| Слушать на Google Podcasts | Слушать на Mave | Слушать на Яндекс Музыке |
Руслан Рахметов, Security Vision
Категорирование объектов критической информационной инфраструктуры (КИИ) — это обязательная процедура для организаций, владеющих информационными системами в стратегически важных для государства сферах (например, энергетика, транспорт, здравоохранение). Процесс включает создание комиссии, определение критических бизнес-процессов, инвентаризацию IT-инфраструктуры и оценку возможного ущерба от кибератак. По результатам объекту КИИ присваивается одна из трех категорий значимости (1-я — наивысшая) или он признается незначимым, что напрямую влияет на требования к его защите согласно закону 187-ФЗ и Постановлению Правительства № 127.
Оглавление:
1. Кто является субъектом КИИ и обязан проводить категорирование?
2. Этап 1: Создание комиссии по категорированию
3. Этап 2: Выявление критических процессов субъекта КИИ
4. Этап 3: Составление перечня объектов КИИ (ОКИИ)
5. Этап 4: Присвоение категории значимости ОКИИ
6. Полезные материалы и методические рекомендации
7. FAQ: Часто задаваемые вопросы по категорированию КИИ
Кто является субъектом КИИ и обязан проводить категорирование?
Осуществление процедуры категорирования обязательно для всех организаций, которые являются субъектом критической информационной инфраструктуры (далее субъект КИИ). Напомним, что субъектами КИИ являются организации, которым на законном основании принадлежат ОКИИ и которые осуществляют свою деятельность в одной или нескольких значимых для государства сферах: здравоохранения, науки, транспорта, связи, энергетики, государственной регистрации прав на недвижимое имущество и сделок с ним, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности. Здесь важно отметить, что не каждая организация, осуществляющая деятельность в обозначенных выше сферах, будет являться субъектом КИИ, так как необходимым условием является именно владение на законном основании ОКИИ.
Этап 1: Создание комиссии по категорированию
На первом этапе необходимо сформировать специальную комиссию по категорированию ОКИИ. Возглавлять данную комиссию должен руководитель субъекта КИИ или уполномоченное им лицо. В качестве уполномоченного лица обычно выступает сотрудник, отвечающий за безопасность организации. Также в состав комиссии включаются следующие категории сотрудников субъекта КИИ:
- сотрудники, являющиеся специалистами в сфере деятельности Субъекта КИИ,
- сотрудники, осуществляющие эксплуатацию основных систем и оборудования,
- сотрудники, обеспечивающие безопасность ОКИИ,
- сотрудники подразделения по защите государственной тайны,
- сотрудники подразделения по гражданской обороне и защите от чрезвычайных ситуаций.
Таким образом, в состав комиссии может входить любой специалист субъекта КИИ, квалификация и опыт которого необходимы для проведения корректной оценки показателей критериев значимости ОКИИ. Кроме того, в комиссию по категорированию могут включаться представители государственных органов и российских юридических лиц, выполняющих функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности, по согласованию с государственными органами и российскими юридическими лицами.
Действует данная комиссия на постоянной основе, то есть на весь период действия статуса «субъект КИИ». В рамках своей деятельности она осуществляет выявление критических процессов и выявление ОКИИ, моделирует действия нарушителя, анализирует уязвимости, выявляет угрозы безопасности информации, даёт оценку возможных последствий компьютерных атак на ОКИИ и устанавливает каждому ОКИИ одну из категорий значимости либо принимает решение об отсутствии необходимости присвоения им категорий значимости.
Создание комиссии по категорированию ОКИИ оформляется в виде стандартного распорядительного документа – приказа.
Этап 2: Выявление критических процессов субъекта КИИ
На данном этапе ранее созданной комиссии необходимо провести аналитическую работу по определению основных процессов в рамках осуществления видов деятельности организации – субъекта КИИ. В качестве источника информации по существующим процессам в организации могут служить устав, учредительная документация, лицензии, сертификаты, организационно-штатная структура, положения различных подразделений и прочее. Далее, на основании полученной информации, комиссии следует выявить среди всех процессов только те, которые являются критическими. Под критическими процессами следует понимать те процессы, нарушение функционирования которых может привести к негативным социальным, экономическим, политическим и экологическим последствиям, а также негативно повлиять на обеспечение обороны страны, безопасности государства и правопорядка.
Этап 3: Составление перечня объектов КИИ (ОКИИ)
В рамках текущего этапа комиссии по категорированию необходимо осуществить инвентаризацию инфраструктуры своей организации с целью выявления информационных систем (далее ИС), автоматизированных систем управления (далее АСУ) или информационно-телекоммуникационных сетей (далее ИТКС), которые обеспечивают выполнение критических процессов субъекта КИИ. Здесь важно корректно выстроить взаимосвязи и иерархию с ИС, АСУ, ИТКС таких типов сущностей, как:
- программно-аппаратное средство (пользовательский компьютер, сервер, телекоммуникационное оборудование, средство беспроводного доступа),
- общесистемное программное обеспечение (клиентское, серверная операционная система, средство виртуализации),
- прикладное программное обеспечение,
- средство защиты информации.
В качестве исходных данных используются перечни типовых отраслевых объектов КИИ, которые разработаны соответствующими государственными органами.
Этап 4: Присвоение категории значимости ОКИИ
ОКИИ классифицируются на значимые и не значимые. В свою очередь, если объект является значимым, то ему может быть присвоена первая, вторая или третья категория. В зависимости от присвоенной категории значимости изменяется состав обязательных организационных и технических мер обеспечения безопасности ОКИИ (первая – максимальная, третья - минимальная). В случае, если ОКИИ не относится к значимым, для него не применяются дополнительные составы мер обеспечения безопасности, которые приведены в подзаконных актах Федерального закона № 187.
В рамках процедуры категорирования комиссия субъекта КИИ:
- выполняет моделирование действий нарушителей и рассматривает иные источники угроз безопасности информации в отношении ОКИИ,
- производит анализ угроз безопасности информации и уязвимостей, которые могут привести к возникновению компьютерных инцидентов на ОКИИ.
Далее комиссия по категорированию производит оценку возможных последствий в результате возникновения компьютерных инцидентов каждого ОКИИ на основании 14-ти показателей значимости ОКИИ РФ и их значений, которые приведены в Постановлении Правительства РФ № 127. Важно отметить, что категория значимости ОКИИ присваивается по максимальному значению одного из критерия значимости.
Результирующим документом данного процесса является утвержденный комиссией субъекта КИИ акт категорирования ОКИИ с присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий. Содержание данного документа базируется на форме из Приказа ФСТЭК России от 22 декабря 2017 г. N 236.
Полезные материалы и методические рекомендации
На практике некоторые организации могут столкнуться со сложностями в части отнесения себя к субъекту КИИ или присвоения ОКИИ той или иной категории значимости. Здесь мы рекомендуем обращаться к регулятору ФСТЭК России для получения разъяснений либо воспользоваться общедоступными методическими рекомендациями. Ниже приведены ссылки на методические рекомендации по категорированию ОКИИ от различных организаций и ассоциаций. Некоторые из них согласованы со ФСТЭК России и ФСБ России.
- Безопасность объектов критической информационной инфраструктуры организации (общие рекомендации). От Межрегиональной общественной организации «Ассоциация руководителей служб информационной безопасности».
http://aciso.ru/files/docs/metodichka_2.0.pdf - Методические рекомендации по определению и категорированию объектов критической информационной инфраструктуры топливно-энергетического комплекса. От Минэнерго России.
https://minenergo.gov.ru/view-pdf/11357/102517 - Методические рекомендации по категорированию объектов критической информационной инфраструктуры, принадлежащих. субъектам критической информационной инфраструктуры, функционирующим в сфере связи. От Общественно-государственного объединения «Ассоциация документальной электросвязи».
http://www.rans.ru/images/metrecKII.pdf - Методические рекомендации по категорированию объектов КИИ. От компании «СТЭП ЛОДЖИК».
https://step.ru/upload/pdf/87877a75035badbaed3ab8f792ea0ca5.pdf
FAQ: Часто задаваемые вопросы по категорированию КИИ
