Основы категорирования объектов КИИ

Основы категорирования объектов КИИ


Современные реалии диктуют новые правила в сфере защиты информации, тесно переплетаясь с законодательством.

Одним из главных является вопрос информационной безопасности в сфере КИИ. Критическая информационная инфраструктура охватывает важнейшие сферы деятельности в нашем государстве, нарушение работы которой может повлечь существенный ущерб для общества и государства в целом.

В статье мы собрали информацию относительно категорирования объектов критической информационной инфраструктуры, а также поможем разобраться с основными понятиями и правильно определить, является ли ваша организация субъектом КИИ.

Субъекты и объекты КИИ

Для начала необходимо разобраться с определениями субъекта и объекта критической информационной инфраструктуры. Согласно Федеральному Закону от 26.07.2017 № 187 «О безопасности критической информационной инфраструктуры»:

Субъектом КИИ являются государственные органы, учреждения, российские юр. лица и/или ИП, имеющие в своем распоряжении на правах собственности, аренды или ином основании, информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, которые функционируют в сфере здравоохранения, транспорта, связи, науки, энергетики, государственной регистрации прав на недвижимое имущество и сделок с ним, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юр. лица и/или ИП, обеспечивающие взаимодействие указанных систем или сетей.

Объектом КИИ являются информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.


Рисунок 1. Нормативные акты по КИИ

Как же определить, относится ли ваша организация к субъекту КИИ?

Исходя из определения в 187-ФЗ, субъектом КИИ является организация, которая работает в указанных сферах или владеет соответствующими информационной системы (ИС), информационно-телекоммуникационной сети (ИТКС), автоматизированной системы управления (АСУ)

Выделяют два подхода отнесения ИС, ИТКС, АСУ к определенной сфере: косвенный и прямой.

Подходы отнесения субъектов КИИ к определенной сфере

Косвенный подход (подход ФСТЭК)

ИС/АСУ/ИТКС могут относиться к определенной сфере, если явно/косвенно обеспечивают реализацию функций, которые относятся к определенным видам деятельности организации в рамках КИИ. При этом система обеспечивает реализацию критических процессов, а не выполняет специализированные функции, относящиеся к сфере. В качестве примера можно привести систему, обеспечивающую продажи железнодорожных билетов. Функционально система схожа с продажей обычных билетов в кинотеатр, но от ее работы зависит доступность системы транспортных услуг.

Прямой подход

ИС/АСУ/ИТКС могут быть отнесены к определенной сфере, так как выполняют специализированные функции. Если в пример мы берем РЖД, то это может быть система управления стрелками и сигналами на железнодорожной станции. Здесь не может возникать сомнений касательно отнесения системы к транспортной сфере, а также в ее документации будут присутствовать явные подтверждения принадлежности к сфере.

Таким образом, косвенный подход при определении организации как субъекта КИИ делает акцент не на самой системе, а на виде деятельности. Если вид деятельности организации относится к одной их сфер КИИ, то в любом случае будут системы, обеспечивающие реализацию специализированных процессов или обеспечивающих ее критические процессы.

В прямом подходе акцент делается на определение специализированных систем, которые явно относятся к заданной сфере. Достаточно найти одну такую систему, чтобы организация считалась субъектом КИИ.

Обязанности субъекта КИИ
Определившись с вопросом отнесения организации к субъекту КИИ, необходимо понимать, какие действия требуется выполнять в рамках данной специфики:
  • Проведение категорирования объектов критической информационной системы. Необходимо определить уровень значимости объекта КИИ или признать его незначимым.
  • Передача информации о компьютерных инцидентах. Постановлено, что организация обязана докладывать о всех инцидентах ГосСОПКА.
ГосСОПКА – Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак. Представлена государственными и коммерческими центрами, взаимодействующими между собой, которые делятся информацией о случившихся инцидентах и способах их ликвидации, противодействия им.
  • Определение ответственных уполномоченных за КИИ. Заместитель руководителя организации получает полномочия, которые обязывают обеспечить информационную безопасность организации. Сюда входит выявление, предотвращение инцидентов информационной безопасности и устранение их последствий в случае возникновения.
  • Организация структуры. Необходимо учредить внутри организации новое подразделение, которое займется обеспечением ИБ или определить, какое уже существующее подразделение возьмет на себя выполнение данных обязанностей.


Эти действия обязательны к выполнению для всех организаций, являющихся субъектом КИИ, независимо от того, принадлежат ли ей значимые объекты КИИ.

Разберем каждый из этапов подробнее.

Категорирование объектов КИИ

Этап, в свою очередь, делится на шесть пунктов:

Формирование комиссии

В состав комиссии входят:
  • Уполномоченный руководитель субъекта критической информационной инфраструктуры
  • Сотрудники субъекта, которые являются специалистами в сфере информационных технологий и связи, а также работники, специализирующиеся на эксплуатации технологического оборудования, промышленной безопасности, контролю за веществами и материалами, представляющими опасность, их учету.
  • Сотрудники, выполняющие функции информационной безопасности на объекте КИИ
  • Если обрабатывается информация, относящаяся к государственной тайне, то необходимо наличие подразделения, специализирующегося на обеспечении ее безопасности
  • Ответственные за гражданскую оборону и защиту от ЧС (чрезвычайные ситуации).


Субъекту необходимо сформировать приказ о постоянном составе комиссии по присвоению категорий объекту КИИ. После проведения необходимых работ обязательно требуется составить заключение с результатами проделанной работы.

Определение процессов

Далее комиссия определяет все процессы, которые происходят в организации, и выявляет из этого списка относящиеся к критическим.

Определение критических процессов

Критическими процессами называются управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения полномочий, либо осуществления видов деятельности субъектов критической информационной инфраструктуры в сферах, установленных пунктом 8 статьи 2 187-ФЗ, нарушение и/или прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка.


Рисунок 2. Определение критических процессов

Для того чтобы понять, является ли процесс критическим, рассмотрим пример с отключением горячей воды. Если в многоквартирных домах есть индивидуальные тепловые пункты с автоматизированной системой управления, в которых происходит нагрев теплоносителя на отопление дома и приготовление горячей воды, то такие объекты считаются объектами КИИ, работающими в сфере энергетики. Опираясь на ПП № 127 , можно выделить пять критериев для определения значимости объектов КИИ:

1. Социальная значимость

2. Политическая значимость

3. Экономическая значимость

4. Экологическая значимость

5. Значимость для обеспечения обороны страны, безопасности государства и правопорядка.

Оценка производится не относительно масштаба возможных последствий, а по возможности их возникновения.

Чтобы определить значимость, необходимо сопоставить процесс с имеющимися критериями.


Рисунок 3. Сопоставление с критериями «Экономической значимости»





Рисунок 4. Сопоставление с критериями «Социальной значимости»

Сопоставляется процесс со всеми критериями. В результате мы можем сделать вывод о том, что подача горячей воды является критическим процессом.

Прежде, чем перейти к рассмотрению определения объектов критической информационной инфраструктуры необходимо обратить внимание на Постановление Правительства от 20.12.2022 № 2360 «О внесении изменений в постановление Правительства Российской Федерации от 08.02.2018 № 127». В документе говорится о том, что при определении категории необходимо использовать отраслевые перечни объектов КИИ.

Определение объектов КИИ

Критические процессы определяются для того, чтобы выявить объекты КИИ подлежащие категорированию.

Каждому критическому процессу относят системы, выполняющие:
  • Обработку информации, которая необходима для критических процессов
  • Непосредственное управление процессом
  • Контроль/мониторинг процесса

Рекомендации для формирования перечня ИС/АСУ/ИТКС:

  • Проведение инвентаризации систем
  • Реализация запроса лицам, владеющим определенными критическими процессами на указание систем из перечня, которые принимают участие в упомянутых процессах.
  • Итоговый перечень необходимо согласовать с лицами, уполномоченными управлять информационной инфраструктурой, прикладным программным обеспечением, автоматизацией на предприятии. Если потребуется, необходимо добавить ИТС, которые эксплуатируются для реализации информационных потоков упомянутых ранее процессов.

Теперь после определения объектов КИИ, организация должна сразу приступать к их категорированию. Формировнаие перечня объектов не входит в обязанности организации согласно ПП-1281 от 19.09.2024 года.

Отправка сведений во ФСТЭК о перечне объектов КИИ

Ранее, в соответствие с требованиями ПП — 127 и информационным сообщением ФСТЭК РФ от 24 августа 2018 г. обязанности субъекта КИИ по передаче сведений об объектах выглядят так:

  • Согласовывать перечень объектов КИИ, надлежащие к определению категории, с гос. органом или российским юр. лицом, которое выполняет функции в разработке, проведении или реализации государственной политики и/или нормативно-правовом регулировании в области работы Организации (если является подведомственными учреждением).
  • Направлять перечень объектов критической информационной инфраструктуры, которым требуется определить категорию, в ФСТЭК РФ не позднее 5 дней после его утверждения уполномоченным лицом субъекта КИИ.
  • При отправке во ФСТЭК прикладывать электронную копию перечня объектов критической информационной инфраструктуры, которым требуется определение категории.

Но 19 сентября 2024 года опубликовано Постановление Правительства № 1281, в котором п.15 ПП-127 отменен. Теперь перечень объектов КИИ организации во ФСТЭК не отправляют.

Определение категории значимости объектов КИИ

Проведение анализа потенциальных источников угроз, действий потенциальных злоумышленников

Комиссия по определению категории с помощью специалистов по информационной безопасности в организации определяет потенциальные источники угроз, дают им характеристику. Если на данном объекте модель разрабатывалась ранее, то можно ее использовать, а также применять модели, разрабатываемые ранее для схожих систем в данной организации.

Проведение анализа угроз информационной безопасности

Для текущего объекта критической инфраструктуры анализируются потенциальные угрозы информационной безопасности, которые могут привести к возникновению компьютерных инцидентов. Здесь рекомендуется разработать модели угроз или определить общие классы угроз информационной безопасности.

Оценка масштаба последствий угроз и соотнесение со значениями показателей категорий

Для объекта критической информационной инфраструктуры определяются потенциальные последствия нарушений в результате выявления потенциальных угроз информационной безопасности, сценариев компьютерных атак, назначения объекта критической информационной инфраструктуры и автоматизируемого процесса. Выбираются только типы последствий, присущие потенциальным угрозам для данного объекта.

Предлагаем рассмотреть последствия, которые соответствуют показателям критериев значимости ПП-127:

1. Причинение ущерба здоровью и жизни людей;

2. Прекращение/нарушение работы объектов обеспечения жизнедеятельности населения;

3. Прекращение/нарушение работы объектов транспортной инфраструктуры и т.д.

В случае зависимости работоспособности одного объекта КИИ от другого, предлагается рассматривать прекращение работы зависимого объекта.

В соответствие с п. 9 ПП-127, категорирование объектов КИИ, в составе которых используются программные и (или) программно-аппаратные средства, принадлежащие и эксплуатируемые иными лицами, осуществляется субъектом КИИ с учетом данных о последствиях нарушения или прекращения функционирования указанных программных и (или) программно-аппаратных средств.

Если установлено более одного значения по отношению к показателю критерия значимости, необходимо оценить каждый показатель по отдельности.
Категория значимости не присваивается в том случае, когда критерий значимости не может быть применим к объекту КИИ или сам объект КИИ не имеет соответствий с показателями, а также их значениями.

Объекту критической информационной инфраструктуры присваивается категория значимости в соответствие с наивысшим значением из соответствующих категорий в результате соотношения ущерба к показателям.

Если по одному из показателей объект КИИ был отнесен к первой категории, остальные показатели критериев рассчитывать не следует. Это означает, что требуется заполнить данные определения категории значимости показателю, которому нанесен ущерб, в соответствие с тем, который получил первую категорию.

