审查俄罗斯立法以保护关键信息基础架构

朋友，在以前的出版物中，我们从俄罗斯和国际立法的角度研究了个人数据的保护。 但是，还有大量有关俄罗斯公司和组织的紧迫话题-我们正在谈论保护关键信息基础设施。 大型企业和整个行业的IT系统的安全性和弹性在现代条件下都起着决定性的作用。 全世界都在尝试对基础设施进行有针对性的复杂网络攻击，而忽略这种事实将是非常短视的。 建立GosSOPKA（用于检测，预防和消除计算机攻击对俄罗斯联邦信息资源的后果的国家系统），并签署了2017年7月26日第187-号联邦法律，“关于俄罗斯联邦关键信息基础设施的安全性”，并制定了相关的法律对当前现实挑战的合理答案。

更详细地考虑信息安全的这一方面。 来吧！

重点

2013年1月15日，俄罗斯联邦总统令第31c号“关于建立国家系统以检测，预防和消除计算机攻击对俄罗斯联邦信息资源的后果的国家法令”，签署了在全国范围内保护信息基础设施的工作开始。 此外，2017年7月签署了2017年7月26日第187-FZ号联邦法 “关于俄罗斯联邦关键信息基础设施的安全性”，该法律于2018年1月1日生效。 关键信息基础设施（以下简称KII）是指信息系统，信息和电信网络，KII主体的自动控制系统以及用于组织其交互作用的电信网络。 KII的主题是在国家战略重要领域运营的公司，例如医疗，科学，运输，通信，能源，银行，燃料和能源综合体，在核能，国防，火箭和太空，采矿，冶金和化学工业领域以及确保KII的系统或网络进行交互的组织。 计算机攻击被定义为对KII对象破坏或停止其功能的有针对性的恶意影响，以及计算机事件-被视为违反或终止KII操作和/或对对象处理的信息进行安全破坏的事实。

还值得注意的是，对于燃料和能源综合体中的公司，存在2011年7月21日第256-号联邦法律 “关于燃料和能源综合体设施的安全性”所定义的标准，该标准还规定了确保燃料和能源基础设施信息系统安全的必要性通过建立信息保护系统以及信息和电信网络以防止非法访问，破坏，修改，阻止信息和其他非法行为的能源综合体 行动，以及确保此类系统正常运行的需求。

俄罗斯的FSTEC由联邦执行机构任命，该机构在俄罗斯联邦关键信息基础架构的安全领域得到授权。 授予俄罗斯联邦联邦安全局授权的联邦执行机构的职能，以确保国家系统的运行，以检测，预防和消除计算机攻击对俄罗斯联邦信息资源的影响（以下简称GosSOPKA）。 此外，根据2018年俄罗斯联邦联邦安全局的命令，创建了国家计算机事件协调中心（NCCTC），该中心负责协调KII主体的活动，并且是旨在检测，预防和消除计算机攻击的后果以及对计算机事件和技术事件做出响应的力量的组成部分NCCCI基础结构用于SSSOPKA系统的功能。 简而言之，NCCTC是国家CERT（计算机紧急响应小组），而国家SOPCA是俄罗斯联邦规模上的“大型SIEM”。 它的功能如下：有关发生的计算机事件的信息的数量与俄罗斯联邦联邦安全局第367 号令的规定相对应（事件的日期，时间，技术细节和后果以及与其他事件的关系，KII对象的位置，所识别的攻击与事件之间存在联系），必须在发现计算机事件后的24小时之内由KII的主题将其转移到State SOPKA系统。 同时，存在向自动数据发送过渡的趋势。

然后，签署了俄罗斯联邦政府2018年2月8日第127 号法令， “关于批准对俄罗斯联邦关键信息基础设施的对象进行分类的规则以及俄罗斯联邦关键信息基础设施的重要性及其价值的标准指标列表”，其中对CII主题提出了具体要求关于KII对象在其职责范围内的分类，还包含KII对象重要性的标准列表-通过 azateley的范畴的意义正确的选择。 KII对象的重要性类别可以采用以下三个值之一（其中最高的类别是第一，最低的是第三），并取决于该对象在社会，政治，经济和国防领域的重要性的定量指标。 例如，如果在KII设施上发生的计算机事故可能导致500多名市民的生命和健康受到损害，则将设施分配为第一类，如果事故导致的运输服务可能无法为2000至100万公民使用，则将设施分配给该设施。最低第三类。

因此，应该对KII的对象进行分类。 这是由一个常设内部委员会对KII的主题进行分类的，该委员会还产生并记录以下行动：

• 确定在CII主题活动框架内提供管理，技术，生产，财务和经济和（或）其他流程（我们将其称为“ CII主题的主要流程”）的CII对象；
• 确定关键流程，违反或终止的流程可能导致社会，政治，经济和国防领域的负面后果；
• 建立用于处理上述流程信息的KII对象和/或执行关键流程的管理，控制或监视（我们将其称为“辅助KII对象”）；
• 建立违规者和威胁的模型，而委员会应考虑具有最大负面后果的最坏情况下的攻击情形；
• 考虑到对象之间的互连以及它们之间的依赖关系，评估可能产生的后果；
• 为每个对象分配三个重要类别之一，或者做出合理的决定不分配此类类别，同时准备将CII的对象进行分类的行为或无需为CII分配重要类别的行为。

将分类结果发送到俄罗斯的FSTEC，在此检查分类程序的正确性和重要性类别分配的正确性，并且在没有注释的情况下，将接收到的信息输入KII对象的寄存器中。 提供定期（5年中的1次）和计划的（当更改重要性标准的指标时）对已建立的重要性类别的审查。

国家袜业

根据俄罗斯联邦安全局制定的2016年12月24日第149/2 / 7-200号文件，“关于建立国家系统的部门和公司中心以检测，预防和消除计算机攻击对俄罗斯联邦信息资源的影响的系统性建议”，SOPKA国家的职能是：

• 信息资源清单；
• 查明信息资源中的漏洞；
• 分析对信息安全的威胁；
• 信息资源人员的高级培训；
• 从信息资源的人员和用户那里接收有关可能发生的事件的消息；
• 检测计算机攻击；
• 安全事件数据分析；
• 事件记录；
• 事件响应和响应；
• 确定事故原因；
• 分析结果，消除事故后果。

GosSOPKA系统中心分为部门和公司：

• 部门中心进行许可活动以保护信息资源，以符合公共当局的利益；
• 公司中心为了自己的利益保护信息资源而进行许可活动，并且有权提供预防，检测和消除计算机攻击后果的服务。

如果我们可以在全国范围内将GosSOPKA系统本身夸大地称为“大型SIEM”，那么将正确地将GosSOPKA中心与信息安全监视中心（例如，安全运营中心，SOC）进行比较。

因此，按照现行立法标准，与国家机关有关的KII主题应与国家社会保障和认证系统的相关部门中心联系。 KII的主题不是公共机构，它有机会独立连接到GosSOPKA系统，或者创建自己的公司GosSOPKA中心，或者连接到已经创建的中心，该中心提供连接到GOSSOPKA系统的服务。

通过与国家SOPKA中心的独立连接，KII的主题将必须解决以下任务：

• 考虑到俄罗斯联邦联邦安全局法规文件，俄罗斯FSTEC法规以及其他法规法规的要求，成立了自己的信息安全监控中心
• 实施和支持符合俄罗斯联邦联邦安全局关于创建国家系统的部门和公司中心的方法学建议的技术工具和解决方案，以检测，预防和消除计算机攻击对俄罗斯联邦信息资源的影响；
• 实施和支持符合俄罗斯FSTEC被许可方要求的技术工具和解决方案，以监控监视工具和系统的信息安全；
• 从俄罗斯FSTEC获得有关机密信息技术保护的许可证，该信息涉及用于监视监视工具和系统的信息安全的工作和服务清单（在向其他组织提供商业服务或作为控股结构的一部分的情况下）;
• 获得俄罗斯联邦联邦安全局的许可证，用于开发，生产，分发加密（密码）手段，使用加密（密码）手段保护的信息系统和电信系统，从事工作，提供信息加密领域的服务，加密（密码）手段，使用加密（加密）方式保护的信息系统，信息系统和电信系统（如果提供的话） 向其他组织mmercheskih服务，或工作作为保持结构的）的一部分;
• 在检测，预防和消除计算机攻击后果方面进行信息交换时，按照俄罗斯联邦FSB单位与GosSOPKA对象之间的交互规则与NCCSC进行交互；
• 吸引，培训，保留信息安全监控中心的员工；
• 开发和持续更新攻击和监视方案；
• 事件和事件分析，报告构建。

连接到提供相关服务的GosSOPKA的外部（商业）中心，可以将上述大多数任务转移到专业组织。 客户所需要做的就是将事件源连接到GosSOPKA商业中心，就交互的格式和规则达成一致，并及时通知其IT基础架构的更改。 此外，该组织使用GosSOPKA外部中心的服务，在未经其联邦商业安全部门和/或俄罗斯FSTEC部门许可的情况下开展活动时，将在执行非法活动方面未遵守俄罗斯联邦法律（《俄罗斯联邦刑法》第171条）的风险转移给执行人。

过程控制系统

让我们继续介绍保护生产和工艺流程自动控制系统的原则。 俄罗斯FSTEC 命令 ，2014年3月14日，第31号，“批准对关键设施，潜在危险设施以及对人类生命和健康构成威胁的设施的生产和工艺过程自动控制系统中的信息保护要求《环境环境》（由俄罗斯FSTEC于2018年8月9日第138号修订）在确保制造业自动化控制系统安全方面确立了立法要求 单一和技术过程（以下简称为过程控制系统）。 尽管存在KII的两个看似重复的保护区域（KII上有附则的187-和过程控制系统上指示的第31号命令），但目前，国家监管机构仍坚持以下观点：如果KII的对象被认为是重要的（即已被指定）重要性的三个类别之一），然后使用FSTEC 命令 （2017年12月25日第239号“关于确保俄罗斯联邦关键信息基础设施重要对象的安全性要求得到批准”），并且如果将KII对象识别为 识别（即未分配重要类别），则根据KII主题的决定，可以对过程控制系统应用31号命令，对KII应用239号命令。

根据第31号命令，过程控制系统中的保护对象是有关被管理对象或过程的参数或条件以及所有相关技术手段（工作站，服务器，通信通道，控制器），软件和保护设备的信息。 该文件指出，为保护过程控制系统而采取的组织和技术措施首先应确保在过程控制系统中处理的信息的可访问性和完整性，并确保从逻辑上将机密性放在第二位。 此外，还指出，所采取的措施应与确保其他类型的安全措施（例如工业，火灾，环境安全）相协调，并且不应对过程控制系统的正常运行产生不利影响。 流程控制系统中的信息保护系统也有要求-它们必须通过合格性评估。

该文档描述了在过程控制系统中保护信息（以下简称ZI）的组织步骤：过程控制系统要求的形成，过程控制系统的控制系统的开发和实施，过程控制系统运行期间和退役过程中过程控制系统的提供。 在需求形成阶段，要对过程控制系统的分类进行重要的工作：建立三个安全级别之一（最低级别为第三级别，最高级别为第一级别），并根据所处理信息的重要性级别确定安全级别，即 因违反其安全属性（完整性，可用性和机密性（如果适用））而可能造成的损害的程度。 损害的程度可以是高（联邦或区域间规模的紧急状态），中等（区域或城市间规模的紧急状态）或低（事件是局部性的）。

除了对过程控制系统进行分类之外，在需求形成阶段，还可以通过编译威胁模型来确定过程控制安全威胁：确定威胁的来源，评估违规者的能力（即创建违规者的模型），分析所使用系统的漏洞，确定实施威胁的方式及其后果，同时应使用FDTC FSTEC俄罗斯。 在此阶段创建入侵者模型的重要性还在于，在第一安全级别的自动化过程控制系统中应用的保护措施应确保在第二安全级别的自动化控制系统中抵消具有高潜力的入侵者的行为-在自动化过程控制系统中具有不低于平均水平的入侵者第三类安全性-入侵者潜力低（ 在 BDU 页上定义了违反者的潜能）。

, №31 , №21 () №17 (): , , , , , . №31 : .

在第31号命令中，列出了以下几组确保控制系统安全的措施，应根据控制系统要求的保护等级来采用这些措施：

• 识别和认证；
• 访问控制；
• 软件环境限制；
• 保护计算机存储介质；
• 安全审核；
• 防病毒保护；
• 入侵防御（计算机攻击）；
• 确保诚信；
• 可及性；
• 保护硬件和系统；
• 保护信息（自动化）系统及其组件；
• 对计算机事件的响应；
• 配置管理；
• 软件更新管理；
• 安全计划；
• 提供紧急情况下的行动；
• 通知和培训人员。

, , — , : , , , .24 №31.

, 25 2017 . № 239 « ».

俄罗斯FSTEC第239号命令中规定的要求已提交给重要KII对象的信息系统，自动控制系统以及信息和电信网络。上文描述的第127号政府决定中描述了将KII对象分类为重要对象的标准。满足所考虑的订单要求的前提是，先前已经按照PP-127标准对KII对象进行了分类。除重要对象外，根据KII主题的决定，所讨论文件的规范也可以适用于无关紧要的对象以及第31号命令的要求。在第239号命令中，单独指出处理PD的KII对象也要遵守PD保护标准，如果KII对象是GOSIS，然后应用《俄罗斯FSTEC第17号关于保护GIS的命令》的规范，并对KII的重要对象进行认证。

№239 , , . №31, , (.. ), ( — ), , .

第239号命令特别规定，在开发新软件作为重要KII对象的安全子系统的一部分的情况下，应采用安全软件开发的标准。使用SZI时，将优先考虑标准保护功能，并且在响应计算机事件时，需要将有关事件的信息发送到State SOPKA系统。

该命令的规定所规定的组织和技术措施的清单，取决于KII对象的重要性类别和对信息安全的威胁，表明与第31号命令类似的项目：

• 识别和认证；
• 访问控制；
• 软件环境限制；
• 保护计算机存储介质；
• 安全审核；
• 防病毒保护；
• 入侵防御（计算机攻击）；
• ;
• ;
• ;
• () ;
• ;
• ;
• ;
• ;
• ;
• .

, №239, №31 ( №17 №21 ), , . , . , , , . , , , , , , .. , , , , . , №31, : , . , - , .

: , , . . : 1- 4- , 2- — 5- , 3- — 6- ; 5- .

, №239 . ( — ) №131 30 2018 ., ( – 6-, – 1-). , 1- , 4- , 2- — , 5- , 3- — , 6- . , 2019 . : ( 1- 2- , 4- ), №131, 2019 ., .

此外，第239号命令强调，在第一类重要设施中，应将经认证符合信息安全要求的设备用作边界路由器，如果不能使用它们，则应在接受或评估时评估普通边界路由器的安全功能。测试KII的重要对象。

除了前面提到的，该命令还指出了使用SZI的重要性，SZI提供了保修和/或技术支持，以及对软件/硬件或SZI的使用可能的限制（显然，存在制裁风险）。还指出，在重要的KII设施中，必须禁止远程和本地不受控制的访问来更新或管理不是KII主题雇员的人员，并禁止从KII设施向制造商或其他人进行非受控的信息传输。此外，第一类重要的KII设施的所有软件和硬件都应位于俄罗斯联邦领土上（法律规定的情况除外）。

我们可以看到，尽管第239号命令的结构与俄罗斯FSTEC的其他命令的结构相似，但仍具有许多创新：这是ISA符合置信水平的要求，并提到了制裁风险，并越来越重视确保网络交互安全性。应当指出，该命令对于满足保护KII对象的要求至关重要，因此，KII主体应特别注意研究其规定。

责任感

《刑法》第274.1条规定了对俄罗斯联邦KII的非法影响的责任。该条款由 2017年7月26日第194号联邦法律引入，自2018年1月1日起生效，根据该条款，以下规定将受到处罚：

• , ;
• ;
• , , ;
• , , , ;
• , (.. 1 ); , 10 .

应该记住的是，本文的效果既适用于KII的重要对象，也适用于无关紧要的对象。而且，该规范既没有考虑到KII受攻击对象的重要类别是什么，也没有考虑到它是否被归类。造成的损害的大小是评估标志，由法院决定。俄罗斯联邦金融稳定委员会的调查部门将对这些罪行进行调查，调查期间的克制措施是将其拘留在审前拘留所中。还值得注意的是，本文的“前身”是第274条。 — , ( 2013 ). 274.1 : , DDoS- , -, «» .

, : , :

• 13.12.1 « » , , , , .
• 第19.7.15条“未能在确保俄罗斯联邦KII安全的领域提供法律规定的信息”对违反俄罗斯FSTEC中提供的KII对象分类信息提供程序，以及不遵守与国家SOPKA交换信息的规则承担责任。

文件清单

除了上述讨论的规范性法案（187-，-127，俄罗斯联邦FSTEC第31号和第239号命令）外，目前保护KII的问题还受到以下文件的立法管制：

1. 俄罗斯联邦总统2013年1月15日第31c 号法令， ``关于建立侦查，预防和消除计算机攻击俄罗斯联邦信息资源后果的国家系统''，这是创建国家社会保护和控制委员会以及俄罗斯联邦政府国家保护中心的起点。
2. 22.12.2017 . № 620 « , », , , .
3. , ( 12.12.2014 № 1274), , , .
4. , 03.02.2012 . № 79 .
5. 17.02.2018 № 162 « » 187- , , . , - . , .
6. 06.12.2017 . № 227 « ».
7. 21.12.2017 . № 235 « » , , - , - .
8. 22.12.2017 . № 236 « ».
9. 11.12.2017 . № 229 « , ».
10. 24.07.2018 . № 366 « » , .
11. 24.07.2018 . № 367 « , , , » , . , (, , , , ) 24 .
12. 24.07.2018 . № 368 « , , , , , ». ( , №367), (, CERT') , . , (. Indicators Of Compromise, IOCs), (Tactics, Techniques and Procedures, TTPs).
13. 06.05.2019 № 196 « , , » ( , , ) , , .
14. 19.06.2019 № 281 « , , , , , , » «» , .
15. 19.06.2019 № 282 « , , , » ( ) . , , . : 3 , — 24 . , 48 . : , .10 () .

除上述内容外，俄罗斯联邦的金融稳定委员会还发布了一些其他有关保护KII的文件，但是，目前尚无免费文件可供查阅：

• 俄罗斯联邦联邦安全局关于建立国家系统的部门和公司中心以检测，预防和消除计算机攻击对俄罗斯联邦信息资源的影响的方法建议。
• 俄罗斯联邦FSB关于检测对俄罗斯联邦信息资源的计算机攻击的方法学建议。
• 俄罗斯联邦FSB的方法学建议，以确定与俄罗斯联邦信息资源运行有关的计算机事件的起因并消除其后果。
• 俄罗斯联邦NCCCC FSB关于评估针对计算机攻击的防护程度的措施的方法建议。
• 国家SOPKA学科部门和官员的要求。
• 俄罗斯联邦金融稳定委员会各部门与GosSOPKA主体之间的互动规则，用于在检测，预防和消除计算机攻击后果方面进行信息交换。