом на этапе предварительных испытаний. Большой сложности в проверках по 6-му Уровня доверия нет - специалист по защите информации с должным образованием способен справиться с этой задачей. Если же не способен - есть соответствующие лицензиаты.

  • Где субъекту КИИ взять Требования к 6 Уровню доверия? (16:48)
    На сайте ФСТЭК России опубликована выписка, кроме того - любой субъект КИИ может написать ФСТЭК России запрос и получить (по обстановке) либо документ полностью с ограничительной пометкой ДСП либо в виде соответствующей выписки.

Примечание На сайте приведена выписка из Приказа ФСТЭК России №131, который отменяется Приказом ФСТЭК России №76 с 01 января 2021 года. Выписка из нового Приказа пока отсутствует.

Добавлено 12.11.2020 Выписка из Приказа ФСТЭК России №76: ссылка на PDF-файл.

Новые требования к специальному прикладному программному обеспечению (СППО)

  • Что понимается под специальным прикладным программным обеспечением (СППО)? (18:38)
    Под СППО понимается ПО, которое обеспечивает выполнение функций ЗО КИИ по назначению (для АСУ ТП - это скорее всего будут SCADA-пакеты).

  • Кем выполняется проверка СППО? (19:26)
    Проверка осуществляется тем, кто создаёт либо модернизирует ЗО КИИ. В случае самостоятельного создания либо модернизации - проверку осуществляет сам субъект КИИ. Если работу выполняет интегратор - то интегратор. Также возможно привлечение лицензиата. Проверка осуществляется на этапе проектирования ЗО КИИ либо проектирования состава работ по модернизации.

  • Какие требования введены к специальному прикладному программному обеспечению (СППО)? (20:47)
    1. Требования по безопасной разработке СППО;
    2. Требования к поддержке безопасности СППО;
    3. Требования к испытаниям по выявлению уязвимостей СППО.
  • Что включают в себя требования по безопасной разработке СППО? (21:05)
    1. Проверка наличия руководства по безопасной разработке ПО;
    2. Проверка проведения анализа угроз;
    3. Наличие процедур информирования субъекта КИИ об окончании производства и (или) поддержки ПО (для 1 категории ЗО КИИ).
  • Что включают в себя требования к поддержке безопасности СППО? (21:28)
    1. Наличие процедуры отслеживания и исправления обнаруженных ошибок и уязвимостей ПО;
    2. Определение способов и сроков доведения разработчиком (производителем) ПО до его пользователей информации об уязвимостях, о компенсирующих мерах по защите информации или ограничениях по применению ПО, способов получения пользователями ПО его обновлений, проверки их целостности и подлинности;
    3. Проверка наличия описания структуры ПО на уровне подсистем и результатов сопоставления функций ПО и интерфейсов, описанных в функциональной спецификации, с его подсистемами (для 1 категории ЗО КИИ).
  • Что включают в себя требования к испытаниям по выявлению уязвимостей СППО? (21:54)
    1. Проведение статического анализа исходного кода;
    2. Проведение фаззинг-тестирования программы, направленного на выявление в ней уязвимостей;
    3. Проведение динамического анализа кода программы (для 1 категории ЗО КИИ).
  • Как осуществляется проверка выполнения требований к СППО? (22:14)
    Проверка осуществляется экспертно-документальным методом, т.е. эти требования закладываются в ТЗ и разработчик СППО предоставляет документы (на русском языке), которые подтверждают, что все необходимые процедуры есть и выполнены. “Если этих процедур нет либо они не выполняются, то вам такой разработчик не нужен: его программное обеспечение дырявое как дуршлаг и вашему техпроцессу будет угрожать значительная опасность.” (с)

Сроки введения новых требований по безопасности

  • Может ли быть пересмотрена дата введения новых требований к СЗИ и к СППО 01 января 2023? (18:10) (19:07)
    Дата 01 января 2023 года выбрана так, чтобы было время подготовиться, потренироваться. Ближе к этой дате будет отдельно рассматриваться необходимость её корректировки. В случае больших сложностей в реализации этой нормы возможны либо перенесение срока либо смягчение самой нормы.

Новые требования по удалённому взаимодействию для значимых объектов КИИ

  • Как изменились требования по удалённому взаимодействию? (20:08)
    Смягчены требования по удалённому взаимодействию ЗО КИИ с внешним миром. Норма о запрете на взаимодействие заменена допущением на взаимодействие в отдельных случаях при условии выполнения определённых мер.

  • В каких случаях допускается удалённое взаимодействие? (23:58)
    Удалённое взаимодействия допускается в случае технической невозможности его исключения. Например, при необходимости получения извне данных для обеспечения техпроцесса.

  • Кому разрешён удалённый доступ? (24:46)
    Работникам организаций, дочерних по отношению к субъекту КИИ, который эксплуатирует значимый объект КИИ.

  • Как организовать получение обновлений для ЗО КИИ с учётом требований к удалённому доступу? (24:54)
    Так как запрещается удалённый доступ со стороны лиц, не являющихся работниками субъекта КИИ, то сотрудник субъекта может зайти на сайт производителя ПО, в личном кабинете скачать обновление и установить его. Запрещается доступ разработчика ПО (ПЛК, SCADA-пакета) к ЗО КИИ - ограничение именно на это накладывается.

  • Какие меры надо принять для организации удалённого доступа? (26:17)
    Меры уже были перечислены в Приказе №239, теперь они указаны в явном виде, чтобы не было возможности отказаться от их выполнения, заменив меры из базового набора другими мерами.

    1. Определение лиц и устройств, которым разрешён удалённый доступ;
    2. Контроль доступа;
    3. Защита данных, передаваемых по каналам удалённого доступа;
    4. Мониторинг и регистрация действий лиц, которым разрешён удалённый доступ, и анализ действий по удалённому доступу;
    5. Обеспечение невозможности отказа лиц, получивших удалённый доступ, от совершённых действий.

Запрет на размещение программных и программно-аппаратных средств вне территории Российской Федерации

  • Чем вызвано распространение запрета дополнительно и на значимые объекты КИИ второй категории? (27:30)
    Теперь для ЗО КИИ 2-й категории (раньше было только для 1-й категории), входящие в их состав программные и программно-аппаратные средства, осуществляющие хранение и обработку информации, должны размещаться на территории РФ.
    Критика о невозможности размещения серверов обновлений или сервисов Zoom на территории РФ не принимается, так как таких ЗО КИИ второй категории нет, а если и есть, то теперь точно быть не должно.
    Объектов второй категории в Реестре сейчас всего 10,5%, что не так много.
    Вторая категория - это объект, в случае нарушения функционирования которого возможен ущерб жизни и здоровью до 50 человек либо более 2000 человек останутся без связи/транспорта/света либо целый ФОИВ (ФСТЭК России, например) не сможет осуществлять свои функции либо субъект КИИ потеряет 10-20% своего дохода за год либо будет нанесён исчисляемый миллиардами ущерб бюджету РФ либо произойдёт экологическая катастрофа в нескольких районах субъекта РФ.
    Итоговое решение о распространении запрета на размещения за пределами РФ для ЗО КИИ 2-й категории было принято по итогам оценки рисков.

--- === @zlonov === ---