"Клуб любителей КИИ". Составляем Перечень объектов, подлежащих категорированию.

2,2k full reads
4,3k story viewsUnique page visitors
2,2k read the story to the endThat's 52% of the total page views
4,5 minutes — average reading time

"Клуб любителей КИИ". Составляем Перечень объектов, подлежащих категорированию.

Выражаю соболезнования, вы приняли решение стать субъектом КИИ.

Значит нам предстоит выполнить 187-ФЗ, 193-ФЗ, 194-ФЗ и подзаконные акты.

*в заметке использованы сканы с документов, размещенных в Интернет. Дополнительно обработанные для обезличивания.

Шаг №1. Необходимо оформить основание для начала работ. Это может быть служебная записка от ответственного лица или заключение коллегиального органа (рабочая группа/комиссия), созданного приказом по организации ранее. Решения могут оформить и действующие комиссии по безопасности, информационной безопасности (классификации ГИС/ИСПДн) или ПДТК (по ГТ).

"Клуб любителей КИИ". Составляем Перечень объектов, подлежащих категорированию.

"Клуб любителей КИИ". Составляем Перечень объектов, подлежащих категорированию.

Пример оформления служебной записки
Пример оформления служебной записки
Пример оформления служебной записки

Пример заключения рабочей группы по объекту КИИ в сфере связи
Пример заключения рабочей группы по объекту КИИ в сфере связи
Пример заключения рабочей группы по объекту КИИ в сфере связи

В формате word доступно здесь

"Клуб любителей КИИ". Составляем Перечень объектов, подлежащих категорированию.

Для получения статуса «субъект КИИ» достаточно единичного положительного решения по любой ИС/АСУ/ИТКС.

Формально, всеми дальнейшими действиями должна заниматься комиссия по категорированию, созданная в рамках Постановление Правительства РФ от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» (далее – ПП127).

Однако, я рекомендую провести подготовительную работу в полном объеме, не останавливаясь на первом же объекте КИИ. Это позволит руководителю организации сразу оценить обстановку и принять адекватное решение по дальнейшему выполнению 187-ФЗ в организации.

Шаг № 2. Создаем в организации постоянно действующую комиссию по категорированию.

"11. Для проведения категорирования решением руководителя субъекта критической информационной инфраструктуры создается постоянно действующая комиссия по категорированию."

Типовое положение о комиссии доступно здесь.

Шаг № 3. Определяем критические процессы организации

В ПП127 прописан алгоритм работы комиссии по категорированию

"п.14. ПП127.

Комиссия по категорированию в ходе своей работы:

а) определяет процессы, указанные в пункте 3 настоящих Правил, в рамках выполнения функций (полномочий) или осуществления видов деятельности субъекта КИИ;

б) выявляет наличие критических процессов у субъекта КИИ;

Таким образом, Правительством нам установлен "процессный" метод определения объектов КИИ. То есть, комиссия оценивает каждую ИС/АСУ/ИТКС, участвующую в экономической деятельности организации из 13 сфер КИИ.

Вот как это отражено в методических рекомендациях для операторов связи:

Процессы операторов связи
Процессы операторов связи
Процессы операторов связи

Обратите внимание, область действия 187-ФЗ ограничена!

"При этом с учетом положений Федерального закона N 187-ФЗ [2] в качестве причины возникновения негативных последствий рассматривается только компьютерные инциденты вследствие компьютерных атак, т.е. не рассматриваются случаи, когда:

─ оператор связи прекращает и/или ограничивает оказание услуг электросвязи на основании Правил оказания услуг связи [9-11] или договора возмездного оказания услуг между абонентом и оператором связи;

─ прекращение и/или нарушение оказания услуг электросвязи вызвано техногенной аварией, природным явлением и/или стихийным бедствием;

─ прекращение и/или нарушение оказания услуг электросвязи вызвано непреднамеренными действиями оператора связи, пользователей услугами связи или третьих лиц (обрыв линий связи, создание аварийных ситуаций в отношении средств связи и т.п.)."

А так для ТЭК:

"В настоящем документе под процессом понимается последовательность связанных действий или задач, необходимых для достижения определенного результата.

Все процессы субъекта КИИ, предлагается условно подразделить на

следующие группы:

основные (операционные) - процессы, непосредственно ориентированные на оказание услуги и/или производство товара и обеспечивающие получение дохода для субъекта КИИ. Так, например, для электроэнергетики, согласно Федерального закона от 26 марта 2003 г. № 35-Ф3 «Об электроэнергетике», эти процессы обеспечивают:

• работу в сферах оптового и розничного рынков электрической энергии

и мощности;

• оказание услуг по передаче электрической энергии;

• оперативно-технологическое управление;

• коммерческий учет электрической энергии (мощности).

управления - процессы, отвечающие за управление деятельностью субъекта КИИ;

поддержки функционирования - процессы, предназначенные для обеспечения основных процессов субъекта КИИ необходимыми ресурсами и создающими инфраструктуру компании;

развития - процессы совершенствования деятельности субъекта КИИ, нацеленные на получение прибыли в долгосрочной перспективе (совершенствование производства продукции / услуги, технологии производства или оказания услуг, внедрение нового оборудования, а также инновационные процессы).

Таким образом, отсекая на данном этапе процессы, нарушение которых не может привести к последствиям, соответствующим показателям значимости, автоматически отсекаются и системы (ИС, ИТКС, АСУ ТП), автоматизирующие данные процессы, так как их нарушение также не должно иметь значимых последствий.

Таким образом, критический процесс - процесс, для которого хотя бы по одному из оцениваемых показателей критериев значимости было сделано заключение о возможности соответствующего ущерба."

Действия комиссии:

3.1. Комиссия определяет все рабочие процессы организации (основные, поддержки функционирования и развития), которые осуществляются в 13 сферах КИИ.

3.2. Комиссия, применяя показатели значимости из ПП127, выделяет из них критические процессы организации. Учитываются только случаи компьютерных атак.

Важно: смотреть требуется только на столбец "Показатель", информация из столбцов "Значение показателя" на данном этапе не используется!

Пример логической цепочки для оператора связи
Пример логической цепочки для оператора связи
Пример логической цепочки для оператора связи

Шаг № 4. Определяем объекты КИИ

"п.14. ПП127 в) выявляет объекты КИИ, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов..;

На этом шаге основной вопрос субъекта КИИ - учитывать ли исключительно производственные ИС/АСУ/ИТКС или рассматривать и обеспечивающие ( 1С.бухгалтерия, кадры, СКУД, системы видеонаблюдения и т.д.). Очень много вопросов по медицинскому оборудованию. Однозначного ответа нет, каждый субъект КИИ принимает собственное решение. В помощь приведу следующие примеры:

"Клуб любителей КИИ". Составляем Перечень объектов, подлежащих категорированию.
Определение медицинского программного обеспечения
Определение медицинского программного обеспечения
Определение медицинского программного обеспечения
СКУД, видеонаблюдение на объектах транспортной инфраструктуры
СКУД, видеонаблюдение на объектах транспортной инфраструктуры
СКУД, видеонаблюдение на объектах транспортной инфраструктуры
Бухгалтерские и кадровые ИС отнесены к значимым ОКИИ
Бухгалтерские и кадровые ИС отнесены к значимым ОКИИ
Бухгалтерские и кадровые ИС отнесены к значимым ОКИИ

Шаг № 5. Оформляем Перечень объектов КИИ, подлежащих категорированию.

Законодательно форма Перечня не установлена, но ФСТЭК опубликовала ИНФОРМАЦИОННОЕ СООБЩЕНИЕ ПО ВОПРОСАМ ПРЕДСТАВЛЕНИЯ ПЕРЕЧНЕЙ ОБЪЕКТОВ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ, ПОДЛЕЖАЩИХ КАТЕГОРИРОВАНИЮ, И НАПРАВЛЕНИЯ СВЕДЕНИЙ О РЕЗУЛЬТАТАХ ПРИСВОЕНИЯ ОБЪЕКТУ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ ОДНОЙ ИЗ КАТЕГОРИЙ ЗНАЧИМОСТИ ЛИБО ОБ ОТСУТСТВИИ НЕОБХОДИМОСТИ ПРИСВОЕНИЯ ЕМУ ОДНОЙ ИЗ ТАКИХ КАТЕГОРИЙ от 24 августа 2018 г. N 240/25/3752

В нем приведена рекомендованная форма Перечня

"Клуб любителей КИИ". Составляем Перечень объектов, подлежащих категорированию.

5.1 Перечень не подлежит согласованию с ФСТЭК России, но требует согласование для подведомственных организаций со своими ведомственными центрами. Ведомства должны создать у себя комиссии по согласованию Перечней от подведомственных организаций.

Приказ о создании комиссии по согласовании в Минтрансе
Приказ о создании комиссии по согласовании в Минтрансе
Приказ о создании комиссии по согласовании в Минтрансе

В формате word доступно здесь.

Шаг № 6 Утверждение Перечня объектов, подлежащих категорированию.

Сам по себе процесс утверждения простой, никаких затруднений в субъектах КИИ не вызывает. Но он несет очень важные последствия для субъекта КИИ!

С даты утверждения начинается отсчет 10 рабочих дней на отправку Перечня в ФСТЭК России!

С даты утверждения Перечня начинается отсчет 12 месяцев на окончание процесса категорирования (отправку в ФСТЭК России формы 236 Приказа по каждому объекту из Перечня).

С даты утверждения Перечня субъект КИИ обязан уведомлять Национальный координационный центр по компьютерным инцидентам (НКЦКИ) обо всех компьютерных инцидентах на объектах КИИ из Перечня в течении 24 часов!

Шаг №7 Отправка Перечня в ФСТЭК

После утверждения перечня объектов КИИ, в течение десяти рабочих дней с даты его утверждения, направляем его в адрес федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности КИИ (экспедиция центрального аппарата ФСТЭК России): 105066, г. Москва, ул. Старая Басманная, д. 17, на бумажном носителе и на электронном носителе информации в формате .ods.

Отвечать ФСТЭК России вам не обязана. Но рекомендую позвонить через разумный период времени (с учетом работы почты) по телефону 8 (495) 605-33-84 и узнать входящий номер вашего письма с Перечнем, присвоенного ФСТЭК России при его получении. Это позволит вам минимизировать риски претензий местных отделений ФСТЭК России и прокуратуры при запросах отчетов о выполнении требований 187-ФЗ.

Теперь вы официально в Клубе любителей КИИ.

* Более подробно проблемы субъектов КИИ при категорировании рассмотрены в материалах блога "Рупор бумажной безопасности"