Статья 16. основные требования по обеспечению безопасности дорожного движения при эксплуатации транспортных средств

Статья 1. Основные понятия

В целях настоящего Федерального закона используются следующие понятия:

1) акт незаконного вмешательства — противоправное действие (бездействие), в том числе террористический акт, угрожающее безопасной деятельности транспортного комплекса, повлекшее за собой причинение вреда жизни и здоровью людей, материальный ущерб либо создавшее угрозу наступления таких последствий;

2) категорирование объектов транспортной инфраструктуры и транспортных средств — отнесение их к определенным категориям с учетом степени угрозы совершения акта незаконного вмешательства и его возможных последствий;

3) компетентные органы в области обеспечения транспортной безопасности — федеральные органы исполнительной власти, уполномоченные Правительством Российской Федерации осуществлять функции по оказанию государственных услуг в области обеспечения транспортной безопасности;

4) обеспечение транспортной безопасности — реализация определяемой государством системы правовых, экономических, организационных и иных мер в сфере транспортного комплекса, соответствующих угрозам совершения актов незаконного вмешательства;

5) объекты транспортной инфраструктуры — технологический комплекс, включающий в себя железнодорожные, трамвайные и внутренние водные пути, контактные линии, автомобильные дороги, тоннели, эстакады, мосты, вокзалы, железнодорожные и автобусные станции, метрополитены, морские торговые, рыбные, специализированные и речные порты, портовые средства, судоходные гидротехнические сооружения, аэродромы, аэропорты, объекты систем связи, навигации и управления движением транспортных средств, а также иные обеспечивающие функционирование транспортного комплекса здания, сооружения, устройства и оборудование;

6) оценка уязвимости объектов транспортной инфраструктуры и транспортных средств — определение степени защищенности объектов транспортной инфраструктуры и транспортных средств от угроз совершения актов незаконного вмешательства;

7) перевозчик — юридическое лицо или индивидуальный предприниматель, принявшие на себя по договору перевозки транспортом общего пользования обязанность доставить пассажира, вверенный им отправителем груз, багаж, грузобагаж из пункта отправления в пункт назначения, а также выдать груз, багаж, грузобагаж управомоченному на его получение лицу (получателю);

8) специализированные организации в области обеспечения транспортной безопасности — юридические лица, аккредитованные компетентными органами в области обеспечения транспортной безопасности в порядке, устанавливаемом Правительством Российской Федерации, для проведения оценки уязвимости объектов транспортной инфраструктуры и транспортных средств;

9) субъекты транспортной инфраструктуры — юридические и физические лица, являющиеся собственниками объектов транспортной инфраструктуры и транспортных средств или использующие их на ином законном основании;

10) транспортная безопасность — состояние защищенности объектов транспортной инфраструктуры и транспортных средств от актов незаконного вмешательства;

11) транспортные средства — воздушные суда, суда, используемые в целях торгового мореплавания или судоходства, железнодорожный подвижной состав, подвижной состав автомобильного и электрического городского наземного пассажирского транспорта в значениях, устанавливаемых транспортными кодексами и уставами;

12) транспортный комплекс — объекты и субъекты транспортной инфраструктуры, транспортные средства;

13) уровень безопасности — степень защищенности транспортного комплекса, соответствующая степени угрозы совершения акта незаконного вмешательства.

Что требуется для построения собственного центра ГосСОПКА?

Согласно документу «Методические рекомендации по созданию ведомственных и корпоративных центров ГосСОПКА», для построения собственного центра ГосСОПКА необходимо обеспечить функционирование совокупности технических средств и процессов, выполняющих следующие функции:

  • инвентаризация информационных ресурсов;
  • выявление уязвимостей информационных ресурсов;
  • анализ угроз информационной безопасности;
  • повышение квалификации персонала информационных ресурсов;
  • прием сообщений о возможных инцидентах от персонала и пользователей информационных ресурсов;
  • обеспечение процесса обнаружения компьютерных атак;
  • анализ данных о событиях безопасности;
  • регистрация инцидентов;
  • реагирование на инциденты и ликвидация их последствий;
  • установление причин инцидентов;
  • анализ результатов устранения последствий инцидентов.

