Выполнение требований приказов ФСТЭК

Практически любая организация в Российской Федерации в рамках своей деятельности занимается обработкой персональных данных. К примеру, для соответствия требованиям Трудового кодекса (бухгалтерия, кадры), в коммерческой деятельности (система работы с контрагентами) или с целью осуществления государственного управления (государственные реестры, обращения граждан).

Что же такое информационная система персональных данных (ИСПДн) и где содержатся требования по защите информации?

Согласно определению из Федерального закона от 27.07.2006 N 152-ФЗ:

Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Ключевым признаком отнесения информационной системы (ИС) к ИСДПн является обработка персональных данных в структурированном виде внутри этой ИС.

Защита персональных данных граждан Российской Федерации в части технической защиты (исключая криптографическую защиту информации) регулируется Приказом ФСТЭК России от 18.02.2013 г. N 21 “Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных”.

Защита государственных информационных систем, не содержащих сведений, относящихся к государственной тайне.

В информационных системах государственных организаций обрабатывается большое количество критичной информации (любого рода), необходимой для обеспечения нормального функционирования федеральных, региональных и муниципальных органов власти. В связи с этим, к таким системам предъявляются отдельные требования по обеспечению информационной безопасности.

Что же такое государственная информационная система (ГИС) и где содержатся требования по защите информации?

Согласно определениям из Федерального закона от 27.07.2006 N 149-ФЗ:

Статья 13, П.1, ПП.1

Государственные информационные системы (ГИС) - федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов.

Статья 13, П.1, ПП.2

Муниципальные информационные системы (МИС), созданные на основании решения органа местного самоуправления.

Статья 14, П.1

Государственные информационные системы создаются в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях.

Ключевым признаком отнесения информационной системы (ИС) к ГИС является наличие основания (Закон, Приказ, Постановление и т.п.) от органа исполнительной власти федерального, регионального или муниципального уровня. При этом на МИС также распространяются все требования к защите ГИС.

Защита ресурсов государственных информационных систем в части технической защиты (исключая криптографическую защиту информации) регулируется Приказом ФСТЭК России от 11.02.2013 г. N 17 “Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах”.

Также в Приказе ФСТЭК России от 11.02.2013 г. N 17 имеется оговорка.

Статья 1, П.6

По решению обладателя информации (заказчика) или оператора настоящие Требования могут применяться для защиты информации, содержащейся в негосударственных информационных системах.

Эта оговорка, в первую очередь, предназначена для информационных систем государственных учреждений, которые в явном виде не подпадают под требования Приказа ФСТЭК России N 17, т.к. созданы не на основе решения органа власти (либо это решение ещё не принято), но имеют важность для обеспечения деятельности государственного учреждения и необходимы для выполнения его функций.

Информационная инфраструктура Российской Федерации включает в себя множество объектов и их компонентов, управляемых различными государственными и коммерческими организациями. При этом среди упомянутых объектов можно выделить определённую группу объектов, из-за нарушения нормального функционирования которых может быть нанесён ущерб интересам всей Российской Федерации или её субъектов.

Что же такое значимый объект критичной информационной инфраструктуры (ЗОКИИ)?

Согласно определениям из Федерального закона от 27.07.2006 N 149-ФЗ:

Статья 2

3) Значимый объект критической информационной инфраструктуры (ЗОКИИ) - объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры;

6) Критическая информационная инфраструктура - объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов;

7) Объекты критической информационной инфраструктуры (ОКИИ) - информационные системы (ИС), информационно-телекоммуникационные сети (ИТКС), автоматизированные системы управления (АСУ) субъектов критической информационной инфраструктуры;

8) Субъекты критической информационной инфраструктуры - государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

Ключевым признаком отнесения ИС, ИТКС, АСУ к ОКИИ является её функционирование в следующих сферах деятельности:

• здравоохранение;
• наука;
• транспорт;
• связь;
• энергетика;
• банковская сфера;
• сферы финансового рынка;
• топливно-энергетический комплекс;
• атомная энергетика;
• оборонная промышленность;
• ракетно-космическая промышленность;
• горнодобывающая промышленность;
• металлургическая промышленность;
• химическая промышленность.

Однако, отнесение ИС, АСУ и ИТКС к ОКИИ ещё не означает автоматической необходимости соблюдения требований.

Согласно определениям из Федерального закона от от 26.07.2017 N 187-ФЗ:

Статья 7, П.2

Категорирование осуществляется исходя из:

• 1) социальной значимости, выражающейся в оценке возможного ущерба, причиняемого жизни или здоровью людей, возможности прекращения или нарушения функционирования объектов обеспечения жизнедеятельности населения, транспортной инфраструктуры, сетей связи, а также максимальном времени отсутствия доступа к государственной услуге для получателей такой услуги;
• 2) политической значимости, выражающейся в оценке возможного причинения ущерба интересам Российской Федерации в вопросах внутренней и внешней политики;
• 3) экономической значимости, выражающейся в оценке возможного причинения прямого и косвенного ущерба субъектам критической информационной инфраструктуры и (или) бюджетам Российской Федерации;
• 4) экологической значимости, выражающейся в оценке уровня воздействия на окружающую среду;
• 5) значимости объекта критической информационной инфраструктуры для обеспечения обороны страны, безопасности государства и правопорядка.

