Что день грядущий нам готовит? Обзор ближайших перспектив развития нормативной базы ФСТЭК России в области защиты информации
• Конференции "Защита информации в АСУ ТП. Безопасность критической информационной инфраструктуры" и "Актуальные вопросы защиты информации", проведённые в рамках форума "Технологии безопасности 2021" (9-11.02.2021, Москва);
• Форум "Кибербезопасность – наши дни. Промышленные технологии" (17-19.02.2021, Магнитогорск).
• анализ текущего состояния реализации требований Федерального закона от 26 июля 2017 г. № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" и разъяснение проблемных вопросов, возникающих при выполнении субъектами КИИ этих требований;
• обсуждение проблем ИБ при организации удалённого доступа, что особенно актуально в условиях продолжающейся пандемии коронавируса;
• совершенствование требований к средствам защиты информации (СЗИ) и методического аппарата для оценки их выполнения при сертификации СЗИ.
Ниже приведен краткий обзор взглядов регулятора на перечисленные вопросы.
- О проблемах категорирования объектов КИИ:
• при оценке показателя экономической значимости вследствие снижения уровня дохода в результате воздействия компьютерной атаки на объект КИИ необходимо рассматривать не среднегодовые потери, а потери, вызванные успешной реализацией конкретного негативного воздействия (компьютерной атаки);
• при оценке потерь, наступающих в случае успешной реализации компьютерной атаки на объект КИИ, необходимо учитывать, что эти потери часто в значительной степени зависят от возможностей предприятия по локализации и устранению последствий атаки. Таким образом, последствия от компьютерной атаки должны учитываться на временном промежутке, предшествующем моменту восстановления плановых показателей функционирования объекта КИИ;
• в составе подаваемых во ФСТЭК России сведений субъект КИИ обязан предоставить подробные расчёты показателей категорий значимости. Для единообразного подхода к соответствующим расчетам ФСТЭК России готовит проекты методик по расчёту экономических показателей и расчёту ущерба по социальному показателю. При этом если тот или иной показатель значимости, установленный постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127, неприменим к объекту КИИ, то субъект КИИ должен обосновать, по какой причине он неприменим;
• категорирование вновь создаваемых объектов КИИ необходимо проводить на этапе разработки ТЗ на создание этих объектов;
• примерное время, в течение которого субъект КИИ должен получить уведомление от ФСТЭК России по результатам анализа представляемых субъектом КИИ результатов категорирования и решении о внесении данных об объектах КИИ в соответствующий реестр (присвоение ему реестрового номера), определяется следующим образом: 30 дней на рассмотрение представленных сведений + 10 дней на подготовку ответа + время, необходимое на доставку ответа почтой. Таким образом, реально такой срок может составлять до двух месяцев.
- О предоставлении субъектами КИИ данных во ФСТЭК России об объектах КИИ, о результатах их категорирования и сведений об изменении этих данных:
• если изменилась информация о лице, эксплуатирующем объект КИИ, то об этом необходимо оповестить ФСТЭК России в 30-тидневный срок;
• такая же ситуация и в случае выведения из эксплуатации значимых и незначимых объектов КИИ – об этом необходимо в 30-тидневный срок уведомлять ФСТЭК России;
• в случае принятия решения о переводе незначимого объекта КИИ в значимые необходимо направлять во ФСТЭК России информацию об этом и соответствующее обоснование;
• если на объекте КИИ изменился состав технических средств или состав применяемых мер защиты, то об этом необходимо уведомлять ФСТЭК России в сроки, не превышающие 30 дней со времени внесения изменений;
• о любых произошедших изменениях на объектах КИИ ФСТЭК России самостоятельно уведомляет НКЦКИ.
- Документ включает требования безопасности информации, предъявляемые к:
• конструкции защищённого носителя;
• среде функционирования средства дистанционной работы;
• уровню доверия средства дистанционной работы — не ниже 4 уровня доверия;
• средству доверенной загрузки средства дистанционной работы — не ниже 4 класса защиты;
• операционной системе средства дистанционной работы — тип «А» не ниже 4 класса защиты;
• идентификации и аутентификации пользователей;
• идентификации и авторизации средств вычислительной техники;
• управлению доступом в средстве дистанционной работы;
• администрированию и централизованному управлению средством дистанционной работы;
• контролю целостности средства дистанционной работы;
• регистрации и учету событий безопасности в средстве дистанционной работы.
- ФСТЭК России в обозримом будущем планирует разработать и ввести в действие следующие нормативные документы:
• методические рекомендации по видам и методам испытаний при проведении аттестации объектов информатизации;
• методические рекомендации по расчету показателей критерия социальной значимости (в дополнение к недавно утверждённым методическим рекомендациям по расчету показателей критерия экономической значимости);
• методические рекомендации по управлению обновлениями;
• планируется внесение изменений в Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом ФСТЭК России от 14 марта 2014 г. № 31 в части уточнения требований доверия, которым должны соответствовать применяемые СЗИ.
- Планируется также разработка новых требований к средствам защиты информации, которыми должны руководствоваться разработчики средств защиты информации, испытательные лаборатории и органы по сертификации. К ним относятся:
• типовая модель угроз для аппаратных средств;
• новая методика анализа и поиска уязвимостей в ПО;
• методика анализа и поиска уязвимостей и НДВ в аппаратных средствах.
В ближайшее время также будет выпущена уточнённая версия ГОСТ Р 56939-2016 «Разработка безопасного программного обеспечения. Общие требования».