Для этого в составе технических средств ОПЛ КА могут использоваться:

  • средства обнаружения и предотвращения вторжений, в том числе обнаружения целевых атак;
  • специализированные решения по защите информации для индустриальных сетей, финансового сектора;
  • средства выявления и устранения DDoS-атак;
  • средства сбора, анализа и корреляции событий;
  • средства анализа защищенности;
  • средства антивирусной защиты;
  • средства межсетевого экранирования;
  • средства криптографической защиты информации для защищенного обмена информацией с другими центрами ГосСОПКА.

Технические средства должны быть интегрированы в единый комплекс, управляемый из центра ГосСОПКА и взаимодействующий с другими центрами ГосСОПКА.

Помимо технического обеспечения для создания центра ГосСОПКА необходимо разработать соответствующие методические документы, включающие настройки средств обеспечения ИБ, решающие правила средств обнаружения компьютерных атак, правила корреляции событий, инструкции для персонала и т.п.

Центр ГосСОПКА может быть реализован субъектом КИИ как самостоятельно (с использованием собственных технических и кадровых ресурсов), так и с привлечением сторонних специалистов путем передачи на аутсорсинг части функций, например, анализ угроз информационной безопасности, повышение квалификации персонала, прием сообщений об инцидентах, анализ защищенности и расследование инцидентов.

Какова ответственность за нарушения?

Если вы не успели отправить в ФСТЭК перечень объектов КИИ, никакой ответственности за это не предусмотрено. Но ФЗ-187 действует с начала 2018 года, и если произойдет инцидент, а необходимые меры по защите не были приняты, последствия для субъекта КИИ будут серьезными — в уголовный кодекс уже внесены соответствующие изменения. Согласно ст. 274.1 УК РФ за создание, распространение и (или) использование ПО или иной компьютерной информации для неправомерного воздействия на КИИ предусмотрены принудительные работы на срок до 5 лет или до 5 лет лишения свободы, а также штраф до 1 млн рублей. Неправомерный доступ к информации КИИ, если он повлек вред, будет наказан принудительными работами сроком до 5 лет, до 6 лет лишения свободы и штрафами до 1 млн рублей.

Есть ответственность и для субъектов КИИ. Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой законом информации КИИ либо правил доступа, если оно повлекло причинение вреда для КИИ, наказывается принудительными работами на срок до 5 лет, лишением свободы до 6 лет, запретом на определенные виды деятельности на срок до 3 лет для юридических лиц и индивидуальных предпринимателей или запретом занимать определенные должности для физических лиц на тот же срок.

У этой статьи есть усиление. Если преступление совершено группой лиц или с использованием служебного положения, оно наказывается лишением свободы на срок до 8 лет, а также запретом на определенные виды деятельности (юридические лица и ИП) или запретом занимать определенные должности (физические лица) на срок до 3 лет. В случае тяжких последствий максимальный срок лишения свободы увеличивается до 10 лет, а запрет на виды деятельности и должности — до 5 лет.

А если требования Закона не будут выполнены?

Вместе с утверждением ФЗ «О безопасности КИИ» в УК РФ была добавлена новая статья 274.1, которая устанавливает уголовную ответственность должностных лиц субъекта КИИ за несоблюдение установленных правил эксплуатации технических средств объекта КИИ или нарушение порядка доступа к ним вплоть до лишения свободы сроком на 6 лет. Пока данная статья не предусматривает ответственности за невыполнение необходимых мероприятий по обеспечению безопасности объекта КИИ, однако в случае наступления последствий (аварий и чрезвычайных ситуаций, повлекших за собой крупный ущерб) непринятие таких мер подпадает по состав 293 статьи УК РФ «Халатность». Дополнительно следует ожидать внесения изменений в административное законодательство в части определения штрафных санкций для юридических лиц за неисполнение Закона. С большой долей уверенности можно говорить о том, что именно введение существенных денежных штрафов будет стимулировать субъекты КИИ к выполнению требований Закона.

