Журнал "Information Security/ Информационная безопасность" #2, 2020

Выполнить требования 239-П в части выстраивания процесса автоматизирован- ного обнаружения инциден- тов ИБ, который, в свою очередь, требует обеспечить централизованный сбор, обработку, хранение и ана- лиз событий ИБ с использо- ванием исключительно оте- чественных решений – зада- ча не очень реальная. Очень осторожно следует подходить к проведению внутренних служебных рас- следований инфраструктур- ных инцидентов и инциден- тов информационной без- опасности. Необходимо понимать, что отчетные документы по результатам таких проверок могут использоваться правоохра- нительными органами для возбуждения уголовного дела в течение последую- щих 10 лет. вовые, организационные сред- ства, средства сбора и анализа информации, поддержки при- нятия управленческих решений (ситуационные центры), пред- назначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак на транспорте и объектах транспортной инфраструктуры. Постановлением Правитель- ства РФ от 21 декабря 2019 г. № 1746 в целях обеспечения безопасности КИИ на два года введен запрет на допуск к закупкам иностранных про- граммно-аппаратных комплек- сов систем хранения данных. Много ли известно отечествен- ных систем хранения данных, которые могли бы быть исполь- зованы для хранения логов? Вопрос риторический. Выполнить требования 239-П в части выстраивания процесса автоматизированного обнару- жения инцидентов ИБ, который, в свою очередь, требует обес- печить централизованный сбор, обработку, хранение и анализ событий ИБ с использованием исключительно отечественных решений – задача не очень реальная. Прежде всего это связано с запретом производи- теля на установку собственных технических средств защиты. Это касается и бортовых систем ВС, и так называемых плат- форм фронтальной интеграции, которые позволяют совместное использование аэропортовых стоек различными авиакомпа- ниями и системами регистра- ции. Импортозамещение – хоро- шее дело, но оно не должно реализовываться ценой тоталь- ного ухудшения реальной без- опасности из-за невозможности использовать современные инновационные или проверен- ные временем средства защи- ты. Для множества технологий защиты просто не существует отечественных аналогов ПО и устройств. Если в условиях отсутствия стандартов запре- щать ввоз средств защиты, мы получим то, что уже имеем: те же импортные устройства с переклеенными шильдиками и немногочисленные отечествен- ные аналоги плохого качества. Ни то, ни другое повышению уровня ИБ не способствует. Уголовная ответственность Следующим серьезным пре- пятствием для честной катего- ризации часто является ответ- ственность по ст. 274.1 Уго- ловного кодекса Российской Федерации, которая появляет- ся после признания объекта КИИ. Статьей предусмотрена ответственность за нарушения в сфере КИИ вплоть до лише- ния свободы сроком на 10 лет в случае нарушений, повлек- ших тяжкие последствия. В законе о КИИ дается недву- смысленная трактовка: в слу- чае, если объект КИИ не был защищен должным образом и ему был нанесен вред, долж- ностные лица могут понести ответственность в рамках УК РФ. Надо обратить внимание, что нанесение вреда именно "критической инфраструктуре РФ", а не "компьютерной информации". В данном случае размер вреда легко рассчиты- вается следователем и дока- зывается в суде. Создание системы безопасности по тре- бованиям ФСТЭК России толь- ко усугубляет ситуацию для субъекта КИИ, так как в случае нанесения вреда может квали- фицироваться как нарушение правил эксплуатации на обо- рудовании – это все та же статья 274.1 УК РФ. Для минимизации этих рисков имеет смысл провести класси- фикацию информационных систем и документально зафик- сировать, что каждая конкрет- ная информационная система не является объектом КИИ. Очень осторожно следует под- ходить к проведению внутрен- них служебных расследований инфраструктурных инцидентов и инцидентов информационной безопасности. Необходимо понимать, что отчетные доку- менты по результатам таких проверок могут использоваться правоохранительными органа- ми для возбуждения уголовного дела в течение последующих 10 лет. Обязательность проведения аудита ИБ В основе Плана транспортной безопасности, составить и реа- лизовать который предписывает Федеральный закон от 09.02.2007 г. N 16-ФЗ "О транс- портной безопасности", лежит оценка уязвимостей объектов транспортной инфраструктуры. Результаты направляют на утверждение в компетентные органы в области обеспечения транспортной безопасности. Перевозчики привыкли к значительным затратам на аудиты, сертификацию, атте- стацию и мероприятия, которые необходимы для обеспечения транспортной безопасности. Анализ показывает, что эти меры слабо увязаны с инфор- мационной безопасностью, а затраты не всегда оправданы. Теперь, согласно п. 35 и п. 36 Требований к созданию систем безопасности значимых объ- ектов критической информа- ционной инфраструктуры РФ и обеспечению их функциони- рования (утв. приказом ФСТЭК России от 21 декабря 2017 г. № 235) в рамках контроля состояния безопасности значи- мых объектов КИИ должен осу- ществляться внутренний конт- роль организации работ по обеспечению их безопасности и эффективности принимаемых организационных и технических мер защиты. К этому добав- ляются требования по анализу уязвимостей на этапе создания, до ввода в эксплуатацию и в ходе его эксплуатации (п. 12.6., п.13, п. 13.2., п. 13.8 239-П). Введение новых требований по обеспечению безопасности объектов КИИ предполагает новые для транспортников под- ходы к обеспечению соответ- ствия и прохождению аудита. Появляется дополнительная финансовая и административ- ная нагрузка на отрасль, кото- рая обязательно отражается на пассажирах. l • 15 КИИ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru

RkJQdWJsaXNoZXIy Mzk4NzYw