Приказ ФСТЭК 239: требования к безопасности значимых объектов КИИ

Приказ ФСТЭК России №239 от 25 декабря 2017 года утверждает требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации. Документ является ключевым подзаконным актом, конкретизирующим положения Федерального закона №187-ФЗ «О безопасности критической информационной инфраструктуры» от 26 июля 2017 года в части технических и организационных мер защиты.

В системе нормативного регулирования КИИ Приказ 239 занимает строго определённое место. 187-ФЗ устанавливает общие принципы и обязанности субъектов КИИ. Постановление Правительства РФ №127 от 08.02.2018 определяет порядок категорирования объектов КИИ и присвоения им одной из трёх категорий значимости. Приказ ФСТЭК №235 от 21.12.2017 регулирует создание и функционирование системы безопасности значимых объектов — организационную структуру, ответственных лиц, порядок планирования и контроля. А Приказ 239 отвечает за содержательную часть: какие именно меры безопасности необходимо реализовать и как формировать их набор для конкретного объекта.

Принципиальная особенность: Приказ 239 распространяется только на значимые объекты КИИ — те, которым по результатам категорирования присвоена 1-я, 2-я или 3-я категория значимости. Объекты, которым категория не присвоена (так называемые «без категории»), формально не подпадают под требования этого приказа, хотя субъект КИИ всё равно обязан обеспечивать их безопасность по общим нормам 187-ФЗ.

На практике связка документов работает так: организация определяет себя как субъекта КИИ, формирует перечень объектов КИИ, проводит их категорирование по Постановлению №127, оформляет акт категорирования, а затем для каждого значимого объекта создаёт систему безопасности по Приказу 235 и реализует набор мер по Приказу 239.

Приказ ФСТЭК 239 применяется к значимым объектам КИИ — информационным системам, информационно-телекоммуникационным сетям и автоматизированным системам управления, которым по результатам категорирования присвоена категория значимости. Объекты КИИ функционируют в 14 сферах деятельности, перечисленных в ст. 2 187-ФЗ: здравоохранение, наука, транспорт, связь, энергетика, банковская и финансовая сфера, ТЭК, атомная энергия, оборонная и ракетно-космическая отрасли, горнодобывающая, металлургическая и химическая промышленность, а также сфера регистрации прав на недвижимое имущество.

Три категории значимости объектов КИИ:

• 1-я категория (наивысшая) — объекты, нарушение функционирования которых может привести к ущербу жизни и здоровью более 500 человек, прекращению или нарушению функционирования объектов обеспечения обороноспособности, экономическому ущербу свыше 1 млрд рублей
• 2-я категория — ущерб жизни и здоровью от 50 до 500 человек, значительное нарушение функционирования критически важных систем, экономический ущерб от 100 млн до 1 млрд рублей
• 3-я категория (минимальная) — ущерб жизни и здоровью менее 50 человек, нарушение функционирования, не достигающее пороговых значений для второй категории, экономический ущерб до 100 млн рублей

Категория значимости определяет объём мер безопасности: чем выше категория, тем более обширный и строгий набор мер обязан реализовать субъект КИИ. Для объекта 1-й категории базовый набор включает максимальное количество мер, для 3-й — минимальный.

Важно: если объект КИИ одновременно является информационной системой персональных данных (ИСПДн) или государственной информационной системой (ГИС), то для него дополнительно должны выполняться требования Приказа ФСТЭК 21 (для ИСПДн) или Приказа ФСТЭК 17 (для ГИС). При пересечении требований применяется более строгий набор мер.

Приказ ФСТЭК 239 устанавливает 17 групп организационных и технических мер по обеспечению безопасности значимых объектов КИИ. В общей сложности документ содержит более 160 конкретных мер. Для каждой категории значимости определён базовый набор — перечень мер, обязательных к реализации.

Каждая группа содержит от 3 до 20 конкретных мер. Например, группа ИАФ включает меры ИАФ.1 (идентификация и аутентификация пользователей), ИАФ.2 (идентификация устройств), ИАФ.3 (управление идентификаторами) и другие. В приложении к Приказу указано, какие из этих мер входят в базовый набор для каждой из трёх категорий значимости.

