К сожалению, даже в профессиональной периодической прессе очень мало статей про выполнение 187-ФЗ, с конкретными примерами и показателями. И очень радует, когда при систематическом поиске среди множества общих и рекламных статей удается найти грамотную и подробную статью с освещением отраслевого опыта. Тем более такого специфичного, как КИИ в морском порту.
И так, рассмотри статью:
"К ВОПРОСУ О КАТЕГОРИРОВАНИИ ОБЪЕКТОВ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ МОРСКИХ ПОРТОВ"
(НАТАШОВА, Кристина В. et al. К ВОПРОСУ О КАТЕГОРИРОВАНИИ ОБЪЕКТОВ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ МОРСКИХ ПОРТОВ. Безопасность информационных технологий, [S.l.], v. 27, n. 2, p. 35-46, 2020. ISSN 2074-7136. Доступно на <https://bit.mephi.ru/index.php/bit/article/view/1269>. Дата доступа: 27 may 2020. doi:http://dx.doi.org/10.26583/bit.2020.2.03)
Согласно Федеральному закону №187-ФЗ информационные системы и сети, автоматизированные системы управления морского порта могут быть отнесены к объектам КИИ. В ходе реализации требований Федерального закона №187-ФЗ обозначился ряд проблемных вопросов, которые будут рассмотрены в данной статье.
При определении принадлежности организации к понятию «Субъект КИИ» следует оценивать не принадлежность ИС, ИТКС и АСУ к перечисленным сферам, а виды деятельности организации.
Основные и вспомогательные виды деятельности организации отражены в учредительных документах организации (Устав) и лицензиях, сертификатах, и иных разрешительных документах на эти виды деятельности.
Согласно Общероссийскому классификатору видов экономической деятельности (ОКВЭД) к сфере транспорта могут относиться виды деятельности под классами 49, 50, 51,52, 53.
Морским портам характерны виды деятельность классов:
49. Деятельность сухопутного и трубопроводного транспорта;
50. Деятельность водного транспорта;
52. Складское хозяйство и вспомогательная транспортная деятельность.
Практический пример категорирования
В качестве примера субъекта КИИ рассмотрим Калининградский морской торговый порт (ОАО «КМТП»).
Основным видом деятельности ОАО «КМТП» по коду ОКВЭД является
транспортная обработка грузов (код 52.24), что в соответствии с пунктом 8 статьи 2 Федерального закона № 187-ФЗ означает, что морской порт функционирует в сфере транспорта. Кроме данного способа определения принадлежности к субъектам КИИ можно обратиться к разрешительным и учредительным документам организации. Так в Уставе Калининградского морского порта в разделе 3 пункте 4 перечислены основные виды деятельности. Также стоит ответить на вопрос, есть ли у организации системы, автоматизирующие эти виды деятельности. Так, транспортно-экспедиторское обслуживание и складские операции автоматизированы системами управления грузовым и контейнерным терминалами . Таким образом, можно принять решение о признании ОАО «КМТП» субъектом КИИ.
Первый шаг. Создается комиссия по категорированию.
Второй шаг. Для формирования перечня процессов Калининградского морского торгового порта выпишем основные виды деятельности:
а) Погрузо-разгрузочные работы (стивидорная деятельность);
б) Шипчандлерское обслуживание (снабжение) судов, прибывающих в порт;
в) Транспортно-экспедиторское обслуживание и складские операции;
г) Перевозки грузов, багажа, почты, на судах порта, а также другими видами транспорта;
д) Агентское обслуживание судов;
е) Перевозочная и транспортно-экспедиционная деятельность;
ж) Осуществление швартования морских судов в морских портах;
з) Учреждение склада временного хранения
Далее для каждого осуществляемого вида деятельности сформируем перечень процессов, реализуемых в рамках этого вида деятельности для получения полного перечня процессов Калининградского морского торгового порта.
Для каждого процесса из перечня определим критичность его нарушения (табл. 1).
Таблица 1. Выделение критических процессов
Таким образом, критическими процессами порта являются:
- Оперативный учет с планированием поставок, отгрузок и внутрипортовых операций;
- Планирование и учет погрузочно-разгрузочных работ;
- Подготовка и оформление документации на размещение и отгрузку груза;
- Погрузка и выгрузка судов;
- Тарификация и биллинг услуг.
Третий шаг. Для определения объектов КИИ необходимо провести инвентаризацию информационных, программных и технических ресурсов и отобрать те, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов:
1. Информационные системы:
1.1. Береговые информационные системы;
1.2. Бортовые информационные системы;
1.3. Электрокартографические системы;
1.4. Портовые технологические системы.
2. Информационно-телекоммуникационные сети;
3. Автоматизированные системы управления
Для обеспечения критических процессов необходимую информацию обрабатывает:
автоматизированная система управления грузовым терминалом ОАО «Калининградский морской торговый порт» (АСУ ГТ КМТП).
На основе этих данных формируется перечень объектов КИИ.
Четвертый шаг. Рассмотрим возможные действия нарушителей и угрозы
безопасности информации в отношении АСУ ГТ КМТП (Табл. 2).
На основании показателей критериев значимости осуществим
категорирование объекта КИИ (табл. 3).
Таблица 3. Категорирование объекта КИИ
Для расчета показателей экономической значимости объектов КИИ (8 и 9 показатель) необходимо участие специалистов финансово-экономического отдела, поскольку у комиссии по категорированию могут возникнуть трудности в связи с недостатком сведений и профессиональной специфики вопроса.
#кии #187-фз #зокии #пп127 #категорирование #субъект кии
Пишите комментарии, ставьте лайки и подписывайтесь на канал "Клуб любителей КИИ". Нас ждет еще много интересного и полезного.
* Более подробно эти вопросы рассмотрены в материалах блога "Рупор бумажной безопасности" и телеграм-канале
** Подборка методических и вспомогательных материалов для субъектов КИИ - https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-bagaj-znanii-5e1e20f5e4fff000adc2aebf
*** Если вы не хотите быть субъектом КИИ - https://dzen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-protivnikam-chlenstva-v-klube-posviascaetsia-5e23304fc05c7100ae88019