Объекты кии что это
Руслан Рахметов, Security Vision
Какие же меры следует предпринимать для защиты значимых объектов критической информационной инфраструктуры (ЗОКИИ)? Приказ №239 говорит, что разработка мер защиты информации значимого объекта КИИ должна включать в себя анализ угроз безопасности и разработку модели угроз безопасности КИИ:
1. Анализ угроз включает в себя выявление источников угроз, оценку возможностей нарушителей (т.е. создание модели нарушителя), анализ уязвимостей используемых систем, определение возможных способов реализации угроз и их последствий. Модель нарушителя строится на основе предположений о потенциале атакующих, т.е. о мере усилий, затрачиваемых нарушителем при реализации угроз безопасности информации в информационной системе (при этом потенциалы нарушителей можно условно разделить на высокий, средний и низкий).
определение возможных негативных последствий от реализации угроз по результатам оценки рисков нарушения законодательства, бизнес-процессов и/или нарушения защищенности информации, что может привести к таким негативным последствиям, как нарушение законодательства, экономический или репутационный ущерб;
определение условий для реализации угроз безопасности информации, т.е. выявление уязвимостей, недекларированных возможностей, доступов к ИТ-системам, которые могут быть использованы злоумышленниками;
определение сценариев реализации угроз с помощью таблицы тактик и техник атакующих, приведенной в Методике;
оценка уровня опасности угроз безопасности информации путем анализа типа доступа, необходимого для реализации атаки, сложности сценария атаки и уровня важности атакуемых активов.
Вернемся к Приказу №239. После анализа и моделирования угроз следует переходить к внедрению контрмер. При этом следует иметь в виду, что внедряемые меры защиты не должны оказывать негативного влияния на функционирование самого объекта КИИ – этим подчеркивается, что приоритетом является непрерывность технологических процессов, остановка которых может сама по себе привести к инциденту на КИИ, например, к выходу оборудования из строя или даже аварии.
В списке организационных и технических мер, предусмотренных положениями данного приказа в зависимости от категории значимости объекта КИИ и угроз безопасности информации, указаны следующие пункты:
идентификация и аутентификация;
ограничение программной среды;
защита машинных носителей информации;
предотвращение вторжений (компьютерных атак);
защита технических средств и систем;
защита информационной (автоматизированной) системы и ее компонентов;
планирование мероприятий по обеспечению безопасности;
управление обновлениями программного обеспечения;
реагирование на инциденты информационной безопасности;
обеспечение действий в нештатных ситуациях;
информирование и обучение персонала.
Кроме этого, в Приказе №239 особо оговорено, что при использовании СЗИ для защиты КИИ приоритет отдается штатному защитному функционалу, а при реагировании на компьютерные инциденты в критической информационной инфраструктуре требуется отправлять информацию о них в систему ГосСОПКА. Указывается также на важность использования СЗИ, которые обеспечиваются гарантийной и/или технической поддержкой, а также на возможные ограничения по использованию программного/аппаратного обеспечения или СЗИ (видимо, имеются ввиду санкционные риски). Также указано, что на значимом объекте КИИ требуется запретить удаленный и локальный бесконтрольный доступ для обновления или управления лицами, не являющимися работниками субъекта КИИ, а также запретить бесконтрольную передачу информации из объекта КИИ производителю или иным лицам. Кроме этого, все программные и аппаратные средства объекта КИИ первой категории значимости должны располагаться на территории РФ (за исключением оговоренных законодательством случаев).
Безопасность КИИ: как определить, что делать и что если не делать
КТО МЫ, КИИ ИЛИ НЕ КИИ?
Первым делом необходимо выяснить, подпадает ли организация под понятие «субъект КИИ» и сделать это можно посмотрев законодательство. Не нашли себя, выдохните, у вас немного меньше головной боли.
Какие критерии указывают что вы субъект КИИ?
Первый критерий – ОКВЭД организации. Общероссийский классификатор видов экономической деятельности (ОКВЭД), они, а их может быть много у одного предприятия, открываются в любой момент деятельности, поэтому актуальный список вы можете посмотреть в выписке ЕГРЮЛ предприятия или информационно-справочных сервисах «Контур Фокус», «Спарк» и пр. ОКВЭД явно укажет, к какой сфере деятельности относится ваше предприятие и подпадает ли под перечень следующих отраслей указанных в ФЗ №-187:
Если ваша организация относится к сфере здравоохранения (ОКВЭД 86), рекомендуем для начала ознакомиться с этим материалом: КИИ В ЗДРАВООХРАНЕНИИ. КАК ОПРЕДЕЛИТЬ И ЧТО ДЕЛАТЬ ДАЛЬШЕ!