Функции центров ГосСОПКА

Центр ГосСОПКА создается как структурное подразделение организации, ориентированное на решение определенного набора задач по противодействию компьютерным атакам. К таким задачам относятся:

  • инвентаризация;
  • выявление уязвимостей;
  • анализ угроз;
  • регистрация инцидентов;
  • реагирование на инциденты;
  • расследование инцидентов;
  • анализ результатов реагирования на инцидент.

Выявление уязвимостей является, наверное, ключевым элементом противодействия атакам, и речь идет не только об устранении предпосылки для проведения атаки, использующей такую уязвимость. Не всякую уязвимость можно устранить в короткие сроки: иногда для этого требуется заменить уязвимые устройства, и таких устройств в инфраструктуре могут быть десятки тысяч. Знание уязвимости позволяет определить возможные способы ее использования нарушителем, следы, которые он при этом оставит, а главное — заранее спланировать действия по реагированию.

Выявление уязвимостей требует хорошего знания защищаемой инфраструктуры, и для этого требуется инвентаризация. Инвентаризация предусматривает сбор подробной технической информации о каждом сервере, каждом персональном компьютере и каждом телекоммуникационном устройстве в защищаемой инфраструктуре, включая определение моделей аппаратного обеспечения, состава установленных программных средств и установленных обновлений безопасности. Такая информация позволяет быстро реагировать на некоторые виды атак: например, при появлении публикаций о новом сетевом черве можно сразу же определить все узлы сети, потенциально подверженные такой атаке, и принять необходимые меры.

Анализ угроз также является необходимой составляющей подготовки к реагированию. Не секрет, что при создании информационных систем разработка моделей угроз сводится к простой формальности, и многие актуальные угрозы при создании системы защиты не рассматриваются. Центр ГосСОПКА оценивает архитектуру и состав защищаемых информационных систем с позиций нападающей стороны и определяет, какие атаки могут быть проводиться на них при их текущем состоянии. Для этого используются как результаты выявления уязвимостей, так и опыт, накопленный в реагировании на атаки, проводившиеся ранее на другие информационные системы.

При реагировании на атаки центр ГосСОПКА сочетает в себе роли координатора и экспертной группы. Для атак, с которыми центру уже приходилось сталкиваться, разрабатываются сценарии реагирования (плейбуки), определяющие необходимые действия персонала по локализации атаки и ликвидации ее последствий. Если с атакой раньше сталкиваться не приходилось, центр формирует рабочую группу из представителей персонала защищаемой системы и своих экспертов, и решения вырабатываются непосредственно в процессе реагирования.

Не на каждую атаку удается отреагировать адекватно. Решения, принятые в спешке в случае неизвестной атаки, не всегда оказываются удачными, даже в случае известных атак готовые плейбуки не всегда оказываются адекватными. Поэтому после каждого реагирования проводится разбор полетов, по итогам которого принимаются решения о совершенствовании защиты информационных систем и работы собственно центра ГосСОПКА.

Таким образом, работа центра ГосСОПКА строится на принципах самосовершенствования: допустима неудача в реагировании на отдельный инцидент, но каждая такая неудача должна приводить к совершенствованию защиты.

Организация проектов по защите объектов КИИ. Рекомендации

С учетом высокой загрузки отделов и департаментов по ИБ и нехватки профильных специалистов в самих организациях, данные работы обычно реализуют в виде проектов с привлечением подрядчиков. Далее рассмотрим рекомендации «с другой стороны баррикад», так как часто организации сами загоняют себя в угол, и из-за банальных неточностей в постановке задачи получают не те результаты, на которые рассчитывали.

1. Разбейте проект на части

Не стоит объединять в один проект (договор) все работы «под ключ». Есть несколько этапов, от результата которых зависит объем всех последующих работ, поэтому до их завершения подрядчик не сможет корректно оценить сроки и бюджет проекта. Соответственно, будет или демпинг и не слишком качественный результат, в случае объема работ выше ожидаемого, или, наоборот, попытка перезаложиться для закрытия своих рисков. Поэтому в «Стэп Лоджик» рекомендуют разбить проект на этапы и реализовывать их последовательно, приступая к следующему этапу только после завершения предыдущего:

  • Категорирование объектов. На данном этапе фактически определяется область дальнейших работ – перечень объектов КИИ и их границы;
  • Разработка требований ИБ. Это ключевой этап, на котором осуществляется оценка угроз и формируются требования к необходимым мероприятиям и средствам защиты или обосновывается возможность использования существующих мер защиты;
  • Все последующие работы, связанные с реализацией мер, определенных на втором этапе.

