сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей (п. 8 ст. 2 Закона № 187-ФЗ).

Таким образом, Закон № 187-ФЗ и его подзаконные акты можно и нужно применять для обеспечения безопасности функционирования систем электронного банкинга.

Рассмотрим основные положения этих документов.

Постановление Правительства Российской Федерации от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» [22]. Вводится перечень показателей критериев значимости объектов КИИ Российской Федерации и их значений, а также определяется порядок категорирования этих объектов.

Категорирование осуществляется субъектами КИИ в отношении принадлежащих им на праве собственности, аренды или ином законном основании объектов КИИ, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов КИИ.

Устанавливаются три категории значимости. Самая высокая категория – первая, самая низкая – третья. Определен перечень исходных данных для категорирования.

Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом КИИ перечня объектов. Перечень объектов в течение пяти рабочих дней после утверждения направляется в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности КИИ (ФСТЭК России).

Определен перечень сведений о результатах присвоения объекту КИИ одной из категорий значимости (либо об отсутствии необходимости присвоения ему одной из таких категорий), направляемых в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности КИИ. Форма направления сведений о результатах присвоения объекту КИИ Российской Федерации одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий утверждена Приказом ФСТЭК России от 22.12.2017 № 236 [36].

Следует отметить, что проект данного постановления Правительства Российской Федерации был согласован с Центральным банком Российской Федерации.

По информации ФСТЭК России, в настоящее время насчитывается более 250 систем банковской сферы и иных сфер финансового рынка, подлежащих категорированию в качестве объектов КИИ. Как минимум половина из этих систем так или иначе относится к системам электронного банкинга, и доля их будет только увеличиваться.

Основными проблемными вопросами категорирования, с которыми приходится сталкиваться субъекту КИИ, являются:

– определение принадлежности к субъектам КИИ;

– определение критических процессов;

– определение перечня объектов КИИ, подлежащих категорированию;

– определение необходимости согласования перечня объектов КИИ с государственным органом или российским юридическим лицом;

– подготовка сведений о результатах категорирования объектов КИИ.

Требования к созданию систем безопасности значимых объектов КИИ Российской Федерации и обеспечению их функционирования утверждены Приказом ФСТЭК России от 21.12.2017 № 235 [33]. Документ определяет требования к силам, программным и программно-аппаратным средствам обеспечения безопасности значимых объектов КИИ, к организационно-распорядительным документам, к функционированию системы безопасности в части организации работ.

Требования по обеспечению безопасности значимых объектов КИИ утверждены Приказом ФСТЭК России от 25.12.2017 № 239 [34]. Документом в зависимости от категории значимости и угроз безопасности информации определены следующие организационные и технические меры, подлежащие реализации:

– идентификация и аутентификация;

– управление доступом;

– ограничение программной среды;

– защита машинных носителей информации;

– аудит безопасности;

– антивирусная защита;

– предотвращение вторжений (компьютерных атак);

– обеспечение целостности;

– обеспечение доступности;

– защита технических средств и систем;

– защита информационной (автоматизированной) системы и ее компонентов;

– планирование мероприятий по обеспечению безопасности;

– управление конфигурацией;

– управление обновлениями программного обеспечения;

– реагирование на инциденты информационной безопасности;

– обеспечение действий в нештатных (непредвиденных) ситуациях;

– информирование и обучение персонала.

Средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации, применяются в случаях, установленных законодательством Российской Федерации, а также в случае принятия решения субъектом КИИ.

В иных случаях применяются средства защиты информации, прошедшие оценку соответствия в форме испытаний или приемки, которые проводятся субъектами КИИ самостоятельно или с привлечением организаций, имеющих в соответствии с законодательством Российской Федерации лицензии на деятельность в области защиты информации.

В случае использования в значимом объекте сертифицированных на соответствие требованиям по безопасности информации средств защиты информации (это шесть видов средств защиты: межсетевые экраны, системы обнаружения вторжений, средства антивирусной защиты, средства доверенной загрузки, средства контроля съемных машинных носителей информации, операционные системы):

а) в значимых объектах 1-й категории применяются средства защиты информации не ниже 4-го класса защиты, а также средства вычислительной техники не ниже 5-го класса;

б) в значимых объектах 2-й категории применяются средства защиты информации не ниже 5-го класса защиты, а также средства вычислительной техники не ниже 5-го класса;

в) в значимых объектах 3-й категории применяются средства защиты информации 6-го класса защиты, а также средства вычислительной техники не ниже 5-го класса.

При этом в значимых объектах 1-й категории значимости применяются сертифицированные средства защиты информации, соответствующие (вместо 4-го уровня НДВ) 4-му или более высокому уровню доверия. В значимых объектах 2-й категории значимости применяются сертифицированные средства защиты информации, соответствующие 5-му или более высокому уровню доверия. В значимых объектах 3-й категории значимости применяются сертифицированные средства защиты информации, соответствующие 6-му или более высокому уровню доверия.

В случае если значимый объект является государственной информационной системой или информационной системой персональных данных, меры по обеспечению безопасности значимого объекта и меры защиты информации (персональных данных) принимаются в соответствии с более высокими категорией значимости, классом защищенности или уровнем защищенности персональных данных.

Таким образом, объекты КИИ (автоматизированные и информационные системы в их составе) подлежат защите так же, как ГИС и ИСПДн высоких классов защищенности.

Постановление Правительства Российской Федерации от 17.02.2018 № 162 «Об утверждении Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры» [23]. Правилами устанавливается порядок осуществления федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности КИИ Российской Федерации, и его территориальными органами мероприятий по государственному контролю в области обеспечения безопасности значимых объектов КИИ Российской Федерации.

Государственный контроль осуществляется путем проведения плановых и внеплановых выездных проверок. Проверка проводится должностными лицами органа государственного контроля, которые указаны в приказе органа государственного контроля о проведении проверки. Срок проведения плановой проверки не должен превышать 20 рабочих дней. Срок проведения внеплановой проверки не должен превышать 10 рабочих дней.

Информация об организации проверок, в том числе об их планировании, о проведении и результатах таких проверок, в органы прокуратуры не направляется, за исключением информации о результатах проверок, проведенных на основании требования прокурора об осуществлении внеплановой проверки в рамках проведения надзора за исполнением законов по поступившим в органы прокуратуры материалам и обращениям.

10.3.2. Другие документы

Необходимо упомянуть еще ряд документов ФСТЭК России и ФСБ России:

– Приказ ФСТЭК России от 06.12.2017 № 227 «Об утверждении Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации» [32];

– Приказ ФСТЭК России от 11.12.2017 № 229 «Об утверждении формы акта проверки, составляемого по итогам проведения госконтроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» [35]. Содержание этого и предыдущего документов очевидно из названий;

– Приказ