Исходя из чего проводится категорирование объекта кии
Перейти к содержимому

Исходя из чего проводится категорирование объекта кии

  • автор:

Исходя из чего проводится категорирование объекта кии

Статья 7. Категорирование объектов критической информационной инфраструктуры

1. Категорирование объекта критической информационной инфраструктуры представляет собой установление соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения.

2. Категорирование осуществляется исходя из:

1) социальной значимости, выражающейся в оценке возможного ущерба, причиняемого жизни или здоровью людей, возможности прекращения или нарушения функционирования объектов обеспечения жизнедеятельности населения, транспортной инфраструктуры, сетей связи, а также максимальном времени отсутствия доступа к государственной услуге для получателей такой услуги;

2) политической значимости, выражающейся в оценке возможного причинения ущерба интересам Российской Федерации в вопросах внутренней и внешней политики;

3) экономической значимости, выражающейся в оценке возможного причинения прямого и косвенного ущерба субъектам критической информационной инфраструктуры и (или) бюджетам Российской Федерации;

4) экологической значимости, выражающейся в оценке уровня воздействия на окружающую среду;

5) значимости объекта критической информационной инфраструктуры для обеспечения обороны страны, безопасности государства и правопорядка.

3. Устанавливаются три категории значимости объектов критической информационной инфраструктуры — первая, вторая и третья.

4. Субъекты критической информационной инфраструктуры в соответствии с критериями значимости и показателями их значений, а также порядком осуществления категорирования присваивают одну из категорий значимости принадлежащим им на праве собственности, аренды или ином законном основании объектам критической информационной инфраструктуры. Если объект критической информационной инфраструктуры не соответствует критериям значимости, показателям этих критериев и их значениям, ему не присваивается ни одна из таких категорий.

5. Сведения о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий субъекты критической информационной инфраструктуры в письменном виде в десятидневный срок со дня принятия ими соответствующего решения направляют в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, по утвержденной им форме.

6. Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, в тридцатидневный срок со дня получения сведений, указанных в части 5 настоящей статьи, проверяет соблюдение порядка осуществления категорирования и правильность присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо неприсвоения ему ни одной из таких категорий.

7. В случае, если субъектом критической информационной инфраструктуры соблюден порядок осуществления категорирования и принадлежащему ему на праве собственности, аренды или ином законном основании объекту критической информационной инфраструктуры правильно присвоена одна из категорий значимости, федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, вносит сведения о таком объекте критической информационной инфраструктуры в реестр значимых объектов критической информационной инфраструктуры, о чем в десятидневный срок уведомляется субъект критической информационной инфраструктуры.

8. В случае, если федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, выявлены нарушения порядка осуществления категорирования и (или) объекту критической информационной инфраструктуры, принадлежащему на праве собственности, аренды или ином законном основании субъекту критической информационной инфраструктуры, неправильно присвоена одна из категорий значимости и (или) необоснованно не присвоена ни одна из таких категорий и (или) субъектом критической информационной инфраструктуры представлены неполные и (или) недостоверные сведения о результатах присвоения такому объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, в десятидневный срок со дня поступления представленных сведений возвращает их в письменном виде субъекту критической информационной инфраструктуры с мотивированным обоснованием причин возврата.

9. Субъект критической информационной инфраструктуры после получения мотивированного обоснования причин возврата сведений, указанных в части 5 настоящей статьи, не более чем в десятидневный срок устраняет отмеченные недостатки и повторно направляет такие сведения в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации.

10. Сведения об отсутствии необходимости присвоения объекту критической информационной инфраструктуры одной из категорий значимости после их проверки направляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, о чем в десятидневный срок уведомляется субъект критической информационной инфраструктуры.

11. В случае непредставления субъектом критической информационной инфраструктуры сведений, указанных в части 5 настоящей статьи, федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, направляет в адрес указанного субъекта требование о необходимости соблюдения положений настоящей статьи.

12. Категория значимости, к которой отнесен значимый объект критической информационной инфраструктуры, может быть изменена в порядке, предусмотренном для категорирования, в следующих случаях:

1) по мотивированному решению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, принятому по результатам проверки, проведенной в рамках осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры;

2) в случае изменения значимого объекта критической информационной инфраструктуры, в результате которого такой объект перестал соответствовать критериям значимости и показателям их значений, на основании которых ему была присвоена определенная категория значимости;

3) в связи с ликвидацией, реорганизацией субъекта критической информационной инфраструктуры и (или) изменением его организационно-правовой формы, в результате которых были изменены либо утрачены признаки субъекта критической информационной инфраструктуры.

Проблемные вопросы процедуры категорирования объектов КИИ. Часть 2

Определение термина «категорирование» содержится в ч. 1 ст. 7 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Под «категорированием» понимается установление соответствия объекта критической информационной инфраструктуры (далее по тексту – КИИ) критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения.

Таким образом, категорирование — это некая процедура, в ходе которой объект КИИ оценивается по некоторой совокупности показателей и исходя из значений этих показателей ему присваивается категория значимости, либо принимается мотивированное решение о ее отсутствии. На основании установленной категории значимости (при ее наличии) определяется базовый набор мер по обеспечению безопасности.

Процедура категорирования определяется Правилами категорирования объектов критической информационной инфраструктуры Российской Федерации (утв. Постановлением Правительства РФ от 8 февраля 2018 г. № 127), далее по тексту – Правила категорирования.

Следует отметить, что Правила категорирования определяют именно процедуру категорирования и не дают толкование дефинициям «объект КИИ» и (или) «субъект КИИ», т.е. содержат нормы процессуального, а не материального права.

Автор обращает внимание на важность данного момента, т.к. в практике ему нередко приходилось сталкиваться с таким мнением, что информационные системы, автоматизированные системы или информационно-телекоммуникационные сети, которые не обрабатывают информацию, необходимую для обеспечения критических процессов и не осуществляют управление, контроль или мониторинг критических процессов, якобы, не являются объектами КИИ. Данная точка зрения представляется неверной. Перечисленные системы являются объектами КИИ, однако они не подлежат включению в перечень объектов КИИ, подлежащих категорированию и, соответственно, самому категорированию.

Проведение категорирования

Схематично процедуру категорирования можно представить в следующем виде:

Рисунок 1 – Процедура категорирования

Рассмотрим процедуру категорирования более подробно:

Этап 1. Формирование комиссии по категорированию.

Одним из проблемных вопросов на сегодняшний день является формирование комиссии по категорированию. Несмотря на то, что состав комиссии прописан в п. 11 Правил категорирования, на практике возникают следующие, требующие решения, вопросы:

Кто должен возглавлять комиссию по категорированию?

Пунктом 13 Правил категорирования установлено, что комиссию по категорированию возглавляет руководитель субъекта КИИ или уполномоченное им лицо. При этом, относительно того, кто должен быть уполномоченным лицом, единой позиции нет. Исходя из практического опыта автора, можно сказать, что данным лицом является, как правило, работник, отвечающий за безопасность организации (руководитель службы безопасности, руководитель службы информационной безопасности, заместитель директора по безопасности и т.п.), либо главный инженер промышленного предприятия. По мнению автора, уполномоченным лицом должен быть работник из числа топ менеджмента, в чьи функциональные обязанности входит курирование вопросов обеспечения безопасности.

