Приказ ФСТЭК № 239: правовой щит для критической инфраструктуры

Защита объектов критической инфраструктуры (КИИ) в России становится актуальнее с каждым днем. Атакам подвергаются не только госструктуры, но и известные коммерческие компании. Ущерб в обоих случаях может обернуться катастрофой масштаба всей страны.

Все это – предпосылки к тому, что государство будет ужесточать требования к безопасности объектов КИИ. В частности, изменения могут внести в Приказ ФСТЭК №­­­­­­­ 239. Какие требования документ описывает сейчас? И чего ожидать в будущем? Обо всем по порядку – в этой статье.

Приказ ФСТЭК № 239: кратко о документе

Еще в 2017 году Президент РФ подписал 187-ФЗ «О безопасности критической информационной инфраструктуры РФ». Закон обязывает организации, которые относят себя к КИИ, определять уровень критичности их ПО в масштабах государства. Прежде всего речь идет об оценке информационных систем.

Также 187-ФЗ утверждает, что наиболее критичные объекты КИИ необходимо защищать особыми мерами. Что именно нужно делать, описывает Приказ ФСТЭК №­­­­­­­ 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры РФ» от 25 декабря 2017 года (текущая редакция от 20.02.2020).

Приказ поясняет, что меры защиты КИИ нужно вводить в три этапа. Если максимально упростить их описания, то это:

1. Анализ и оценка информационных систем на уязвимости ИБ: в ходе такого аудита нужно подготовить отчет о текущей ситуации в организации. В него включается информация о процессах, данных, пользователях и другие параметры систем. На их основе проводится категорирование объектов КИИ. Проще говоря, каждая информационная система получает свою категорию значимости. Это также указывается в отчете аудита.
2. Моделирование инцидентов – возможностей нарушителей и угроз. На этом же этапе описываются мероприятия по их нейтрализации.
3. Подготовка технических и проектных документов к ПО, которому предстоит обеспечить защиту объектов КИИ. Здесь же прописываются регламенты, инструкции и другие внутренние правила взаимодействия с ними. Причем учитывается как ввод и дальнейшая работа систем безопасности, так и вывод из эксплуатации. Во всей этой работе, конечно же, учитываются результаты первых двух этапов.

Но это еще не все меры. Требования 239-го Приказа ФСТЭК включают регулярный анализ защищенности ИТ-инфраструктуры организации. То есть постоянный ИБ-аудит должен выявлять уязвимости не только информационных систем, но и другого ПО.

В целом же, документ описывает множество возможных мер информационной безопасности объектов КИИ. В их число, помимо аудитов и разработки документации, входят управление доступом, идентификация и аутентификация, антивирусная защита, обучение персонала, управление конфигурацией и другие пункты.

При этом не исключаются ситуации, когда на объекте КИИ уже применяются меры промышленной, функциональной или физической безопасности, которых достаточно для нейтрализации актуальных угроз ИБ. В этом случае регулятор разрешает дополнительные мероприятия не проводить.

И наконец, Приказ № 239 ФСТЭК фиксирует ответственность всех сторон – как организации, которая относит себя к КИИ, так и компании-разработчика ПО для ее защиты. Также уточняются их ролевые модели. Если исполнитель отвечает за создание легитимного продукта, то заказчик – за испытания и приемку. Они проводятся организацией самостоятельно или с привлечением лицензиатов ФСТЭК России.

Роман Рогозин

Руководитель направления компании «Газинформсервис»

Поскольку специалисты ФСТЭК России разрабатывали Приказ № 239, накопив опыт в работе над схожими Приказами (№ 21, 17, 31), в документе были учтены многие важные моменты.

Приложение к документу содержит достаточно широкий спектр организационных и технических мер по противодействию компьютерным атакам. В скором времени, после выхода первой версии Приказа № 239, специалистами ФСТЭК России были внесены доработки с учетом полученной обратной связи от экспертного сообщества и представителей служб безопасности субъектов КИИ, а также отраслевых регуляторов.

Также, по его словам, при адаптации базового набора мер субъекты КИИ могут расширить его состав. В частности, его можно дополнить требованиями отраслевых документов и внутренних документов.

Каких изменений ждать в Приказе № 239

С этим вопросом портал Cyber Media обратился к экспертам по кибербезопасности. Самый популярный ответ – регулятор будет ужесточать требования к средствам защиты информации.

Сергей Белов

SEO AtreIdea

Так они будут соответствовать более высокому уровню доверия, о котором говорится в Приказе № 76 ФСТЭК России от 2 июня 2020 года. Чтобы выполнить такие требования, придется проводить дополнительные испытания и проверки. Это может увеличить время и затраты на разработку средств защиты.

Кроме того, стоит ожидать внедрения дополнительных процедур безопасной разработки прикладного ПО. В их числе – моделирование угроз и использование методики фаззинга. Новое требование также увеличит время и затраты на разработку, но повысит безопасность программного обеспечения.

По мнению эксперта, ФСТЭК также может сделать обязательной модернизацию процессов сопровождения ПО на всех стадиях его жизненного цикла, включая оповещение о выявленных уязвимостях и способах их устранения. Еще одна возможная поправка – организации будут обязаны уведомлять о снятии ПО с поддержки.

Евгений Царев

Управляющий RTM Group

Меры Приказа № 239 соответствуют реалиям лишь частично. Причин тому несколько, и основные из них – это санкции и прогресс. Вернее, прогресс и санкции. Потому что уже на момент выхода приказа существовали технологии, им не охваченные. В частности, облачные решения и контейнеризация. Их защита обеспечивается всеми доступными средствами, которых катастрофически не хватает. Санкции сократили ассортимент средств защиты, что не позволяет реализовать все меры в полном объеме, и это тоже следует учитывать.

К сожалению, ФСТЭК не делает анонсов, не согласует, как, например, ЦБ, проекты документов. По этой причине сложно говорить о сроках обновления приказа. Тем не менее на профильных конференциях заявления представителей службы однозначно говорят о том, что проблема известна внутри самого ФСТЭК.

В ближайшее время эксперт ожидает разъяснений по вопросам внедрения приказа. Он предполагает, что комментарии регулятора появятся до конца 2023 года.

Роман Рогозин

Руководитель направления компании «Газинформсервис»

Думаю, что на текущий момент времени, вносить глобальные корректировки в текущую редакцию Приказа не следует. Многие субъекты КИИ только завершили или находятся на финальной стадии модернизации как систем безопасности, так и инфраструктуры защищаемых объектов КИИ.

Для оценки необходимых изменений в документе следует провести анализ эффективности реализованных мероприятий на базе информации, поступающей от субъектов КИИ в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, а также обратной связи от специалистов служб безопасности субъектов КИИ.

Только после этого, по мнению эксперта, следует внести точечные корректировки в положения Приказа № 239. Также он согласен с другими экспертами в том, что в ближайшее время важнее выпустить методические рекомендации, которые опишут порядок реализации и усиления мер защиты КИИ.

Итоги

Приказ ФСТЭК № 239 точно будет меняться, этого требуют новые обстоятельства. Но важнее другое – документ уже сейчас помогает российским предприятиям не попасть под смертельный удар в кибервойне.

Однако судьба критической инфраструктуры государства во многом остается в руках самих организаций. Станут ли они реально вкладываться в защиту своего ПО или предпочтут выполнять требования формально – вопрос, на который у экспертов пока нет ответа.