
Закон 187-ФЗ о безопасности КИИ вступил в силу, но при этом на текущий момент далеко не все необходимые методические документы и нормативные правовые акты приняты. В этих условиях у организаций, которые могут оказаться в сфере действия закона, больше вопросов, чем ответов. С какой стороны подступиться к этому вопросу? С чего начать и как оптимально спланировать реализацию необходимых мероприятий?
Проведя анализ требований к обеспечению безопасности значимых объектов КИИ, мы разработали приоритизированный подход, который позволяет поэтапно подойти к этой задаче. Как и во многих других процессах, здесь следует начинать с фундаментальных мероприятий и постепенно на их базе выстраивать следующие. Следует отметить, что предложенный нами подход и план действий не претендует на абсолютную полноту и достоверность. При реализации мероприятий по обеспечению безопасности КИИ следует руководствоваться нормами действующего законодательства.
Поэтапный и взвешенный подход
К вопросу обеспечения безопасности значимых объектов КИИ необходимо подходить как к долговременному проекту, который займет несколько лет, и выстраивать его поэтапно. Поэтому прежде, чем погружаться в детали рекомендуется сделать общую оценку проекта.
Взвешенный подход также поможет сэкономить ресурсы и усилия. По опыту развития законодательства о защите персональных данных, которое неоднократно изменялось, стремление максимально быстро обеспечить выполнение требований может обернуться излишней тратой усилий и ресурсов на постоянные корректировки системы безопасности.
Законодательство по КИИ сейчас в активной фазе развития. Данная область находится в сфере ответственности двух регуляторов – ФСБ и ФСТЭК, и при ведении проектов рекомендуется сопоставлять требования со стороны каждого из них. На текущий момент со стороны ФСТЭК опубликовано порядка 90% необходимых регулирующих документов, со стороны ФСБ – около 20%.
Чтобы эффективно управлять этим процессом, важно все требования и реализованные мероприятия сводить в единую систему. Помимо старой доброй таблицы в Excel, существуют современные решения, позволяющие этот процесс автоматизировать и максимально упростить, ведь обеспечение безопасности объектов КИИ — это очень во многом про compliance.
Важность самоидентификации
Согласно определению закона 187-ФЗ о безопасности КИИ, субъекты критической информационной инфраструктуры – это государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.
Таким образом, закон распространяется на субъекты, которые владеют и управляют соответствующими объектами. Следует дифференцированно подходить к тому, является ли организация субъектом КИИ и в первую очередь определить, попадает ли компания под требования 187-ФЗ.
Если в компании выявлена необходимость соответствия 187-ФЗ и проведения работ по обеспечению безопасности объекта (объектов) КИИ, законодатель предусмотрел, что такие работы должны выполняться на всех стадиях жизненного цикла объекта и включают в себя (на основании п. 8 Приказа ФСТЭК России от 25.12.2017 N 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»):
а) установление требований к обеспечению безопасности;
б) разработку организационных и технических мер по обеспечению безопасности;
в) внедрение организационных и технических мер по обеспечению безопасности значимого объекта и ввод его в действие;
г) обеспечение безопасности значимого объекта в ходе его эксплуатации;
д) обеспечение безопасности значимого объекта при выводе его из эксплуатации.
Данные этапы работ по обеспечению безопасности объекта КИИ мы рассмотрели с точки зрения приоритизированного подхода, выделив 4 основных приоритета (см. рис 1).

Описание и состав каждого из приоритетов приведен ниже, а также представлен на рисунке 2 с указанием необходимых документальных подтверждений для каждого из мероприятий.
Приоритет 1. Первоочередные действия
- Назначить ответственных сотрудников или подразделения за категорирование, обеспечение безопасности, эксплуатацию и функционирование (сопровождение, обслуживание, ремонт) значимых объектов КИИ, выявление компьютерных инцидентов в ходе эксплуатации объекта КИИ и реагирование на них.
- Составить перечень объектов КИИ – на данном этапе пока речь идет просто о перечне, чтобы понимать, с чем придется иметь дело. Если в организации уже проводилась работа по выделению ИСПДн или по ГИС, логично использовать данные наработки в части методологии составления перечня, а не начинать все с нуля.
- Если организация не имеет собственных ресурсов для всей этой работы, имеет смысл заранее озаботиться выбором подрядчиков для выполнения задач по проектированию и обеспечению ИБ на объектах КИИ. Спектр таких задач широк, начиная от поставки решений и заканчивая их обслуживанием вплоть до полного аутсорсинга. Важно выяснить, имеет ли подрядчик необходимые лицензии, обладает ли достаточной квалификацией, и т.д.
- Если требуется обучение собственных специалистов компании, то важно также озаботиться этим заранее, т.к. это длительный процесс. И хотя в нормативных документах нет конкретных требований к квалификации персонала, в Приказе ФСТЭК № 239 есть целая группа требований «XVII. Информирование и обучение персонала (ИПО)», также вопрос о квалификации сотрудников может возникнуть в случае инцидента.
- Составить годовой план обеспечения безопасности значимых объектов КИИ. План может включать и категорирование, и моделирование угроз, и все остальные мероприятия.
Приоритет 2. Основы
- Следующий ключевой шаг – провести категорирование объектов КИИ, из которого вытекает установление требований к обеспечению безопасности объекта. Для этого нужно проанализировать Постановление Правительства и выделить показатели критериев значимости объектов КИИ. Категорирование напрямую влияет на объем требований, который нужно выполнять и, следовательно, на бюджет проекта. Поэтому если есть возможность, следует рассмотреть пути оптимизации процессов в рамках осуществления деятельности субъекта КИИ таким образом, чтобы снизить возможный ущерб по направлениям деятельности. Так как это может повлиять на характеристики значимого объекта критической информационной инфраструктуры, то может привести к пересмотру категории значимости в сторону уменьшения и, тем самым, оптимизировать затраты на выполнение обязательных требований в соответствии с категорией.
- После проведения категорирования результаты направляются во ФСТЭК и корректируются в случае мотивированного возврата.
- Необходимо провести моделирование угроз (или уточнение модели угроз) для каждого значимого объекта КИИ и проанализировать принятые и необходимые меры по обеспечению безопасности объекта. Эти сведения указываются в Акте категорирования.
- Зафиксировать требования и спроектировать подсистемы безопасности значимых объектов КИИ с учетом модели угроз и требований ФСТЭК. Сведения об организационных и технических мерах, необходимых для обеспечения безопасности объекта критической информационной инфраструктуры, также направляются регулятору.
- Далее необходимо принять решение о создании собственного центра ГосСОПКА, либо о подключении к существующему.
- Важно правильно определить зону ответственности субъекта ГосСОПКА. Согласно определению, это совокупность информационных ресурсов, в отношении которых субъектом ГосСОПКА обеспечивается обнаружение, предупреждение и ликвидация последствий компьютерных атак.
- В случае создания собственного центра ГосСОПКА, для начала стоит реализовать самые базовые вещи:
- Обеспечить инвентаризацию информационных ресурсов, поскольку это первейший шаг;
- Обеспечить анализ уязвимостей, которые проходят красной нитью и в требованиях ФСТЭК, и в требованиях ФСБ;
- Обеспечить антивирусную защиту как базовое средство;
- Обеспечить анализ данных о событиях и регистрацию инцидентов, например, open-source средствами или другими решениями.
Приоритет 3. Защита
Данный этап подразумевает непосредственно обеспечение защиты. Сюда относятся:
- Внедрение организационных и технических мер – т.е. все, что прописано в приказах ФСТЭК, исходя из категорий объектов.
- Анализ уязвимостей на объектах КИИ до ввода в эксплуатацию.
- Ввод в эксплуатацию системы безопасности.
- Проектирование комплекса средств автоматизации центра ГосСОПКА (выбор решений, план создания) и согласование с уполномоченным органом.
- Введение дополнительных средств автоматизации центра ГосСОПКА, в дополнение к указанным в приоритете 2:
- Установить соответствующие средства и обеспечить прием сообщений о возможных инцидентах;
- Обеспечить обнаружение компьютерных атак;
- Обеспечить обмен информацией об инцидентах с уполномоченным органом;
- Реализовать организационные мероприятия по функционированию центра ГосСОПКА в соответствии с методическими рекомендациями.
- Периодический анализ уязвимостей на объектах КИИ.
Приоритет 4. Контроль
На этапе контроля проводятся периодические мероприятия:
- Пересмотр категории объектов КИИ при необходимости.
- Ежегодная оценка соблюдения требований по ИБ на объектах КИИ (если предусмотрено законодательством, то в форме аттестации).
- Периодический анализ и совершенствование системы обеспечения ИБ на объектах КИИ.
- Проведение мероприятий по повышению уровня знаний работников по вопросам обеспечения безопасности КИИ и о возможных угрозах безопасности информации.
- Ежегодная актуализация годового плана мероприятий по обеспечению безопасности значимых объектов КИИ.
- Актуализация моделей угроз для объектов КИИ при необходимости.
- Также сюда относится постоянный процесс реагирования на инциденты ИБ (включая установление причин и результатов устранения последствий) и информирование уполномоченных органов об инцидентах.

*Предложенный нами подход и план действий не претендует на абсолютную полноту и достоверность. При реализации мероприятий по обеспечению безопасности объектов КИИ следует руководствоваться нормами действующего законодательства.