Какие дополнительные специалисты должны входить в комиссию помимо перечисленных в п. 11 Правил категорирования?

Постановлением Правительства Российской Федерации «О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127», Правила категорирования были дополнены пунктом 11.1. следующего содержания: «По решению руководителя субъекта критической информационной инфраструктуры в состав комиссии могут быть включены иные работники, ‎в том числе работники финансово-экономического подразделения».

Указанное дополнение позволяет включать в комиссии всех имеющихся у субъекта КИИ специалистов, знания и навыки которых необходимы для корректного расчета и оценки показателей критериев значимости. Прежде всего это касается специалистов финансово-экономического подразделения, необходимых для расчета показателей экономической значимости (раздел 3) и представления их для рассмотрения членами комиссии по категорированию, а также специалистов юридических подразделений для проверки корректности соблюдения процедуры и оформления документов.

Можно ли создавать разные комиссии в филиалах территориально распределенной организации ?

Ранее уже упоминавшееся Постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127 дополнило Правила категорирования пунктом 11.2. следующего содержания: «По решению руководителя субъекта критической информационной инфраструктуры, имеющего филиалы, представительства, могут создаваться отдельные комиссии для категорирования объектов критической информационной инфраструктуры в этих филиалах, представительствах. В этом случае комиссия субъекта критической информационной инфраструктуры координирует и контролирует деятельность комиссий по категорированию».

На практике, ранее существовавшая проблема с необходимостью создания больших (по количеству участников) комиссий, теперь трансформировалась в проблему управления территориально распределенными комиссиями и их контроля. Во избежание конфликтов между комиссией по категорированию субъекта КИИ и комиссиями по категорированию в филиалах (представительствах), связанных со сферами ответственности, по мнению автора, целесообразно регламентировать функциональные обязанности, полномочия и ответственности в локальном нормативном акте, например, регламенте «по работе комиссий по категорированию».

Этап 2. Подготовка перечня объектов КИИ подлежащих категорированию.

В соответствии с п. 14 Правил категорирования для формирования перечня объектов КИИ подлежащих категорированию комиссии по категорированию необходимо:

а) определить процессы, в рамках выполнения функций (полномочий) или осуществления видов деятельности субъекта КИИ.

б) выявить те из них, которые являются критическими, т.е. их нарушение и (или) прекращение может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка.

в) выявить объекты КИИ, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов, для включения в перечень объектов;

То есть, в перечень объектов КИИ, подлежащих категорированию, включаются только те объекты, которые обрабатывают информацию, необходимую для обеспечения критических процессов и (или) осуществляют их управление, контроль или мониторинг, а, следовательно, они и подлежат категорированию.

На практике, нередко возникает следующий вопрос «что первично перечень объектов КИИ или перечень процессов?». Напомню, что в соответствии со ст. 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» объекты КИИ — это информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов КИИ и ничего более. Иными словами, если даже объект КИИ не обеспечивает критические процессы, он, всё таки, не перестает быть объектом КИИ. Поэтому, составление «перечня объектов КИИ» (не нужно путать с «перечнем объектов КИИ подлежащих категорированию») лежит вне рамок самой процедуры категорирования, а должно, по мнению автора, предшествовать ей.

В рамках же самой процедуры категорирования осуществляется выявление критических процессов, а затем из перечня объектов КИИ вычленяются объекты КИИ, подлежащие категорированию.

Как определить, относится процесс к критическим или нет? Поскольку категорированию подлежат только объекты КИИ, которые автоматизируют критические процессы, на практике перед субъектом КИИ встает вопрос о том, как определить, что тот или иной процесс является критическим.

Действующее законодательство в области КИИ не содержит методики выявления критических процессов, а значит, вопрос отнесения того или иного процесса к критическому остается исключительно на усмотрение субъекта КИИ.

В связи с этим возникают разные подходы к выявлению критических процессов:

  1. Субъект может обосновать, что критические процессы у него отсутствуют, а, следовательно, нет и значимых объектов КИИ. Такой подход вполне может иметь практическое применение, однако, по мнению автора, при возникновении компьютерного инцидента с резонансными последствиями, субъект рискует быть подвергнут наказанию со стороны контрольно-надзорных органов.
  2. К критическим относятся только те процессы, которые обеспечивают основные виды деятельности субъекта. Основные виды деятельности субъекта, как правило, содержатся в его уставных документах. Если следовать данному подходу, субъекту необходимо проанализировать Устав и ЕГРЮЛ и выделить в нем виды деятельности, задекларированные как основные. Далее для составления перечня объектов КИИ подлежащих категорированию следует определить, какие объекты участвуют в автоматизации указанных видов деятельности. Однако, по мнению автора, у данного подхода есть один существенный недостаток – сфера деятельности субъекта КИИ и сфера, в которой функционирует принадлежащий ему объект КИИ, могут не совпадать. Например, любой территориальный фонд обязательного медицинского страхования в соответствии с Федеральным законом от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации» будет относиться к финансово-кредитной сфере, но в силу статьи 91 Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» принадлежащие ему объекты КИИ относятся к «информационным системам в сфере здравоохранения».
  3. К критическим следует относить полностью все процессы исходя из той логики, что нарушение вспомогательного процесса может, прямо или косвенно, привести к нарушению основного. Недостатком данного подхода, по мнению автора, является то, что при нем рассматриваются сценарии, возникновение которых на практике, весьма маловероятно. В результате, значимость объектов КИИ переоценивается.

По мнению автора, определение критичности процесса должно базироваться на общей логике закона. Речь идет о том, что к критическим нужно относить те процессы, нарушение нормального функционирования которых может привести к последствиям, указанным в Перечне показателей критериев значимости объектов КИИ (утв. постановлением Правительства РФ от 08.02.2018 № 127), и, соответственно, выделять конкретные объекты КИИ, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов.

Этап 3. Оценка объектов КИИ в соответствии с показателями критериев значимости и присвоение каждому из объектов КИИ категории, либо принятие решения об отсутствии необходимости ее присвоения.

На данном этапе комиссия оценивает объекты КИИ по всем показателям критериев значимости утвержденным постановлением Правительства РФ от 08.02.2018 № 127 и, в зависимости от полученных в ходе оценки значений, принимает решение о присвоении объекту КИИ одной из категории значимости, либо об ее отсутствии. Здесь следует отметить следующие важные, с практической точки зрения, моменты:

1. В практической деятельности получила распространение точка зрения о том, что категорий значимости четыре (0,1,2,3). Эта точка зрения ошибочна. Частью 3 ст. 7 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» устанавливается три категории значимости объектов критической информационной инфраструктуры — первая, вторая и третья.

Субъекты КИИ присваивают одну из категорий значимости объектам КИИ. Если объект КИИ не соответствует критериям значимости, показателям этих критериев и их значениям, ему не присваивается ни одна из таких категорий. Иными словами, можно говорить о том, что существует два вида объектов КИИ: «значимые» и «не значимые», а значимые объекты КИИ имеют три категории.

2. Оценка каждого конкретного объекта КИИ по показателям критериев значимости осуществляется членами комиссии по категорированию, как правило (во всяком случае автор пока не встречал иного), экспертным методом. Каких-либо утвержденных методик проведения расчетов по данным показателям, в настоящее время, нет.

3. Как осуществлять присвоение категории значимости объекту КИИ: с учетом мер защиты или без?

В настоящее время рядом экспертов высказывается мнение о том, что при присвоении объекту КИИ категории значимости, необходимо учитывать принятые на объекте меры защиты.

При этом, на практике, нередки ситуации, когда меры защиты изначально встроены в объект КИИ при его создании, реализуются с момента ввода его в эксплуатацию и не отделимы от объекта КИИ (архитектурные компоненты).

В то же время, согласно пп. «д» п. 5 Правил, оценка масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах КИИ производится в соответствии с перечнем показателей критериев значимости, и никак иначе.

Иными словами, реализация мер обеспечения информационной безопасности не оказывает влияние на присвоение объекту КИИ категории значимости. При определении категории значимости в расчет берутся последствия от уже реализованной гипотетической компьютерной атаки и сравниваются с перечнем показателей критериев значимости – какому показателю соответствует, такая категория и присваивается. Логика этого вполне очевидна и понятна, в расчет категории значимости берутся те последствия, к которым приведет успешная реализация в отношении объекта КИИ компьютерной атаки. В свою очередь, меры защиты лишь позволяют избежать указанной атаки или существенно затруднить ее реализацию и не могут влиять на причиненный в результате нее ущерб.

Этап 4. Подготовка итоговых документов по результатам категорирования.

По итогам своей работы, комиссия по категорированию подготавливает два документа:

1. Акт о категорировании. Перечень информации о субъекте и объектах КИИ, которая должна быть включена в акт определяется п. 16 Правил категорирования.

Акт подписывается членами комиссии по категорированию и утверждается руководителем субъекта КИИ и только им, а не председателем комиссии, в случае если комиссию возглавляет не руководитель субъекта КИИ, а уполномоченное им лицо.

Субъект критической информационной инфраструктуры обеспечивает хранение акта до вывода из эксплуатации объекта критической информационной инфраструктуры или до изменения категории значимости. Направление акта во ФСТЭК России не требуется.

2. Сведения о результатах присвоения объекту КИИ одной из категорий значимости, либо об отсутствии необходимости присвоения ему одной из таких категорий. Данные сведения в течение 10 дней со дня утверждения акта направляются во ФСТЭК России. Форма сведений утверждена приказом ФСТЭК России от 22.12.2017 № 236.

Таким образом, важно понимать, что акт и сведения это два абсолютно разных документа, содержание которых и действия, осуществляемые с ними, также различны.

Сроки категорирования

Согласно п. 15 Правил максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом КИИ перечня объектов.

Постановлением Правительства Российской Федерации от 13 апреля 2019 г. № 452 «О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127» на субъектов КИИ, государственных органов и государственных учреждений, возложена обязанность утвердить перечень объектов КИИ, подлежащих категорированию до 1 сентября 2019 года. Таким образом, указанные субъекты КИИ обязаны завершить процедуру категорирования до 1 сентября 2020 года.

Относительно субъектов КИИ – российских юридических лиц и (или) индивидуальных предпринимателей срок утверждения перечня объектов КИИ, подлежащих категорированию (до 1 сентября 2020 года) носит рекомендательный характер.

Таким образом, по мнению автора, поскольку срок законодательно не установлен (не обязателен), субъект КИИ из числа российских юридических лиц и (или) индивидуальных предпринимателей, вправе сам выбирать приемлемый для него срок подготовки и отправки перечня. С учетом того, что формирование перечня объектов КИИ является одним из этапов процесса категорирования (п. 5 Правил) можно говорить о том, что, по сути, реальный срок категорирования в большинстве случаев будет превышать один год, а в ряде случаев будет составлять и несколько лет.

При этом, следует иметь в виду, что в ходе процедуры категорирования может измениться реестр объектов КИИ подлежащих категорированию, например, появятся новые объекты КИИ, либо часть будет выведена из эксплуатации и т.п. Результатом чего может стать несовпадение сведений, содержащихся в итоговых актах категорирования и направленном ранее во ФСТЭК России перечне объектов КИИ, что, по мнению автора, непременно повлечет вопросы регулятора.

Действующее законодательство не предусматривает обязанность субъекта по направлению измененного перечня объектов КИИ, однако, по мнению автора, во избежание претензий регулятора, целесообразно подготовить новую редакцию перечня, пояснительную записку с приложением приказов о вводе в эксплуатацию (выводе из эксплуатации) объекта КИИ и направить весь этот комплект документов регулятору совместно с актами категорирования.

__________________
В данной публикации использовались материалы, опубликованные автором ранее в Журнале Information Security №2/2019

Категорирование КИИ

Категорирование объектов КИИ

Попадание компании или учреждения под действие закона, определяющего меры безопасности в отношении КИИ РФ, автоматически означает, что нужно проводить ряд мероприятий по обеспечению защиты АСУ, ИС и ИТКС. Наиболее сложной и трудоемкой среди них является категорирование объектов КИИ. Что это такое? Как проходит процедура? Какие есть особенности её осуществления? Получить ответы на эти вопросы позволит анализ законодательства и обращение к специалистам по ИБ. Категорирование объектов КИИ осуществляется исходя из требований, которые прописаны в ФЗ-187, ПП РФ № 127 и приказах ФСТЭК № 235, 239 и 236. Основная нормативно-правовая база сформировалась в однако ежегодно в неё вносят те или иные корректировки, чтобы можно было обеспечивать максимально высокий уровень защиты КИИ в условиях постоянного совершенствования методов злоумышленников. Предприятиям важно проводить мониторинг законодательных изменений, а также сотрудничать со специалистами по информационной безопасности для регулярного аудита и доработки СЗИ. Наш центр предлагает выгодные условия сотрудничества для всех субъектов: индивидуальных предпринимателей, компаний и т.д.

Какие КИИ подлежат категорированию?

  • оборонного и топливного комплексов
  • науки и здравоохранения;
  • металлургической отрасли;
  • атомной и других видов энергетики;
  • сферы связи;
  • космической, ракетостроительной и химической промышленности;
  • транспорта;
  • горнодобывающей отрасли;
  • банковской или иной финансовой сферы.

Идентификация организации как субъекта КИИ

Перед тем, как выяснять нюансы передачи в реестр ФСТЭК данных об объектах КИИ и разбираться в процедуре категорирования, предусмотренной ФЗ-187, нужно определить, считается ли организация субъектом критической инфраструктуры. Если руководствоваться нормативно-правовыми документами, то это госучреждения и органы государственной власти, а также учреждения и юр. лица, которые:

  1. Являются владельцами объектов КИИ (временными или постоянными), то есть имеют бумаги, подтверждающие право собственности, факт аренды либо другое законное основание для распоряжения АСУ, ИС и ИТКС. Также к субъектам относятся госструктуры, фирмы и предприниматели, обеспечивающие взаимодействие информационных, управляющих, телекоммуникационных сетей и систем в указанных выше сферах.
  2. Имеют регистрацию на территории Российской Федерации. Если организация иностранная, то ей не нужно производить категорирование объектов КИИ по правилам ФСТЭК.

Если хотя бы одно из перечисленных условий не выполнено, то проводить процедуру не нужно. К сожалению, на практике без узкоспециализированных знаний провести идентификацию сложно — мешают нечетко прописанные в ФЗ и других нормативно-правовых актах понятия (яркий пример — нет определения, что означает «принадлежать», «сфера» и т.д.). В результате, ответственное за принятие решения лицо руководствуется собственными соображениями, которые не всегда соотносятся с пониманием контролирующих структур.

Как точно понять, есть ли объекты КИИ, подлежащие категорированию?

Если следовать рекомендациям ФСТЭК, то основным инструментом, который позволяет решить, нужно ли выделять ресурсы на определение категорий, является устав компании и Единый реестр организаций в форме ОКВЭД. Если указанные там виды деятельности идентичны тем, которые прописаны в ФЗ-187 (тем более, когда работа фирмы предполагает получение лицензий), скорее всего, придется заниматься категорированием ИТ-инфраструктуры. Но вместе с тем, не всегда наличие соответствующих кодов ОКВЭД обуславливает необходимость в категорировании, а их отсутствие избавляет от прохождения процедуры. Чтобы разобраться в ситуации, нужно учитывать следующие моменты:

  • не всегда организация в действительности занимается всеми теми видами деятельности, которые указаны в учредительных документах;
  • практически все вносят в устав пометку о возможности заниматься иными направлениями работ, разрешенными действующим законодательством (в том числе теми, при которых нужно вносить данные в реестр значимых объектов КИИ);
  • в области науки существует возможность проведения исследований с дотациями от государства, что обозначает формальную принадлежность к числу субъектов критической инфраструктуры. Но на практике выполнять требованиями ФЗ-187 нужно только, если в рамках текущей работы задействованы АСУ, ИС или ИТКС;
  • сам факт того, что компания работает в важной для государства отрасли, не обязывает её проводить категорирование — потребность в этом возникает только, если один либо несколько из используемых объектов принадлежат к КИИ.

Подводя итоги, можно сказать, что окончательное установление принадлежности к числу субъектов критической инфраструктуры происходит непосредственно на этапе категорирования.

Суть категории значимости и потребность в её определении

Между коммерсантами, государством и социумом существует определенный конфликт интересов. Представители бизнеса заинтересованы в минимизации затрат и увеличении прибыли, что предполагает принятие решений о внедрении мер защиты, соизмеримых с потенциальными потерями в случае её отсутствия. Но есть серьезный нюанс — в расчет берутся именно убытки предприятия, а не последствия для граждан и государства. Пример — отключение тепловой электростанции на дня для компании, которая обеспечивает её работу, приведет к снижению дохода всего на пару процентов, тогда как потребителям предстоит столкнуться с серьезными проблемами из-за отсутствия отопления, электрики и горячего водоснабжения.

Для урегулирования подобных трудностей на законодательном уровне закреплено понятие «категория значимости» — это характеристика объекта критической инфраструктур, с помощью которой удается четко определить, с какими ИТ-элементами предприятие может работать без ограничений, а какие необходимо дополнительно обезопасить от внутренних и внешних угроз. При установлении категории объектов КИИ в расчет берутся 14 типов негативных итогов прекращения или нарушения их работы, прописанных в правительственном постановлении № 127. К ним относятся:

  • ухудшение функциональности систем обеспечения жизнедеятельности населения;
  • нанесение вреда состоянию здоровья и жизни граждан;
  • сбои связи;
  • уменьшение суммы доходов местного, федерального бюджетов;
  • перебои с транспортным снабжением и т.д.

Проведение анализа по совокупности критериев позволяет определить значимые объекты критической информационной инфраструктуры, основываясь на размере вероятного наносимого вреда. При этом есть ряд трудностей, с которыми приходится сталкиваться при выяснении категории значимости в отношении каждого конкретного объекта:

  1. Не всегда есть возможность точно понять, какое количество людей в теории могут пострадать от нарушения целостности и снижения работоспособности элемента ИТ-инфраструктуры.
  2. В качестве объекта КИИ выступает не компания или учреждение в целом, а только те АСУ, ИС и ИТКС, которые применяются в прописанных в ФЗ-187 отраслях.
  3. Бывает сложно разграничить категории значимости в отношении сложных информационных систем, где элементы могут быть отдельными объектами, в отношении которых необходимо выполнять оценку степени вреда.

В связи с перечисленными затруднениями, очевидно, что заниматься категорированием, как и защитой значимых объектов КИИ, должны те, кто разбирается в терминологии, методиках, а также располагают техническими ресурсами для составления моделей действий нарушителей (внутренних и внешних). Сотрудничество с нашим центром позволяет сократить время и финансовые затраты на урегулирование формальностей, дав возможность осуществлять деятельность без претензий со стороны ФСТЭК, клиентов и партнеров по бизнесу.

Почему важно выделить незначимые и значимые объекты критической информационной инфраструктуры?

Чтобы проводить категорирование, критическая информационная инфраструктура должна быть классифицирована, но при этом нет единого подхода к дифференциации объектов. Если какой-то из них не относится к числу значимых, то тратить денежные и технические средства на обеспечение его безопасности нет необходимости. Вместе с тем, элементы ИТ-инфраструктуры, которые могут в теории нанести серьезный вред, должны быть надежно защищены от угроз, исходящих извне и изнутри.

Руководствуясь положениями ФЗ-187 и ФСТЭК, можно определить две разновидности объектов КИИ — значимые и незначимые, причем первые разделяются между собой на 3 категории, среди которых первая является высшей, а третья — низшей. Принадлежность к той или иной категории определяет:

  • подбор и реализацию тех или иных мер по противодействию угрозам, способным вызвать остановку либо нарушение функционирования. Чем выше категория, тем серьезней должны быть применяемые методы блокировки, чтобы исключить негативные последствия действий нарушителя с высоким, базовым повышенным или базовым потенциалом;
  • использование конкретных средств борьбы со злоумышленниками;
  • перечень требований к обеспечению целостности и доступности информационной системы, а также затраты на интеграцию соответствующих СЗИ.

Обязательно ли осуществлять категорирование объектов информатизации?

В ПП № 127 четко прописано, что начать процедуру нужно каждому субъекту КИИ, при этом есть полгода на согласование деталей (а точнее — перечня объектов, сроков) с контролирующим органом. Также установлены определенные временные лимиты на решение формальностей, и если их не соблюдать, то ФСТЭК направит официальный запрос с требованием исполнить положения ФЗ-187. Игнорировать его рискованно — за неисполнение полагаются серьезные штрафные санкции и другие наказания в рамках КоАП. В современных реалиях, когда за ИТ-безопасностью тщательно следят, разумнее и выгоднее изначально позаботиться о проведении необходимых процедур, чем в дальнейшем разбираться с негативным последствиями.

Специфика анализа угроз

При планировании и реализации аналитического процесса нужно разграничивать оценку угроз ИС согласно Приказу ФСТЭК № 239 и определение негативных результатов инцидентов с исследуемым объектом при выполнении категорирования. Если в первом случае требуется задействовать централизованную БД уязвимостей и протестировать различные варианты действий нарушителей, то во втором столь детальную проработку выполнять нет смысла. Также необходимо принимать в расчет, что не следует выделять перечень объектов критической информационной инфраструктуры, руководствуясь исключительно их функциональным назначением — нужно ориентироваться, прежде всего, на реальную сферу эксплуатации.

Формализация процесса

Как и другие процедуры, регулируемые законодательством, категорирование имеет определенные ограничения по времени проведения того или иного этапа, а также ряд особенностей, которые нужно учитывать:

  • контрольными точками процедуры являются составление списка объектов КИИ и присвоение им той или иной категории значимости (либо решение, что элемент ИТ-инфраструктуры не относится к числу значимых);
  • 5 рабочих дней дается на информирование ФСТЭК об утверждении перечня;
  • с момента подготовки акта категорирования объекта КИИ (образец можно скачать в Интернете) есть 10 дней на то, чтобы уведомить контролирующий орган по каждому из объектов;
  • на протяжении десяти дней ведомство проверяет данные и сообщает о наличии недоработок, на устранение которых дается также 10 суток;
  • весь процесс должен быть завершен в течение 12 месяцев после составления перечня, при этом проводить анализ на их соответствие правовым нормативам может проводиться только через 3 года.

Профессиональный подход к категорированию объектов критической информационной инфраструктуры

Чтобы оптимизировать решение формальностей и технических аспектов выделения значимых объектов КИИ, имеет смысл воспользоваться помощью экспертов. В комплекс предлагаемых нашим центром услуг может входить:

  • исследование деятельности на этапе подготовки к создания проекта для получения необходимого массива данных об элементах информационной инфраструктуры, которые подлежат категорированию;
  • выделение критических процессов, а также ИТКС, АСУ и ИС, которые необходимы для их работы;
  • составление комплекта документов для передачи в контролирующие органы;
  • установление степени вреда, который может быть нанесен при наступлении инцидентов;
  • подготовка актов категорирования с учетом актуальным нормативно-правовых требований.

Мы успешно сотрудничаем с частными клиентами и компаниями, располагаем лицензией ФСТЭК, устанавливая демократичные цены на все виды услуг. Свяжитесь с нами онлайн или по телефону, чтобы обсудить детали и проконсультироваться по поводу сроков и стоимости работ.

Как проходит категорирование информационной инфраструктуры?

  1. Формирование комиссии, в состав которой входят гендиректор, специалисты производства, информационной безопасности, АСУ ТП, а также лиц, ответственных за гражданскую оборону, обеспечение государственной тайны. После определения состава выдается соответствующий приказ руководителя.
  2. Подготовка перечня объектов КИИ.
  3. Согласование списка с регулирующим органом.
  4. Подача уведомления в ФСТЭК в соответствии с установленной законом процедурой.
  5. Подготовка исходной информации, которая завершается составлением отчета об обследовании.
  6. Оценка угроз ИБ.
  7. Установление категории значимости объектов критической информационной инфраструктуры.
  8. Передача сведений о результатах процедуры в ФСТЭК.
  9. Организация независимой экспертизы всех проведённых мероприятий по КИИ.
Другие услуги

Обеспечение безопасности КИИ

Услуги по обеспечению безопасности объектов критической информационной инфраструктуры Российской Федерации в соответствии с требованиями Федерального закона №187-ФЗ

Консалтинг

Центр безопасности данных имеет серьезный опыт в области внедрения систем информационной безопасности, организации систем обработки и защиты персональных данных, защиты служебной, конфиденциальной информации и коммерческой тайны.

Категорирование объектов критической информационной инфраструктуры (КИИ)

Категорирование объектов критической информационной инфраструктуры (КИИ)

Категорирование объектов критической информационной инфраструктуры (КИИ) — это процедура, которая позволяет организациям, попавшим в сферу действия федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации», понять, к каким именно информационным системам, автоматизированным системам управления и сетям, используемым этими организациями, предъявляются обязательные требования по обеспечению безопасности. Эта процедура определена в постановлении Правительства от 8 февраля 2018 г. №127, но, к сожалению, она до сих поры вызывает вопросы у субъектов КИИ. Пройдемся по этой процедуре более детально.

  1. Введение
  2. Что такое категория значимости и для чего она нужна
  3. Является ли организация субъектом КИИ?
  4. Как проводится категорирование
  5. Особенности анализа угроз при категорировании объектов КИИ
  6. Формальности в процессе категорирования объектов КИИ
  7. Выводы

Введение

Понятие «критическая информационная инфраструктура» определена в законе довольно расплывчато. Сперва закон определяет понятие «субъект КИИ»: «субъекты критической информационной инфраструктуры — государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей».

Чтобы понять эту формулировку, ее приходится анализировать по частям. В ней определяется тринадцать сфер деятельности (здравоохранение, наука, транспорт и т. п.), которые находятся в фокусе внимания закона. Закон затрагивает не сами эти сферы, а информационные системы, автоматизированные системы управления и информационно-телекоммуникационные сети (для краткости дальше по тексту будем называть их объектами IT-инфраструктуры), которые в этих сферах функционируют. Субъект КИИ — это либо тот, кому такие объекты принадлежат, либо тот, кто обеспечивает взаимодействие таких объектов. При этом субъектом КИИ может быть и орган власти, и государственное учреждение, и частная компания, и даже индивидуальный предприниматель.

Далее, закон определяет понятие «объект КИИ»: «объекты критической информационной инфраструктуры — информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры».

Таким образом, если организации — субъект КИИ, то объекты ее IT-инфраструктуры являются объектами КИИ. Наконец, закон определяет критическую информационную инфраструктуру Российской Федерации как совокупность объектов КИИ и сетей электросвязи, которые используются для их взаимодействия. Обратим внимание: объекты IT-инфраструктуры организации или индивидуального предпринимателя попадают в сферу действия закона не в силу своей важности для владельцев, а из-за того, что являются частью критической информационной инфраструктуры государства, и поэтому небезразличны государству.

Из этих определений следует, что закон затрагивает целые отрасли экономики, в которых работают десятки тысяч организаций и индивидуальных предпринимателей, вплоть до отдельных таксопарков и стоматологических кабинетов. Но не все так мрачно: основные требования закона относятся к объектам КИИ, которым в результате категорирования присваивается категория значимости.