Приказ 239 устанавливает базовый набор мер безопасности для каждой категории значимости объекта КИИ. Базовый набор — это минимально необходимый перечень мер, обязательных к реализации. Субъект КИИ не вправе исключить из набора ни одну меру без обоснования (и только при условии, что угроза, нейтрализуемая этой мерой, неактуальна для конкретного объекта).

Зависимость объёма мер от категории:

• 3-я категория (К3) — базовый набор содержит порядка 60–70 мер. Охватывает фундаментальные требования: идентификация пользователей, разграничение доступа, регистрация событий, антивирусная защита, межсетевое экранирование, резервное копирование, реагирование на инциденты
• 2-я категория (К2) — базовый набор расширен до 90–100 мер. Добавляются усиленные требования: многофакторная аутентификация для привилегированных пользователей, ограничение программной среды, централизованный мониторинг, анализ уязвимостей, управление конфигурацией, защита среды виртуализации
• 1-я категория (К1) — максимальный набор из 120+ мер. Включает все меры К2, а также: многофакторная аутентификация для всех пользователей, полноценная система предотвращения вторжений, контроль целостности с использованием сертифицированных средств, обеспечение отказоустойчивости с автоматическим переключением, непрерывный мониторинг безопасности

На практике субъект КИИ формирует итоговый набор мер в четыре этапа, описанных в следующем разделе. Базовый набор — лишь отправная точка; он адаптируется с учётом актуальных угроз, архитектуры объекта и иных нормативных требований.

Распределение мер по категориям отражает принцип пропорциональности: чем серьёзнее потенциальные последствия инцидента, тем более комплексные меры защиты обязан реализовать субъект. Это позволяет не перегружать требованиями объекты 3-й категории и одновременно обеспечивать максимальную защиту критически важных систем 1-й категории.

Приказ 239 устанавливает четырёхэтапный порядок формирования набора мер безопасности для конкретного значимого объекта КИИ. Этот процесс документируется и является частью проекта системы безопасности.

Этап 1. Определение базового набора мер. На основании присвоенной категории значимости (1, 2 или 3) субъект КИИ выбирает из приложения к Приказу 239 соответствующий базовый набор. Это стартовый перечень мер, обязательных к рассмотрению.

Этап 2. Адаптация базового набора. Базовый набор адаптируется с учётом особенностей конкретного объекта: его архитектуры, применяемых технологий, наличия или отсутствия определённых компонентов. Например, если объект не использует виртуализацию, меры группы ЗСВ могут быть исключены с соответствующим обоснованием. Если объект не имеет удалённого доступа — исключаются меры по его защите.

Этап 3. Дополнение адаптированного набора. На основании модели угроз безопасности информации субъект КИИ определяет дополнительные меры, не вошедшие в базовый набор, но необходимые для нейтрализации актуальных угроз. Если модель угроз выявила риски, не покрываемые базовым набором, — соответствующие меры включаются в итоговый перечень.

Этап 4. Дополнение мерами из иных нормативных актов. Если значимый объект КИИ одновременно является ИСПДн, ГИС, АСУ ТП или иной системой, подпадающей под регулирование других приказов ФСТЭК (17, 21, 31), то итоговый набор дополняется мерами из этих нормативных актов. Применяется правило максимума: если один приказ требует меру, а другой — нет, мера включается.

Результатом является итоговый набор мер, который фиксируется в проектной и эксплуатационной документации на систему безопасности. Этот набор утверждается субъектом КИИ и используется при создании, модернизации и эксплуатации системы безопасности значимого объекта.

Документальное оформление: результаты каждого этапа отражаются в техническом задании на создание системы безопасности, а также в акте приёмки системы безопасности. ФСТЭК вправе проверить обоснованность адаптации и исключения мер при проведении контрольных мероприятий.

Четыре основных приказа ФСТЭК устанавливают требования к безопасности разных категорий информационных систем. Понимание различий критически важно для организаций, объекты которых подпадают под несколько нормативных актов одновременно.

Ключевые отличия Приказа 239:

• Приоритет — устойчивость функционирования, а не конфиденциальность. Для КИИ критично, чтобы система продолжала работать, даже в условиях атаки
• Обязательное взаимодействие с НКЦКИ — Национальным координационным центром по компьютерным инцидентам. Субъект КИИ обязан информировать НКЦКИ об инцидентах в сроки, установленные 187-ФЗ
• Группа РСБ (реагирование на инциденты) выделена как отдельная и обязательная для всех категорий. В Приказах 17 и 21 реагирование на инциденты менее формализовано
• Группа ДНС (действия в нештатных ситуациях) — отражает специфику КИИ, где сбой может привести к физическим последствиям. В связке с группой ОДТ (доступность) формирует требования к плану реагирования на инциденты

Для субъектов КИИ, которые завершили категорирование и получили значимые объекты, реализация требований Приказа 239 включает следующие этапы.

1. Разработка модели угроз безопасности информации. Для каждого значимого объекта (или группы однотипных объектов) разрабатывается модель угроз, определяющая актуальные угрозы и уязвимости. Модель угроз — основа для адаптации базового набора мер.

2. Проектирование системы безопасности. На основании модели угроз и итогового набора мер разрабатывается техническое задание на создание системы безопасности значимого объекта. ТЗ содержит перечень мер, требования к средствам защиты, архитектуру системы безопасности.

3. Внедрение мер безопасности. Реализация организационных мер (регламенты, инструкции, назначение ответственных) и технических мер (установка и настройка средств защиты информации). Для объектов 1-й категории рекомендуется применять сертифицированные средства защиты.

4. Разработка организационно-распорядительной документации (ОРД). Приказ 239 прямо требует разработки документов, регламентирующих правила и процедуры обеспечения безопасности. Минимальный комплект включает:

• Модель угроз безопасности информации
• Техническое задание на создание системы безопасности
• Политика обеспечения безопасности значимого объекта
• Регламент управления доступом
• Регламент управления инцидентами и взаимодействия с НКЦКИ
• План реагирования на компьютерные инциденты
• План обеспечения непрерывности функционирования
• Инструкции для пользователей и администраторов безопасности

5. Оценка соответствия. Приказ 239 не требует обязательной аттестации (в отличие от Приказа 17 для ГИС). Однако субъект КИИ обязан провести оценку соответствия реализованных мер требованиям приказа. Форму оценки субъект определяет самостоятельно: это может быть аудит, приёмочные испытания или аттестация. Подробнее о процедуре аттестации — в нашей статье Аттестация ИСПДн: порядок и документы.

6. Эксплуатация и совершенствование. Система безопасности — не разовый проект, а непрерывный процесс. Субъект КИИ обязан регулярно анализировать новые угрозы, устранять уязвимости, обновлять средства защиты и ОРД, проводить тренировки персонала и тестирование плана реагирования.

Создать комплект ОРД для значимого объекта КИИ можно в конструкторе документов — шаблоны учитывают требования Приказа 239 и смежных нормативных актов. Полный каталог документов КИИ доступен в разделе КИИ.

Невыполнение требований Приказа ФСТЭК 239 влечёт серьёзные последствия — от административных штрафов до уголовной ответственности.

Административная ответственность:

• Ст. 13.12.1 КоАП РФ — нарушение требований по обеспечению безопасности значимых объектов КИИ: штраф на должностных лиц от 10 000 до 50 000 руб., на юридических лиц — от 50 000 до 100 000 руб.
• Ст. 19.7.15 КоАП РФ — непредоставление или нарушение сроков предоставления сведений во ФСТЭК: штраф на должностных лиц от 10 000 до 50 000 руб., на юридических лиц — от 100 000 до 500 000 руб.

Уголовная ответственность:

• Ст. 274.1 УК РФ — неправомерное воздействие на КИИ. Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в КИИ, если оно повлекло причинение вреда КИИ, — наказывается лишением свободы до 6 лет с лишением права занимать определённые должности. При тяжких последствиях — до 10 лет

Репутационные и операционные последствия: инцидент на значимом объекте КИИ, вызванный отсутствием надлежащих мер безопасности, привлекает внимание не только ФСТЭК, но и ФСБ (через НКЦКИ), прокуратуры и профильных федеральных органов. Для организаций в регулируемых отраслях (банки, энергетика, транспорт) это может повлечь отзыв лицензий и приостановку деятельности.

ФСТЭК проводит плановые и внеплановые проверки субъектов КИИ. Основанием для внеплановой проверки может стать компьютерный инцидент, информация от НКЦКИ или иных государственных органов. При проверке ФСТЭК оценивает полноту реализации мер Приказа 239, наличие и качество ОРД, фактическое состояние системы безопасности.