2. Используйте результаты предыдущих работ

Нередко объекты КИИ также являются информационными системами персональных данных (ИСПДн) и/или государственными информационными системами (ГИС). В таких случаях необходимо выполнить требования нормативных документов из нескольких сфер. Стоит включить в работы ревизию уже выполненных ранее проектов и ответить на следующие вопросы:

  • Соответствуют ли друг другу «старая» и «новая» модели угроз, выполненные для одной и той же системы – например, для ГИС (ИСПДн), которая стала еще и объектом КИИ?
  • Насколько соответствуют реализованные ранее требования по защите информации новым, какие из существующих средств защиты планируется использовать для защиты объекта КИИ?
  • Насколько соответствуют существующие нормативно-методические документы организации по вопросам ИБ новым требованиям?

3. Не стоит изобретать велосипед

В приказах ФСТЭК №235 и №239 в явном виде определены все работы, их содержание и документация, которая должна быть разработана в ходе реализации проектов по защите объекта КИИ. При формировании задания на работы рекомендуется строго придерживаться этих формулировок, чтобы четко выполнить поставленную задачу и не увеличить сроки и бюджет проекта. Даже незначительная корректировка может иногда повлечь заметные изменения в проекте.

4. Используйте средства защиты, «прошедшие оценку соответствия»

Применение сертифицированных средств защиты не во всех случаях является обязательным. Чтобы не загнать себя и исполнителя в угол, пропишите в требованиях формулировку из нормативных документов: «использование средств защиты, прошедших оценку соответствия». Грамотный исполнитель сам определит необходимость применения сертифицированных средств защиты и возможность использования альтернатив.

Судебная практика и законодательство — Закон РФ от 05.03.1992 N 2446-1 (ред. от 26.06.2008) «О безопасности»

Исходя из содержания письма Минфина России, ранее Законом Российской Федерации от 5 марта 1992 г. N 2446-1 «О безопасности» (далее — Закон N 2446-1) систему безопасности образовывали в том числе органы судебной власти. Указанный Закон N 2446-1 утратил силу в связи с принятием Федерального закона от 28 декабря 2010 г. N 390-ФЗ «О безопасности» (далее — Закон N 390-ФЗ).

Согласно разъяснениям Минэкономразвития России, изложенным в письме от 13.03.2007 N Д08-840, при рассмотрении вопроса об отнесении земельных участков, предоставленных для обеспечения обороны и безопасности, к земельным участкам, ограниченным в обороте в соответствии с законодательством Российской Федерации, важным является разрешенное использование земельного участка либо его фактическое использование для обеспечения деятельности, предусмотренной Федеральными законами «Об обороне», «О безопасности».

Согласно Закона Российской Федерации от 05.03.1992 N 2446-1 «О безопасности» (далее — Закон N 2446-1) систему безопасности образуют органы законодательной, исполнительной и судебной властей, государственные, общественные и иные организации и объединения, граждане, принимающие участие в обеспечении безопасности в соответствии с данным Законом, а также законодательство, регламентирующее отношения в сфере безопасности.

Согласно Закона Российской Федерации от 5 марта 1992 г. N 2446-1 «О безопасности» силы обеспечения безопасности включают в себя: Вооруженные Силы, федеральные органы безопасности, органы внутренних дел, внешней разведки, обеспечения безопасности органов законодательной, исполнительной, судебной властей и их высших должностных лиц, налоговой службы; Государственную противопожарную службу, органы службы ликвидации последствий чрезвычайных ситуаций, формирования гражданской обороны; внутренние войска; органы, обеспечивающие безопасное ведение работ в промышленности, энергетике, на транспорте и в сельском хозяйстве; службы обеспечения безопасности средств связи и информации, таможенные органы, природоохранные органы, органы охраны здоровья населения и другие государственные органы обеспечения безопасности, действующие на основании законодательства.

Федеральный закон «О безопасности» от 5 марта 1992 г. N 2446-1;

Федеральный закон от 22 декабря 2008 г. N 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации»;

В соответствии с пунктом «ж» Конституции Российской Федерации и Российской Федерации от 5 марта 1992 г. N 2446-1 «О безопасности» постановляю:

1. Утратил силу с 6 мая 2011 года. — Указ Президента РФ от 06.05.2011 N 590.

Концепция определяет направления политики Российской Федерации в сфере обустройства государственной границы Российской Федерации с учетом положений Закона Российской Федерации от 1 апреля 1993 г. N 4730-1 «О Государственной границе Российской Федерации», Закона Российской Федерации от 5 марта 1992 г. N 2446-1 «О безопасности», Президента Российской Федерации от 17 декабря 1997 г. N 1300 «Об утверждении Концепции национальной безопасности Российской Федерации», приграничного сотрудничества в Российской Федерации, утвержденной распоряжением Правительства Российской Федерации от 9 февраля 2001 г. N 196-р, развития таможенных органов Российской Федерации, утвержденной распоряжением Правительства Российской Федерации от 14 декабря 2005 г. N 2225-р, и других нормативных правовых актов.

Согласно Закона Российской Федерации от 5 марта 1992 г. N 2446-1 «О безопасности» (далее — Закон N 2446-1) систему безопасности образуют органы законодательной, исполнительной и судебной властей, государственные, общественные и иные организации и объединения, граждане, принимающие участие в обеспечении безопасности в соответствии с данным Законом, а также законодательство, регламентирующее отношения в сфере безопасности.

В соответствии с пунктом «ж» Конституции Российской Федерации и Российской Федерации «О безопасности» постановляю:

1. Утратил силу. — Указ Президента РФ от 07.06.2004 N 726.

Согласно Закона Российской Федерации от 5 марта 1992 г. N 2446-1 «О безопасности» (далее — Закон «О безопасности») к силам обеспечения безопасности отнесены органы охраны здоровья населения.

Последние изменения

Как уже было обозначено выше, последние изменения в закон были внесены 5 октября 2015 года.

Изменения коснулись только 16 статьи. В нее был добавлен 4 пункт, в котором говорится о том, что секретарь Совета Безопасности в незамедлительном порядке должен сообщать о возникновении конфликтов интересов, о коррупции или других действий, запрещенных законом. Согласно изменениям, секретарь должен предпринять всевозможные меры, чтобы урегулировать сложившиеся конфликтные ситуации.

Ниже будут описаны статьи, в которые при последней редакции Закона РФ «О безопасности» изменений внесено не было.

Статья 7 глава 2

В статье 7 описаны основные цели международного сотрудничества в области обеспечения сохранности:

  • защита суверенитета и целостности территории РФ;
  • защита прав и интересов граждан за территорией РФ;
  • укрепление деловых отношений со стратегическими партнерами России;
  • вовлечение в деятельность организаций международного уровня, которые занимаются проблемами безопасности;
  • развитие отношений многостороннего и двухстороннего типа в целях исполнения задач, связанных с обеспечением безопасности;
  • участие в миротворческой деятельности.

Статья 8 глава 2

В статье 8 определены полномочия Президента РФ в сфере обеспечения безопасности:

  • определяет основные ветки госполитики в сфере обеспечения безопасности;
  • подтверждает стратегию и иные документы, связанные с национальной безопасностью РФ;
  • собирает и возглавляет Совет Безопасности;
  • определяет компетенцию органов федерально-исполнительной власти в сфере обеспечения защиты;
  • в случае необходимости вводит чрезвычайное положение в стране и на территориях ее регионов;
  • согласно законодательству, принимает решение относительно применения определенных экономических мер, чтобы защитить страну;
  • принимает меры по противодействию терроризму и экстремизму;
  • согласно закону решает вопросы, которые связаны с защитой государственной тайны и информации, а также с безопасностью населения и территорий, на которых было объявлено чрезвычайное положение;
  • осуществляет другие полномочия, возложенные на него Конституцией РФ, федеральными конституционными законами и федеральными законами.

