Исходя из чего проводится категорирование объекта кии
Перейти к содержимому

Исходя из чего проводится категорирование объекта кии

  • автор:

Исходя из чего проводится категорирование объекта кии

Статья 7. Категорирование объектов критической информационной инфраструктуры

1. Категорирование объекта критической информационной инфраструктуры представляет собой установление соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения.

2. Категорирование осуществляется исходя из:

1) социальной значимости, выражающейся в оценке возможного ущерба, причиняемого жизни или здоровью людей, возможности прекращения или нарушения функционирования объектов обеспечения жизнедеятельности населения, транспортной инфраструктуры, сетей связи, а также максимальном времени отсутствия доступа к государственной услуге для получателей такой услуги;

2) политической значимости, выражающейся в оценке возможного причинения ущерба интересам Российской Федерации в вопросах внутренней и внешней политики;

3) экономической значимости, выражающейся в оценке возможного причинения прямого и косвенного ущерба субъектам критической информационной инфраструктуры и (или) бюджетам Российской Федерации;

4) экологической значимости, выражающейся в оценке уровня воздействия на окружающую среду;

5) значимости объекта критической информационной инфраструктуры для обеспечения обороны страны, безопасности государства и правопорядка.

3. Устанавливаются три категории значимости объектов критической информационной инфраструктуры — первая, вторая и третья.

4. Субъекты критической информационной инфраструктуры в соответствии с критериями значимости и показателями их значений, а также порядком осуществления категорирования присваивают одну из категорий значимости принадлежащим им на праве собственности, аренды или ином законном основании объектам критической информационной инфраструктуры. Если объект критической информационной инфраструктуры не соответствует критериям значимости, показателям этих критериев и их значениям, ему не присваивается ни одна из таких категорий.

5. Сведения о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий субъекты критической информационной инфраструктуры в письменном виде в десятидневный срок со дня принятия ими соответствующего решения направляют в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, по утвержденной им форме.

6. Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, в тридцатидневный срок со дня получения сведений, указанных в части 5 настоящей статьи, проверяет соблюдение порядка осуществления категорирования и правильность присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо неприсвоения ему ни одной из таких категорий.

7. В случае, если субъектом критической информационной инфраструктуры соблюден порядок осуществления категорирования и принадлежащему ему на праве собственности, аренды или ином законном основании объекту критической информационной инфраструктуры правильно присвоена одна из категорий значимости, федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, вносит сведения о таком объекте критической информационной инфраструктуры в реестр значимых объектов критической информационной инфраструктуры, о чем в десятидневный срок уведомляется субъект критической информационной инфраструктуры.

8. В случае, если федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, выявлены нарушения порядка осуществления категорирования и (или) объекту критической информационной инфраструктуры, принадлежащему на праве собственности, аренды или ином законном основании субъекту критической информационной инфраструктуры, неправильно присвоена одна из категорий значимости и (или) необоснованно не присвоена ни одна из таких категорий и (или) субъектом критической информационной инфраструктуры представлены неполные и (или) недостоверные сведения о результатах присвоения такому объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, в десятидневный срок со дня поступления представленных сведений возвращает их в письменном виде субъекту критической информационной инфраструктуры с мотивированным обоснованием причин возврата.

9. Субъект критической информационной инфраструктуры после получения мотивированного обоснования причин возврата сведений, указанных в части 5 настоящей статьи, не более чем в десятидневный срок устраняет отмеченные недостатки и повторно направляет такие сведения в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации.

10. Сведения об отсутствии необходимости присвоения объекту критической информационной инфраструктуры одной из категорий значимости после их проверки направляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, о чем в десятидневный срок уведомляется субъект критической информационной инфраструктуры.

11. В случае непредставления субъектом критической информационной инфраструктуры сведений, указанных в части 5 настоящей статьи, федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, направляет в адрес указанного субъекта требование о необходимости соблюдения положений настоящей статьи.

12. Категория значимости, к которой отнесен значимый объект критической информационной инфраструктуры, может быть изменена в порядке, предусмотренном для категорирования, в следующих случаях:

1) по мотивированному решению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, принятому по результатам проверки, проведенной в рамках осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры;

2) в случае изменения значимого объекта критической информационной инфраструктуры, в результате которого такой объект перестал соответствовать критериям значимости и показателям их значений, на основании которых ему была присвоена определенная категория значимости;

3) в связи с ликвидацией, реорганизацией субъекта критической информационной инфраструктуры и (или) изменением его организационно-правовой формы, в результате которых были изменены либо утрачены признаки субъекта критической информационной инфраструктуры.

Проблемные вопросы процедуры категорирования объектов КИИ. Часть 2

Определение термина «категорирование» содержится в ч. 1 ст. 7 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Под «категорированием» понимается установление соответствия объекта критической информационной инфраструктуры (далее по тексту – КИИ) критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения.

Таким образом, категорирование — это некая процедура, в ходе которой объект КИИ оценивается по некоторой совокупности показателей и исходя из значений этих показателей ему присваивается категория значимости, либо принимается мотивированное решение о ее отсутствии. На основании установленной категории значимости (при ее наличии) определяется базовый набор мер по обеспечению безопасности.

Процедура категорирования определяется Правилами категорирования объектов критической информационной инфраструктуры Российской Федерации (утв. Постановлением Правительства РФ от 8 февраля 2018 г. № 127), далее по тексту – Правила категорирования.

Следует отметить, что Правила категорирования определяют именно процедуру категорирования и не дают толкование дефинициям «объект КИИ» и (или) «субъект КИИ», т.е. содержат нормы процессуального, а не материального права.

Автор обращает внимание на важность данного момента, т.к. в практике ему нередко приходилось сталкиваться с таким мнением, что информационные системы, автоматизированные системы или информационно-телекоммуникационные сети, которые не обрабатывают информацию, необходимую для обеспечения критических процессов и не осуществляют управление, контроль или мониторинг критических процессов, якобы, не являются объектами КИИ. Данная точка зрения представляется неверной. Перечисленные системы являются объектами КИИ, однако они не подлежат включению в перечень объектов КИИ, подлежащих категорированию и, соответственно, самому категорированию.

Проведение категорирования

Схематично процедуру категорирования можно представить в следующем виде:

Рисунок 1 – Процедура категорирования

Рассмотрим процедуру категорирования более подробно:

Этап 1. Формирование комиссии по категорированию.

Одним из проблемных вопросов на сегодняшний день является формирование комиссии по категорированию. Несмотря на то, что состав комиссии прописан в п. 11 Правил категорирования, на практике возникают следующие, требующие решения, вопросы:

Кто должен возглавлять комиссию по категорированию?

Пунктом 13 Правил категорирования установлено, что комиссию по категорированию возглавляет руководитель субъекта КИИ или уполномоченное им лицо. При этом, относительно того, кто должен быть уполномоченным лицом, единой позиции нет. Исходя из практического опыта автора, можно сказать, что данным лицом является, как правило, работник, отвечающий за безопасность организации (руководитель службы безопасности, руководитель службы информационной безопасности, заместитель директора по безопасности и т.п.), либо главный инженер промышленного предприятия. По мнению автора, уполномоченным лицом должен быть работник из числа топ менеджмента, в чьи функциональные обязанности входит курирование вопросов обеспечения безопасности.

Какие дополнительные специалисты должны входить в комиссию помимо перечисленных в п. 11 Правил категорирования?

Постановлением Правительства Российской Федерации «О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127», Правила категорирования были дополнены пунктом 11.1. следующего содержания: «По решению руководителя субъекта критической информационной инфраструктуры в состав комиссии могут быть включены иные работники, ‎в том числе работники финансово-экономического подразделения».

Указанное дополнение позволяет включать в комиссии всех имеющихся у субъекта КИИ специалистов, знания и навыки которых необходимы для корректного расчета и оценки показателей критериев значимости. Прежде всего это касается специалистов финансово-экономического подразделения, необходимых для расчета показателей экономической значимости (раздел 3) и представления их для рассмотрения членами комиссии по категорированию, а также специалистов юридических подразделений для проверки корректности соблюдения процедуры и оформления документов.

Можно ли создавать разные комиссии в филиалах территориально распределенной организации ?

Ранее уже упоминавшееся Постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127 дополнило Правила категорирования пунктом 11.2. следующего содержания: «По решению руководителя субъекта критической информационной инфраструктуры, имеющего филиалы, представительства, могут создаваться отдельные комиссии для категорирования объектов критической информационной инфраструктуры в этих филиалах, представительствах. В этом случае комиссия субъекта критической информационной инфраструктуры координирует и контролирует деятельность комиссий по категорированию».

На практике, ранее существовавшая проблема с необходимостью создания больших (по количеству участников) комиссий, теперь трансформировалась в проблему управления территориально распределенными комиссиями и их контроля. Во избежание конфликтов между комиссией по категорированию субъекта КИИ и комиссиями по категорированию в филиалах (представительствах), связанных со сферами ответственности, по мнению автора, целесообразно регламентировать функциональные обязанности, полномочия и ответственности в локальном нормативном акте, например, регламенте «по работе комиссий по категорированию».

Этап 2. Подготовка перечня объектов КИИ подлежащих категорированию.

В соответствии с п. 14 Правил категорирования для формирования перечня объектов КИИ подлежащих категорированию комиссии по категорированию необходимо:

а) определить процессы, в рамках выполнения функций (полномочий) или осуществления видов деятельности субъекта КИИ.

б) выявить те из них, которые являются критическими, т.е. их нарушение и (или) прекращение может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка.

в) выявить объекты КИИ, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов, для включения в перечень объектов;

То есть, в перечень объектов КИИ, подлежащих категорированию, включаются только те объекты, которые обрабатывают информацию, необходимую для обеспечения критических процессов и (или) осуществляют их управление, контроль или мониторинг, а, следовательно, они и подлежат категорированию.

На практике, нередко возникает следующий вопрос «что первично перечень объектов КИИ или перечень процессов?». Напомню, что в соответствии со ст. 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» объекты КИИ — это информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов КИИ и ничего более. Иными словами, если даже объект КИИ не обеспечивает критические процессы, он, всё таки, не перестает быть объектом КИИ. Поэтому, составление «перечня объектов КИИ» (не нужно путать с «перечнем объектов КИИ подлежащих категорированию») лежит вне рамок самой процедуры категорирования, а должно, по мнению автора, предшествовать ей.

В рамках же самой процедуры категорирования осуществляется выявление критических процессов, а затем из перечня объектов КИИ вычленяются объекты КИИ, подлежащие категорированию.

Как определить, относится процесс к критическим или нет? Поскольку категорированию подлежат только объекты КИИ, которые автоматизируют критические процессы, на практике перед субъектом КИИ встает вопрос о том, как определить, что тот или иной процесс является критическим.

Действующее законодательство в области КИИ не содержит методики выявления критических процессов, а значит, вопрос отнесения того или иного процесса к критическому остается исключительно на усмотрение субъекта КИИ.

В связи с этим возникают разные подходы к выявлению критических процессов:

  1. Субъект может обосновать, что критические процессы у него отсутствуют, а, следовательно, нет и значимых объектов КИИ. Такой подход вполне может иметь практическое применение, однако, по мнению автора, при возникновении компьютерного инцидента с резонансными последствиями, субъект рискует быть подвергнут наказанию со стороны контрольно-надзорных органов.
  2. К критическим относятся только те процессы, которые обеспечивают основные виды деятельности субъекта. Основные виды деятельности субъекта, как правило, содержатся в его уставных документах. Если следовать данному подходу, субъекту необходимо проанализировать Устав и ЕГРЮЛ и выделить в нем виды деятельности, задекларированные как основные. Далее для составления перечня объектов КИИ подлежащих категорированию следует определить, какие объекты участвуют в автоматизации указанных видов деятельности. Однако, по мнению автора, у данного подхода есть один существенный недостаток – сфера деятельности субъекта КИИ и сфера, в которой функционирует принадлежащий ему объект КИИ, могут не совпадать. Например, любой территориальный фонд обязательного медицинского страхования в соответствии с Федеральным законом от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации» будет относиться к финансово-кредитной сфере, но в силу статьи 91 Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» принадлежащие ему объекты КИИ относятся к «информационным системам в сфере здравоохранения».
  3. К критическим следует относить полностью все процессы исходя из той логики, что нарушение вспомогательного процесса может, прямо или косвенно, привести к нарушению основного. Недостатком данного подхода, по мнению автора, является то, что при нем рассматриваются сценарии, возникновение которых на практике, весьма маловероятно. В результате, значимость объектов КИИ переоценивается.

По мнению автора, определение критичности процесса должно базироваться на общей логике закона. Речь идет о том, что к критическим нужно относить те процессы, нарушение нормального функционирования которых может привести к последствиям, указанным в Перечне показателей критериев значимости объектов КИИ (утв. постановлением Правительства РФ от 08.02.2018 № 127), и, соответственно, выделять конкретные объекты КИИ, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов.

Этап 3. Оценка объектов КИИ в соответствии с показателями критериев значимости и присвоение каждому из объектов КИИ категории, либо принятие решения об отсутствии необходимости ее присвоения.

На данном этапе комиссия оценивает объекты КИИ по всем показателям критериев значимости утвержденным постановлением Правительства РФ от 08.02.2018 № 127 и, в зависимости от полученных в ходе оценки значений, принимает решение о присвоении объекту КИИ одной из категории значимости, либо об ее отсутствии. Здесь следует отметить следующие важные, с практической точки зрения, моменты:

1. В практической деятельности получила распространение точка зрения о том, что категорий значимости четыре (0,1,2,3). Эта точка зрения ошибочна. Частью 3 ст. 7 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» устанавливается три категории значимости объектов критической информационной инфраструктуры — первая, вторая и третья.

Субъекты КИИ присваивают одну из категорий значимости объектам КИИ. Если объект КИИ не соответствует критериям значимости, показателям этих критериев и их значениям, ему не присваивается ни одна из таких категорий. Иными словами, можно говорить о том, что существует два вида объектов КИИ: «значимые» и «не значимые», а значимые объекты КИИ имеют три категории.

2. Оценка каждого конкретного объекта КИИ по показателям критериев значимости осуществляется членами комиссии по категорированию, как правило (во всяком случае автор пока не встречал иного), экспертным методом. Каких-либо утвержденных методик проведения расчетов по данным показателям, в настоящее время, нет.

3. Как осуществлять присвоение категории значимости объекту КИИ: с учетом мер защиты или без?

В настоящее время рядом экспертов высказывается мнение о том, что при присвоении объекту КИИ категории значимости, необходимо учитывать принятые на объекте меры защиты.

При этом, на практике, нередки ситуации, когда меры защиты изначально встроены в объект КИИ при его создании, реализуются с момента ввода его в эксплуатацию и не отделимы от объекта КИИ (архитектурные компоненты).

В то же время, согласно пп. «д» п. 5 Правил, оценка масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах КИИ производится в соответствии с перечнем показателей критериев значимости, и никак иначе.

Иными словами, реализация мер обеспечения информационной безопасности не оказывает влияние на присвоение объекту КИИ категории значимости. При определении категории значимости в расчет берутся последствия от уже реализованной гипотетической компьютерной атаки и сравниваются с перечнем показателей критериев значимости – какому показателю соответствует, такая категория и присваивается. Логика этого вполне очевидна и понятна, в расчет категории значимости берутся те последствия, к которым приведет успешная реализация в отношении объекта КИИ компьютерной атаки. В свою очередь, меры защиты лишь позволяют избежать указанной атаки или существенно затруднить ее реализацию и не могут влиять на причиненный в результате нее ущерб.

Этап 4. Подготовка итоговых документов по результатам категорирования.

По итогам своей работы, комиссия по категорированию подготавливает два документа:

1. Акт о категорировании. Перечень информации о субъекте и объектах КИИ, которая должна быть включена в акт определяется п. 16 Правил категорирования.

Акт подписывается членами комиссии по категорированию и утверждается руководителем субъекта КИИ и только им, а не председателем комиссии, в случае если комиссию возглавляет не руководитель субъекта КИИ, а уполномоченное им лицо.

Субъект критической информационной инфраструктуры обеспечивает хранение акта до вывода из эксплуатации объекта критической информационной инфраструктуры или до изменения категории значимости. Направление акта во ФСТЭК России не требуется.

2. Сведения о результатах присвоения объекту КИИ одной из категорий значимости, либо об отсутствии необходимости присвоения ему одной из таких категорий. Данные сведения в течение 10 дней со дня утверждения акта направляются во ФСТЭК России. Форма сведений утверждена приказом ФСТЭК России от 22.12.2017 № 236.

Таким образом, важно понимать, что акт и сведения это два абсолютно разных документа, содержание которых и действия, осуществляемые с ними, также различны.

Сроки категорирования

Согласно п. 15 Правил максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом КИИ перечня объектов.

Постановлением Правительства Российской Федерации от 13 апреля 2019 г. № 452 «О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127» на субъектов КИИ, государственных органов и государственных учреждений, возложена обязанность утвердить перечень объектов КИИ, подлежащих категорированию до 1 сентября 2019 года. Таким образом, указанные субъекты КИИ обязаны завершить процедуру категорирования до 1 сентября 2020 года.

Относительно субъектов КИИ – российских юридических лиц и (или) индивидуальных предпринимателей срок утверждения перечня объектов КИИ, подлежащих категорированию (до 1 сентября 2020 года) носит рекомендательный характер.

Таким образом, по мнению автора, поскольку срок законодательно не установлен (не обязателен), субъект КИИ из числа российских юридических лиц и (или) индивидуальных предпринимателей, вправе сам выбирать приемлемый для него срок подготовки и отправки перечня. С учетом того, что формирование перечня объектов КИИ является одним из этапов процесса категорирования (п. 5 Правил) можно говорить о том, что, по сути, реальный срок категорирования в большинстве случаев будет превышать один год, а в ряде случаев будет составлять и несколько лет.

При этом, следует иметь в виду, что в ходе процедуры категорирования может измениться реестр объектов КИИ подлежащих категорированию, например, появятся новые объекты КИИ, либо часть будет выведена из эксплуатации и т.п. Результатом чего может стать несовпадение сведений, содержащихся в итоговых актах категорирования и направленном ранее во ФСТЭК России перечне объектов КИИ, что, по мнению автора, непременно повлечет вопросы регулятора.

Действующее законодательство не предусматривает обязанность субъекта по направлению измененного перечня объектов КИИ, однако, по мнению автора, во избежание претензий регулятора, целесообразно подготовить новую редакцию перечня, пояснительную записку с приложением приказов о вводе в эксплуатацию (выводе из эксплуатации) объекта КИИ и направить весь этот комплект документов регулятору совместно с актами категорирования.

__________________
В данной публикации использовались материалы, опубликованные автором ранее в Журнале Information Security №2/2019

Категорирование объектов критической информационной инфраструктуры (КИИ). Практические примеры

Царев Евгений Олегович

Прежде чем приступить к категорированию объектов КИИ, нужно определиться с основными понятиями, которые разъясняются в Федеральном законе от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»:

Критическая информационная инфраструктура – объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов.

Объекты критической информационной инфраструктуры (КИИ) – это информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.

Субъекты критической информационной инфраструктуры (КИИ) – государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы (ИС), информационно-телекоммуникационные сети (ИТС), автоматизированные системы управления (АСУ), функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

Значимый объект критической информационной инфраструктуры – объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры.

Категорирование объектов критической информационной инфраструктуры – это установление соответствия объекта КИИ критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения.

Компьютерный инцидент – факт нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки.

Исходя из этих определений, появляется ясность, что такое КИИ, что понимается под «объектом КИИ», а кто является «субъектом», и в каких именно отраслях функционируют объекты и субъекты КИИ.

Что относится к объектам критической информационной инфраструктуры?

Все ИС, ИТС и АСУ ТП субъекта КИИ – это объекты КИИ.

ИС – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

ИТС – технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.

АСУ ТП – комплекс программных и программно-аппаратных средств, предназначенных для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими оборудованием и процессами.

Какие же объекты КИИ подлежат категорированию? На этот вопрос есть ответ в Постановлении Правительства РФ от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» (ПП №127). В данном постановлении четко определено:

«Категорированию подлежат объекты критической информационной инфраструктуры, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры».

Прежде чем перейти непосредственно к детальному разбору методики категорирования объектов КИИ (согласно ПП №127) советуем Вам внимательно изучить наши предыдущие статьи по данной теме:

Там вы найдете полный перечень базовых понятий по КИИ, основные НПА в этой сфере и образцы документов, а также описание этапов работ по категорированию КИИ. В этой статье мы не будем повторять материал из наших предыдущих публикаций, а сразу перейдем к разъяснению, как именно работать с Постановлением Правительства РФ от 08.02.2018 № 127.

Категорирование объектов критической информационной инфраструктуры (КИИ): рабочий алгоритм (ПП №127, 187-ФЗ)

Если вы не специалист в области ИБ и комплаенса (compliance), то просто прочитав Постановление Правительства №127, вам будет непросто самостоятельно выполнить работы в области категорирования объектов КИИ, поэтому лучше обратиться за консультацией к профессионалам, а также желательно изучить практические рекомендации по этому вопросу.

Первое, что нужно сделать – это составить для себя алгоритм категорирования объектов КИИ:

  1. Отвечаем на вопрос, является ли наша организация субъектом КИИ (согласно № 187-ФЗ “О безопасности критической информационной инфраструктуры”, см. выше, определены конкретные отрасли).
  2. Определяем все процессы в нашей организации и составляем их полный перечень (процессы могут быть управленческие, технологические, финансово-экономические, производственные и т.д.).
  3. Выявляем из всех процессов именно критические процессы.
  4. Выделяем объекты, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов и (или) осуществляют управление, контроль или мониторинг критических процессов.
  5. Смотрим ПП №127 и оцениваем, исходя из перечня показателей критериев значимости и учитывая дополнительные исходные данные, к какой категории относятся объекты КИИ.
  6. Готовим Акт категорирования объектов КИИ для отправки во ФСТЭК.

Для того чтобы было понятно, как выполнять работы на этапе 5, расскажем подробней про показатели критериев значимости (они есть в таблицах ПП №127).

Критерии значимости объектов критической информационной инфраструктуры: перечень показателей

  1. Социальная
  2. Политическая
  3. Экономическая
  4. Экологическая
  5. Значимость для обеспечения обороны страны, безопасности государства и правопорядка.

В таблице ПП №127 детально расписаны эти показатели. Например, по «социальному критерию» идет подразделение на «причинение ущерба жизни и здоровью людей», «прекращение или нарушение функционирования объектов обеспечения жизнедеятельности населения» и т.д. Потенциальный ущерб учитывается по охваченной территории и по количеству пострадавших людей, детальную информацию по всем показателям можно найти в данной таблице. Устанавливаются 3 категории значимости. Самая высокая категория – первая, самая низкая – третья, а также объекту КИИ может быть вообще не присвоена категория (т.е. «без категории»).

Исходя из нормативных документов, организации (субъекты КИИ) будут сами составлять перечень процессов (управленческие, технологические, финансово-экономические, производственные и др. процессы) и сами оценивать их критичность. Таким образом, количество объектов КИИ, которые войдут в перечень, зависит от решения самих организаций.

Важное примечание: может получиться так, что у субъекта КИИ вообще не будет объектов КИИ, подлежащих категорированию – в этом случае нет необходимости направлять сведения в госорганы. Для надежности рекомендуем составить акт об отсутствии объектов КИИ и хранить его на случай проверки прокуратуры (т.е. они будут обозначены, как «без категории»). Также надо учитывать, что «Перечень объектов КИИ» согласовывается с отраслевым регулятором (например, с Министерством энергетики, Банком России и пр.) перед началом категорирования.

По вопросам оформления перечня объектов КИИ советуем ознакомиться с «Информационным сообщением» ФСТЭК от 24 августа 2018 г. N 240/25/3752

Какие именно исходные данные понадобятся для категорирования объектов КИИ, можно посмотреть здесь: Этап 5. Сбор исходных данных для категорирования объектов КИИ.

Документы по КИИ: какая информация понадобится для подачи во ФСТЭК?

  • Сведения о субъекте КИИ;
  • Сведения об объекте КИИ;
  • Сведения о взаимодействии объекта КИИ и сетей электросвязи;
  • Сведения о лице, эксплуатирующем объект КИИ;
  • Сведения о ИС, ИТС, АСУ;
  • Анализ угроз и категории нарушителей;
  • Оценка возможных последствий инцидента;
  • Акт категорирования объектов КИИ.

Как определиться по срокам?

  1. Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом КИИ перечня объектов.
  2. Перечень объектов КИИ надо подать во ФСТЭК в течение 5 дней после утверждения.
  3. Акт категорирования объектов КИИ подается в течение 10 дней со дня утверждения Акта.
  4. Пересмотр категории объекта КИИ проводится не реже 1 раз в 5 лет.

Практические примеры по конкретным отраслям и организациям

Изучив НПА и алгоритм категорирования объектов КИИ (см. выше) можно непосредственно приступить к практике. Здесь хотелось бы дать ряд советов и показать практические кейсы для организаций финансовой и банковской сферы.

Изначально решаем вопрос: «Является ли наша организация субъектом КИИ»? В определении субъектов КИИ указаны организации финансовой и банковской сферы. Любой ли банк является субъектом КИИ? Если внимательно изучить таблицу в ПП №127 в части экономических критериев значимости, то напрашивается следующие выводы о том, что субъектами КИИ могут быть:

  • Системно значимые кредитные организации (см. перечень ЦБ РФ, это 13 организаций);
  • Финансовые организации с участием государства;
  • Системно значимые инфраструктурные организации финансового рынка (например, депозитарии);
  • Операторы услуг платежной инфраструктуры системно и (или) социально значимых ПС.

Это говорит о том, что не каждый банк или финансовая структура вообще подпадает под законодательство о КИИ. Надо помнить, что категорируем мы не субъект, а объект КИИ, для каждого объекта КИИ будет присвоена своя категория, оценку последствий инцидента надо делать для каждого объекта.

Формирование комиссии:

На начальном этапе нужно сформировать комиссию. Подробнее об этом можно прочитать по ссылке: Этап 1. Создание комиссии по категорированию объектов КИИ (там же и образец «Приказа о создании комиссии по категорированию КИИ»).

Определение процессов:

Затем необходимо определиться с процессами, которые есть в организации, составить их полный перечень. На этом этапе нам не обойтись без помощи специалистов и руководителей различных подразделений. Рассмотрим, как действовать, на примере банка. Как правило, основные виды деятельности организации уже задокументированы, специалисту ИБ надо внимательно изучить учредительные и др. документы (лицензии, сертификаты), для банков опираемся на Федеральный закон от 02.12.1990 N 395-1 «О банках и банковской деятельности» и нормативные документы Центрального Банка РФ.

Виды деятельности банка по Код ОКВЭД 64: «Деятельность по предоставлению финансовых услуг, кроме услуг по страхованию и пенсионному обеспечению». Затем, исходя из видов деятельности, необходимо прописать бизнес-процессы в финансовой организации. Есть различные классификации бизнес-процессов в банковской сфере (в конкретном банке они, как правило, уже задокументированы).

Рассмотрим типовой пример:

Основные бизнес-процессы банка:

  • Создание продукта (услуги), представляющего ценность для внешнего клиента.
  • Получение добавленной стоимости.
  • Получение прибыли, как цель коммерческой деятельности.

Обеспечивающие бизнес-процессы банка:

  • Процессы, клиентами которых являются основные процессы.
  • Процессы, которые создают и поддерживают инфраструктуру банка.

Управляющие бизнес-процессы банка:

  • Процессы, основной целью которых является управление деятельностью банка.
  • Процессы, которые обеспечивают развитие банка и регулируют его текущую деятельность.

Анализ процессов при категорировании КИИАнализ процессов при категорировании КИИ 2Анализ процессов при категорировании КИИ 3

Рис.1. Бизнес-процессы банка (типовой пример)

Переходим от процессов к критическим процессам:

Для начала ответим на важный вопрос: нарушение (или остановка) каких процессов в банке приведет негативным экономическим последствиям, согласно ПП №127? Т.е. другими словами, в ходе категорирования мы попытаемся решить, попадают ли возможные последствия от компьютерных инцидентов на объекте КИИ (ИС, ИТС, АСУ) в категории значимости (ПП 127).

Экономическая значимость объектов КИИЭкономическая значимость объектов КИИ

Как выделить из всех процессов именно критические и связать с ними объекты КИИ видно на рис 2. Например, Процесс 2 не критический.

Выявление критических процессов КИИ

Рис 2. Выявление критических процессов

Далее переходим от процессов к объектам КИИ:

Выделяем объекты КИИ, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов, т.е. осуществляют управление, контроль, мониторинг критических процессов.

Для соответствия процессов и объектов можно составить такую простую таблицу:

Объекты КИИ и процессы

Таблица 1. Объекты КИИ и процессы

Например, в качестве объектов КИИ в банке есть:

  • Система дистанционного банковского обслуживания (СДБО);
  • Процессинговая система;
  • Антифрод система;
  • Автоматизированная банковская система (АБС) и др.

На этом этапе уже можно занести объекты КИИ в «Перечень объектов КИИ».

Принимаем решение о значимости объекта КИИ: перечень объектов у нас есть, также построена взаимосвязь объектов с процессами (Таблица 1).

Далее оцениваем:

  • действия нарушителей;
  • уязвимости и потенциальные угрозы;
  • масштаб возможных последствий (оценим по таблице из ПП 127).

Для этой работы нам потребуется: «Модель угроз», «Модель нарушителя», а также статистика по компьютерным инцидентам. Как правило, в банках есть свои службы ИБ, у которых имеются политики безопасности и др. документы по ИБ, поэтому, думаем, что проблем с такими данными не должно быть. В помощь службам ИБ: методические документы ФСТЭК России и «Основные положения базовой модели угроз и нарушителей безопасности информации» прил. А ГОСТ Р 57580.1-2017.

Как оценивать?

  • Нужно рассмотреть потенциальные действия нарушителей в отношении объектов КИИ, также иные источники угроз ИБ (в противном случае, кратко обосновать невозможность реализовать угрозы ИБ нарушителем).
  • Провести анализ угроз ИБ и уязвимостей, которые могут привести к возникновению компьютерных инцидентов на объектах КИИ (или обосновать их неактуальность).
  • Оценить в соответствии с перечнем показателей критериев значимости масштаб возможных последствий, в случае возникновения компьютерных инцидентов на объектах КИИ, (или кратко обосновать невозможность наступления компьютерных инцидентов).

Для более точной оценки при категорировании объектов КИИ, мы составили небольшой опросник. На вопросы желательно отвечать точно: «да» или «нет».

  1. Уровень процесса выше нижней границы значения для III категории? (см. рис. 2 для наглядности).
  2. Масштаб объекта КИИ выше нижней границы значения для III категории?
  3. Есть ли источники угроз ИБ?
  4. Существуют ли актуальные угрозы ИБ?
  5. Возможны ли инциденты ИБ на объекте, например, вследствие целенаправленных компьютерных атак?
  6. Возможно ли причинение ущерба вследствие инцидентов ИБ?
  7. Какие возможные последствия от инцидента? Превышает ли их величина нижнюю границу значения показателя для 3 категории?

Таким образом, процесс принятия решения о категорировании объектов КИИ проходит на основании «моделирования угроз». Для финансовых расчетов возможных потерь и убытков согласно табл. ПП 127 п. 8,9,10. желательно привлечь специалистов из экономических подразделений банка.

Акт категорирования объектов КИИ

После проведения категорирования объектов КИИ составляется «Акт категорирования объектов КИИ», который отправляется во ФСТЭК в установленные законом сроки.

Обеспечение безопасности объектов критической информационной инфраструктуры

Статья 10 №187-ФЗ содержит требование к созданию субъектом КИИ системы безопасности значимых объектов критической информационной инфраструктуры, которая должна:

Категорирование КИИ

Категорирование объектов КИИ

Попадание компании или учреждения под действие закона, определяющего меры безопасности в отношении КИИ РФ, автоматически означает, что нужно проводить ряд мероприятий по обеспечению защиты АСУ, ИС и ИТКС. Наиболее сложной и трудоемкой среди них является категорирование объектов КИИ. Что это такое? Как проходит процедура? Какие есть особенности её осуществления? Получить ответы на эти вопросы позволит анализ законодательства и обращение к специалистам по ИБ.

Категорирование объектов КИИ осуществляется исходя из требований, которые прописаны в ФЗ-187, ПП РФ № 127 и приказах ФСТЭК № 235, 239 и 236. Основная нормативно-правовая база сформировалась в однако ежегодно в неё вносят те или иные корректировки, чтобы можно было обеспечивать максимально высокий уровень защиты КИИ в условиях постоянного совершенствования методов злоумышленников. Предприятиям важно проводить мониторинг законодательных изменений, а также сотрудничать со специалистами по информационной безопасности для регулярного аудита и доработки СЗИ. Наш центр предлагает выгодные условия сотрудничества для всех субъектов: индивидуальных предпринимателей, компаний и т.д.

Какие КИИ подлежат категорированию?

В соответствии с ФЗ-187 и правительственным постановлением от 08.02.2018, под категорированием понимают процесс определения тех объектов критической инфраструктуры, к которым необходимо применять особые защитные меры в связи с их значимостью для населения и государства в целом. К КИИ, в свою очередь, относятся ИС, ИТКС и автоматизированные системы управления, а также сети, которые задействуются при обеспечении деятельности либо взаимодействии предприятий:

  • оборонного и топливного комплексов
  • науки и здравоохранения;
  • металлургической отрасли;
  • атомной и других видов энергетики;
  • сферы связи;
  • космической, ракетостроительной и химической промышленности;
  • транспорта;
  • горнодобывающей отрасли;
  • банковской или иной финансовой сферы.

Идентификация организации как субъекта КИИ

Перед тем, как выяснять нюансы передачи в реестр ФСТЭК данных об объектах КИИ и разбираться в процедуре категорирования, предусмотренной ФЗ-187, нужно определить, считается ли организация субъектом критической инфраструктуры. Если руководствоваться нормативно-правовыми документами, то это госучреждения и органы государственной власти, а также учреждения и юр. лица, которые:

  1. Являются владельцами объектов КИИ (временными или постоянными), то есть имеют бумаги, подтверждающие право собственности, факт аренды либо другое законное основание для распоряжения АСУ, ИС и ИТКС. Также к субъектам относятся госструктуры, фирмы и предприниматели, обеспечивающие взаимодействие информационных, управляющих, телекоммуникационных сетей и систем в указанных выше сферах.
  2. Имеют регистрацию на территории Российской Федерации. Если организация иностранная, то ей не нужно производить категорирование объектов КИИ по правилам ФСТЭК.

Если хотя бы одно из перечисленных условий не выполнено, то проводить процедуру не нужно. К сожалению, на практике без узкоспециализированных знаний провести идентификацию сложно — мешают нечетко прописанные в ФЗ и других нормативно-правовых актах понятия (яркий пример — нет определения, что означает «принадлежать», «сфера» и т.д.). В результате, ответственное за принятие решения лицо руководствуется собственными соображениями, которые не всегда соотносятся с пониманием контролирующих структур.

Как точно понять, есть ли объекты КИИ, подлежащие категорированию?

Если следовать рекомендациям ФСТЭК, то основным инструментом, который позволяет решить, нужно ли выделять ресурсы на определение категорий, является устав компании и Единый реестр организаций в форме ОКВЭД. Если указанные там виды деятельности идентичны тем, которые прописаны в ФЗ-187 (тем более, когда работа фирмы предполагает получение лицензий), скорее всего, придется заниматься категорированием ИТ-инфраструктуры. Но вместе с тем, не всегда наличие соответствующих кодов ОКВЭД обуславливает необходимость в категорировании, а их отсутствие избавляет от прохождения процедуры. Чтобы разобраться в ситуации, нужно учитывать следующие моменты:

  • не всегда организация в действительности занимается всеми теми видами деятельности, которые указаны в учредительных документах;
  • практически все вносят в устав пометку о возможности заниматься иными направлениями работ, разрешенными действующим законодательством (в том числе теми, при которых нужно вносить данные в реестр значимых объектов КИИ);
  • в области науки существует возможность проведения исследований с дотациями от государства, что обозначает формальную принадлежность к числу субъектов критической инфраструктуры. Но на практике выполнять требованиями ФЗ-187 нужно только, если в рамках текущей работы задействованы АСУ, ИС или ИТКС;
  • сам факт того, что компания работает в важной для государства отрасли, не обязывает её проводить категорирование — потребность в этом возникает только, если один либо несколько из используемых объектов принадлежат к КИИ.

Подводя итоги, можно сказать, что окончательное установление принадлежности к числу субъектов критической инфраструктуры происходит непосредственно на этапе категорирования.

Суть категории значимости и потребность в её определении

Между коммерсантами, государством и социумом существует определенный конфликт интересов. Представители бизнеса заинтересованы в минимизации затрат и увеличении прибыли, что предполагает принятие решений о внедрении мер защиты, соизмеримых с потенциальными потерями в случае её отсутствия. Но есть серьезный нюанс — в расчет берутся именно убытки предприятия, а не последствия для граждан и государства. Пример — отключение тепловой электростанции на дня для компании, которая обеспечивает её работу, приведет к снижению дохода всего на пару процентов, тогда как потребителям предстоит столкнуться с серьезными проблемами из-за отсутствия отопления, электрики и горячего водоснабжения.

Для урегулирования подобных трудностей на законодательном уровне закреплено понятие «категория значимости» — это характеристика объекта критической инфраструктур, с помощью которой удается четко определить, с какими ИТ-элементами предприятие может работать без ограничений, а какие необходимо дополнительно обезопасить от внутренних и внешних угроз. При установлении категории объектов КИИ в расчет берутся 14 типов негативных итогов прекращения или нарушения их работы, прописанных в правительственном постановлении № 127. К ним относятся:

  • ухудшение функциональности систем обеспечения жизнедеятельности населения;
  • нанесение вреда состоянию здоровья и жизни граждан;
  • сбои связи;
  • уменьшение суммы доходов местного, федерального бюджетов;
  • перебои с транспортным снабжением и т.д.

Проведение анализа по совокупности критериев позволяет определить значимые объекты критической информационной инфраструктуры, основываясь на размере вероятного наносимого вреда. При этом есть ряд трудностей, с которыми приходится сталкиваться при выяснении категории значимости в отношении каждого конкретного объекта:

  1. Не всегда есть возможность точно понять, какое количество людей в теории могут пострадать от нарушения целостности и снижения работоспособности элемента ИТ-инфраструктуры.
  2. В качестве объекта КИИ выступает не компания или учреждение в целом, а только те АСУ, ИС и ИТКС, которые применяются в прописанных в ФЗ-187 отраслях.
  3. Бывает сложно разграничить категории значимости в отношении сложных информационных систем, где элементы могут быть отдельными объектами, в отношении которых необходимо выполнять оценку степени вреда.

В связи с перечисленными затруднениями, очевидно, что заниматься категорированием, как и защитой значимых объектов КИИ, должны те, кто разбирается в терминологии, методиках, а также располагают техническими ресурсами для составления моделей действий нарушителей (внутренних и внешних). Сотрудничество с нашим центром позволяет сократить время и финансовые затраты на урегулирование формальностей, дав возможность осуществлять деятельность без претензий со стороны ФСТЭК, клиентов и партнеров по бизнесу.

Почему важно выделить незначимые и значимые объекты критической информационной инфраструктуры?

Чтобы проводить категорирование, критическая информационная инфраструктура должна быть классифицирована, но при этом нет единого подхода к дифференциации объектов. Если какой-то из них не относится к числу значимых, то тратить денежные и технические средства на обеспечение его безопасности нет необходимости. Вместе с тем, элементы ИТ-инфраструктуры, которые могут в теории нанести серьезный вред, должны быть надежно защищены от угроз, исходящих извне и изнутри.

Руководствуясь положениями ФЗ-187 и ФСТЭК, можно определить две разновидности объектов КИИ — значимые и незначимые, причем первые разделяются между собой на 3 категории, среди которых первая является высшей, а третья — низшей. Принадлежность к той или иной категории определяет:

  • подбор и реализацию тех или иных мер по противодействию угрозам, способным вызвать остановку либо нарушение функционирования. Чем выше категория, тем серьезней должны быть применяемые методы блокировки, чтобы исключить негативные последствия действий нарушителя с высоким, базовым повышенным или базовым потенциалом;
  • использование конкретных средств борьбы со злоумышленниками;
  • перечень требований к обеспечению целостности и доступности информационной системы, а также затраты на интеграцию соответствующих СЗИ.

Обязательно ли осуществлять категорирование объектов информатизации?

В ПП № 127 четко прописано, что начать процедуру нужно каждому субъекту КИИ, при этом есть полгода на согласование деталей (а точнее — перечня объектов, сроков) с контролирующим органом. Также установлены определенные временные лимиты на решение формальностей, и если их не соблюдать, то ФСТЭК направит официальный запрос с требованием исполнить положения ФЗ-187. Игнорировать его рискованно — за неисполнение полагаются серьезные штрафные санкции и другие наказания в рамках КоАП. В современных реалиях, когда за ИТ-безопасностью тщательно следят, разумнее и выгоднее изначально позаботиться о проведении необходимых процедур, чем в дальнейшем разбираться с негативным последствиями.

Специфика анализа угроз

При планировании и реализации аналитического процесса нужно разграничивать оценку угроз ИС согласно Приказу ФСТЭК № 239 и определение негативных результатов инцидентов с исследуемым объектом при выполнении категорирования. Если в первом случае требуется задействовать централизованную БД уязвимостей и протестировать различные варианты действий нарушителей, то во втором столь детальную проработку выполнять нет смысла. Также необходимо принимать в расчет, что не следует выделять перечень объектов критической информационной инфраструктуры, руководствуясь исключительно их функциональным назначением — нужно ориентироваться, прежде всего, на реальную сферу эксплуатации.

Формализация процесса

Как и другие процедуры, регулируемые законодательством, категорирование имеет определенные ограничения по времени проведения того или иного этапа, а также ряд особенностей, которые нужно учитывать:

  • контрольными точками процедуры являются составление списка объектов КИИ и присвоение им той или иной категории значимости (либо решение, что элемент ИТ-инфраструктуры не относится к числу значимых);
  • 5 рабочих дней дается на информирование ФСТЭК об утверждении перечня;
  • с момента подготовки акта категорирования объекта КИИ (образец можно скачать в Интернете) есть 10 дней на то, чтобы уведомить контролирующий орган по каждому из объектов;
  • на протяжении десяти дней ведомство проверяет данные и сообщает о наличии недоработок, на устранение которых дается также 10 суток;
  • весь процесс должен быть завершен в течение 12 месяцев после составления перечня, при этом проводить анализ на их соответствие правовым нормативам может проводиться только через 3 года.

Профессиональный подход к категорированию объектов критической информационной инфраструктуры

Чтобы оптимизировать решение формальностей и технических аспектов выделения значимых объектов КИИ, имеет смысл воспользоваться помощью экспертов. В комплекс предлагаемых нашим центром услуг может входить:

  • исследование деятельности на этапе подготовки к создания проекта для получения необходимого массива данных об элементах информационной инфраструктуры, которые подлежат категорированию;
  • выделение критических процессов, а также ИТКС, АСУ и ИС, которые необходимы для их работы;
  • составление комплекта документов для передачи в контролирующие органы;
  • установление степени вреда, который может быть нанесен при наступлении инцидентов;
  • подготовка актов категорирования с учетом актуальным нормативно-правовых требований.

Мы успешно сотрудничаем с частными клиентами и компаниями, располагаем лицензией ФСТЭК, устанавливая демократичные цены на все виды услуг. Свяжитесь с нами онлайн или по телефону, чтобы обсудить детали и проконсультироваться по поводу сроков и стоимости работ.

Похожие публикации:
  1. Апк стрит фалькон как обжаловать
  2. Какие расходы финансируются из пенсионного фонда
  3. Что грозит компании если она не выполнила предписания инспекторов мчс по итогам проверки
  4. Что такое тантьема в страховании

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *