Top.Mail.Ru
info@ksb-soft.ru
8 800 3333-872
Задать вопрос
/ Порядок категорирования объектов КИИ

Порядок категорирования объектов КИИ



В продолжение нашей статьи, в которой мы поделились с вами официальным ответом ФСТЭК России на один из часто задаваемых вопросов в части категорирования объектов КИИ (далее – ОКИИ), наши эксперты подготовили актуальное описание порядка категорирования. Он включает в себя рекомендации субъектам КИИ, основанные на опыте работы экспертов КСБ-СОФТ.

Статья будет полезна в 2х случаях:

  • субъект КИИ только планирует работы по выполнению требований НПА;
  • ­субъект КИИ категорирование уже завершил, но хочет актуализировать знания, так как могут появляться новые ОКИИ в процессе развития предприятия, а также сведения об ОКИИ подлежат периодической актуализации в соответствии с требованиями 127-ПП РФ.

Итак, процесс категорирования объектов КИИ включается в себя следующие действия:

  1. формирование комиссии по категорированию ОКИИ;
  2. сбор исходных данных, инвентаризация;
  3. определение угроз безопасности информации, категорий нарушителей, типов компьютерных инцидентов;
  4. оценка показателей критериев значимости, присвоение категории значимости;
  5. категорирование вновь создаваемых ОКИИ;
  6. актуализация сведений по ОКИИ.

Рассмотрим подробнее каждое из них.


Формирование комиссии по категорированию ОКИИ

Перед тем как начать категорирование, руководитель субъекта КИИ должен определить, кто будет этим заниматься. Это значит, что нужно создать постоянно действующую комиссию по категорированию объектов КИИ.

Согласно требованиям 127-ПП РФ в комиссию обязательно должны входить:

  • руководитель субъекта КИИ или уполномоченное им лицо;
  • работники субъекта КИИ, являющиеся специалистами в области выполняемых функций или осуществляемых видов деятельности, и в области информационных технологий и связи, а также специалисты по эксплуатации основного технологического оборудования, технологической (промышленной) безопасности, контролю за опасными веществами и материалами, учету опасных веществ и материалов;
  • работники субъекта КИИ, на которых возложены функции по обеспечению информационной безопасности ОКИИ;
  • работники подразделения по защите государственной тайны субъекта КИИ (в случае, если ОКИИ обрабатывает информацию, составляющую государственную тайну);
  • работники структурного подразделения по гражданской обороне и защите от чрезвычайных ситуаций или работники, уполномоченные на решение задач в области гражданской обороны и защиты от чрезвычайных ситуаций.

Также постановлением допускается включать в комиссию сотрудников финансово-экономического подразделения. Мы советуем обязательно включить данных сотрудников в комиссию, т.к. определять значения показателей экономической значимости без соответствующих знаний в данной области будет проблематично.

Залогом успеха корректного проведения категорирования является вовлеченность всех членов комиссии в процесс категорирования, т.к. оценивать масштаб возможных последствий в случае возникновения компьютерных инцидентов на ОКИИ нужно по различным показателям значимости:

  • социальной, политической, экономической, экологической значимости;
  • значимости для обеспечения обороны страны, безопасности государства и правопорядка.

Если возложить всю эту деятельность на специалиста по ИБ, то могут возникнуть риски принятия ошибочного решения об отсутствии необходимости присваивать категорию значимости либо, наоборот, ошибочного присвоения (завышения) категории значимости.

Такие ошибки в будущем могут привести к значительным негативным последствиям для субъекта КИИ.

Какие это будут последствия?

Во-первых, должностные лица могут быть привлечены к административной ответственности за предоставление во ФСТЭК России недостоверных сведений о категории значимости ОКИИ. Во-вторых, ошибочное не присвоение категории значимости ОКИИ, либо занижение категории значимости приведет к отсутствию эффективной системы защиты информации на объекте. А это, в свою очередь, при компьютерной атаке может повлечь за собой кражу конфиденциальной информации и нарушение технологических процессов.

Поэтому организация вовлеченности всех членов комиссии в процесс категорирования и донесении до них важности данного процесса – одна из важнейших задача руководства субъекта КИИ.