Третий критерий – учредительные документы организаций, к ним относятся уставы, положения организаций (если речь идет о государственных органах), в которых может быть прописан вид деятельности указывающий на принадлежность к критичным отраслям.
Пример из нашего опыта проведения работ по категорированию. Компания по основному виду экономической деятельности имела код ОКВЭД 46.73.6 «Торговля оптовая прочими строительными материалами и изделиями», на первый взгляд ни чего особенного, в перечень отраслей согласно ФЗ №-187 не попадает и можно «спать спокойно». Но при детальном изучении устава и лицензий на виды деятельности оказалось, что у компании есть лицензия на деятельность по перевозке грузов железнодорожным транспортом и собственный парк железнодорожного транспорта. Исходя из данных обстоятельств, предприятие относится к отрасли «транспорт» и следовательно, необходимо выполнять требования ФЗ №-187.
Попали под один критерий из трёх? Поздравляем, вы субъект КИИ! Но нужно помнить, что каждый случай разбирается индивидуально и эта тема отдельного обсуждения, посвященная категорированию объектов критической информационной инфраструктуры которую рассмотрим в следующих статьях.
Нормативно-правовой акт четко определяет, что «к субъектам критической информационной инфраструктуры относятся государственные органы и учреждения, а так же российские юридические лица и/или индивидуальные предприниматели которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления».
У каждого субъекта КИИ есть объекты КИИ:
функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.
Объекты критической информационной инфраструктуры обеспечивают функционирование управленческих, технологических, производственных, финансово-экономических и иных процессов субъектов КИИ.
Процесс определения принадлежности к субъекту критической информационной инфраструктуры не так прост, как может показаться на первый взгляд. Как мы говорили выше, есть много неочевидных факторов, которые могут влиять на результат, например, открытые дополнительные, не основные, виды деятельности по ОКВЭД или действующие лицензии, которые могут отнести вас субъекту критической информационной инфраструктуре. Мы рекомендуем провести более детальное погружение в вопрос определения принадлежности к субъекту КИИ.
ЧТО ДЕЛАТЬ ЕСЛИ ВЫ СУБЪЕКТ КИИ?
С субъектом и объектом критической информационной инфраструктуры разобрались. Что необходимо сделать вам, как субъекту КИИ, дальше?
Первый этап. Необходимо создать внутреннюю комиссию по категорированию и определить состав участников из наиболее компетентных специалистов по вашим бизнес-процессам. Почему делается акцент на бизнес-процессы и уровни компетенции участников? Только «владелец» бизнес-процесса знает все нюансы, которые могут привести к их нарушению и последующим негативным последствиям. Этот владелец или компетентное уполномоченное лицо должен быть в составе комиссии для присвоения правильной категории значимости процессу.
Второй этап. На этом этапе собираются исходные данные, проводится предпроектное обследование и на основании полученных данных, комиссия принимает решение о наличии перечня объектов критической информационной инфраструктуры, подлежащих категорированию и присваивает категорию значимости. Согласно Постановлению Правительства РФ от 08.02.2018 N 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» категорий значимости три, 1-я самая высокая.
Категории значимости присваиваются исходя из показателей критериев значимости, которых пять:
Кстати, вот так выглядит типовой пакет документации по КИИ подготовленный по результатам работ по категорированию. И это документация организации, у которой 0-я категория значимости объектов.
На этом этапе есть один нюанс, после утверждения перечня объектов КИИ подлежащих категорированию, субъект КИИ в течении 5 дней обязан известить об этом ФСТЭК России. С этого момента на проведение процедур категорирования отводится максимум 1 год. Если объект КИИ не подпадает под один из показателей критериев значимости, то у него отсутствует необходимость присвоения категории значимости, но тем не менее предприятие является субъектом КИИ у которого отсутствуют критически значимые объекты КИИ.
Результатом второго этапа является «Акт категорирования объекта КИИ», который подписывается членами комиссии и утверждается руководителем субъекта КИИ. Акт должен содержать полные сведения об объекте КИИ и хранится субъектом до последующего пересмотра критериев значимости. С момента подписания акта, субъект КИИ в течении 10 дней направляет сведения о результатах категорирования по утверждённой форме в ФСТЭК России (на момент написания статьи форма на стадии согласования окончательного варианта). В течении 30 дней ФСТЭК проверяет соблюдение порядка и правильности категорирования и в случае положительного заключения, вносит сведения в реестр значимых объектов КИИ с последующим уведомлением субъекта КИИ в 10-ти дневный срок.