Статья 7, П.4

Субъекты критической информационной инфраструктуры в соответствии с критериями значимости и показателями их значений, а также порядком осуществления категорирования присваивают одну из категорий значимости принадлежащим им на праве собственности, аренды или ином законном основании объектам критической информационной инфраструктуры. Если объект критической информационной инфраструктуры не соответствует критериям значимости, показателям этих критериев и их значениям, ему не присваивается ни одна из таких категорий.

Согласно изложенному, только в отношении значимых ОКИИ (ЗОКИИ) должны выполняться требования ФСТЭК по защите ЗОКИИ в соответствие с Приказом ФСТЭК России от 25.12.2017 г. N 239 ”Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры российской федерации”.

Современную промышленность и энергетику тяжело представить без автоматизации технологического процесса. Это связано как с необходимостью оптимизации затрат на персонал путем автоматизации рутинных операций, так и с повышением качества итогового продукта (исключая негативное влияние человеческого фактора), в т.ч. с реализацией производственных операций в агрессивной для человеческого организма среде.

Что же такое автоматизированная система управления технологическим процессом (АСУ ТП)?

Согласно определению из Федерального закона от от 26.07.2017 N 187-ФЗ:

Статья 2

Автоматизированная система управления (АСУ) - комплекс программных и программно-аппаратных средств, предназначенных для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими оборудованием и процессами;

Согласно определениям из Федерального закона от 21.12.1994 № 68-ФЗ “О защите населения и территорий от чрезвычайных ситуаций природного и техногенного характера”:

Статья 1

Критически важный объект - это объект, нарушение или прекращение функционирования которого приведет к потере управления экономикой Российской Федерации, субъекта Российской Федерации или административно-территориальной единицы субъекта Российской Федерации, ее необратимому негативному изменению (разрушению) либо существенному снижению безопасности жизнедеятельности населения.

Потенциально опасный объект - это объект, на котором расположены здания и сооружения повышенного уровня ответственности, либо объект, на котором возможно одновременное пребывание более пяти тысяч человек.

Ключевым признаком присутствия в организации АСУ технологическим процессом (АСУ ТП) является наличие комплекса технический решений, реализующий контур управления каким-либо технологическим процессом (производством).

Важно понимать, что не каждая АСУ ТП является объектом критической информационной инфраструктуры Российской Федерации (ОКИИ) и, тем более, значимым объектом (ЗОКИИ), что означает, что для их защиты нельзя применять Приказ ФСТЭК N 239 от 25.12.2017.

В общем случае, практически любую производственную линию можно отнести либо к критически важным объектам, либо к потенциально опасным объектам, т.к. на производстве возможны такие негативные последствия как:

• урон экономике субъекта федерации или муниципалитета (градообразующие предприятия);
• человеческие жертвы (вследствие выхода из строя промышленной линии или некорректной эксплуатации);
• экологический ущерб (даже со стороны агропромышленности и лёгкой промышленности).

Защита автоматизированных систем управления технологическим процессом в части технической защиты (исключая криптографическую защиту информации) регулируется Приказом ФСТЭК России от 14.03.2014 г. N 31 “Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды”.

Иными словами, Приказ ФСТЭК N 31 от 14.03.2014 позволяет легально применить требования для защиты тех АСУ ТП, которые не являются ЗОКИИ. При этом, важно отметить, что набор мер в Приказе ФСТЭК N 31 полностью повторяет набор мер из Приказа ФСТЭК N 239.

Однако, согласно определениям из Приказа ФСТЭК России от 14.03.2014 г. N 31:

Статья 1, П.1

Настоящие Требования применяются в случае принятия владельцем автоматизированной системы управления решения об обеспечении защиты информации, обработка которой осуществляется этой системой и нарушение безопасности которой может привести к нарушению функционирования автоматизированной системы управления.

Изложенные формулировки указывают на то, что применение мер защиты, согласно Приказу ФСТЭК N 31, осуществляется на усмотрение владельца АСУ ТП. Т.е. меры, изложенные в Приказе ФСТЭК N 31, являются рекомендациями, а не требованиями.

Важно отметить, что Приказы ФСТЭК, содержащие описание мер защиты информации, взаимосвязаны и в них имеются ссылки друга на друга.

В Приказе ФСТЭК России от 11.02.2013 г. N 17:

Статья 1, П.5

При обработке в государственной информационной системе информации, содержащей персональные данные, настоящие Требования применяются наряду с требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119

В Приказе ФСТЭК России от 14.03.2014 г. N 31:

Статья 1, П.1

Обеспечение безопасности автоматизированных систем управления, являющихся значимыми объектами критической информационной инфраструктуры Российской Федерации, осуществляется в соответствии с Требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденными приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. N 239, а также Требованиями к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утвержденными приказом Федеральной службы по техническому и экспортному контролю от 21 декабря 2017 г. N 235 (зарегистрирован Минюстом России 22 февраля 2018 г., регистрационный N 50118).

В Приказе ФСТЭК России от 25.12.2017 N 239:

Статья 1, П.5

Для обеспечения безопасности значимых объектов, являющихся информационными системами персональных данных, настоящие Требования применяются с учетом Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 (Собрание законодательства Российской Федерации, 2012, N 45, ст. 6257). Для обеспечения безопасности значимых объектов, являющихся государственными информационными системами, настоящие Требования применяются с учетом Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17 (зарегистрирован Минюстом России 31 мая 2013 г., регистрационный N 28608) (с изменениями, внесенными приказом ФСТЭК России от 15 февраля 2017 г. N 27 «О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. N 17» (зарегистрирован Минюстом России 14 марта 2017 г., регистрационный N 45933).

При выполнении проекта по созданию комплексной системы защиты какой-либо информационной системы необходимо учитывать одновременно все те Приказы ФСТЭК, под чью “юрисдикцию” подпадает защищаемая информационная система и содержащиеся в ней сведения:

• Приказ N 17 — Меры защиты информации в государственных информационных системах;
• Приказ N 21 — Содержание мер по обеспечению безопасности персональных данных;
• Приказ N 31 — Меры защиты информации в автоматизированных системах управления;
• Приказ N 239 — Меры обеспечения безопасности значимого объекта критической информационной инфраструктуры.

Далее приведена таблица с примерами информационных систем (ИС), автоматизированных систем управления (АСУ), информационно-телекоммуникационных систем (ИТКС), для защиты которых применимы один или несколько Приказов ФСТЭК:

Бухгалтерия и кадры — ИСПДн: +; ГИС: нет; АСУ ТП: нет; ЗОКИИ: нет.

Система обработки заказов клиентов коммерческой организации — ИСПДн: +; ГИС: нет; АСУ ТП: нет; ЗОКИИ: нет.

Региональная система фиксации обращения граждан — ИСПДн: +; ГИС: +; АСУ ТП: нет; ЗОКИИ: нет.

Региональный сайт правительства, не имеющий личного кабинета — ИСПДн: нет; ГИС: +; АСУ ТП: нет; ЗОКИИ: нет.

Внутренняя система государственного учреждения, содержащая ПДн — ИСПДн: +; ГИС: +/-*; АСУ ТП: нет; ЗОКИИ: нет.

Федеральная телекоммуникационная сеть оператора — ИСПДн: нет; ГИС: нет; АСУ ТП: нет; ЗОКИИ: +.

Федеральный центр обработки данных - телекоммуникационная сеть — ИСПДн: нет; ГИС: +; АСУ ТП: нет; ЗОКИИ: +.

Федеральная медицинская система — ИСПДн: +; ГИС: +; АСУ ТП: нет; ЗОКИИ: +.

Региональная медицинская система — ИСПДн: +; ГИС: +; АСУ ТП: нет; ЗОКИИ: нет.

Индустриальный контур атомной электростанции — ИСПДн: нет; ГИС: нет; АСУ ТП: +; ЗОКИИ: +.

Индустриальный контур станкостроительной организации — ИСПДн: нет; ГИС: нет; АСУ ТП: +; ЗОКИИ: нет.

Индустриальный контур тепло-электростанции — ИСПДн: нет; ГИС: нет; АСУ ТП: +; ЗОКИИ: +/-**.

* - только при соблюдении условия наличия основания (Закон, Приказ, Постановление и т.п.) от органа исполнительной власти федерального, регионального или муниципального уровня, либо при условии применения требований Приказа ФСТЭК №17 по решению оператора информационной системы

** - только при условии проведения категорирования и обоснования, что указанная АСУ является значимым объектом критичной информационной инфраструктуры

Стоит отметить, что представители ФСТЭК России в своих выступлениях на публичных мероприятиях неоднократно обращали внимание на то, что при наличии пересекающихся требований к одной и той же ИС необходимо реализовывать каждое из требований (выбирая в итоге максимально жёсткое).

Ключевой особенностью мер из Приказов ФСТЭК России является вариативность их реализации с помощью комплекса организационных и технических мер. Причём, некоторые меры не обязательны, а некоторые могут быть выполнены только с помощью организационных мер.

• Идентификация и аутентификация (ИАФ)

Также решения Индид позволяют реализовать основные задачи технического характера в своей области функционирования/развёртывания в следующих группах мер:

• Регистрация событий безопасности (РСБ) / Аудит безопасности (АУД)
• Управление доступом (УПД)

Дополнительно решения Индид позволяют реализовать существенную часть технических задач по следующим разделам в своей области функционирования/развёртывания:

• Выявление инцидентов и реагирование на них (ИНЦ)
• Управление конфигураций информационной системы и системы защиты (УКФ)

С точки зрения собственной работы, решения компании Индид поддерживают релизацию всех основных задач по следующим группам мер:

• Обеспечение целостности (ОЦЛ)
• Обеспечение доступности (ОДТ)

Более детальную информацию по выполнению мер требований Приказов ФСТЭК с помощью решений Индид можно запросить у нас в чате.

Ссылки на нормативно-правовые акты: