Книга: Глобальное управление Интернетом и безопасность в сфере использования ИКТ: Ключевые вызовы для мирового сообщества
Назад: Раздел III Обеспечение безопасности объектов критической информационной инфраструктуры: основные угрозы и стратегии реагирования
Дальше: Информационные угрозы объектам КИИ: основные тенденции развития

Понятия, классификация и регулирование критической информационной инфраструктуры

Первая проблема, которая имеет не только научно-теоретическое, но и сугубо практическое значение – отсутствие единообразных определений как на международном уровне, так и в регуляторных нормах и практиках значительного количества государств.
Критически важный объект – объект, нарушение или прекращение функционирования которого может привести к потере управления экономикой Российской Федерации, субъекта Российской Федерации или административно-территориальной единицы, ее необратимому негативному изменению (разрушению) либо существенному снижению безопасности жизнедеятельности населения.

Критическая информационная инфраструктура Российской Федерации – совокупность автоматизированных систем управления производственными и технологическими процессами критически важных объектов и обеспечивающих их взаимодействие информационно-телекоммуникационных сетей, а также информационных систем и сетей связи, предназначенных для решения задач государственного управления, обеспечения обороноспособности, безопасности и правопорядка.
Проект Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» (подготовлен ФСБ РФ, текст по состоянию на 8 августа 2013 г.)
Российская Федерация по состоянию на начало 2015 г. является одним из государств, в которых регуляторный подход к вопросам обеспечения безопасности объектов КИИ развивается, однако пока не является завершенным и в достаточной мере систематизированным. Несмотря на активное развитие нормативной базы, до сих пор законодательно не закреплен единый подход к понятию «критически важного объекта (КВО)». Кроме того, даже внутри отрасли информационной безопасности существуют различные толкования КВО на уровне документов ключевых ведомств, вовлеченных в нормотворческий и регуляторный процесс в этой сфере (Совета Безопасности РФ, ФСБ РФ, ФСТЭК РФ). Выработка общегосударственного, интегрированного и систематизированного подхода как к определениям и классификации критически важных объектов России, так и государственной политике по защите в том числе от ИКТ-угроз, должна стать четким приоритетом уже на ближайшую перспективу.
Понятие «критически важные объекты» было определено еще в Концепции федеральной системы мониторинга критически важных объектов и (или) потенциально опасных объектов инфраструктуры Российской Федерации и опасных грузов, утвержденной распоряжением Правительства России от 27.08.2005 № 1314-р, как «объекты, нарушение (или прекращение) функционирования которых приводит к потере управления экономикой страны, субъекта или административно-территориальной единицы, ее необратимому негативному изменению (или разрушению) или существенному снижению безопасности жизнедеятельности населения, проживающего на этих территориях, на длительный период времени». По мере развития регуляторных подходов, выработки новых ведомственных документов и законопроектов терминология в сфере защиты КВО также уточняется и развивается, но это определение закрепилось и находит отражение в более поздних нормативных актах.
Важным шагом на пути выработки согласованного подхода стала подготовка ФСБ РФ в 2013 г. проекта федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации». Законопроект предлагает само понятие критической информационной инфраструктуры (КИИ) России, а также закрепляет базовые критерии ее классификации. Предлагается классификация объектов КИИ по трем уровням опасности от высокого до низкого, а также семь критериев ее категорирования с точки зрения ее «отраслевой» значимости (экономической, экологической, социальной, для обороноспособности и для национальной безопасности России, для реализации управленческих функций и в части предоставления значительного объема информационных услуг). При этом, исходя из возможности принятия законопроекта в течение 2015 г., сами показатели критериев должны быть определены не ранее конца 2015 г. – начала 2016 г. Что особенно важно, законопроект предлагает системное видение межведомственного взаимодействия в сфере обеспечения безопасности и защиты КИИ РФ.
Излагаемые в проекте закона нормы в целом отвечают подходам, которые сформулированы в одном из наиболее проработанных международных документов по тематике защиты КИИ – Рекомендациях по защите критических информационных инфраструктур от 2008 г., выпущенных Организацией экономического сотрудничества и развития (OECD Recommendations on the Protection of Critical Information Infrastructures (2008)). При этом в российском законопроекте практически не затронута тематика международного взаимодействия по вопросам защиты КИИ, которое предусмотрено в рекомендациях ОЭСР в качестве одного из основных направлений деятельности.
Также в законопроекте не приводится полная классификация КИИ РФ, как и КВО РФ. Вопрос классификации важен как для решения внутригосударственных задач в этой сфере, так и для международного взаимодействия и сотрудничества. Отсутствие единой официально утвержденной классификации КВО и КИИ РФ осложняет межведомственное взаимодействие, служит дополнительным стимулом для конкуренции различных ведомств и регуляторов за полномочия в этой сфере, а также дезориентирует операторов самих КВО и объектов КИИ и диктует необходимость двойной и тройной отчетности об инцидентах и мерах по защите своих объектов перед различными регуляторами. Как один из примеров видения классификации КВО РФ приведем подход МЧС РФ. Нормативные акты министерства предусматривают идентификацию критической инфраструктуры по семи видам угроз, двум классам угроз и 50 типам объектов (зарубежным секторам приблизительно соответствует деление по семи видам угроз).
Помимо разницы во взглядах на приоритет международного сотрудничества, в повестке дня обеспечения ИБ КВО вновь проявляют себя нерешенные вопросы терминологии и классификации. Сопоставление терминологии документов Австралии, Германии, Канады, Великобритании, Нидерландов, России, США, Японии и других государств показывает существенные расхождения в логике определения таких объектов. Разные государства также выделяют различные классы/секторы КИИ (либо не выделяют таковую из общего перечня критической инфраструктуры вообще).
В США выделяются 16 секторов критической инфраструктуры; в Канаде, ЕС, Швейцарии и Японии – по 10 секторов. В большинстве случаев классификации объектов критической инфраструктуры в различных странах отличаются друг от друга, несмотря на то что значительная часть объектов (АЭС и объекты ЯТЦ, дамбы и ключевые объекты гидроэнергетики, крупнейшие телекоммуникационные инфраструктуры, правительственные информационные системы и ряд других) попадают практически во все классификации.
Однако особенностью российского подхода является то, что, в отличие от других государств, в которых объекты критической инфраструктуры, как правило, заранее распределены по отраслям, в России действует система признаков классификации объектов, относящихся к критическим. Точный перечень таких признаков не содержится в открытых источниках, однако сам принцип системы состоит именно в применении к объекту инфраструктуры системы критериев, а не отнесения его к списку КИ исключительно на основании той отрасли или сектора, к которому объект принадлежит.
В международной практике к категориям КИИ, встречающимся в классификациях абсолютного большинства государств, как правило, относятся:
• объекты атомной отрасли;
• энергосети, энергогенерирующие и энергораспределительные мощности;
• транспортные системы: авиация, железные дороги, автомобильные дороги и т. д.;
• объекты производства и хранения сельхозпродукции, а также продовольственного обеспечения;
• объекты государственного управления и правительственных коммуникаций;
• объекты ТЭК, в том числе нефтегазового комплекса;
• основные телекоммуникационные системы, сети, программно-аппаратное обеспечение и системы связи;
• объекты ОПК (в России – химически опасные объекты);
• финансово-кредитный сектор;
• водообеспечение и водоснабжение;
• здравоохранение.

 

Приведенный перечень, с одной стороны, показывает, что некоторые категории объектов причисляются к КИ почти во всех национальных законодательствах. С другой стороны, даже в этом случае неминуемы различия в трактовках, определениях и детализации категорий. Во многих государствах выделяются категории объектов КИ, часть из которых могут вообще не встречаться у их партнеров, и наоборот.
В то же время на международном уровне до сих пор практически нет механизмов, которые бы обеспечивали эффективное взаимодействие в сфере обеспечения безопасности КИИ. В частности, никаких специальных мер обеспечения безопасности КИИ среди прочих объектов не предусматривают ни Будапештская конвенция, ни межправительственное соглашение ШОС. Эпизоды кибершпионажа и атаки с использованием вредоносного ПО против объектов КИ периодически попадают в проработку национальными CERT и их ассоциациями, альянсом ИМПАКТ – МСЭ, иными структурами частного сектора и частно-государственного партнерства.
В рамках различных форматов за последнее десятилетие сформировалось и действует значительное число проектов, обеспечивающих взаимодействие в сфере безопасности КИИ на технологическом уровне. Такие проекты и форматы включают в себя оценку угроз, разработку и продвижение технических рекомендаций по защите объектов и прочие меры. Технические аспекты обеспечения безопасности КИИ оказались включены в деятельность Международной электротехнической комиссии (IEC), Европейского агентства сетей и информационной безопасности (ENISA), Организации экономического сотрудничества и развития (OECD) и проч.
Однако практически ни один из упомянутых форматов на сегодняшний день не обеспечивает полномасштабного международного сотрудничества, которое включало бы в себя диалог по политико-правовым аспектам обеспечения безопасности КИИ – как в контексте обмена национальным опытом, так и на уровне выработки широких международных договоренностей.
Одним из немногих исключений можно назвать Международное агентство по атомной энергии (МАГАТЭ), которое в рамках своих компетенций ведет работу по укреплению кибербезопасности объектов мирной атомной отрасли. Агентство издает технические руководства по обеспечению компьютерной безопасности на ядерных установках (серия NSS 17), а также развивает отдельные рекомендации в этой части в документах по физической ядерной безопасности (INFCIRC/225/Revision 5). При Департаменте МАГАТЭ по физической ядерной безопасности действует Программа компьютерной и информационной безопасности, в рамках которой разрабатываются технические рекомендации, публикуются документы, проводятся консультативные встречи, региональные тренинговые курсы. Среди типов угроз КИИ атомной отрасли, которые рассматриваются в рамках программы, важное место занимают целенаправленные компьютерные атаки.
Также одной из площадок, работающих над изучением международного опыта и подготовкой исследований лучших практик обеспечения безопасности КИИ, остается ОЭСР. Организацией в 2007–2008 гг. издана серия отчетов и иных документов, обобщающих анализ политик семи государств, имеющих развитые подходы к вопросам защиты КИИ. Среди ключевых выводов документов ОЭСР: необходимость развития научных и образовательных политик в части защиты КВО от ИКТ-угроз; наращивания международного взаимодействия между CERTs/CSIRTs, а также обмена информацией об угрозах и лучших практиках и развития государственно-частного партнерства. Наработки и выводы ОЭСР видится целесообразным учесть России (с учетом подготовки к присоединению к Организации) в рамках развития собственного подхода к защите КИИ.
Среди региональных форматов активной проработкой проблем обеспечения безопасности КИИ выделяются ОБСЕ, АСЕАН/АРФ, а также АТЭС. В 2013 г. ОБСЕ подготовила «Руководство по передовой практике защиты важнейших объектов неядерной энергетической инфраструктуры от террористических актов в связи с угрозами, исходящими от киберпространства». Документ содержит перечень рекомендаций по развитию международного сотрудничества в рамках указанной проблематики.
Среди государств к числу лидеров в регулировании вопросов безопасности КИИ следует отнести США, Великобританию, Германию, Австралию и Японию. В Соединенных Штатах одним из ключевых национальных регуляторов по вопросам КИИ сегодня выступает Национальный институт стандартов и технологий (NIST). Институт со временем вобрал передовые наработки Министерства энергетики США и некоммерческой организации, разработавшей большое количество стандартов в области электротехники, – Североамериканской корпорации по надежности электроэнергетики (NERC).
В феврале 2014 г. NIST издал основополагающий Рамочный документ по укреплению кибербезопасности критической инфраструктуры (Версия 1.0). Цель такого документа была сформулирована годом ранее, в приказе президента США Барака Обамы № 13636 «Укрепление кибербезопасности КИ», она включает в себя создание системы стандартов, руководств и практик для содействия структурам частного и государственного сектора в управлении рисками в сфере ИКТ. Документ NIST является одним из актов в сфере обеспечения безопасности КИИ, который позиционируется в качестве модели международного сотрудничества и предлагается к использованию зарубежными организациями. Предполагается, что документ может способствовать «выработке общего языка международного сотрудничества в обеспечении безопасности КИИ». Еще один документ NIST, который детально рассматривает вопросы безопасности КИИ, – Руководство по защите АСУ ТП NIST SP800-82, изданное в 2011 г. Обширная и глубокая проработка NIST вопросов ИКТ-безопасности объектов КВО делает актуальной задачей учет опыта ведомства США при выработке международных практик и документов по вопросам безопасности КИИ.
В рамках практических, прикладных форматов международного взаимодействия растет роль киберучений, специализированных на критической инфраструктуре.
Крупнейшие общеевропейские киберучения под названием Cyber Europe с 2010 г. каждые два года проводит Европейское агентство сетевой и информационной безопасности (ENISA). Очередные, третьи, учения ENISA начались 29 апреля 2014 г. с участием 29 команд стран – членов ЕС и более 400 специалистов; главной задачей учений было выявление слабых мест и возможностей для укрепления КИИ ЕС в рамках технической, оперативно-тактической и стратегической фаз. Отражение угроз КИИ, исходящих от компьютерных атак и использования ИКТ в неправомерных целях, также является одной из основных целей учений НАТО Cyber Coalition, которые в 2013 г. вовлекли более 300 специалистов из 30 стран, включая четырех партнеров, не являющихся членами НАТО. В рамках учений угрозы КИИ и противодействие им напрямую увязывается с вопросами киберобороны.
Другим редким примером механизма по развитию норм и подходов к обеспечению безопасности КИИ является проект Модельного закона о КВО информационно-коммуникационной инфраструктуры, разработанный в рамках СНГ в 2013 г. Из числа механизмов, выработанных в рамках СНГ, стоит упомянуть и «Рекомендации по совершенствованию и гармонизации национального законодательства государств – участников СНГ в сфере обеспечения информационной безопасности», утвержденные постановлением МПА СНГ от 23.11.2012 № 38–20. Вместе с тем, предоставляя странам СНГ рекомендации и общие ориентиры для развития регулирования на национальном уровне, такие документы не формируют напрямую регуляторные механизмы и сами по себе не ведут к появлению новых инструментов международного взаимодействия и сотрудничества по вопросам КИИ. Следует также отметить, что роль СНГ как площадки интеграции и выработки общих политик в последние годы снижается как за счет внутрирегиональных кризисов и конфликтов («Пятидневная война» в 2008 г., вооруженный конфликт на Востоке Украины 2014–2015 гг.), так и в силу роста интереса правительств к альтернативным трекам региональной интеграции (Евразийский Союз).
Некоторые другие региональные форматы в последние годы также начали активно обсуждать перспективы совместного противодействия угрозам информационной безопасности критических инфраструктур и возможностей выработать некие коллективные механизмы в этой сфере.
Преимущественное отсутствие нормативных механизмов международного взаимодействия и обмена информацией об ИКТ-атаках на объекты КИИ объясняется несколькими причинами. Возможно, ключевая из них – новизна самой проблематики, причем не только в международной повестке дня, но и на внутригосударственном уровне регулирования. Вопросы, связанные с проработкой проблем ИБ КВО и ИБ АСУ ТП, в том числе в части изоляции таких объектов от Интернета и их защиты от компьютерных атак извне, даже в экономически передовых и развитых странах выдвинулись на передний план для индустрии и регуляторов лишь в течение последнего десятилетия. Устойчивой предпосылкой для активного развития международного сотрудничества зачастую выступает завершенное, четкое видение проблемы и стратегий ее решения на уровне отдельных участников диалога, что в случае с обеспечением безопасности КИИ верно далеко не для всех государств.
Безусловно, в последние годы ситуация меняется очень быстро, но к такому темпу изменений готовы не все и не во всех странах. Как Россия, так и ее зарубежные партнеры все острее сталкиваются с дефицитом интеллектуальных ресурсов, готовых специалистов по ИБ АСУ ТП, а также с частичным регуляторным вакуумом, который проявляется в нехватке существующих стандартов, технических рекомендаций и нормативов в этой области. Как итог, международное сотрудничество в этой области пока не в полной мере обеспечено ресурсами и подкреплено осознанными стратегиями своих участников, чтобы активно и продуктивно развиваться.
Вторая причина связана с особым режимом безопасности объектов КИИ. Соображения национальной безопасности и режимы ограничения доступа к информации об объектах КИИ действуют практически во всех странах. Вследствие этого международное сотрудничество в полноценном понимании этого термина требует качественно иного уровня доверия между его сторонами и потому в обозримой перспективе сильно ограничено по своему потенциалу. Речь может идти о формировании на международном уровне общего понимания ИКТ-угроз КИИ и организации доступа к лучшим мировым практикам и внешним ресурсам для противодействия им. Контуры и задачи участников такого взаимодействия должны отражать актуальную картину угроз в этой сфере.
Наконец, обострение отношений России с рядом стран Запада, а также приостановка ряда механизмов обмена информацией и сотрудничества в сфере безопасности, включая вопросы ИКТ, едва ли будет способствовать конструктивной выработке механизмов международного взаимодействия в области безопасности КИИ.
Позитивной возможностью даже в отсутствие условий для выработки норм, укрепляющих международное сотрудничество, видится развитие взаимодействия и обмена информацией между Центрами реагирования на компьютерные инциденты (CERT/CSIRT). В России существует уже несколько таких центров – как государственных (RU-CERT, GOV–CERT), так и частных. Одним из примеров частных центров реагирования на компьютерные инциденты является GIB-CERT, созданный компанией Group-IB и до последнего времени остававшийся единственным российским CERT, обеспечивающим круглосуточное и полнофункциональное взаимодействие по реагированию на киберинциденты как российских, так и международных клиентов. В 2015 г. GIB-CERT оказался единственным российским Центром реагирования на киберинциденты, который получил аккредитацию как член FIRST – крупнейшего международного сообщества центров реагирования на инциденты кибербезопасности. Кроме того, GIB-CERT является участником альянса ИМПАКТ-МСЭ, а также аккредитованным членом сообщества Trusted Introducer, объединяющего европейские центры реагирования на киберинциденты. Глубокая интеграция в структуры международного взаимодействия и обмена данными по киберинцидентам, в том числе и в отношении КВО и объектов КИИ, существенно расширяет возможности GIB-CERT. Кроме того, пример центра GIB подчеркивает огромную роль частного сектора в защите объектов КИИ и реализации государственной политики в этой сфере. Даже при том, что Россия далека от США по показателю доли частного сектора среди владельцев и операторов объектов КВО (в США – более 80 %), компетенции бизнеса, частного сектора незаменимы и необходимы для построения эффективного механизма защиты критической инфраструктуры от ИКТ-угроз.
Также стоит отметить, что в последнее время в России наметилась еще одна тенденция, уже получившая глубокое развитие в США, ряде стран Европы и Юго-Восточной Азии: создание специализированных «отраслевых» центров реагирования на киберинциденты. Такие структуры уже есть не только в США, где существуют собственные центры реагирования на компьютерные инциденты крупных банков (например, CIRT Bank of America) и специализированные отраслевые структуры (Financial Services Information Sharing and Analysis Center, FS-ISAC), но и во многих других странах. Лишь в списке участников FIRST (международный Форум команд обеспечения безопасности и реагирования на киберинциденты), к примеру, присутствуют CIRT 17 банков, в том числе Canadian Imperial Bank of Commerce, Commerzbank (ФРГ), Европейского Центрального банка, First National Bank (ЮАР), Deutsche Bank, Handelsbanken (Швеция), Национального банка Австралии.
Естественно, специализированный подход важен прежде всего в контексте защиты КИИ, поскольку позволяет регуляторам, государственным и частным структурам сфокусировать свои усилия на предотвращении и реагировании на компьютерные инциденты в том или ином конкретном секторе критической инфраструктуры. С 1 июля 2015 г. при Центральном Банке РФ начал работу Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FINCERT). Одна из главных задач Центра состоит в накоплении информации об инцидентах в банковском секторе и потенциальных угрозах и ее распространении среди организаций российского банковского сектора. Ключевые объекты финансовой и банковской инфраструктуры в большинстве стран мира, безусловно, относятся к числу КВО, и угрозы кибербезопасности в этой нише носят постоянный и системный характер. Важно, чтобы методика работы и круг задач FINCERT по мере развития и накопления его компетенций включали в себя приоритет международного взаимодействия с другими центрами, занимающимися реагированием и предупреждением инцидентов в финансово-кредитном секторе. Теоретически мало что мешает организовать схему обмена данными об инцидентах и даже аномалиях трафика в банковских сетях в международном масштабе – технические вопросы сводятся к стандартизации формата и выбору каналов обмена данными (например, таких как используемый FS-ISAC Traffic Light Protocol (TLP)).
Наконец, запуск FINCERT представляет собой позитивный пример, запрос на воспроизведение которого может быть и в других секторах и отраслях национальной экономики и управления, опирающихся на КВО и объекты КИИ: транспортно-логистическом секторе, авиаперевозках, электроэнергетике, медицине и проч.
Назад: Раздел III Обеспечение безопасности объектов критической информационной инфраструктуры: основные угрозы и стратегии реагирования
Дальше: Информационные угрозы объектам КИИ: основные тенденции развития