Кибербезопасность в условиях электронного банкинга. Практическое пособие - Коллектив авторов
Таким образом, Закон № 187-ФЗ и его подзаконные акты можно и нужно применять для обеспечения безопасности функционирования систем электронного банкинга.
Рассмотрим основные положения этих документов.
Постановление Правительства Российской Федерации от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» [22]. Вводится перечень показателей критериев значимости объектов КИИ Российской Федерации и их значений, а также определяется порядок категорирования этих объектов.
Категорирование осуществляется субъектами КИИ в отношении принадлежащих им на праве собственности, аренды или ином законном основании объектов КИИ, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов КИИ.
Устанавливаются три категории значимости. Самая высокая категория – первая, самая низкая – третья. Определен перечень исходных данных для категорирования.
Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом КИИ перечня объектов. Перечень объектов в течение пяти рабочих дней после утверждения направляется в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности КИИ (ФСТЭК России).
Определен перечень сведений о результатах присвоения объекту КИИ одной из категорий значимости (либо об отсутствии необходимости присвоения ему одной из таких категорий), направляемых в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности КИИ. Форма направления сведений о результатах присвоения объекту КИИ Российской Федерации одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий утверждена Приказом ФСТЭК России от 22.12.2017 № 236 [36].
Следует отметить, что проект данного постановления Правительства Российской Федерации был согласован с Центральным банком Российской Федерации.
По информации ФСТЭК России, в настоящее время насчитывается более 250 систем банковской сферы и иных сфер финансового рынка, подлежащих категорированию в качестве объектов КИИ. Как минимум половина из этих систем так или иначе относится к системам электронного банкинга, и доля их будет только увеличиваться.
Основными проблемными вопросами категорирования, с которыми приходится сталкиваться субъекту КИИ, являются:
– определение принадлежности к субъектам КИИ;
– определение критических процессов;
– определение перечня объектов КИИ, подлежащих категорированию;
– определение необходимости согласования перечня объектов КИИ с государственным органом или российским юридическим лицом;
– подготовка сведений о результатах категорирования объектов КИИ.
Требования к созданию систем безопасности значимых объектов КИИ Российской Федерации и обеспечению их функционирования утверждены Приказом ФСТЭК России от 21.12.2017 № 235 [33]. Документ определяет требования к силам, программным и программно-аппаратным средствам обеспечения безопасности значимых объектов КИИ, к организационно-распорядительным документам, к функционированию системы безопасности в части организации работ.
Требования по обеспечению безопасности значимых объектов КИИ утверждены Приказом ФСТЭК России от 25.12.2017 № 239 [34]. Документом в зависимости от категории значимости и угроз безопасности информации определены следующие организационные и технические меры, подлежащие реализации:
– идентификация и аутентификация;
– управление доступом;
– ограничение программной среды;
– защита машинных носителей информации;
– аудит безопасности;
– антивирусная защита;
– предотвращение вторжений (компьютерных атак);
– обеспечение целостности;
– обеспечение доступности;
– защита технических средств и систем;
– защита информационной (автоматизированной) системы и ее компонентов;
– планирование мероприятий по обеспечению безопасности;
– управление конфигурацией;
– управление обновлениями программного обеспечения;
– реагирование на инциденты информационной безопасности;
– обеспечение действий в нештатных (непредвиденных) ситуациях;
– информирование и обучение персонала.
Средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации, применяются в случаях, установленных законодательством Российской Федерации, а также в случае принятия решения субъектом КИИ.
В иных случаях применяются средства защиты информации, прошедшие оценку соответствия в форме испытаний или приемки, которые проводятся субъектами КИИ самостоятельно или с привлечением организаций, имеющих в соответствии с законодательством Российской Федерации лицензии на деятельность в области защиты информации.
В случае использования в значимом объекте сертифицированных на соответствие требованиям по безопасности информации средств защиты информации (это шесть видов средств защиты: межсетевые экраны, системы обнаружения вторжений, средства антивирусной защиты, средства доверенной загрузки, средства контроля съемных машинных носителей информации, операционные системы):
а) в значимых объектах 1-й категории применяются средства защиты информации не ниже 4-го класса защиты, а также средства вычислительной техники не ниже 5-го класса;
б) в значимых объектах 2-й категории применяются средства защиты информации не ниже 5-го класса защиты, а также средства вычислительной техники не ниже 5-го класса;
в) в значимых объектах 3-й категории применяются средства защиты информации 6-го класса защиты, а также средства вычислительной техники не ниже 5-го класса.
При этом в значимых объектах 1-й категории значимости применяются сертифицированные средства защиты информации, соответствующие (вместо 4-го уровня НДВ) 4-му или более высокому уровню доверия. В значимых объектах 2-й категории значимости применяются сертифицированные средства защиты информации, соответствующие 5-му или более высокому уровню доверия. В значимых объектах 3-й категории значимости применяются сертифицированные средства защиты информации, соответствующие 6-му или более высокому уровню доверия.
В случае если значимый объект является государственной информационной системой или информационной системой персональных данных, меры по обеспечению безопасности значимого объекта и меры защиты информации (персональных данных) принимаются в соответствии с более высокими категорией значимости, классом защищенности или уровнем защищенности персональных данных.
Таким образом, объекты КИИ (автоматизированные и информационные системы в их составе) подлежат защите так же, как ГИС и ИСПДн высоких классов защищенности.
Постановление Правительства Российской Федерации от 17.02.2018 № 162 «Об утверждении Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры» [23]. Правилами устанавливается порядок осуществления федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности КИИ Российской Федерации, и его территориальными органами мероприятий по государственному контролю в области обеспечения безопасности значимых объектов КИИ Российской Федерации.
Государственный контроль осуществляется путем проведения плановых и внеплановых выездных проверок. Проверка проводится должностными лицами органа государственного контроля, которые указаны в приказе органа государственного контроля о проведении проверки. Срок проведения плановой проверки не должен превышать 20 рабочих дней. Срок проведения внеплановой проверки не должен превышать 10 рабочих дней.
Информация об организации проверок, в том числе об их планировании, о проведении и результатах таких проверок, в органы прокуратуры не направляется, за исключением информации о результатах проверок, проведенных на основании требования прокурора об осуществлении внеплановой проверки в рамках проведения надзора за исполнением законов по поступившим в органы прокуратуры материалам и обращениям.
10.3.2. Другие документы
Необходимо упомянуть еще ряд документов ФСТЭК России и ФСБ России:
– Приказ ФСТЭК России от 06.12.2017 № 227 «Об утверждении Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации» [32];
– Приказ ФСТЭК России от 11.12.2017 № 229 «Об утверждении формы акта проверки, составляемого по итогам проведения госконтроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» [35]. Содержание этого и предыдущего документов очевидно из названий;
– Приказ