Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Часть 1. Постановление Правительства РФ № 127



Руслан Рахметов, Security Vision

В данной статье мы рассмотрим аспекты проведения категорирования объектов критической информационной инфраструктуры (далее ОКИИ) на основании Постановления Правительства РФ от 8 февраля 2018 г. № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений».

Осуществление процедуры категорирования обязательно для всех организаций, которые являются субъектом критической информационной инфраструктуры (далее субъект КИИ). Напомним, что субъектами КИИ являются организации, которым на законном основании принадлежат ОКИИ и которые осуществляют свою деятельность в одной или нескольких значимых для государства сферах: здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности. Здесь важно отметить, что не каждая организация, осуществляющая деятельность в обозначенных выше сферах, будет являться субъектом КИИ, так как необходимым условием является именно владение на законном основании ОКИИ.

Общая последовательность осуществления субъектом КИИ процедуры категорирования ОКИИ представлена на схеме:

 hbc.png

1. Создание комиссии по категорированию

На первом этапе необходимо сформировать специальную комиссию по категорированию ОКИИ. Возглавлять данную комиссию должен руководитель субъекта КИИ или уполномоченное им лицо. В качестве уполномоченного лица обычно выступает сотрудник, отвечающий за безопасность организации. Также в состав комиссии включаются следующие категории сотрудников субъекта КИИ:

- сотрудники, являющиеся специалистами в сфере деятельности Субъекта КИИ,

- сотрудники, осуществляющие эксплуатацию основных систем и оборудования,

- сотрудники, обеспечивающие безопасность ОКИИ,

- сотрудники подразделения по защите государственной тайны,

- сотрудники подразделения по гражданской обороне и защите от чрезвычайных ситуаций.

Таким образом, в состав комиссии может входить любой специалист субъекта КИИ, квалификация и опыт которого необходимы для проведения корректной оценки показателей критериев значимости ОКИИ. Кроме того, в комиссию по категорированию могут включаться представители государственных органов и российских юридических лиц, выполняющих функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности, по согласованию с государственными органами и российскими юридическими лицами.

Действует данная комиссия на постоянной основе, то есть на весь период действия статуса «субъект КИИ». В рамках своей деятельности она осуществляет выявление критических процессов и выявление ОКИИ, моделирует действия нарушителя, анализирует уязвимости, выявляет угрозы безопасности информации, даёт оценку возможных последствий компьютерных атак на ОКИИ и устанавливает каждому ОКИИ одну из категорий значимости либо принимает решение об отсутствии необходимости присвоения им категорий значимости.

Создание комиссии по категорированию ОКИИ оформляется в виде стандартного распорядительного документа – приказа.

2. Выявление критических процессов субъекта КИИ

На данном этапе ранее созданной комиссии необходимо провести аналитическую работу по определению основных процессов в рамках осуществления видов деятельности организации – субъекта КИИ. В качестве источника информации по существующим процессам в организации могут служить устав, учредительная документация, лицензии, сертификаты, организационно-штатная структура, положения различных подразделений и прочее. Далее, на основании полученной информации, комиссии следует выявить среди всех процессов только те, которые являются критическими. Под критическими процессами следует понимать те процессы, нарушение функционирования которых может привести к негативным социальным, экономическим, политическим и экологическим последствиям, а также негативно повлиять на обеспечение обороны страны, безопасности государства и правопорядка.

Примеры некоторых типовых критических процессов в зависимости от сферы деятельности можно посмотреть в методических рекомендациях, которые приведены в конце статьи.

3. Составление перечня ОКИИ

В рамках текущего этапа комиссии по категорированию необходимо осуществить инвентаризацию инфраструктуры своей организации с целью выявления информационных систем (далее ИС), автоматизированных систем управления (далее АСУ) или информационно-телекоммуникационных сетей (далее ИТКС), которые обеспечивают выполнение критических процессов субъекта КИИ. Здесь важно корректно выстроить взаимосвязи и иерархию с ИС, АСУ, ИТКС таких типов сущностей, как:

- программно-аппаратное средство (пользовательский компьютер, сервер, телекоммуникационное оборудование, средство беспроводного доступа),

- общесистемное программное обеспечение (клиентское, серверная операционная система, средство виртуализации),

- прикладное программное обеспечение,

- средство защиты информации.

Полученная по итогам инвентаризации информация будет необходима для последующих процедур и формирования результатов категорирования по форме Приказа ФСТЭК России от 22 декабря 2017 г. N 236.

4. Направление во ФСТЭК России перечня ОКИИ

На данном этапе необходимо осуществить оформление полученного перечня ОКИИ, подлежащих категорированию в соответствии с рекомендуемой ФСТЭК России формой (см. Информационное сообщение ФСТЭК России от 24 августа 2018 г. N 240/25/3752), которая утверждается руководителем субъекта КИИ или уполномоченным лицом, а также регулятором сферы деятельности субъекта КИИ. Утвержденную форму на бумажном и электронном носителе необходимо направить на согласование во ФСТЭК России.

5. Присвоение категории значимости ОКИИ

По итогам прошлого этапа направления утвержденного перечня ОКИИ у субъекта возникает обязательство, а именно: в течение одного года с момента утвержденного перечня ОКИИ осуществить процедуру присвоения категории значимости ОКИИ.

ОКИИ классифицируются на значимые и не значимые. В свою очередь, если объект является значимым, то ему может быть присвоена первая, вторая или третья категория. В зависимости от присвоенной категории значимости изменяется состав обязательных организационных и технических мер обеспечения безопасности ОКИИ (первая – максимальная, третья - минимальная). В случае, если ОКИИ не относится к значимым, для него не применяются дополнительные составы мер обеспечения безопасности, которые приведены в подзаконных актах Федерального закона № 187.

В рамках процедуры категорирования комиссия субъекта КИИ:

- выполняет моделирование действий нарушителей и рассматривает иные источники угроз безопасности информации в отношении ОКИИ,

- производит анализ угроз безопасности информации и уязвимостей, которые могут привести к возникновению компьютерных инцидентов на ОКИИ.

Далее комиссия по категорированию производит оценку возможных последствий в результате возникновения компьютерных инцидентов каждого ОКИИ на основании 14-ти показателей значимости ОКИИ РФ и их значений, которые приведены в Постановлении Правительства РФ № 127. Важно отметить, что категория значимости ОКИИ присваивается по максимальному значению одного из критерия значимости.

Результирующим документом данного процесса является утвержденный комиссией субъекта КИИ акт категорирования ОКИИ с присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий. Содержание данного документа базируется на форме из Приказа ФСТЭК России от 22 декабря 2017 г. N 236.

6. Направление во ФСТЭК России результата присвоения категории ОКИИ

На последнем этапе комиссии по категорированию необходимо в течение 10-ти дней со дня утверждения актов категорирования ОКИИ направить результаты в ФСТЭК России по форме Приказа ФСТЭК России от 22 декабря 2017 г. N 236 «Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий».

На практике некоторые организации могут столкнуться со сложностями в части отнесения себя к субъекту КИИ или присвоения ОКИИ той или иной категории значимости. Здесь мы рекомендуем обращаться к регулятору ФСТЭК России для получения разъяснений либо воспользоваться общедоступными методическими рекомендациями. Ниже приведены ссылки на методические рекомендации по категорированию ОКИИ от различных организаций и ассоциаций. Некоторые из них согласованы со ФСТЭК России и ФСБ России.

- Безопасность объектов критической информационной инфраструктуры организации (общие рекомендации). От Межрегиональной общественной организации «Ассоциация руководителей служб информационной безопасности».

http://aciso.ru/files/docs/metodichka_2.0.pdf

- Методические рекомендации по определению и категорированию объектов критической информационной инфраструктуры топливно-энергетического комплекса. От Минэнерго России.

https://minenergo.gov.ru/view-pdf/11357/102517

- Методические рекомендации по категорированию объектов критической информационной инфраструктуры, принадлежащих. субъектам критической информационной инфраструктуры, функционирующим в сфере связи. От Общественно-государственного объединения «Ассоциация                   документальной электросвязи».

http://www.rans.ru/images/metrecKII.pdf

- Методические рекомендации по категорированию объектов КИИ. От компании «СТЭП ЛОДЖИК».

https://step.ru/upload/pdf/87877a75035badbaed3ab8f792ea0ca5.pdf