Попадание компании или учреждения под действие закона, определяющего меры безопасности в отношении КИИ РФ, автоматически означает, что нужно проводить ряд мероприятий по обеспечению защиты АСУ, ИС и ИТКС. Наиболее сложной и трудоемкой среди них является категорирование объектов КИИ. Что это такое? Как проходит процедура? Какие есть особенности её осуществления? Получить ответы на эти вопросы позволит анализ законодательства и обращение к специалистам по ИБ.
Категорирование объектов КИИ осуществляется исходя из требований, которые прописаны в ФЗ-187, ПП РФ № 127 и приказах ФСТЭК № 235, 239 и 236. Основная нормативно-правовая база сформировалась в
Какие КИИ подлежат категорированию?
В соответствии с ФЗ-187 и правительственным постановлением от 08.02.2018, под категорированием понимают процесс определения тех объектов критической инфраструктуры, к которым необходимо применять особые защитные меры в связи с их значимостью для населения и государства в целом. К КИИ, в свою очередь, относятся ИС, ИТКС и автоматизированные системы управления, а также сети, которые задействуются при обеспечении деятельности либо взаимодействии предприятий:
- оборонного и топливного комплексов
- науки и здравоохранения;
- металлургической отрасли;
- атомной и других видов энергетики;
- сферы связи;
- космической, ракетостроительной и химической промышленности;
- транспорта;
- горнодобывающей отрасли;
- банковской или иной финансовой сферы.
Идентификация организации как субъекта КИИ
Перед тем, как выяснять нюансы передачи в реестр ФСТЭК данных об объектах КИИ и разбираться в процедуре категорирования, предусмотренной ФЗ-187, нужно определить, считается ли организация субъектом критической инфраструктуры. Если руководствоваться нормативно-правовыми документами, то это госучреждения и органы государственной власти, а также учреждения и юр. лица, которые:
- Являются владельцами объектов КИИ (временными или постоянными), то есть имеют бумаги, подтверждающие право собственности, факт аренды либо другое законное основание для распоряжения АСУ, ИС и ИТКС. Также к субъектам относятся госструктуры, фирмы и предприниматели, обеспечивающие взаимодействие информационных, управляющих, телекоммуникационных сетей и систем в указанных выше сферах.
- Имеют регистрацию на территории Российской Федерации. Если организация иностранная, то ей не нужно производить категорирование объектов КИИ по правилам ФСТЭК.
Если хотя бы одно из перечисленных условий не выполнено, то проводить процедуру не нужно. К сожалению, на практике без узкоспециализированных знаний провести идентификацию сложно — мешают нечетко прописанные в ФЗ и других нормативно-правовых актах понятия (яркий пример — нет определения, что означает «принадлежать», «сфера» и т.д.). В результате, ответственное за принятие решения лицо руководствуется собственными соображениями, которые не всегда соотносятся с пониманием контролирующих структур.
Как точно понять, есть ли объекты КИИ, подлежащие категорированию?
Если следовать рекомендациям ФСТЭК, то основным инструментом, который позволяет решить, нужно ли выделять ресурсы на определение категорий, является устав компании и Единый реестр организаций в форме ОКВЭД. Если указанные там виды деятельности идентичны тем, которые прописаны в ФЗ-187 (тем более, когда работа фирмы предполагает получение лицензий), скорее всего, придется заниматься категорированием ИТ-инфраструктуры. Но вместе с тем, не всегда наличие соответствующих кодов ОКВЭД обуславливает необходимость в категорировании, а их отсутствие избавляет от прохождения процедуры. Чтобы разобраться в ситуации, нужно учитывать следующие моменты:
- не всегда организация в действительности занимается всеми теми видами деятельности, которые указаны в учредительных документах;
- практически все вносят в устав пометку о возможности заниматься иными направлениями работ, разрешенными действующим законодательством (в том числе теми, при которых нужно вносить данные в реестр значимых объектов КИИ);
- в области науки существует возможность проведения исследований с дотациями от государства, что обозначает формальную принадлежность к числу субъектов критической инфраструктуры. Но на практике выполнять требованиями ФЗ-187 нужно только, если в рамках текущей работы задействованы АСУ, ИС или ИТКС;
- сам факт того, что компания работает в важной для государства отрасли, не обязывает её проводить категорирование — потребность в этом возникает только, если один либо несколько из используемых объектов принадлежат к КИИ.
Подводя итоги, можно сказать, что окончательное установление принадлежности к числу субъектов критической инфраструктуры происходит непосредственно на этапе категорирования.
Суть категории значимости и потребность в её определении
Между коммерсантами, государством и социумом существует определенный конфликт интересов. Представители бизнеса заинтересованы в минимизации затрат и увеличении прибыли, что предполагает принятие решений о внедрении мер защиты, соизмеримых с потенциальными потерями в случае её отсутствия. Но есть серьезный нюанс — в расчет берутся именно убытки предприятия, а не последствия для граждан и государства. Пример — отключение тепловой электростанции на
Для урегулирования подобных трудностей на законодательном уровне закреплено понятие «категория значимости» — это характеристика объекта критической инфраструктур, с помощью которой удается четко определить, с какими ИТ-элементами предприятие может работать без ограничений, а какие необходимо дополнительно обезопасить от внутренних и внешних угроз. При установлении категории объектов КИИ в расчет берутся 14 типов негативных итогов прекращения или нарушения их работы, прописанных в правительственном постановлении № 127. К ним относятся:
- ухудшение функциональности систем обеспечения жизнедеятельности населения;
- нанесение вреда состоянию здоровья и жизни граждан;
- сбои связи;
- уменьшение суммы доходов местного, федерального бюджетов;
- перебои с транспортным снабжением и т.д.
Проведение анализа по совокупности критериев позволяет определить значимые объекты критической информационной инфраструктуры, основываясь на размере вероятного наносимого вреда. При этом есть ряд трудностей, с которыми приходится сталкиваться при выяснении категории значимости в отношении каждого конкретного объекта:
- Не всегда есть возможность точно понять, какое количество людей в теории могут пострадать от нарушения целостности и снижения работоспособности элемента ИТ-инфраструктуры.
- В качестве объекта КИИ выступает не компания или учреждение в целом, а только те АСУ, ИС и ИТКС, которые применяются в прописанных в ФЗ-187 отраслях.
- Бывает сложно разграничить категории значимости в отношении сложных информационных систем, где элементы могут быть отдельными объектами, в отношении которых необходимо выполнять оценку степени вреда.
В связи с перечисленными затруднениями, очевидно, что заниматься категорированием, как и защитой значимых объектов КИИ, должны те, кто разбирается в терминологии, методиках, а также располагают техническими ресурсами для составления моделей действий нарушителей (внутренних и внешних). Сотрудничество с нашим центром позволяет сократить время и финансовые затраты на урегулирование формальностей, дав возможность осуществлять деятельность без претензий со стороны ФСТЭК, клиентов и партнеров по бизнесу.
Почему важно выделить незначимые и значимые объекты критической информационной инфраструктуры?
Чтобы проводить категорирование, критическая информационная инфраструктура должна быть классифицирована, но при этом нет единого подхода к дифференциации объектов. Если какой-то из них не относится к числу значимых, то тратить денежные и технические средства на обеспечение его безопасности нет необходимости. Вместе с тем, элементы ИТ-инфраструктуры, которые могут в теории нанести серьезный вред, должны быть надежно защищены от угроз, исходящих извне и изнутри.
Руководствуясь положениями ФЗ-187 и ФСТЭК, можно определить две разновидности объектов КИИ — значимые и незначимые, причем первые разделяются между собой на 3 категории, среди которых первая является высшей, а третья — низшей. Принадлежность к той или иной категории определяет:
- подбор и реализацию тех или иных мер по противодействию угрозам, способным вызвать остановку либо нарушение функционирования. Чем выше категория, тем серьезней должны быть применяемые методы блокировки, чтобы исключить негативные последствия действий нарушителя с высоким, базовым повышенным или базовым потенциалом;
- использование конкретных средств борьбы со злоумышленниками;
- перечень требований к обеспечению целостности и доступности информационной системы, а также затраты на интеграцию соответствующих СЗИ.
Обязательно ли осуществлять категорирование объектов информатизации?
В ПП № 127 четко прописано, что начать процедуру нужно каждому субъекту КИИ, при этом есть полгода на согласование деталей (а точнее — перечня объектов, сроков) с контролирующим органом. Также установлены определенные временные лимиты на решение формальностей, и если их не соблюдать, то ФСТЭК направит официальный запрос с требованием исполнить положения ФЗ-187. Игнорировать его рискованно — за неисполнение полагаются серьезные штрафные санкции и другие наказания в рамках КоАП. В современных реалиях, когда за ИТ-безопасностью тщательно следят, разумнее и выгоднее изначально позаботиться о проведении необходимых процедур, чем в дальнейшем разбираться с негативным последствиями.
Специфика анализа угроз
При планировании и реализации аналитического процесса нужно разграничивать оценку угроз ИС согласно Приказу ФСТЭК № 239 и определение негативных результатов инцидентов с исследуемым объектом при выполнении категорирования. Если в первом случае требуется задействовать централизованную БД уязвимостей и протестировать различные варианты действий нарушителей, то во втором столь детальную проработку выполнять нет смысла. Также необходимо принимать в расчет, что не следует выделять перечень объектов критической информационной инфраструктуры, руководствуясь исключительно их функциональным назначением — нужно ориентироваться, прежде всего, на реальную сферу эксплуатации.
Формализация процесса
Как и другие процедуры, регулируемые законодательством, категорирование имеет определенные ограничения по времени проведения того или иного этапа, а также ряд особенностей, которые нужно учитывать:
- контрольными точками процедуры являются составление списка объектов КИИ и присвоение им той или иной категории значимости (либо решение, что элемент ИТ-инфраструктуры не относится к числу значимых);
- 5 рабочих дней дается на информирование ФСТЭК об утверждении перечня;
- с момента подготовки акта категорирования объекта КИИ (образец можно скачать в Интернете) есть 10 дней на то, чтобы уведомить контролирующий орган по каждому из объектов;
- на протяжении десяти дней ведомство проверяет данные и сообщает о наличии недоработок, на устранение которых дается также 10 суток;
- весь процесс должен быть завершен в течение 12 месяцев после составления перечня, при этом проводить анализ на их соответствие правовым нормативам может проводиться только через 3 года.
Профессиональный подход к категорированию объектов критической информационной инфраструктуры
Чтобы оптимизировать решение формальностей и технических аспектов выделения значимых объектов КИИ, имеет смысл воспользоваться помощью экспертов. В комплекс предлагаемых нашим центром услуг может входить:
- исследование деятельности на этапе подготовки к создания проекта для получения необходимого массива данных об элементах информационной инфраструктуры, которые подлежат категорированию;
- выделение критических процессов, а также ИТКС, АСУ и ИС, которые необходимы для их работы;
- составление комплекта документов для передачи в контролирующие органы;
- установление степени вреда, который может быть нанесен при наступлении инцидентов;
- подготовка актов категорирования с учетом актуальным нормативно-правовых требований.
Мы успешно сотрудничаем с частными клиентами и компаниями, располагаем лицензией ФСТЭК, устанавливая демократичные цены на все виды услуг. Свяжитесь с нами онлайн или по телефону, чтобы обсудить детали и проконсультироваться по поводу сроков и стоимости работ.
Как проходит категорирование информационной инфраструктуры?
Основные этапы:
- Формирование комиссии, в состав которой входят гендиректор, специалисты производства, информационной безопасности, АСУ ТП, а также лиц, ответственных за гражданскую оборону, обеспечение государственной тайны. После определения состава выдается соответствующий приказ руководителя.
- Подготовка перечня объектов КИИ.
- Согласование списка с регулирующим органом.
- Подача уведомления в ФСТЭК в соответствии с установленной законом процедурой.
- Подготовка исходной информации, которая завершается составлением отчета об обследовании.
- Оценка угроз ИБ.
- Установление категории значимости объектов критической информационной инфраструктуры.
- Передача сведений о результатах процедуры в ФСТЭК.
- Организация независимой экспертизы всех проведённых мероприятий по КИИ.