поиск по сайту
Повышение квалификации специалистов, работающих в области обеспечения безопасности значимых объектов критической информационной инфраструктуры

Повышение квалификации специалистов, работающих в области обеспечения безопасности значимых объектов критической информационной инфраструктуры

Т.М. Каннер

Закрытое акционерное общество «ОКБ САПР», Москва, Россия

В статье рассматриваются положения Федерального закона № 187-ФЗ, регулирующего отношения в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, разбираются его основные требования, а также трудности их реализации. Описывается предлагаемая ОКБ САПР совместно с МФТИ программа повышения квалификации, позволяющая получить необходимые знания, навыки и умения в области обеспечения безопасности критической информационной инфраструктуры, разъясняющая действия государственных органов, учреждений и других организаций при реализации требований данного закона.

Ключевые слова: критические информационные инфраструктуры, КИИ, дополнительное профессиональное образование, повышение квалификации по информационной безопасности, повышение квалификации в области обеспечения безопасности КИИ, микрокомпьютер «m-Trust», интеграционная платформа «МК-И», удостоверение о повышении квалификации установленного образца.

С 1 января 2018 года в силу вступил Федеральный закон (ФЗ) от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» [1]. Принятый закон регулирует отношения в области обеспечения безопасности критической информационной инфраструктуры (КИИ) Российской Федерации (РФ) в целях ее устойчивого функционирования при проведении в отношении ее компьютерных атак. В соответствии с данным законом объектами КИИ являются:

  • информационные системы (ИС);
  • информационно-телекоммуникационные сети (ИТС);
  • автоматизированные системы управления субъектов критической информационной инфраструктуры (АСУ ТП КИИ).

Субъектами же являются государственные органы, государственные учреждения, российские юридические лица и/или индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в следующих сферах:

  • здравоохранения,
  • науки,
  • транспорта,
  • связи,
  • энергетики,
  • банковской сфере и иных сферах финансового рынка,
  • топливно-энергетического комплекса,
  • в области атомной энергии,
  • оборонной промышленности,
  • ракетно-космической промышленности,
  • горнодобывающей промышленности,
  • металлургической промышленности,
  • химической промышленности,

а также – российские юридические лица и/или индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

Действия субъектов КИИ относительно их объектов в рассматриваемом законе расписаны достаточно подробно. Помимо этого, существует ряд дополняющих данный ФЗ нормативных документов, разъясняющих и уточняющих эти действия. Однако несмотря на это, поскольку для большинства учреждений и организаций РФ критические информационные инфраструктуры и связанные с ними другие понятия являются новыми сущностями в обеспечении безопасности своих ИС, ИТС, АСУ ТП и т.п.,  описанные в них действия представляются непонятными и трудными для самостоятельного выполнения. Например, согласно требованиям закона субъекты КИИ должны определить относятся ли их объекты к объектам КИИ, и сообщить об этом в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности КИИ РФ (ФСТЭК России). Для этого субъекты КИИ должны определить и присвоить одну из категорий значимости принадлежащим им на праве собственности, аренды или ином законном основании объектам КИИ (или не присвоить ни одну из категорий, если объект КИИ не соответствует критериям значимости, показателям этих критериев и их значениям). Существуют правила категорирования объектов КИИ, утвержденные постановлением Правительства РФ от 8 февраля 2018 года №127[2], позволяющие провести категорирование объектов КИИ. Однако в этих правилах множество различных показателей определения категории, что усложняет выбор   правильного варианта. Наличие примеров категорирования могло бы сильно облегчить этот выбор лицам, мало знакомыми с областью обеспечения безопасности объектов КИИ.   

Также в законе №187-ФЗ упоминается государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) на информационные ресурсы РФ (ИС, ИТС и АСУ ТП), представляющая собой единый территориально распределенный комплекс, включающий силы и средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты. При этом не описываются действия субъектов КИИ по обеспечению интеграции (встраивания) в  ГосСОПКА. Существуют приказы ФСБ России №367 и №368 от 24 июля 2018 [3, 4], регламентирующие перечень и порядок предоставления информации субъектами КИИ в ГосСОПКА, а также порядки обмена информацией о компьютерных инцидентах субъектами КИИ (в том числе иностранными учреждениями и организациями) и получения ими информации о средствах и способах проведения компьютерных атак и методах их предупреждения и обнаружения. Однако данные документы содержат множество специализированных нюансов, доступных только специалистам в области обеспечения безопасности КИИ.

Помимо этого, в соответствии с рассматриваемым законом субъекты КИИ должны соблюдать требования по обеспечению безопасности значимых объектов КИИ, разработанные в соответствии с ФЗ №187 и утвержденные Приказом ФСТЭК России от 21 декабря 2017 г. №235 [5]. Этими требованиями предусматривается планирование, разработка, реализация мероприятий по обеспечению безопасности значимых объектов КИИ, контроль состояния и совершенствование их безопасности. В том числе, рассматриваются требования к программным и программно-аппаратным средствам, применяемым для обеспечения безопасности значимых объектов КИИ. Требования достаточно конкретные и понятные, но новичку в области КИИ сложно определить какие именно средства подходят в его конкретном случае. Наилучшим образом это можно продемонстрировать путем рассмотрения примеров различных средств защиты, особенностей их встраивания и применения.

Таким образом, очевидно, что у многих субъектов КИИ даже  после изучения соответствующих приказов и постановлений, остается множество  вопросов по категорированию объектов КИИ, организации работ по интеграции в  ГосСОПКА, а также – по обеспечению безопасности объектов КИИ в соответствии с требованиями ФЗ №187.  Получить соответствующие знания, навыки и умения, отвечающие на все эти вопросы, позволяет  прохождение курса повышения квалификации в области обеспечения безопасности критических информационных инфраструктур. 

Данный курс по желанию учреждения или организации может быть пройден в любое время при возникновении необходимости совершенствования или получения новых компетенций в области обеспечения безопасности КИИ, либо – в рамках регулярного планового повышения квалификации специалистов, ответственных за обеспечение защиты информации. Такое обучение, как известно, в соответствии с приведенными в постановлении Правительства РФ от 6 мая 2016г. №399 [6] правилами «Правила организации повышения квалификации специалистов по защите информации и должностных лиц, ответственных за организацию защиты информации в органах государственной власти, органах местного самоуправления, организациях с государственным участием и организациях оборонно-промышленного комплекса», необходимо проводить через определенный период времени всем федеральным государственным органам, органам государственной власти субъектов РФ, органам местного самоуправления, организациям с государственным участием и организациям оборонно-промышленного комплекса.

При этом в обязательном порядке необходимо учитывать, что одним из требований правил организации повышения квалификации специалистов по защите информации является следующее: форма, продолжительность и тематика программ повышения квалификации должна быть выбрана работодателем в соответствии утвержденными ФСТЭК России примерными программами повышения квалификации в области безопасности государства в части, касающейся обеспечения безопасности значимых объектов КИИ, противодействия иностранным техническим разведкам и технической защиты информации.  

 ОКБ САПР совместно с Московским физико-техническим институтом (МФТИ) реализует программу повышения квалификации «Программа повышения квалификации специалистов, работающих в области обеспечения безопасности значимых объектов критической информационной инфраструктуры». Данная  программа разработана в соответствии с «Методическими рекомендациями по разработке программ профессиональной переподготовки и повышения квалификации специалистов, работающих в области обеспечения безопасности значимых объектов критической информационной инфраструктуры, противодействия иностранным техническим разведкам и технической защиты информации», утвержденными ФСТЭК России 16 апреля 2018 г. (см. [7]), и примерной программой повышения квалификации «Программа повышения квалификации специалистов, работающих в области обеспечения безопасности значимых объектов критической информационной инфраструктуры», утвержденной ФСТЭК России 17 декабря 2018 г. В настоящее время  она находится на согласовании во ФСТЭК, и ее утверждение ожидается в течение 2 квартала 2019 года.

Целью предлагаемой программы повышения квалификации является совершенствование и/или получение слушателями новых компетенций, необходимых для осуществления профессиональной деятельности, повышение профессионального уровня в рамках имеющейся квалификации специалистов субъектов КИИ, ответственных за обеспечение безопасности значимых объектов КИИ.

Требования к слушателям, поступающим на повышение квалификации по данной программе достаточно высоки – допускаются только те специалисты, которые имеют высшее образование или диплом о профессиональной переподготовке в области информационной безопасности. Однако это оправдано, так как для освоения рассматриваемого в программе материала они уже должны обладать базовыми знаниями в области информационной безопасности.

Программа состоит из 4х учебных модулей:

  1. Основы обеспечения безопасности значимых объектов КИИ.
  2. Организация работ по обеспечению безопасности значимого объекта КИИ.
  3. Контроль за обеспечением безопасности значимого объекта КИИ.
  4. Организация защищенной сетевой коммуникации между элементами КИИ с применением микрокомпьютеров «m-Trust».

В первом модуле рассматриваются основные понятия, термины и определения в области обеспечения безопасности значимых объектов КИИ, правовые основы обеспечения безопасности КИИ РФ, угрозы безопасности информации, обрабатываемой на объектах КИИ, интеграция субъектов КИИ в ГосСОПКА.

Во втором модуле приводятся правила и порядок категорирования объектов КИИ. Рассматриваются требования по обеспечению безопасности значимых объектов КИИ. Большое внимание уделяется планированию, разработке и совершенствованию мероприятий по обеспечению безопасности значимого объекта КИИ. Рассматриваются требования к организационным и техническим мерам, принимаемым для обеспечения безопасности значимых объектов КИИ (дополнительно разбираются варианты их выбора), а также  требования к применяемым средствам защиты информации (СЗИ), к проведению их оценки на соответствие требованиям по безопасности и требования к классам защиты СЗИ и средствам вычислительной техники для различных категорий значимости объектов КИИ. Помимо этого разбираются требования к созданию систем безопасности значимых объектов КИИ Российской Федерации и обеспечению их функционирования, структура, стадии (этапы) работ по созданию таких систем.

В третьем модуле рассматриваются вопросы контроля за обеспечением уровня безопасности значимого объекта КИИ: виды контроля (мониторинга), оценка соответствия значимых объектов КИИ требованиям по безопасности, контроль (анализ) защищенности с учетом особенностей его функционирования, принятие решения по результатам контроля о необходимости доработки (модернизации) его системы безопасности, документирование процедур и результатов контроля, средства контроля состояния защищенности информации.

Четвертый модуль является дополнительным к базовой части и рассматривает вариант организации защищенной сетевой коммуникации между элементами КИИ с применением разработанных ОКБ САПР специально для этого микрокомпьютеров «m-Trust». В рамках модуля рассматривается понятие резидентного компонента безопасности (РКБ), идея которого заложена в «m-Trust». Разбираются ключевые характеристики РКБ, применение РКБ для: обеспечения доверенной загрузки операционной системы СВТ, реализации криптографических алгоритмов (шифрование и подпись), защищенного хранения неизвлекаемых криптографических ключей, ведения неперезаписываемых журналов событий, генерации случайных последовательностей. Описываются типовые характеристики и параметры микрокомпьютеров «m-TrusT», рассматриваются интеграционные платформы «МК-И», позволяющие коммутировать микрокомпьютер «m-TrusT» в «разрыв» между подконтрольным объектом различного назначения и каналом связи. Большое внимание уделяется  особенностям построения защищенной сетевой коммуникации между элементами КИИ с применением микрокомпьютеров «m-TrusT», а также разбираются примеры построения такой коммуникации между элементами КИИ с применением «m-TrusT».

Программа построена по очно-заочному принципу (с применением электронного обучения и дистанционных образовательных технологий). Взаимодействие со слушателями по теоретическим вопросам курса осуществляется дистанционно с помощью системы управления образовательным процессом на базе Moodle (СДО – система дистанционного образования). Взаимодействие со слушателями курса по практическим вопросам курса (семинары, практические занятия, лабораторные работы) осуществляется в виде аудиторных занятий.

По завершению занятий ОКБ САПР выполняет итоговое тестирование слушателей по изученному материалу и прием квалификационной работы. В случае успешного прохождения итогового тестирования и успешной защиты квалификационной работы, слушатели получают удостоверение МФТИ установленного образца о повышении квалификации в области обеспечения безопасности значимых объектов критической информационной инфраструктуры.

Таким образом, предлагаемая ОКБ САПР совместно с МФТИ программа повышения квалификации позволяет получить знания, навыки и умения в области обеспечения безопасности критической информационной инфраструктуры, подтвержденные удостоверением МФТИ установленного образца. А на основании полученной на курсе информации – организовать работы по категорированию своих объектов КИИ и реализации требований ФЗ №187 к ним.

Список литературы

  1. Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
  2. Постановление Правительства Российской Федерации от 8 февраля 2018 г. №127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений».
  3. Приказ ФСБ России №367 от 24 июля 2018г. «Об утверждении Перечня информации, представляемой в ГосСОПКА и Порядка представления информации в ГосСОПКА».
  4. Приказ ФСБ России №368 от 24 июля 2018г. «Об утверждении Порядка обмена информацией о компьютерных инцидентах и Порядка получения субъектами КИИ информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения»
  5. Приказ ФСТЭК от 21 декабря 2017 г. № 235 «Об утверждении требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования».
  6. Постановление Правительства Российской Федерации от 06 мая 2016г. № 399 «Об организации повышения квалификации специалистов по защите информации и должностных лиц, ответственных за организацию защиты информации в органах государственной власти, органах местного самоуправления, организациях с государственным участием и организациях оборонно-промышленного комплекса».
  7. Информационное сообщение о разработанных ФСТЭК России Методических рекомендациях по разработке программ профессиональной переподготовки и повышения квалификации специалистов, работающих в области обеспечения безопасности значимых объектов критической информационной инфраструктуры, противодействия иностранным техническим разведкам и технической защиты информации от 23 апреля 2018 г. N 240/11/1868.