По итогу проведенных работ, определения категории значимости объектов критической информационной инфраструктуры организации, подлежащим присвоению категории и в соответствие с п. 16 ПП-127, решение о присвоении категории оформляется актом, содержащим сведения об объекте КИИ, сведения о присвоенной категории значимости объекта КИИ, либо об отсутствии необходимости ее присвоения.

На одном субъекте КИИ допускается оформление единого акта для нескольких объектов. Акт подписывают все члены комиссии, а также руководитель субъекта КИИ. После он хранится у субъекта КИИ до прекращения его эксплуатации, либо присвоения новой категории значимости.

Отправка сведений о категорировании во ФСТЭК
Обязательно необходимо заполнить форму «Сведения о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий», содержащую в себе:
  • Сведения об объекте КИИ;
  • Сведения о субъекте КИИ;
  • Сведения о взаимодействии объекта КИИ и сетей электросвязи;
  • Сведения о лице, эксплуатирующем объект КИИ;
  • Сведения о программных и программно-аппаратных средствах, используемых на объекте КИИ;
  • Сведения об угрозах безопасности информации и категориях нарушителей в отношении объекта КИИ;
  • Возможные последствия в случае возникновения КИ;
  • Категория значимости, которая присвоена объекту КИИ, или сведения об отсутствии необходимости присвоения
  • одной из категории значимости, а также сведения о результатах оценки показателей критериев значимости.
  • Организационные и технические меры, применяемые для обеспечения безопасности значимого объекта КИИ
  • Субъект критической информационной инфраструктуры должен передавать данные во ФСТЭК России о результатах присвоения категории значимости объекту КИИ, либо его отсутствия, в течение 10 рабочих дней после утверждения соответствующего акта.

Главным критерием для проверки категорирования является полнота представленных сведений, а также обоснование оценки потенциального ущерба и выбора соответствующих категорий.

Необходимо в течение 10 дней исправить все замечания от ФСТЭК.

Утвержденную форму дополняют электронными копиями высланных форм и сопроводительным письмом, оформленным в произвольной форме.

В случае, если данные содержат государственную тайну, необходимо учесть все требования по конфиденциальности документооборота при передаче.

Подведем итоги

Необходимо четко определять, относится ли ваша организация к субъекту критической информационной инфраструктуры. Для этого необходимо определить:

1. Владение объектами КИИ. У субъекта должны быть бумаги, подтверждающие право собственности, факт аренды либо другое законное основание для распоряжения автоматизированными системами управления (АСУ), информационными системами (ИС) и информационно-телекоммуникационными сетями (ИТКС).

2. Обеспечение взаимодействия информационных, управляющих, телекоммуникационных сетей и систем в определённых сферах.  К субъектам относятся госструктуры, фирмы и предприниматели, обеспечивающие взаимодействие информационных, управляющих, телекоммуникационных сетей и систем в сферах здравоохранения, науки, транспорта, связи, энергетики, банковской сферы и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности.

3. Регистрация на территории Российской Федерации. Если организация иностранная, то ей не нужно производить категорирование объектов КИИ по правилам ФСТЭК.

Если ваша организация является субъектом КИИ, следует строго соблюдать соответствующие обязанности:

  • проводить категорирование своих объектов;
  • информировать о компьютерных инцидентах ГосСОПКА;
  • создать структурное подразделение, которое будет отвечать за информационную безопасность объекта.

Необходимо добросовестно организовать прохождение всех необходимых процессов, начиная от формирования комиссии, заканчивая составлением акта категорирования.

Сформировав необходимые документы и определив категорию значимости объекта КИИ, необходимо отправить полученные данные во ФСТЭК. Будьте готовы внести исправления, если регулятор отправит корректировки.

КИИ
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ученые доказали: чтение нашего канала продлевает жизнь!

Ладно, не доказали. Но мы работаем над этим

Поучаствуйте в эксперименте — подпишитесь

rcngroup

Компания «Рубикон» — IT-предприятие, основное направление деятельности которого – информационная безопасность. Мы занимаемся решением задач по аудиту, созданию и оптимизации IT-инфраструктур.