Geekly articles weekly

Examen de la législation russe pour protéger les infrastructures d'informations critiques

Mes amis, dans une publication précédente , nous avons examiné la protection des données personnelles du point de vue de la législation russe et internationale. Cependant, il existe un autre sujet urgent concernant un grand nombre d'entreprises et d'organisations russes - nous parlons de la protection des infrastructures d'informations critiques. La sécurité et la résilience des systèmes informatiques des grandes entreprises individuelles et des industries entières dans des conditions modernes jouent un rôle décisif. Partout dans le monde, des tentatives sont faites pour mener des cyberattaques ciblées et sophistiquées sur les infrastructures, et il serait très imprévoyant d'ignorer de tels faits. La création de l'État SOPKA (système d'État pour détecter, prévenir et éliminer les conséquences des attaques informatiques sur les ressources informatiques de la Fédération de Russie), ainsi que la signature de la loi fédérale du 26 juillet 2017 n ° 187-FZ «sur la sécurité des infrastructures d'informations critiques de la Fédération de Russie» et l'élaboration de règlements pertinents servis réponse logique aux défis des réalités actuelles.

Considérez cet aspect de la sécurité de l'information plus en détail. Allez-y!

image

Points clés


Le début des travaux de protection de l'infrastructure de l'information à l'échelle nationale a été signé avec le décret du Président de la Fédération de Russie du 15 janvier 2013 n ° 31c «sur la création d'un système d'État pour détecter, prévenir et éliminer les conséquences des attaques informatiques sur les ressources informatiques de la Fédération de Russie». En outre, en juillet 2017, la loi fédérale du 26 juillet 2017 n ° 187-FZ sur la sécurité des infrastructures d'informations critiques de la Fédération de Russie a été signée, qui est entrée en vigueur le 1er janvier 2018. L'infrastructure d'information critique (ci-après - KII) fait référence aux systèmes d'information, aux réseaux d'information et de télécommunication, aux systèmes de contrôle automatisés des sujets KII, ainsi qu'aux réseaux de télécommunication utilisés pour organiser leur interaction. Les sujets de KII sont des entreprises opérant dans des domaines stratégiquement importants pour l'État, tels que la santé, la science, les transports, les communications, l'énergie, la banque, le complexe énergétique et énergétique, dans le domaine de l'énergie nucléaire, de la défense, des fusées et de l'espace, des mines, des industries métallurgiques et chimiques , ainsi que les organisations qui assurent l'interaction des systèmes ou réseaux de KII. Une attaque informatique est définie comme un effet malveillant ciblé sur les objets du KII pour violer ou arrêter leur fonctionnement, et un incident informatique - comme le fait d'une violation ou de l'arrêt du fonctionnement du KII et / ou d'une violation de la sécurité des informations traitées par l'objet.

Il convient également de noter que pour les entreprises du complexe énergétique et énergétique, il existe des normes définies par la loi fédérale du 21 juillet 2011 n ° 256- «sur la sécurité des installations énergétiques et complexes énergétiques», qui dictent également la nécessité d'assurer la sécurité des systèmes d'information des installations énergétiques et énergétiques. complexe énergétique en créant des systèmes de protection de l'information et des réseaux d'information et de télécommunication contre l'accès illégal, la destruction, la modification, le blocage des informations et autres actions, ainsi que la nécessité d’assurer le fonctionnement de ces systèmes.

Le FSTEC de Russie a été nommé par l'organe exécutif fédéral autorisé dans le domaine de la sécurité des infrastructures d'information critiques de la Fédération de Russie. Le Service fédéral de sécurité de la Fédération de Russie a été chargé des fonctions de l'organe exécutif fédéral autorisé à assurer le fonctionnement du système étatique de détection, de prévention et d'élimination des conséquences des attaques informatiques sur les ressources informatiques de la Fédération de Russie (ci-après dénommé GosSOPKA). En outre, sur ordre du Service fédéral de sécurité de la Fédération de Russie en 2018, le Centre national de coordination pour les incidents informatiques (NCCTC) a été créé, qui coordonne les activités des sujets KII et fait partie intégrante des forces conçues pour détecter, prévenir et éliminer les conséquences des attaques informatiques et répondre aux incidents informatiques, ainsi que les aspects techniques. L'infrastructure NCCCI est utilisée pour le fonctionnement du système SSSOPKA. En termes simples, le NCCTC est l'État CERT (Computer Emergency Response Team), et l'État SOPCA est le «grand SIEM» à l'échelle de la Fédération de Russie. Il fonctionne comme suit: informations sur un incident informatique survenu d'un montant correspondant aux dispositions de l' ordonnance du Service fédéral de sécurité de la Fédération de Russie n ° 367 (date, heure, détails techniques et conséquences de l'incident et sa connexion avec d'autres incidents, l'emplacement de l'objet KII, la présence d'un lien entre l'attaque identifiée et l'incident), doit être transféré par le sujet de KII au système d'État SOPKA au plus tard 24 heures après la découverte d'un incident informatique. Parallèlement, il existe une tendance à la transition vers l'envoi automatique de données.

Ensuite, le décret du gouvernement de la Fédération de Russie du 8 février 2018 n ° 127 «sur l'approbation des règles de catégorisation des objets de l'infrastructure d'information critique de la Fédération de Russie, ainsi que la liste des indicateurs de critères pour l'importance des objets de l'infrastructure de l'information critique de la Fédération de Russie et leurs valeurs» a été signé, qui imposent des exigences spécifiques pour les sujets CII sur la catégorisation des objets KII dans leur domaine de responsabilité, et contiennent également une liste de critères pour la signification des objets KII - quantitatifs par azateley pour le bon choix de l'importance de la catégorie. La catégorie de signification de l'objet de KII peut prendre l'une des trois valeurs (où la catégorie la plus élevée est la première, la plus basse est la troisième) et dépend d'indicateurs quantitatifs de la signification de cet objet dans les domaines social, politique, économique et de la défense. Par exemple, si un incident informatique dans l'installation KII peut entraîner des dommages à la vie et à la santé de plus de 500 citoyens, alors l'installation se voit attribuer la première catégorie maximale, et si les services de transport à la suite de l'incident peuvent devenir indisponibles pour 2 000 à 1 million de citoyens, alors l'installation est affectée troisième catégorie minimum.

Ainsi, les objets de KII doivent être classés. Ceci est réalisé par une commission interne permanente de catégorisation du sujet du KII, qui produit et documente également les actions suivantes:

  • identifie les objets du KII qui fournissent des processus de gestion, technologiques, de production, financiers, économiques et (ou) autres (nous les appellerons «les principaux processus des sujets du KII») dans le cadre des activités du sujet du KII;
  • identifie les processus critiques, dont la violation ou la cessation peut entraîner des conséquences négatives dans les domaines social, politique, économique et de la défense;
  • établit des objets KII qui traitent des informations pour les processus décrits ci-dessus et / ou effectuent la gestion, le contrôle ou la surveillance de processus critiques (nous les appellerons «objets KII auxiliaires»);
  • construit des modèles de contrevenants et de menaces, tandis que la commission devrait envisager les pires scénarios d'attaque avec des conséquences négatives maximales;
  • évalue les conséquences possibles, en tenant compte des interconnexions entre les objets et des dépendances entre eux;
  • attribue à chaque objet l'une des trois catégories d'importance ou prend une décision motivée de ne pas attribuer une telle catégorie, avec la préparation d'un acte de catégorisation de l'objet du CII ou d'un acte sur l'absence de la nécessité de lui attribuer une catégorie d'importance.

Les résultats de la catégorisation sont envoyés au FSTEC de Russie, où l'exactitude de la procédure de catégorisation et l'exactitude de l'affectation de la catégorie de signification sont vérifiées, et en l'absence de commentaires, les informations reçues sont entrées dans le registre des objets KII. Un examen périodique (1 fois en 5 ans) et planifié (lors du changement des indicateurs de signification) est fourni.

Chaussettes d'État


Conformément au document n ° 149/2 / 7-200 du 24 décembre 2016 «Recommandations méthodiques pour la création de centres départementaux et corporatifs du système étatique de détection, de prévention et d'élimination des conséquences des attaques informatiques sur les ressources informationnelles de la Fédération de Russie» élaboré par le Service fédéral de sécurité de la Fédération de Russie, les fonctions de l'État SOPKA sont:

  • inventaire des ressources d'information;
  • identifier les vulnérabilités des ressources d'information;
  • analyse des menaces à la sécurité de l'information;
  • formation avancée du personnel des ressources d'information;
  • recevoir des messages sur les incidents possibles du personnel et des utilisateurs des ressources d'information;
  • détection des attaques informatiques;
  • analyse des données des événements de sécurité;
  • enregistrement des incidents;
  • réponse et réponse aux incidents;
  • établir les causes des incidents;
  • analyse des résultats de l'élimination des conséquences des incidents.

Les centres du système GosSOPKA sont divisés en départements et en entreprises:

  • les centres départementaux exercent des activités autorisées pour protéger les ressources d'information dans l'intérêt des pouvoirs publics;
  • Les centres d'entreprise mènent des activités sous licence pour protéger les ressources d'information dans leur propre intérêt et ont également le droit de fournir des services pour la prévention, la détection et l'élimination des conséquences des attaques informatiques.

Si nous pouvons exagérer le système SOSOPKA lui-même comme un «grand SIEM» à l'échelle nationale, alors les centres SOSOPKA seront correctement comparés plutôt aux centres de surveillance de la sécurité de l'information (Security Operations Center, SOC).

Ainsi, le sujet du KII lié à l'autorité de l'État, conformément aux normes législatives en vigueur, devrait être connecté au centre départemental compétent du système national de protection sociale et de certification. Le sujet de KII, qui n'est pas une autorité publique, a la possibilité soit de se connecter de manière indépendante au système GosSOPKA, soit de créer son propre centre GosSOPKA d'entreprise, soit de se connecter au centre déjà créé qui fournit des services pour se connecter au système GOSSOPKA.

Avec une connexion indépendante au Centre de l'État SOPKA, le sujet de KII résoudra les tâches suivantes:

  • la création de son propre centre de surveillance de la sécurité de l'information, en tenant compte des exigences des documents réglementaires du Service fédéral de sécurité de la Fédération de Russie, du FSTEC de Russie, d'autres actes juridiques réglementaires;
  • mise en œuvre et soutien d'outils et de solutions techniques conformes aux recommandations méthodologiques du Service fédéral de sécurité de la Fédération de Russie concernant la création de centres départementaux et d'entreprise du système d'État pour détecter, prévenir et éliminer les conséquences des attaques informatiques sur les ressources informatiques de la Fédération de Russie;
  • la mise en œuvre et le soutien d'outils et de solutions techniques qui répondent aux exigences du titulaire de licence du FSTEC de Russie pour la surveillance de la sécurité de l'information des outils et des systèmes de surveillance;
  • Obtention d'une licence du FSTEC de Russie pour la protection technique des informations confidentielles (TZKI) concernant la liste des travaux et des services de surveillance de la sécurité de l'information des outils et systèmes de surveillance (dans le cas de la fourniture de services commerciaux à d'autres organisations ou lorsque vous travaillez dans le cadre d'une structure de détention);
  • Obtention d'une licence du Service fédéral de sécurité de la Fédération de Russie pour le développement, la production, la distribution de moyens de cryptage (cryptographiques), les systèmes d'information et les systèmes de télécommunications protégés par des moyens de cryptage (cryptographiques), l'exécution de travaux, la prestation de services dans le domaine du cryptage des informations, la maintenance des moyens de cryptage (cryptographiques) , systèmes d'information et systèmes de télécommunication protégés par des moyens de cryptage (cryptographiques) (si fournis services mmercheskih à d'autres organisations, ou de travailler en tant que partie de la structure de maintien);
  • interaction avec le NCCSC conformément aux règles d'interaction entre les unités FSB de la Fédération de Russie et les sujets GosSOPKA dans la mise en œuvre de l'échange d'informations dans le domaine de la détection, de la prévention et de l'élimination des conséquences des attaques informatiques;
  • attraction, formation, rétention des employés du Centre de surveillance de la sécurité de l'information;
  • développement et mise à jour continue des scénarios d'attaque et de surveillance;
  • analyse d'événements et d'incidents, création de rapports.

La connexion au centre externe (commercial) de GosSOPKA, qui fournit des services pertinents, vous permet de transférer la plupart des tâches ci-dessus à une organisation spécialisée. Tout ce qui est exigé du client est de connecter les sources d'événements au centre commercial GosSOPKA, de convenir du format et des règles d'interaction et de notifier en temps opportun les changements dans son infrastructure informatique. En outre, en utilisant les services d'un centre externe de GosSOPKA, l'organisation transfère à l'exécuteur testamentaire les risques de non-respect de la législation de la Fédération de Russie dans le domaine du commerce illégal (article 171 du Code pénal de la Fédération de Russie) en termes de conduite d'activités sans les licences correspondantes du Service fédéral de sécurité de la Fédération de Russie et / ou du FSTEC de Russie.

Système de contrôle de processus


Passons aux principes de protection des systèmes de contrôle automatisés pour les processus de production et technologiques. Ordonnance du FSTEC de Russie du 14 mars 2014 n ° 31 «sur l'approbation des exigences de protection des informations dans les systèmes de contrôle automatisés pour la production et les processus technologiques dans les installations critiques, les installations potentiellement dangereuses, ainsi que les installations qui présentent un danger accru pour la vie et la santé humaines et pour l'environnement »(tel que modifié par l'arrêté du FSTEC de Russie du 9 août 2018 n ° 138) établit les exigences législatives dans le domaine de la sécurité des systèmes de contrôle automatisés pour la fabrication processus uniques et technologiques (ci-après - le système de contrôle des processus). Malgré la présence de deux domaines de protection du KII apparemment en double (187- sur le KII avec les règlements et l'ordonnance n ° 31 sur les systèmes de contrôle des processus), à l'heure actuelle, les régulateurs de l'État adhèrent au point de vue suivant: si l'objet du KII est reconnu comme significatif (c'est-à-dire qu'il est attribué l'une des trois catégories d'importance), puis l' ordonnance FSTEC du 25 décembre 2017 n ° 239 «sur l'approbation des exigences pour assurer la sécurité des objets importants de l'infrastructure d'information critique de la Fédération de Russie» est utilisée, et si l'objet KII est reconnu comme reconnaissable (c'est-à-dire que la catégorie d'importance n'a pas été attribuée), puis, par la décision du sujet de KII, il est possible d'appliquer à la fois la commande n ° 31 pour les systèmes de contrôle de processus et la commande n ° 239 pour KII.

Conformément à l'ordonnance n ° 31, les objets de protection dans le système de contrôle de processus sont des informations sur les paramètres ou l'état de l'objet ou du processus géré, ainsi que tous les moyens techniques associés (postes de travail, serveurs, canaux de communication, contrôleurs), logiciels et équipements de protection. Ce document indique que les mesures organisationnelles et techniques prises pour protéger le système de contrôle des processus doivent, tout d'abord, garantir l'accessibilité et l'intégrité des informations traitées dans le système de contrôle des processus, et assurer la confidentialité est logiquement placée en deuxième place. En outre, il est indiqué que les mesures prises devraient être harmonisées avec des mesures visant à assurer d'autres types de sécurité, par exemple, industrielle, incendie, environnementale, et ne devraient pas nuire au fonctionnement régulier du système de contrôle des processus. Des exigences sont également imposées au système de protection des informations dans le système de contrôle des processus - ils doivent réussir une évaluation de la conformité.

Le document décrit les étapes organisationnelles pour protéger les informations (ci-après - ZI) dans le système de contrôle de processus: la formation des exigences pour le système de contrôle de processus, le développement et la mise en œuvre du système de contrôle du système de contrôle de processus, la fourniture du système de contrôle de processus pendant le fonctionnement du système de contrôle de processus et pendant son déclassement. C'est au stade de la formation des exigences qu'un travail important est effectué sur la classification des systèmes de contrôle des processus: une des trois classes de sécurité est établie (où la classe la plus basse est la troisième, la plus élevée est la première), et la classe de sécurité est déterminée en fonction du niveau de signification des informations traitées, c'est-à-dire l'étendue des dommages potentiels résultant de la violation de ses propriétés de sécurité (intégrité, disponibilité et, le cas échéant, confidentialité) Le degré de dommage peut être élevé (état d'urgence à l'échelle fédérale ou interrégionale), moyen (état d'urgence à l'échelle régionale ou intercommunale) ou faible (l'incident est de nature locale).

En plus de la classification des systèmes de contrôle des processus, au stade de la formation des exigences, les menaces de sécurité du contrôle des processus sont déterminées en compilant un modèle de menace: les sources des menaces sont identifiées, les capacités des contrevenants sont évaluées (c.-à-d., Le modèle du contrevenant est créé), les vulnérabilités des systèmes utilisés sont analysées, les manières possibles de mettre en œuvre les menaces et leurs conséquences sont déterminées, doit être utilisé FDTC FSTEC Russie. L'importance de créer un modèle d'intrus à ce stade réside également dans le fait que les mesures de protection appliquées dans un système de contrôle industriel de la 1ère classe de sécurité doivent neutraliser les actions d'un intrus à fort potentiel, dans un système de contrôle automatique d'une deuxième classe de sécurité - un intrus avec un potentiel non inférieur à la moyenne, dans un système de contrôle automatique 3ème classe de sécurité - un intrus à faible potentiel (le potentiel des contrevenants est défini sur la page EDR).

De plus, l'ordonnance n ° 31 propose un algorithme de sélection et d'application des mesures pour assurer la sécurité, déjà familier des ordonnances du FSTEC de Russie n ° 21 (PDN) et n ° 17 (SIG): d'abord, un ensemble de mesures de base est sélectionné sur la base de la liste proposée, puis la base sélectionnée est adaptée un ensemble de mesures, qui suppose l'exclusion de mesures de base non pertinentes en fonction des caractéristiques des systèmes d'information et des technologies utilisées, puis l'ensemble de mesures de base adapté est spécifié pour neutraliser les menaces actuelles non sélectionnées précédemment erami, et finalement l'addition est mise en oeuvre d'un ensemble de noyau à proximité des mesures adaptées établies par d'autres documents juridiques en vigueur. Parallèlement, l'arrêté n ° 31 souligne l'importance de la continuité des processus technologiques:des mesures de protection compensatoires peuvent être appliquées en cas d'impact négatif prévu sur le fonctionnement normal du système de contrôle de processus.

Dans l'ordonnance n ° 31, les groupes de mesures suivants pour garantir la sécurité du système de commande sont indiqués, qui doivent être appliqués en fonction de la classe de protection requise du système de commande:

  • identification et authentification;
  • contrôle d'accès;
  • restriction de l'environnement logiciel;
  • protection des supports de stockage informatique;
  • audit de sécurité;
  • protection antivirus;
  • prévention des intrusions (attaques informatiques);
  • assurer l'intégrité;
  • l'accessibilité;
  • protection du matériel et des systèmes;
  • protection du système d'information (automatisé) et de ses composants;
  • réponse aux incidents informatiques;
  • gestion de la configuration;
  • gestion des mises à jour logicielles;
  • planification de la sécurité;
  • mise en place d'actions dans des situations d'urgence;
  • informer et former le personnel.

Dans le même temps, le document souligne que lors de la mise en œuvre de moyens techniques de protection des informations, il est tout d'abord nécessaire d'utiliser la fonctionnalité de protection standard des systèmes utilisés dans le système de contrôle des processus, puis le SZI superposé, qui a également certaines exigences: si des SZI certifiés sont utilisés pour protéger les informations dans le système de contrôle des processus, alors il faut être guidé par les exigences de leurs classes, ainsi que des classes CBT et des niveaux de contrôle de l'absence de NDV, décrites au paragraphe 24 de l'arrêté n ° 31.

Sécurité des objets CII importants


Examinons maintenant l'un des principaux règlements sur la protection des objets KII, à savoir l' ordonnance du FSTEC de Russie du 25 décembre 2017 n ° 239 «sur l'approbation des exigences pour garantir la sécurité des objets importants de l'infrastructure d'information critique de la Fédération de Russie».

Les exigences énoncées dans l'ordonnance du FSTEC de Russie n ° 239 sont présentées aux systèmes d'information, aux systèmes de contrôle automatisés et aux réseaux d'information et de télécommunication des objets KII importants. Les critères de classification des objets KII comme significatifs sont décrits dans la décision gouvernementale n ° 127, qui est décrite ci-dessus. Le respect des exigences de l'ordonnance considérée suppose que la catégorisation des objets KII a déjà été effectuée précédemment, toujours conformément aux normes PP-127. En plus des objets significatifs, par décision de l'objet du KII, les normes du document en question peuvent s'appliquer aux objets insignifiants, ainsi qu'aux exigences de l'arrêté n ° 31. Dans l'ordonnance n ° 239, il est indiqué séparément que les objets KII traitant les PD sont également soumis aux normes de protection PD, et si l'objet KII est GISIS,puis les normes de l'Ordre du FSTEC de Russie n ° 17 pour la protection des SIG sont appliquées et la certification d'un objet significatif de KII est effectuée.

L'ordonnance n ° 239 indique que l'élaboration de mesures ZI d'une importante installation CII devrait inclure une analyse des menaces à la sécurité et l'élaboration d'un modèle de menace, et que les mesures de protection mises en œuvre ne devraient pas nuire au fonctionnement de l'installation elle-même. Comme dans l'ordonnance n ° 31, une analyse des menaces devrait inclure l'identification des sources de menaces, l'évaluation des capacités des contrevenants (c'est-à-dire la création d'un modèle du contrevenant), l'analyse des vulnérabilités des systèmes utilisés (y compris les tests de pénétration - pentest), l'identification des moyens possibles de mettre en œuvre les menaces et leurs conséquences, dans ce cas, le FSTEC Russie devrait être utilisé.

L'arrêté n ° 239 stipule spécifiquement que dans le cas du développement de nouveaux logiciels dans le cadre du sous-système de sécurité d'un objet KII important, des normes pour un développement logiciel sûr doivent être appliquées. Lors de l'utilisation de SZI, la priorité est donnée à la fonctionnalité de protection standard, et lors de la réponse à des incidents informatiques, il est nécessaire d'envoyer des informations à leur sujet au système SOPKA d'État.

La liste des mesures organisationnelles et techniques prévues par les dispositions du présent arrêté, selon la catégorie d'importance de l'objet du KII et les menaces à la sécurité de l'information, indique des éléments similaires à ceux de l'arrêté n ° 31:

  • identification et authentification;
  • contrôle d'accès;
  • restriction de l'environnement logiciel;
  • protection des supports de stockage informatique;
  • audit de sécurité;
  • protection antivirus;
  • prévention des intrusions (attaques informatiques);
  • ;
  • ;
  • ;
  • () ;
  • ;
  • ;
  • ;
  • ;
  • ;
  • .

L'algorithme de sélection et d'application des mesures de protection décrit dans l'ordonnance n ° 239 est essentiellement similaire à l'algorithme de l'ordonnance n ° 31 (ainsi que les ordonnances n ° 17 et n ° 21 pour la protection du SIG et de la PD, respectivement), sauf que l'étape d'affinage de l'ensemble de mesures de base adapté est incluse. dans le stade même de l'adaptation de l'ensemble de base. Ainsi, tout d'abord, un choix est fait d'un ensemble de mesures de base pour la catégorie de signification correspondante de l'objet CII sur la base de la liste proposée dans l'ordonnance. Ensuite, l'ensemble de mesures de base sélectionné est adapté, ce qui implique l'exclusion de mesures de base non pertinentes en fonction des technologies utilisées et des caractéristiques de l'objet KII, ainsi que l'inclusion dans l'ensemble d'autres mesures nécessaires pour neutraliser les menaces actuelles. Enfin, l'ensemble adapté est complété par des mesures établies par d'autres documents juridiques réglementaires applicables, par exemple,sur la protection des informations dans les SIG, ISPDn, la protection des informations cryptographiques, etc. Le document indique également que si des mesures de sécurité industrielle, fonctionnelle ou physique sont déjà appliquées dans l'installation de KII pour neutraliser les menaces actuelles à la sécurité de l'information, des mesures de protection supplémentaires ne peuvent pas être appliquées. En outre, par analogie avec l'ordonnance n ° 31, l'importance de la continuité du fonctionnement de l'installation CII et l'absence d'impact négatif sur celle-ci par les mesures appliquées sont soulignées: le sujet CII peut appliquer des mesures compensatoires plus appropriées au lieu des mesures de base, qui bloqueront les menaces à la sécurité concernant l'objet CII. En outre, des mesures compensatoires doivent être appliquées lors de l'utilisation de nouvelles solutions informatiques et de l'identification de nouvelles menaces qui ne sont pas prises en compte par les développeurs de l'Ordre.protection cryptographique des informations, etc. Le document indique également que si des mesures de sécurité industrielle, fonctionnelle ou physique sont déjà appliquées dans l'installation de KII pour neutraliser les menaces actuelles à la sécurité de l'information, des mesures de protection supplémentaires ne peuvent pas être appliquées. En outre, par analogie avec l'ordonnance n ° 31, l'importance de la continuité du fonctionnement de l'installation CII et l'absence d'impact négatif sur celle-ci par les mesures appliquées sont soulignées: le sujet CII peut appliquer des mesures compensatoires plus appropriées au lieu des mesures de base, qui bloqueront les menaces à la sécurité concernant l'objet CII. En outre, des mesures compensatoires doivent être appliquées lors de l'utilisation de nouvelles solutions informatiques et de l'identification de nouvelles menaces qui ne sont pas prises en compte par les développeurs de l'Ordre.protection cryptographique des informations, etc. Le document indique également que si des mesures de sécurité industrielle, fonctionnelle ou physique sont déjà appliquées dans l'installation de KII pour neutraliser les menaces actuelles à la sécurité de l'information, des mesures de protection supplémentaires ne peuvent pas être appliquées. En outre, par analogie avec l'ordonnance n ° 31, l'importance de la continuité du fonctionnement de l'objet CII et de l'absence d'impact négatif sur celui-ci par les mesures appliquées est soulignée: le sujet CII peut appliquer des mesures compensatoires plus appropriées au lieu des mesures de base, qui bloqueront les menaces à la sécurité pertinentes pour l'objet CII. En outre, des mesures compensatoires doivent être appliquées lors de l'utilisation de nouvelles solutions informatiques et de l'identification de nouvelles menaces qui ne sont pas prises en compte par les développeurs de l'Ordre.que si des mesures de sécurité industrielle, fonctionnelle ou physique sont déjà appliquées dans l'installation de KII pour neutraliser les menaces actuelles à la sécurité de l'information, des mesures de protection supplémentaires ne peuvent pas être appliquées. En outre, par analogie avec l'ordonnance n ° 31, l'importance de la continuité du fonctionnement de l'installation CII et l'absence d'impact négatif sur celle-ci par les mesures appliquées sont soulignées: le sujet CII peut appliquer des mesures compensatoires plus appropriées au lieu des mesures de base, qui bloqueront les menaces à la sécurité concernant l'objet CII. En outre, des mesures compensatoires doivent être appliquées lors de l'utilisation de nouvelles solutions informatiques et de l'identification de nouvelles menaces qui ne sont pas prises en compte par les développeurs de l'Ordre.que si des mesures de sécurité industrielle, fonctionnelle ou physique sont déjà appliquées dans l'installation de KII pour neutraliser les menaces actuelles à la sécurité de l'information, des mesures de protection supplémentaires ne peuvent pas être appliquées. En outre, par analogie avec l'ordonnance n ° 31, l'importance de la continuité du fonctionnement de l'installation CII et l'absence d'impact négatif sur celle-ci par les mesures appliquées sont soulignées: le sujet CII peut appliquer des mesures compensatoires plus appropriées au lieu des mesures de base, qui bloqueront les menaces à la sécurité concernant l'objet CII. En outre, des mesures compensatoires doivent être appliquées lors de l'utilisation de nouvelles solutions informatiques et de l'identification de nouvelles menaces qui ne sont pas prises en compte par les développeurs de l'Ordre.suffisantes pour neutraliser les menaces actuelles à la sécurité de l'information, des mesures de protection supplémentaires peuvent ne pas être appliquées. En outre, par analogie avec l'ordonnance n ° 31, l'importance de la continuité du fonctionnement de l'installation CII et l'absence d'impact négatif sur celle-ci par les mesures appliquées sont soulignées: le sujet CII peut appliquer des mesures compensatoires plus appropriées au lieu des mesures de base, qui bloqueront les menaces à la sécurité concernant l'objet CII. En outre, des mesures compensatoires doivent être appliquées lors de l'utilisation de nouvelles solutions informatiques et de l'identification de nouvelles menaces qui ne sont pas prises en compte par les développeurs de l'Ordre.suffisantes pour neutraliser les menaces actuelles à la sécurité de l'information, des mesures de protection supplémentaires peuvent ne pas être appliquées. En outre, par analogie avec l'ordonnance n ° 31, l'importance de la continuité du fonctionnement de l'objet CII et de l'absence d'impact négatif sur celui-ci par les mesures appliquées est soulignée: le sujet CII peut appliquer des mesures compensatoires plus appropriées au lieu des mesures de base, qui bloqueront les menaces à la sécurité pertinentes pour l'objet CII. En outre, des mesures compensatoires doivent être appliquées lors de l'utilisation de nouvelles solutions informatiques et de l'identification de nouvelles menaces qui ne sont pas prises en compte par les développeurs de l'Ordre.L'importance de la continuité du fonctionnement de l'objet CII et de l'absence d'impact négatif sur celui-ci par les mesures appliquées est soulignée: le sujet CII peut appliquer des mesures compensatoires plus appropriées au lieu des mesures de base, qui bloqueront les menaces de sécurité pertinentes pour l'objet CII. En outre, des mesures compensatoires doivent être appliquées lors de l'utilisation de nouvelles solutions informatiques et de l'identification de nouvelles menaces qui ne sont pas prises en compte par les développeurs de l'Ordre.L'importance de la continuité du fonctionnement de l'objet CII et de l'absence d'impact négatif sur celui-ci par les mesures appliquées est soulignée: le sujet CII peut appliquer des mesures compensatoires plus appropriées au lieu des mesures de base, qui bloqueront les menaces de sécurité pertinentes pour l'objet CII. En outre, des mesures compensatoires doivent être appliquées lors de l'utilisation de nouvelles solutions informatiques et de l'identification de nouvelles menaces qui ne sont pas prises en compte par les développeurs de l'Ordre.

Des exigences sont également imposées au SZI lui-même: vous pouvez utiliser les outils dont la conformité aux exigences de sécurité a été évaluée sous forme de tests, d'acceptation ou de certification obligatoire. Les tests et l'acceptation sont effectués par des sujets KII indépendamment ou avec l'aide de licenciés du FSTEC de Russie. Lors de l'utilisation de SPI certifié, les exigences sont les suivantes: dans les installations de la première catégorie d'importance, il est nécessaire d'utiliser SPI au moins de la 4e classe de protection, dans les installations de la 2e catégorie - SPI au moins de la 5e classe et dans les installations de la 3e catégorie - SZI pas inférieur à la 6e année; en même temps, sur les objets significatifs de toutes les catégories, il est nécessaire d'utiliser un SVT d'au moins 5e année.

Il est également intéressant de noter que dans l'ordonnance n ° 239, les exigences sont également accordées aux niveaux de confiance des SZI. Les niveaux de confiance (ci-après - UD) sont déterminés conformément à l'Ordre du FSTEC de Russie n ° 131 du 30 juillet 2018, dans lequel six UD sont établis (le plus bas est le 6e, le plus élevé est le 1er). Ainsi, sur les objets de la 1ère catégorie d'importance, SZI correspondant au 4e ou plus UD doit être appliqué, sur les objets de la 2e catégorie - SZI correspondant au 5e ou plus UD, et sur les objets de la 3ème catégorie - SZI, correspondant à 6e ou plus UD. A noter que les points concernant les niveaux de confiance du SIS appliqué ont été introduits en mars 2019 après la publication de la version initiale de l'ordonnance: auparavant, les exigences étaient imposées sur le niveau de contrôle de l'absence de capacités non déclarées (aux objets des 1ère et 2ème catégories, il fallait utiliser le SIS qui a réussi le test sur NDV 4ème niveau),mais avec la publication de l'ordonnance n ° 131 susmentionnée, entrée en vigueur en juin 2019, les exigences du document d'orientation NDV ont pratiquement cessé d'exister.

En outre, l'ordonnance n ° 239 souligne que dans les installations de la 1ère catégorie d'importance en tant que routeurs frontaliers, des dispositifs certifiés conformes aux exigences de sécurité de l'information doivent être utilisés, et s'ils ne peuvent pas être utilisés, les fonctions de sécurité des routeurs frontaliers ordinaires doivent être évaluées lors de l'acceptation ou tests d'objets significatifs de KII.

En plus de ce qui précède, la commande indique l'importance d'utiliser SZI, qui sont fournis avec une garantie et / ou un support technique, ainsi que des restrictions possibles sur l'utilisation de logiciels / matériel ou SZI (apparemment, des risques de sanctions sont signifiés). Il est également indiqué que dans une installation KII importante, il est nécessaire d'interdire l'accès non contrôlé à distance et local pour mettre à jour ou gérer les personnes qui ne sont pas des employés du sujet KII, ainsi que pour interdire le transfert non contrôlé d'informations de l'installation KII au fabricant ou à d'autres personnes. En outre, tous les logiciels et le matériel de l'installation KII de la première catégorie d'importance devraient être situés sur le territoire de la Fédération de Russie (à l'exception des cas spécifiés par la loi).

Comme nous pouvons le voir, l'ordonnance n ° 239, malgré une structure similaire à celle des autres ordonnances du FSTEC de Russie, présente un certain nombre d'innovations: ce sont des exigences pour la conformité de l'ISA avec les niveaux de confiance, et la mention des risques de sanctions, et une attention accrue pour assurer la sécurité de l'interaction du réseau. Il convient de noter que cette ordonnance est essentielle pour satisfaire aux exigences de protection des objets KII, les sujets KII doivent donc étudier ses dispositions avec une attention particulière.

Responsabilité


La responsabilité pour influence illégale sur le KII de la Fédération de Russie est prévue à l'article 274.1 du Code pénal. Cet article a été introduit par la loi fédérale n ° 194 du 26 juillet 2017 et entre en vigueur le 01.01.2018. Conformément à cet article, les sanctions suivantes sont applicables:

  • , ;
  • ;
  • , , ;
  • , , , ;
  • , (.. 1 ); , 10 .

Il convient de garder à l'esprit que l'effet de cet article s'applique à la fois aux objets significatifs et insignifiants de KII. De plus, cette norme ne tient pas compte de la catégorie d'importance de l'objet attaqué de KII, ni de sa catégorisation. La taille des dommages causés est un signe d'évaluation et est déterminée par le tribunal. Le service d'enquête du FSB de la Fédération de Russie enquêtera sur ces crimes, et la mesure de contrainte pour la période d'enquête est le placement en état d'arrestation dans un centre de détention provisoire. Il convient également de noter que l '«ancêtre» de cet article est l'article 274.- pour le moment, son application est plutôt limitée en raison d'un libellé vague et d'une nature de renvoi, de sorte que le nombre d'affaires pénales y est calculé en unités (et avant 2013, il n'y en avait pas du tout). La pratique d'application de la loi connue du public en vertu du nouvel article 274.1 est actuellement assez limitée: par exemple, en mai de cette année, une décision a été prise dans le cas d'une attaque DDoS sur le site Web de Roskomnadzor, en septembre, trois citoyens ont été condamnés pour une attaque contre une installation KII utilisant un virus de chiffrement, et en octobre, un verdict a été rendu pour avoir "drainé" les données personnelles des abonnés d'un opérateur de télécommunications.

En plus de la responsabilité pénale susmentionnée, les sujets et les fonctionnaires de KII attendent également d'éventuelles sanctions administratives: actuellement, des modifications au Code des infractions administratives de la Fédération de Russie sont envisagées, ce qui implique l'introduction de deux nouveaux articles et des amendes importantes pour leur violation:

  • L'article 13.12.1 «Violation des exigences en matière de sécurité des KII de la Fédération de Russie» prévoit la responsabilité pour violation de la procédure de catégorisation des objets KII, violation des exigences pour la création et la maintenance des systèmes de sécurité des objets KII importants, violation des exigences pour assurer la sécurité des objets KII importants, ainsi que violation de la commande informer, répondre et partager des informations sur les incidents informatiques.
  • L'article 19.7.15 «Défaut de fournir des informations prévues par la législation dans le domaine de la sécurité du KII de la Fédération de Russie» assume la responsabilité de la violation de la procédure de fourniture d'informations sur la catégorisation des objets KII dans le FSTEC de Russie, ainsi que du non-respect des normes d'échange d'informations avec l'État SOPKA.

Liste des documents


En plus des actes normatifs discutés ci-dessus (187-, -127, Ordonnances du FSTEC de Russie n ° 31 et n ° 239), actuellement les documents suivants sont légalement réglementés par les questions de protection KII:

  1. Décret du Président de la Fédération de Russie du 15 janvier 2013 n ° 31c «sur la création d'un système d'État pour la détection, la prévention et l'élimination des conséquences des attaques informatiques sur les ressources informatiques de la Fédération de Russie», qui a servi de point de départ à la création de la Commission nationale de protection et de contrôle sociaux et du Centre national pour la protection de l'économie nationale
  2. 22.12.2017 . № 620 « , », , , .
  3. , ( 12.12.2014 № 1274), , , .
  4. , 03.02.2012 . № 79 .
  5. 17.02.2018 № 162 « » 187- , , . , - . , .
  6. 06.12.2017 . № 227 « ».
  7. 21.12.2017 . № 235 « » , , - , - .
  8. 22.12.2017 . № 236 « ».
  9. 11.12.2017 . № 229 « , ».
  10. 24.07.2018 . № 366 « » , .
  11. 24.07.2018 . № 367 « , , , » , . , (, , , , ) 24 .
  12. 24.07.2018 . № 368 « , , , , , ». ( , №367), (, CERT') , . , (. Indicators Of Compromise, IOCs), (Tactics, Techniques and Procedures, TTPs).
  13. 06.05.2019 № 196 « , , » ( , , ) , , .
  14. 19.06.2019 № 281 « , , , , , , » «» , .
  15. 19.06.2019 № 282 « , , , » ( ) . , , . : 3 , — 24 . , 48 . : , .10 () .

En plus de ce qui précède, le FSB de la Fédération de Russie a également publié un certain nombre d'autres documents sur la protection des KII, qui ne sont cependant pas actuellement disponibles pour examen gratuit:

  • Recommandations méthodologiques du Service fédéral de sécurité de la Fédération de Russie sur la création de centres départementaux et d'entreprises du système d'État pour détecter, prévenir et éliminer les conséquences des attaques informatiques sur les ressources d'information de la Fédération de Russie.
  • Recommandations méthodologiques du FSB de la Fédération de Russie sur la détection des attaques informatiques contre les ressources d'information de la Fédération de Russie.
  • Recommandations méthodologiques du FSB de la Fédération de Russie pour établir les causes et éliminer les conséquences des incidents informatiques liés au fonctionnement des ressources d'information de la Fédération de Russie.
  • Recommandations méthodologiques du NCCCC FSB de la Fédération de Russie sur les mesures à prendre pour évaluer le degré de protection contre les attaques informatiques.
  • Exigences pour les départements et les fonctionnaires des sujets de l'État SOPKA.
  • Les règles d'interaction entre les unités du FSB de la Fédération de Russie et GosSOPKA sujets dans la mise en œuvre de l'échange d'informations dans le domaine de la détection, la prévention et l'élimination des conséquences des attaques informatiques.

Source: https://habr.com/ru/post/fr477812/

More articles:


All Articles