Третий этап, заключительный. Пожалуй, один из самых трудоёмких и дорогих – выполнение требований по обеспечению безопасности значимых объектов КИИ. Не будем вдаваться сейчас в детали, а перечислим ключевые стадии по обеспечению безопасности объектов КИИ:
Более подробную информацию по срокам и этапам выполнения требований ФЗ-187 можно узнать из нашей статьи: «СРОКИ И ЭТАПЫ ВЫПОЛНЕНИЯ ТРЕБОВАНИЙ ФЗ-187». Так же на странице вы можете БЕСПЛАТНО скачать стартовый комплект документов для начала работ по категорированию объектов КИИ.
ЧТО БУДЕТ ЕСЛИ ЭТОГО НЕ ДЕЛАТЬ?
Мы рассмотрели, кто такой субъект критической информационной инфраструктуры, что такое объект КИИ и какие необходимо выполнить действия для выполнения требований ФСТЭК. Теперь хотелось немного поговорить об ответственности, возникающей в случае невыполнения требований. Согласно Указа Президента РФ от 25.11.2017 г. №569 «О внесении изменений в Положение о Федеральной службе по техническому и экспортному контролю, утвержденное Указом Президента РФ от 16.08.2004 г. №1085» федеральный орган исполнительной власти (ФОИВ), уполномоченный в области обеспечения безопасности КИИ является ФСТЭК. Государственный контроль в области обеспечения безопасности значимых объектов КИИ будет осуществлять ФСТЭК в виде плановых и внеплановых проверок с последующим предписанием в случае выявленных нарушений. Плановые проверки проводятся:
Внеплановые проверки будут проводиться в случае:
Если ФСТЭК выявит нарушение, будет выписано предписание с конкретным сроком устранения, который можно будет продлить по уважительным причинам, а вот в случаи с Прокуратурой РФ будет все сложнее, т.к. она придёт к вам уже с постановлением об административном правонарушении, ссылаясь на статью 19.5 ч.1 КоАП РФ о невыполнении в установленный срок постановления госнадзорного органа.
И еще немного о мерах наказания, которые были введены за не соблюдение требований по обеспечению безопасности критической информационной структуры. Согласно Федеральному закону от 26.07.2017 № 194-ФЗ «О внесении изменений в УК РФ и УПК РФ в связи с принятием ФЗ «О безопасности критической информационной инфраструктуры РФ» максимальная мера наказания, за нарушения норм безопасности КИИ, составляет лишение свободы до 10 лет. Пожалуй, весомый аргумент!
В дальнейших статьях мы более подробно расскажем о каждом из этапов выполнения требований ФСТЭК в области обеспечения безопасности критической информационной инфраструктуры. Подписывайтесь на уведомления нашего сайте, присоединяйтесь к нам на Facebook и добавляйте в закладки блог.
Мы пишем о том, что делаем!
Обратитесь в компанию «ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ»! В контексте требований Федерального закона №-187 о безопасности критической информационной инфраструктуры специалисты компании проведут следующие виды работ:
А так же, создадут комплексную систему безопасности производства «под ключ», учитывая архитектуру и специфику вашего производства. Используя лучшие российские и мировые практики по созданию систем безопасности снизят риски и угрозы бизнеса до минимального уровня.
187-ФЗ. Безопасность объектов КИИ организации
187-ФЗ от 26.07.2017 «О безопасности критической информационной инфраструктуры Российской Федерации» вышедший в середине 2017 года и вступивший в силу с 1 января 2018 года еще с самого выхода в свет породил массу вопросов.
По прошествии полугода со дня вступления его в законную силу в сообществе специалистов по информационной безопасности возникло множество различных, иногда диаметрально противоположных, точек зрения относительно практики его применения.
В этой связи, Ассоциацией руководителей служб информационной безопасности была выдвинута инициатива по подготовке практического пособия, целью которого является формулировка рекомендаций (дорожной карты) для специалистов служб информационной безопасности и информационно-технического обеспечения, дающих понимание того, что такое критическая информационная инфраструктура и какие шаги необходимо предпринять для обеспечения ее безопасности на уровне организации.
Рисунок 1. Дорожная карта по выполнению требований Федерального закона «О безопасности критической информационной инфраструктуры»
Данное пособие является первой попыткой представить в комплексе весь спектр основных вопросов касающихся указанной тематики с учетом сложностей и неоднозначностей толкования принятых нормативно-правовых актов и отсутствия практики их право применения.
В целом, алгоритм связанный с обеспечением безопасности объектов критической информационной инфраструктуры в организации можно представить в виде следующих шагов (рисунок 1).
В главах данного пособия коллектив авторов – практиков в области защиты информации, рассматривает вопросы реализации указанного алгоритма, затрагивает ряд спорных и проблемных моментов, вызывающих вопросы у руководителей служб информационной безопасности и представителей бизнес сообщества.
Данное пособие подготовлено коллективом авторов – членов Ассоциации руководителей служб информационной безопасности (aciso.ru):
• Главы 1 и 2 – Константин Саматов
• Глава 3 – Лев Палей, Константин Саматов
• Глава 4 – Радмир Нафиков
• Глава 5 – Александр Мишурин
• Глава 6 – Николай Носов
Редакционная коллегия: Виктор Минин, Сергей Петренко, Сергей Чучаев, Александр Полещук.
ЧТО ТАКОЕ КРИТИЧЕСКАЯ ИНФОРМАЦИОННАЯ ИНФРАСТРУКТУРА? (ГЛАВА 1)
Основные понятия, касающиеся области обеспечения безопасности критической информационной инфраструктуры (далее по тексту – КИИ) сформулированы в статье 2 Федерального закона от 26.07.2017 № 187-ФЗ
«О безопасности критической информационной инфраструктуры Российской Федерации» (далее по тексту – Закон «О безопасности КИИ»). В соответствии с ней, под КИИ понимаются объекты КИИ, а также сети электросвязи, используемые для организации взаимодействия таких объектов.
Как видно из определения критическая информационная инфраструктура Российской Федерации представляет собой совокупность всех принадлежащих российским организациям и органам государственной власти объектов КИИ и обеспечивающих их взаимодействие сетей электросвязи.
Объекты КИИ – это имеющиеся у субъектов КИИ:
Таким образом, закон предусматривает два вида субъектов КИИ – владельцы объектов КИИ и координаторы взаимодействия этих объектов.
С точки зрения практического применения следует иметь в виду, что при определении является ли организация (государственный орган, учреждение) субъектом КИИ, необходимо оценивать сферу функционирования не принадлежащей ей ИС, АСУ или ИТКС, а сферу деятельности самой организации.
ТИПОЛОГИЯ ОБЪЕКТОВ КИИ. (ГЛАВА 2)
Помимо отнесения того или иного хозяйствующего субъекта к критической информационной инфраструктуре, достаточно большое количество вопросов связано с типологией объектов критической информационной инфраструктуры (далее по тексту – Объект КИИ, ОКИИ).
Типология – это классификация объекта по его существенным признакам. Классификация имеет познавательное значение и предназначена для постоянного использования в науке или области практической деятельности, в целях выявления существенных сходства и различия между предметами, а также систематизации объектов по каким-либо признакам.
Прикладное (практическое) значение типологии в том, что правильное определение типа объекта КИИ позволяет сформировать перечень мер, необходимых для обеспечения его безопасности, в том числе с учетом требований специальных нормативных правовых актов:
По значимости, ОКИИ подразделяются на следующие виды:
Классификация ОКИИ по значимости
С точки зрения значимости, объекты КИИ подразделяются на два вида: «значимый» и «не значимый», а значимые объекты делятся на три целевых уровня защищенности – «категории значимости» (в соответствии с ч. 3 ст. 7 Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации»): максимальный целевой уровень защищенности – первый, минимальный – третий.
От уровня защищенности значимого ОКИИ, которому он должен соответствовать (т.н. «целевой уровень безопасности объекта защиты»), зависит набор организационных и технических мер, обеспечивающих блокирование (нейтрализацию) угроз безопасности информации, последствиями которых может быть прекращение или нарушение его функционирования.
Что касается объектов КИИ не отнесенных к значимым, то для них не требуется построения дополнительной системы безопасности, состав и содержание мер защиты информации для указанных объектов регламентирован в нормативно-правовых актах, регулирующих вопросы безопасности конкретного вида систем: ИСПДн, АСУ ТП и т.п.
При этом, все субъекты (как значимые, так и нет), наделяются следующими правами (ст. 9 187-ФЗ):
Помимо прав, на все субъекты КИИ возлагаются следующие обязанности:
С практической точки зрения, для выполнения возложенных на субъекта КИИ, не владеющего значимыми объектами, обязанностей, необходимо разработать регламент по реагированию на компьютерные инциденты (дополнить соответствующим разделом уже имеющийся регламент реагирования на инциденты информационной безопасности) в котором предусмотреть:
Субъекты КИИ, которым принадлежат значимые объекты, также обязаны:
По сфере функционирования можно выделить 14 областей:
С точки зрения практического применения следует учитывать два момента:
1. Для конкретной отрасли будет преобладающим конкретный вид объекта КИИ. Классификация объектов КИИ по сфере функционирования:
Классификация объектов КИИ по сфере функционирования. ИС – информационные системы; АСУ – автоматизированные системы управления; ИТКС – информационно-телекоммуникационные сети.
2. Необходимо оценивать, с точки зрения функционирования в той или иной сфере, именно субъекта, а не объект КИИ.
При этом, важным становится вопрос о том, как определить сферу деятельности самой организации? Очевидно, что основным документом, опираясь на который можно это сделать, является выписка из Единого государственного реестра юридических лиц (ЕГРЮЛ), в которой содержатся сведения о заявленных организацией видах деятельность и наличии у нее
лицензий. Кроме того, информация о сфере функционирования организации содержится в ее Уставе (Положении). При этом, как правило, информация Устава (Положения) и ЕГРЮЛ совпадает.
По виду системы объекты КИИ подразделяются на следующие виды:
Классификация ОКИИ по виду системы.
ГИС – государственная информационная система, МИС – муниципальная информационная система, ИСПДн – информационная система персональных данных, ГИСПДн – государственная информационная система персональных данных, МИСПДн – муниципальная система персональных данных.
С практической точки зрения важность правильного определения вида системы позволяет понять, какой перечень мер необходимо применять для обеспечения безопасности ОКИИ.
Основные нормативно-правовые акты, устанавливающие меры защиты ОКИИ
Пояснение к таблице:
Таким образом, правильное определение типа объекта КИИ позволяет определить набор мер, необходимых для создания системы безопасности, а также избежать ошибок при категорировании.
НЕКОТОРЫЕ ОТВЕТЫ РЕГУЛЯТОРА НА СПОРНЫЕ ВОПРОСЫ
Данные ответы получены на официальный запрос АРСИБ во ФСТЭК России:
Вопрос: Каким образом желательно составить перечень по системам (ИС, ИТКС, АСУ)? Например, автоматизированные системы цеха оставить полностью (АСУ Цеха) или стоит все-таки делить по агрегатам (АСУ агрегата 1, АСУ агрегата 2 и т.д.)?
Ответ: Решение о степени детализации объектов критической информационной инфраструктуры принимается субъектом критической информационной инфраструктуры самостоятельно с учетом определений терминов «информационная система», «информационно- телекоммуникационная сеть» и «автоматизированная система управления», приведенных в пунктах 3 и 4 статьи 2 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», в пункте 1 статьи 2 Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее – Федеральный закон № 187-ФЗ), а также на основании эксплуатационной и технической документации на указанные объекты критической информационной инфраструктуры.
Вопрос: Необходимо составлять перечень абсолютно всех систем предприятия, в том числе и самых незначительных?
Ответ: В соответствии с подпунктами «а» – «г» пункта 5 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127 (далее – Правила), в перечень объектов критической информационной инфраструктуры, подлежащих категорированию, включаются только объекты критической информационной инфраструктуры, реализующие управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъекта критической информационной инфраструктуры, нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка, оцениваемым в соответствии с Перечнем показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значениями, утвержденными постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127.
Вопрос: При изменении какого-либо пункта Сведений (форма утверждена приказом ФСТЭК России №236) – например, сведений о применяемых мерах защиты (ведь планируется постепенное создание полноценной системы защиты информации), либо при выводе объекта КИИ из эксплуатации, каков для Субъекта КИИ порядок информирования ФСТЭК России об этих изменениях? Какой приемлемый период для информирования о происшедших изменениях?
Ответ: В соответствии с законодательством о безопасности критической информационной инфраструктуры сведения о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий представляются в ФСТЭК России только в следующих случаях:
№ 187-ФЗ выявленных ФСТЭК России недостатков в результате проверки сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, осуществленной в соответствии с частью 6 статьи 7 Федерального закона № 187-ФЗ;
В указанных случаях сведения о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий представляются в ФСТЭК России в сроки, предусмотренные Федеральным законом № 187-ФЗ и Правилами.
Законодательством о безопасности критической информационной инфраструктуры информирование ФСТЭК России об изменениях сведений об объекте критической информационной инфраструктуры в иных случаях не предусмотрено.