Что такое категория значимости и для чего она нужна

Одной из основных проблем государственного регулирования вопросов информационной безопасности до недавнего времени являлся конфликт интересов с одной стороны — бизнеса, с другой — государства и общества. Как правило, при принятии решения о необходимости тех или иных мер защиты владелец информационной системы оценивает свои потери от возможных инцидентов и сравнивает их со стоимостью мер защиты от этих инцидентов. С его точки зрения защита нецелесообразна, если затраты на нее превышают возможные его потери при отсутствии такой защиты. К сожалению, при этом владельцы информационных систем чаще всего принимают в расчет только свои потери, игнорируя сопутствующий ущерб. Если в результате выхода из строя АСУ ТЭЦ город на три дня останется без тепла, это приведет к падению выручки компании менее чем на один процент. Это потери, статистически неотличимые от нуля, и с финансовой точки зрения владелец ТЭЦ мог бы с ними смириться. Для города же три дня, проведенные без тепла и горячей воды, — катастрофа, которую трудно оценить в финансовом выражении. Чтобы решить эту проблему, в законе введено понятие «категория значимости».

Категория значимости — это характеристика объекта КИИ, которая позволяет провести водораздел: вот с этими объектами владелец может поступать, как ему заблагорассудится, а вот эти объекты должны защищаться так, как того требует государство. Для этого в приложении к правилам категорирования (постановление Правительства РФ от 8 февраля 2018 г. №127, новая редакция утверждена 13 апреля 2019 г.) определены четырнадцать типов возможных негативных последствий, к которым может привести нарушение или прекращение работы объектов КИИ:

  • причинение вреда жизни и здоровью людей;
  • нарушение работы систем жизнеобеспечения;
  • нарушение транспортного сообщения;
  • нарушение связи;
  • снижение доходов федерального или местного бюджета и т. п.

В результате для каждого из объектов КИИ вводится четырнадцать показателей категорирования, каждый из которых характеризует размер вреда, который может быть причинен при наступлении соответствующего негативного последствия, например: «В случае отказа системы диспетчерского управления ТЭЦ может быть нарушено теплоснабжение муниципального образования Медведевский район, в котором проживает 67000 человек». На первый взгляд все просто: в этом примере объектом КИИ является система диспетчерской автоматизации ТЭЦ, показателем категорирования — возможность нарушения работы объекта теплоснабжения (показатель 2 в приложении к правилам категорирования), и этот показатель характеризуется двумя величинами:

  • размером территории, на которой может быть нарушено теплоснабжение (территория муниципального образования);
  • численностью населения, жизнеобеспечение которого может быть нарушено (67000 человек).

Для каждой величины, характеризующий показатель категорирования, устанавливаются четыре градации, по которым определяется категория значимости объекта КИИ. Например, для численности населения, которое может остаться без теплоснабжения, установлены следующие градации:

  • 2 тыс. и менее — объект не является значимым;
  • от 2 тыс. до 1 млн — объекту присваивается третья категория значимости;
  • от 1 до 5 млн — объекту присваивается вторая категория значимости;
  • более 5 млн — объекту присваивается первая, наивысшая категория значимости.

Таким образом, все на тот же первый взгляд, по численности населения система диспетчерской автоматизации данной ТЭЦ должна быть отнесена к значимым объектам КИИ третьей категории значимости.

В действительности определение объектов КИИ и категорий их значимости — не такая простая задача. Во-первых, даже в пределах отдельного муниципального образования теплоснабжение может обеспечиваться системой из нескольких ТЭЦ и автономных котельных, и определить численность населения, обслуживаемую одним предприятием — задача сама по себе непростая. Во-вторых, объектом КИИ является не предприятие, а каждая информационная система, каждая автоматизированная система управления и каждая информационно-телекоммуникационная сеть предприятия, которые в данном примере используются для теплоснабжения. То есть объектами КИИ будут являться автоматизированные системы управления водогрейными котлами (причем каждый котел может иметь отдельную систему управления), насосами, задвижками и т. п., а в ряде случаев — даже системы учета поставляемой тепловой энергии и взимания платы с потребителей. И категории значимости должны быть определены для каждого такого объекта

Таким образом, категорирование объектов КИИ — довольно сложный процесс, требующий учета многих нюансов деятельности организации. И начать стоит с определения основополагающего факта.

Является ли организация субъектом КИИ?

По определению, данному в законе, лицо является субъектом КИИ, если ему принадлежат объекты IT-инфраструктуры, функционирующие в тринадцати сферах, перечисленных в определении. К сожалению, в законодательстве нет однозначных определений для понятий «сфера», «принадлежать» и «функционировать», поэтому решение о принадлежности организации к субъектам КИИ очень сильно зависит от субъективных оценок человека, принимающего такое решение.

В выступлениях, посвященных вопросам безопасности КИИ, представители ФСТЭК России рекомендуют обращать внимание на виды деятельности, указанные в уставе организации и в Едином государственном реестре юридических лиц в форме кодов ОКВЭД, а также на выданные организации лицензии. Действительно, виды деятельности, которыми может заниматься организация, определены в ее уставе, а некоторые виды требуют еще и специального разрешения (лицензии). Таким образом, если в уставе указан вид деятельности, относящийся к одной из указанных в законе сфер, то организация с большой вероятностью занимается этой деятельностью, и в этом виде деятельности (для краткости назовем его «критическим») она почти наверняка использует какие-либо объекты своей IT-инфраструктуры. К сожалению, из этой рекомендации невнимательные слушатели часто делают поспешный вывод: «Организация является субъектом КИИ тогда и только тогда, когда в ее уставе есть подходящие коды ОКВЭД».

В этом выводе сразу две ошибки. Во-первых, в уставе явно перечисляются виды деятельности, которыми организация заниматься может, но не обязана. Таким образом организация, в уставе которой указано «осуществление грузовых перевозок» в действительности может вообще не заниматься транспортными услугами: просто в какой-то момент владелец решил отказаться от нерентабельного направления деятельности, а вносить при этом изменения в устав не требуется. Во-вторых, в уставе почти любой коммерческой организации есть приписка «и любыми иными видами деятельности, не запрещенными законом». Поэтому коды ОКВЭД в уставе могут быть полезны, но не являются критерием.

Еще одна тонкость относится к сфере науки. Любая организация, даже не специализирующаяся в области науки, имеет право в своих интересах заниматься научными исследованиями и использовать результаты этих исследованиях при производстве продукции или оказании услуг. В ряде случаев государство даже стимулирует такую деятельность, предоставляя таким организациям налоговые льготы. Такая организация формально также является субъектом КИИ, но только если в своей научной деятельности она использует какие-либо объекты IT-инфраструктуры.

В самом сложном положении оказываются организации IT-индустрии, особенно операторы связи, ЦОД и облачных инфраструктур. Ключевым для отнесения организации к субъектам КИИ является не деятельность в одной из «критических» сфер, а принадлежность к этой организации хотя бы одного объекта IT-инфраструктуры, который в одной из этих сфер используется. Так, зачастую деятельностью в области здравоохранения занимается министерство здравоохранения субъекта федерации, но владельцем всех используемых им информационных систем является отдельное государственное унитарное предприятие — информационно-аналитический центр. В этом случае субъектом КИИ будет являться такой центр.

В результате чаще всего ответить на вопрос, является ли организация субъектом КИИ, можно лишь начав категорирование ее информационных систем.

Как проводится категорирование

Как мы видели на примере ТЭЦ, для категорирования объектов КИИ и даже просто для определения этих объектов требуется глубоко погрузиться в специфику деятельности организации. Для этого необходимо создать специальную комиссию, в состав которой должны входить лица, ответственные за информационную безопасность, представители подразделения ИТ и основных технологических подразделений. В соответствии с правилами категорирования такая комиссия должны быть постоянно действующей, но торопиться с ее созданием не стоит. Если мы еще не уверены, относится ли организация к субъектам КИИ, для начала достаточно обсудить основные направления деятельности организации с лицами, которым эта деятельность хорошо известна. В небольших организациях такими людьми будут генеральный директор и главный бухгалтер, на производственных предприятиях — главный инженер, главный технолог или главный энергетик, в медицинских учреждениях — главный врач или заместитель главного врача по медицинской части. Организация не является субъектом КИИ, если:

  • она не занимается деятельностью ни в одной из «критических» сфер;
  • она занимается одним или несколькими «критическими» видами деятельности, но для них не использует объекты IT-инфраструктуры.

В остальных случаях требуется создать комиссию по категорированию, и первым действием комиссии является составление перечня процессов организации (управленческих, технологических, производственных, финансово-экономических и так далее), в которых используются объекты IT-инфраструктуры. Формально правила категорирования предписывают включать в перечень вообще все процессы, но в реальности процессы, связанные исключительно с ручным или механизированным трудом потом все равно будут исключены из рассмотрения.

Далее, для каждого процесса нужно определить, может ли его нарушение или прекращение привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка. Сами правила не говорят, какие именно последствия должны рассматриваться, но на практике достаточно ограничиться теми четырнадцатью, которые указаны в приложении к постановлению №127 в качестве показателей категорирования. Процессы, нарушение которых может привести к таким последствиям, называются критическими, а остальные из дальнейшего рассмотрения исключаются.

Стоит отметить, что возможность наступления негативных последствий, делающих процесс критическим, не всегда очевидна. На первый взгляд, процессы бухгалтерского учета и взаиморасчетов с контрагентами не могут существенно влиять на производственную деятельность, и в большинстве организаций это именно так. Но, например, на некоторых предприятиях прекращение бухгалтерских операций может привести к задержке оплаты материалов и, как следствие, прекращению поставок, остановке производства и срыву сроков исполнения государственного оборонного заказа — последствию, которое именно для этого предприятия делает процессы бухгалтерского учета критическими. В частности, именно поэтому в новой редакции правил отдельно рекомендуется включать в состав комиссии также и представителей финансовых подразделений.

Далее, для каждого критического процесса определяются объекты IT-инфраструктуры, используемые в процессе — они и станут объектами КИИ, которые комиссии предстоит категорировать. Критические процессы, не использующие объекты IT-инфраструктуры, из дальнейшего рассмотрения исключаются. Все выявленные таким образом объекты КИИ включаются в единый перечень, который должен быть направлен в центральный аппарат ФСТЭК России.

Далее для каждого объекта КИИ следует оценить актуальные для него негативные последствия, к которым может привести атака на этот объект, и масштаб таких последствий. Это уже творческая работа, в чем-то аналогичная анализу угроз, который должен проводиться при создании системы защиты — об этом мы поговорим чуть позже. Сложность заключается в том, что:

  • каждый объект может использоваться в нескольких критических процессах;
  • один и тот же объект можно атаковать разными способами, и это будет проводить к разным последствиям для разных процессов.

В результате анализа нужно для каждого объекта КИИ по каждому показателю категорирования оценить максимально возможный масштаб негативных последствий, соответствующих данному показателю. Наконец, на основе этой оценки нужно для каждого показателя категорирования определить, какой категории значимости соответствует данный объект КИИ по данному показателю. В результате объекту присваивается максимальная из получившихся категорий и составляется акт категорирования.

Сведения о результатах категорирования включаются в форму, утвержденную приказом ФСТЭК России №236 22 декабря 2017 г., отдельно по каждому объекту и направляются в центральный аппарат ФСТЭК России.

Особенности анализа угроз при категорировании объектов КИИ

Проводя категорирование, субъекты часто путают два понятия:

  • анализ угроз, который проводится при создании системы безопасности значимого объекта КИИ в соответствии с приказом ФСТЭК России №239 от 25 декабря 2017 г.;
  • оценка негативных последствий инцидента с объектом КИИ, которая проводится при категорировании.

В первом случае решается задача выбора мер защиты и способов их реализации. Чтобы выбрать адекватную реализацию меры защиты (например, требуется ли для защиты от сетевых атак применять межсетевой экран прикладного уровня или достаточно обойтись сигнатурной системой обнаружения вторжений), нужно оценить все возможные способы проведения атак — и для этого предписывается использовать Банк данных угроз и уязвимостей ФСТЭК России. Для оценки негативных последствий нарушения работы объекта КИИ такая степень детализации бесполезна, в ряде случаев — невозможна, а главное — не требуется.

Рассмотрим на примере всё того же теплоснабжения. На стадии категорирования нам в общих чертах известен технологический процесс теплоснабжения: водогрейные котлы нагревают воду, насосы нагнетают холодную воду в котлы, а горячую — в трубы теплотрассы, подача воды в отдельные участки трубы регулируется задвижками, давление воды контролируется датчикам, превышение допустимых показателей приводит в действие аварийную защиту. Все перечисленные компоненты управляются автоматизированно.

На стадии категорирования мы принимаем в качестве аксиомы, что если не обеспечивать защиту системы от действий злоумышленника, то он может воздействовать на элементы системы управления. Исходя из этого мы ставим себя на место злоумышленника и оцениваем потенциально возможные сценарии его действий, ставя целью причинение максимального ущерба. Например, нарушитель потенциально может отключить аварийную защиту, перекрыть задвижку на выходе водогрейного котла и увеличить до максимума мощность насоса, нагнетающего воду в котел. Результатом потенциально может стать повреждение котла, как следствие — нарушение теплоснабжения подключенных к котельной потребителей. Для оценки возможности такого сценария не требуется оценивать, возможно ли внедрение вредоносного кода или данных в программное обеспечение системы управления котельной или иные угрозы, перечисленные в банке данных ФСТЭК России. Достаточно того, что система управления позволяет человеку, получившему к ним доступ, выполнить подобные действия, и это подтверждает специалист из службы главного инженера организации.