По результатам каждого заседания комиссии по категорированию ОКИИ рекомендуется формировать соответствующий протокол, в котором будут зафиксированы обсуждаемые вопросы и принятые решения.

Документы, подлежащие разработке по результатам данного этапа:

  • приказ о комиссии по категорированию объектов КИИ;
  • ­приказ об утверждении Положения о комиссии по категорированию объектов КИИ.


Сбор исходных данных, инвентаризация

Для определения бизнес-процессов субъекта КИИ и выявления из них критических, а также для определения самого перечня объектов КИИ, подлежащих категорированию, необходимо провести внутренний аудит бизнес-процессов и инфраструктуры субъекта КИИ.

После аудита всех бизнес-процессов организации необходимо оценить критичность каждого из них с точки зрения социальной, политической, экономической, экологической значимости, а также значимости для обеспечения обороны страны, безопасности государства и правопорядка.

По итогам проведения данных работ рекомендуем сформировать сводный реестр бизнес-процессов. С шаблоном такого реестра, можно ознакомиться, например, в Методических рекомендациях по категорированию объектов критической информационной инфраструктуры сферы здравоохранения.

Обращаем внимание, что в НПА по КИИ отсутствует прямая необходимость разработки подобного реестра, но в будущем, для подтверждения работы комиссии в части определения критичности процессов он может пригодится.

Одним из ключевых и важнейших этапов всего процесса категорирования является выявление ИС, АСУ, ИТКС, которые на праве собственности, аренды или другом законном основании принадлежат субъекту КИИ. Все выявленные ИС, АСУ, ИТКС, будут являться объектами КИИ и все они подлежат категорированию.

Подтверждение данной позиции от регулятора – здесь.

Также дополнительными исходными данными для определения перечня ОКИИ являются перечни типовых отраслевых ОКИИ. На текущий момент перечни типовых отраслевых ОКИИ разработаны отраслевыми регуляторами для каждой сферы деятельности из ФЗ-187. Ознакомиться с ними можно на сайтах отраслевых регуляторов. Если же они там отсутствуют, это означает, что документ имеет пометку «для служебного пользования», соответственно, регулятор может предоставить перечень по запросу.

Здесь нужно обратить внимание на то, что перечни типовых отраслевых ОКИИ являются частью исходных данных, на которые необходимо ориентироваться при категорировании. При этом у субъекта КИИ могут быть дополнительные ОКИИ, не фигурирующие в перечне и подлежащие категорированию.

Для того чтобы удостовериться, что выявленные объекты КИИ принадлежат вашей организации, необходимо «поднять» и проанализировать закупочную документацию, договоры/контракты на приобретение ПО и оборудования, имеющиеся лицензии на ПО и оборудование и т.д.

Далее необходимо свериться с перечнем типовых отраслевых объектов критической информационной инфраструктуры.

После этого формируется перечень объектов КИИ, подлежащих категорированию. Напомним, что согласно последним изменениям, внесенным в 127-ПП РФ, данная процедура официально упразднена, и перечень не требуется разрабатывать и отдельно согласовывать с регуляторам, но формировать его для собственных нужд (в целях инвентаризации) никто не запрещал, поэтому советуем разработать перечень и поддерживать его в актуальном состоянии.

В рамках инвентаризации ИС, АСУ, ИТКС советуем сразу собирать информацию, которая будет нужна для заполнения формы согласно приказу ФСТЭК № 236. В частности, сведения по взаимодействиям ОКИИ с сетями связи (п.3), сведения о ПО и ПАК, используемых на ОКИИ (п.5), сведения о принятых мера по ИБ (п.9).

Документы, подлежащие разработке по результатам данного этапа:

  • реестр бизнес-процессов с определением их критичности;
  • ­приказ об утверждении перечня ОКИИ, подлежащих категорированию.


Определение угроз безопасности информации, категорий нарушителей, типов компьютерных инцидентов

В рамках категорирования в отношении каждого ОКИИ на этом этапе необходимо определить угрозы безопасности информации, категории возможных нарушителей и типы компьютерных инцидентов, которые могут произойти в результате реализации угроз безопасности информации.

Согласно требованиям НПА, для этих целей не обязательно разрабатывать полноценную модель угроз и нарушителя безопасности информации. Достаточно провести верхнеуровневую оценку.

Для получения наиболее точных данных по угрозам, нарушителям и типам компьютерных инцидентов мы рекомендуем разрабатывать на каждый ОКИИ модель угроз и нарушителя безопасности информации. Сделать это можно с помощью Методики оценки угроз безопасности информации (утв. ФСТЭК России от 5 февраля 2021 г.).

Эксперты КСБ-СОФТ при выполнении проектов по оказании помощи субъектам КИИ в части категорирования, придерживаются данного подхода.

Документы, подлежащие разработке по результатам данного этапа:

  • ­Модель угроз и нарушителя безопасности информации объекта КИИ.


Оценка показателей критериев значимости, присвоение категории значимости

На этом этапе необходимо провести оценку в соответствии с перечнем показателей критериев значимости масштаба возможных последствий в случае возникновения компьютерных инцидентов на ОКИИ, а также присвоить категорию значимости ОКИИ либо принять решение об отсутствии необходимости присвоения данной категории. Перечень показателей приведен в приложении к 127-ПП РФ.

При оценке показателей советуем придерживаться следующих правил:

  1. Рассматривайте наихудшие сценарии в результате проведения целенаправленных компьютерных атак.
  2. Приводите подробное обоснование полученных значений по каждому из рассчитываемых критериев значимости с приведением достоверных статистических данных, информации из регламентов проведения профилактических работ, отраслевых документов по функциональной безопасности и т.п.
  3. Опирайтесь на декларации промышленной безопасности опасного производственного объекта, декларации безопасности гидротехнического сооружения, паспорта безопасности объекта топливно-энергетического комплекса (при наличии) и т.п., но учитывайте последствия только в случае возникновения компьютерных инцидентов на ОКИИ.
  4. В случае если функционирование одного ОКИИ зависит от функционирования другого ОКИИ, оценку масштаба возможных последствий проводите исходя из предположения о прекращении или нарушении функционирования вследствие компьютерной атаки ОКИИ, от которого зависит оцениваемый ОКИИ.

По результатам оценки разрабатывается Акт категорирования ОКИИ, который утверждается руководителем субъекта КИИ. Данный документ является внутренним и не подлежит отправке во ФСТЭК России.

Сведения о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий подлежат отправке во ФСТЭК России в печатном и электронном виде в течение 10 рабочих дней со дня утверждения Акта категорирования.

Документы, подлежащие разработке по результатам данного этапа:

  • ­Акт категорирования объекта КИИ;
  • ­Сведения о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий.


Категорирование вновь создаваемых ОКИИ

По вновь создаваемым ОКИИ категорирование необходимо проводить при формировании требований к ОКИИ с учетом имеющихся исходных данных о критических процессах субъекта КИИ.

На данной стадии в форме по приказу ФСТЭК № 236 необходимо заполнить информацию, содержащуюся только в п. 1,2,3,8 и отправить форму во ФСТЭК России в течение 10 рабочих дней после утверждения требований к создаваемому ОКИИ. После ввода в эксплуатацию ОКИИ форма дополняется информацией по остальным пунктам и отправляется в течение 10 рабочих дней после ввода в эксплуатацию ОКИИ.

Обращаем внимание, если при проверке регулятором, окажется, что в вашей организации эксплуатируется ОКИИ, который еще не категорировался, это будет являться административным правонарушением.

Документы, подлежащие разработке по результатам данного этапа:

  • Акт категорирования объекта КИИ;
  • ­Сведения о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий.


Актуализация сведений по ОКИИ

После того, как вы получите письмо от регулятора о том, что результаты категорирования согласованы, далее необходимо на этапе всего жизненного цикла ОКИИ отслеживать изменения, происходящие в ОКИИ в части ранее направленных данных, а также актуализировать их и направлять регулятору актуализированную форму по приказу ФСТЭК № 236 в срок не позднее 20 рабочих дней со дня происхождения изменений.

Документы, подлежащие актуализации по результатам данного этапа:

  • ­Акт категорирования объекта КИИ;
  • ­Сведения о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий.

10 декабря 2024
Поделиться
Категории
Кейсистемс-Безопасность Контакты:
Адрес: пр. М. Горького, д. 18Б 428000 Чебоксары,
Телефон:88003333872, Электронная почта: support@ksb-soft.ru
Регистрация