Статья 9 глава 2

В статье 9 описаны полномочия Палат Федерального Собрания РФ в области обеспечения сохранности страны и ее граждан:

  • рассмотрение принятых Госдумой федеральных законов в области обеспечения надежности и сохранности;
  • утверждение указа Президента РФ о введении чрезвычайного положения в стране или в ее отдельном регионе.

Госдума принимает федеральные законы в сфере обеспечения надежности.

Статья 14 глава 3

В статье 14 главы 3 обозначены основные задачи и функции Совета Безопасности.

Задачи:

  • предоставление необходимых условий Президенту России для исполнения своих полномочий в сфере защищенности;
  • формирование и контроль за реализацией госполитики в области защиты страны и ее граждан;
  • прогнозирование угроз военной опасности, реализация мер по ее нейтрализации;
  • предоставление предложений о введении или отмене чрезвычайного положения и других важных мероприятий Президенту;
  • контроль за реализацией принятых Президентом решений;
  •  анализ и оценка эффективности деятельности федеральных органов в обеспечении сохранности и надежности.

Функции:

  • рассмотрение вопросов, касающихся защищенности страны и ее граждан;
  • разработка и анализ стратегий;
  • подготовка проектов нормативно-правовых актов для Президента РФ и другие.

Согласно Закону, Президент РФ вправе возложить на Совет и иные функции, если они предусмотрены Законодательством.

Категорирование выполнено. Что дальше?

Дальнейшие шаги будут различаться в зависимости от того, есть ли у организации значимые объекты КИИ по результатам категорирования.

Если значимых объектов нет, то дополнительные требования по защите объектов КИИ, определяемые ФСТЭК России, не требуются

Но это не значит, что защищать ничего не нужно – вполне вероятно, что после оценки возможного ущерба при инцидентах организация сама пересмотрит важность безопасности своих ресурсов и будет заинтересована в реализации дополнительных мер защиты. В соответствии с требованиями 187-ФЗ, необходимо будет обеспечить взаимодействие с ГосСОПКА в части предоставления сведений об инцидентах ИБ

Детали по передаваемой информации и организации взаимодействия можно найти в соответствующих приказах ФСБ России и методических документах НКЦКИ (органа, ответственного за оперирование ГосСОПКА).

Если у организации есть значимые объекты КИИ, то ей потребуется реализовать систему безопасности для защиты данных объектов в соответствии с нормативными документами ФСТЭК России.

Категорирование – отдать подрядчику или провести самостоятельно?

Многие организации предпочитают отдать эту часть работ подрядчикам. Есть множество примеров, когда заказчик просит не только провести категорирование, но и в целом «привести все объекты КИИ в соответствие с 187-ФЗ». Специалисты «Стэп Лоджик» рекомендуют осуществлять категорирование самостоятельно, а если и привлекать сторонних исполнителей, то только для консультации по частным вопросам.

Во-первых, в соответствии с законодательством, вся ответственность за принятие решений ложится исключительно на руководителя организации и комиссию, включающую руководителей подразделений и иных ответственных работников, а не на подрядную организацию.

Во-вторых, основа категорирования – оценка последствий от нарушений функционирования критических процессов и соответствующих объектов КИИ. Интеграторы и консультанты априори не могут знать все детали и нюансы вашей деятельности, все возможные последствия и их взаимосвязи. По опыту «Стэп Лоджик», даже в рамках группы компаний одни и те же процессы иногда реализованы по-разному, и такие нюансы могут оказать существенное влияние на результаты категорирования. Поэтому сторонние специалисты, изучив, например, десять заводов, не смогут быстро и идеально описать одиннадцатый без его обследования – вся информация в итоге будет снова запрашиваться у ответственных сотрудников. Таким образом, массив данных для категорирования предоставляется самой организацией, а суть услуг подрядчиков в 90% случаев состоит в наличии у них отработанных шаблонов и отчетных форм, а также имеющегося опыта работы с конкретной сферой.

В-третьих, для того чтобы подрядчик смог качественно провести категорирование, ему необходимо полностью изучить все бизнес-процессы организации, ее инфраструктуру, показатели деятельности (договоры, финансовую отчетность, иную статистику). Очевидно, что в данном случае проект займет не один месяц, а стоимость работ может оцениваться в миллионы рублей, если речь идет о крупных предприятиях или группах компаний. Насколько это оправдано с учетом сказанного выше?

Проведение категорирования своими силами – это еще один повод детально разобраться в бизнес-процессах организации, оценить все риски и ответить на главный вопрос: к каким последствиям может привести недостаточное соблюдение организационных и технических мер защиты информации

Это важно понимать самой организации, в том числе при дальнейшей реализации мер защиты и обосновании соответствующих проектов.. Если вы решились проводить категорирование самостоятельно, получить ответы на отдельные вопросы можно из следующих источников:

Если вы решились проводить категорирование самостоятельно, получить ответы на отдельные вопросы можно из следующих источников:

  • По телефону горячей линии ФСТЭК России: 8 (499) 246-11-89, на методических сборах регулятора и конференциях, где выступают специалисты ФСТЭК;
  • В подробной методике категорирования объектов КИИ от «Стэп Лоджик» с шаблонами необходимых документов и ответами на часто задаваемые вопросы. Методика распространяется на безвозмездной основе, доступна для скачивания на сайте компании и постоянно обновляется с учетом взаимодействия с регулятором и полученного опыта;
  • На профильных ресурсах (например, чат КИИ 187-ФЗ в Telegram);
  • Также можно привлекать консультантов для решения конкретных вопросов. Но в данном случае это частное мнение, основанное на субъективных знаниях и опыте, и оно не всегда будет верным. Лучше сопоставлять информацию из нескольких источников.

Взаимодействие субъекта КИИ с ГосСОПКА

Путаница в понятии «субъект» («субъект КИИ» или «субъект ГосСОПКА») порождает путаницу в вопросах взаимодействия субъектов КИИ с ГосСОПКА.

Субъект КИИ обязан незамедлительно проинформировать об инциденте ФСБ, а точнее — НКЦКИ. Если субъект КИИ поднадзорен Банку России, то он обязан также проинформировать ФинЦЕРТ Банка России. На практике это означает следующее:

  • Субъект КИИ может сообщить об инциденте в НКЦКИ любым из доступных способов: через интернет-портал НКЦКИ, письмом по электронной почте, телефонным звонком или официальным письмом.
  • Субъект КИИ, являющийся субъектом ГосСОПКА (т. е. заключивший с ФСБ соглашение о подключении к инфраструктуре НКЦКИ), сообщает об инциденте с помощью специальных средств взаимодействия, напрямую подключающихся к инфраструктуре НКЦКИ.
  • Субъект КИИ, поднадзорный Банку России, может сообщить об инциденте в ФинЦЕРТ, и оно будет передано в НКЦКИ.
  • Субъект КИИ, обслуживаемый центром ГосСОПКА, может сообщить об инциденте в этот центр ГосСОПКА, и оно будет передано в НКЦКИ.

Таким образом, центры ГосСОПКА, обслуживая своих клиентов, выступают в роли посредников между субъектами КИИ и НКЦКИ.

Выводы

Структура ГосСОПКА порождает своеобразное частно-государственное партнерство в вопросах противодействия компьютерным атакам. Угроза хакерских атак актуальна и для органов власти, и для бизнеса, но в сферах, определенных законом, они представляют особую опасность для общества. Самостоятельно защищаться от таких атак способны далеко не все. В рамках ГосСОПКА обеспечивается концентрация компетенций, необходимых для предотвращения атак и реагирования на них, и воспользоваться такими компетенциями могут как представители крупного бизнеса, так и небольшие компании и даже индивидуальные предприниматели. При этом государство в лице НКЦКИ выступает гарантом добросовестности центров ГоСОПКА, устанавливая требования к их деятельности, осуществляя надзор этой деятельностью и даже непосредственно участвуя в реагировании на некоторые атаки.

Ссылка на основную публикацию