При оценке негативных последствий субъекты КИИ часто пытаются учесть применяемые меры защиты, например:

  • в системе управления реализован комплекс мер защиты, исключающий несанкционированные действия злоумышленника;
  • в котельной установлено два котла, в штатном режиме работающие с половинной нагрузкой.

В подобном подходе заключаются сразу три методических ошибки. Во-первых, нарушена причинно-следственная связь, установленная в нормативных документах ФСТЭК: сперва оцениваются угрозы, и только потом выбираются соответствующие им меры защиты. Полное резервирование котлов потому и выполняется, что выход из строя одного из них привел бы к нарушению теплоснабжения потребителей. Иначе получается бессмыслица: нарушение теплоснабжения невозможно благодаря резервированию котлов, а раз оно невозможно, резервный котел не нужен.

Во-вторых, в случае категорирования объектов КИИ угрозы определяют категорию значимости, а категория значимости — состав базовых мер защиты, которые должны быть реализованы на объекте КИИ. На стадии категорирования еще не определена категория значимости объекта, а значит не определено, какие меры защиты являются необходимыми. Поэтому на этой стадии у субъекта нет никаких оснований утверждать, что принятые им меры защиты достаточны.

В-третьих, правила категорирования требуют при оценке последствий учитывать также и взаимосвязь объектов, включая возможность комбинированной атаки на них. Если нарушитель способен провести атаку на один котел, то он способен точно так же провести атаку и на второй котел, а значит, при категорировании системы управления придется учитывать возможность вывода из строя всех котлов.

Рисунок 1. При категорировании приходится рассматривать теоретически возможные многоходовые сценарии действий нарушителя

При категорировании приходится рассматривать теоретически возможные многоходовые сценарии действий нарушителя

Еще одна распространенная ошибка — это попытка категорировать объект КИИ только на основе его назначения, без учета его реального использования. Это хорошо иллюстрирует категорирование в качестве объектов КИИ интеллектуальной медицинской техники. Рассмотрим два примера:

  • теоретически возможно инфицировать аппарат УЗИ вредоносной программой, которая будет подменять изображение;
  • теоретически возможно инфицировать компьютерный томограф вредоносной программой, которая будет подменять снимки.

Обе угрозы кажутся идентичными и приводящими к одинаковым последствиям: нарушитель может, например, удалить из изображения опухоль и тем самым вынудить врача пропустить заболевание, а значит, в обоих случаях возможно причинение вреда жизни и здоровью людей. В действительности результаты категорирования будут разными:

  • Компьютерная томография — исследование статичного объекта с предсказуемым перемещением объекта съемки относительно излучателя. Можно перехватить изображение в процессе его программной обработки, проанализировать и модифицировать прежде, чем оно будет сохранено или показано на экране.
  • УЗИ-диагностика — динамическое исследование, в котором объект съемки перемещается относительно излучателя непредсказуемо для наблюдателя, который не имеет возможности наблюдать за движением руки врача. Перехватить и модифицировать изображение можно, но сделать его правдоподобным — нет.

Соответственно, приходится признать потенциальную опасность для здоровья людей в случае атаки нарушителя на компьютерный томограф и присвоить ему первую категорию значимости. А вот аппарат УЗИ такую опасность не представляет, и присвоение ему категории значимости не требуется. Различие обусловлено не техническими особенностями устройств, а особенностями их использования в лечебном процессе.

Формальности в процессе категорирования объектов КИИ

В процессе категорирования у субъекта КИИ есть две контрольные точки:

  • момент утверждения перечня объектов КИИ;
  • момент присвоения объекту КИИ категории значимости или принятия решения об отсутствии необходимости присваивать ему категорию.

Перечень объектов КИИ необходимо направить в центральный аппарат ФСТЭК России в течение пяти рабочих дней с момента его утверждения. Ведомство принимает этот перечень к сведению, но никаких действий при этом не предпринимает. Некоторые территориальные управления ФСТЭК рекомендуют направлять им копию перечня — также к сведению.

Сведения о результатах категорирования направляются в центральный аппарат ФСТЭК по мере готовности. Сведения по каждому объекту КИИ должны быть направлены в ФСТЭК в течение десяти рабочих дней с момента утверждения соответствующего акта категорирования. Ведомство проводит проверку таких сведений и в случае несогласия с результатами категорирования в течение десяти календарных дней направляет субъекту замечания. Замечания должны быть устранены также в течение десяти календарных дней.

Важно помнить, что момент утверждения перечня объектов КИИ является стартовой точкой при отсчете сроков проведения категорирования и надзорных действий. Категорирование объектов КИИ должно быть закончено не позднее, чем через год после утверждения перечня, а проверки выполнения требований могут начаться не ранее, чем через три года после завершения категорирования.

Стоит отметить, что крайний срок разработки перечня объектов КИИ нормативными документами установлен лишь для органов власти и государственных учреждений: в соответствии с постановлением Правительство №452 от 13 апреля 2019 г. эти субъекты должны утвердить свои перечни до 1 сентября 2019 г. Остальным субъектам также рекомендуется уложиться к этой дате, но это лишь рекомендация.

Выводы

Категорирование объектов КИИ — это своеобразная форма оценки рисков безопасности для объектов IT-инфраструктуры, используемых в важных для государства отраслях экономики и государственного управления. Своеобразие этого процесса вызвано тем, что объекты могут принадлежать коммерческим компаниям и частным лицам, но при этом создавать риски для государства и общества.

Если сравнить процесс категорирования объектов КИИ с аналогичным ему процессом определения уровней защищенности информационных систем персональных данных (постановление Правительства РФ от 01.11.2012 N 1119), видна заметная эволюция в подходе регулятора к формированию требований. Информация и ее свойства (конфиденциальность, доступность, целостность) больше не рассматриваются как самостоятельная ценность, требующая защиты. Вместо этого требуется оценивать, как именно эта информация обрабатывается и используется и какой реальный вред может причинить злоумышленник, вмешавшись в информационно-технологические процессы. Именно так и рекомендуется оценивать риски — но в регулятивной практике российской информационной безопасности такой подход используется едва ли не впервые.

Важность категорирования заключается даже не в том, что кто-то присвоит своим информационным системам категории значимости и будет исполнять технические требования по обеспечению их безопасности. Нет никаких сомнений, что большинство субъектов КИИ (а скорее всего — все субъекты) будут стремиться разными способами обосновывать незначимость как можно большей части своей IT-инфраструктуры, чтобы по возможности вывести ее из-под нормативных требований. Это неважно.

Важно то, что многие коммерческие компании, и прежде всего — промышленные предприятия, пусть вынужденно, из-под палки, впервые трезво взглянули на состояние защищенности своих информационных систем и систем управления. И для руководства многих из них стала неприятным сюрпризом их практическая беззащитность перед целенаправленными действиями нарушителя. Во всяком случае, с момента принятия правил категорирования заметно вырос поток запросов на проведение анализа защищенности промышленных систем, и очень часто такое обращение начинается словами: «Мы тут начали категорироваться и задумались…».

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *