Критическая информационная инфраструктура - это информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов КИИ, а также сети электросвязи, используемые для организации их взаимодействия. В свою очередь, субъекты КИИ - это компании, работающие в стратегически важных для государства областях.
ПЕРВЫЙ КРИТЕРИЙ – ОКВЭД организации.
Организация является субъектом КИИ, если виды деятельности, прописанные в уставных документах данной организации, относятся к области здравоохранения, науки, транспорта, связи, энергетики, банковской и финансовой деятельности, топливно-энергетического комплекса, атомной энергии, оборонной и ракетно-космической промышленности, горнодобывающей, металлургической и химической промышленности.
ВТОРОЙ КРИТЕРИЙ – лицензии и иные разрешительные документы на различные виды деятельности которые относятся к вышеперечисленным сферам и которые будут в фокусе внимания согласно ФЗ №-187
ТРЕТИЙ КРИТЕРИЙ – учредительные документы организаций, к ним относятся уставы, положения организаций (если речь идет о государственных органах), в которых может быть прописан вид деятельности указывающий на принадлежность к критичным отраслям.
У каждого субъекта КИИ есть объекты КИИ:
информационные системы;
автоматизированные системы управления технологическими процессами;
информационно-телекоммуникационные сети.
Компьютерная атака на КИИ определяется как целенаправленное вредоносное воздействие на объекты КИИ для нарушения или прекращения их функционирования, а компьютерный инцидент - как факт нарушения или прекращения функционирования объекта КИИ или нарушения безопасности обрабатываемой объектом информации.
Были назначены федеральные органы исполнительной власти, отвечающие за реализацию норм данного закона. Так, Федеральная Служба по Техническому и Экспортному Контролю (ФСТЭК) России была назначена уполномоченной в области обеспечения безопасности критической информационной инфраструктуры РФ. На Федеральную Службу Безопасности были возложены функции обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ.
Субъектами, обязанными выполнить требования 187-ФЗ, признаются любые организации и индивидуальные предприниматели, являющиеся резидентами страны, и владельцами объектов КИИ на праве собственности, по договору аренды и на иных законных основаниях.
Категорирование — это определение всех процессов, выполняемых субъектом КИИ в рамках своей деятельности
выявление критических процессов, нарушение или прекращение которых может привести к негативным последствиям в больших масштабах
определение объектов КИИ, относящихся к критическим процессам;
формирование перечня объектов КИИ, подлежащих категорированию. Работа включает создание комиссии по категорированию объектов КИИ и направление в ФСТЭК перечня объектов КИИ.
Категорированию подлежат объекты КИИ, которые обеспечивают управленческие, технологические, производственные, финансово-экономические или иные процессы в рамках выполнения функций или осуществления видов деятельности субъектов КИИ.
Устанавливаются 3 категории значимости. Самая высокая категория - первая, самая низкая - третья. Значимый объект критической информационной инфраструктуры — объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры.
Если объект КИИ не соответствует ни одному из установленных критериев, ему категория не присваивается. Те объекты КИИ, которым была присвоена одна из категорий, называются значимыми объектами КИИ.
Определение категорий значимости объектов КИИ осуществляется на основании показателей критериев значимости объектов КИИ и их значений.
возможно причинение ущерба жизни и здоровью людей, оцениваемое через количество людей, жизни и здоровью которых возможно причинение ущерба. Минимальное значение для присвоения третьей категории – 1 человек. Таким образом, практически любая автоматизированная система управления технологическими процессами будет относиться к значимому объекту КИИ;
возможно прекращение или нарушение функционирования системы управления сетью связи, оцениваемое через территорию, на которой возможно прекращение или нарушение функционирования сети связи (для присвоения третьей категории достаточно территории муниципального образования) или через количество людей, для которых могут быть недоступны услуги связи, в тысячах человек (от 50). Таким образом, информационные системы и информационно-телекоммуникационные сети практически всех операторов связи будут относиться к значимым объектам КИИ;
возможно отсутствие доступа к государственным услугам, предоставляемым в электронном виде, оцениваемое в максимально допустимом времени, в течение которого государственная услуга, предоставляемая в электронном виде, может быть недоступна для пользователей, в часах (от 24 часов и меньше). Таким образом, любая информационная система (информационная система персональных данных) любого субъекта (государственный орган, государственное учреждение и т.п.), участвующая в процессе оказания государственной услуги, будет относиться к значимому объекту КИИ;
возможно прекращение или нарушение функционирования более чем на четыре часа, а также подмена официального сайта государственного органа, оцениваемые через уровень (значимость) государственного органа (начиная от органов государственной власти субъекта или города федерального значения). Таким образом, официальный сайт любого органа законодательной, исполнительной либо судебной власти следует относить к значимому объекту КИИ;
возможно прекращение или нарушение проведения клиентами операций по банковским счетам (без открытия банковского счета) или операций, осуществляемых субъектом КИИ, являющимся, в соответствии с законодательством Российской Федерации, системно значимой кредитной организацией, оператором услуг платежной инфраструктуры системно и/или социально значимых платежных систем или системно значимой инфраструктурной организацией финансового рынка, оцениваемое среднедневным (по отношению к числу календарных дней в году) количеством осуществляемых операций (НКО), в млн единиц (расчет осуществляется по итогам года, а для создаваемых объектов – на основе прогнозных значений) (минимум три). А вот организации банковского сектора, вопреки сложившемуся мнению, напротив, далеко не все будут относиться к значимым объектам КИИ.
По определению объектами КИИ могут являться: информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры, совокупность объектов КИИ, а также сети электросвязи, используемые для организации взаимодействия таких объектов.
ПЕРВЫЙ ЭТАП. Необходимо создать внутреннюю комиссию по категорированию и определить состав участников из наиболее компетентных специалистов по вашим бизнес-процессам.
Почему делается акцент на бизнес-процессы и уровни компетенции участников? Только «владелец» бизнес-процесса знает все нюансы, которые могут привести к их нарушению и последующим негативным последствиям.
Этот владелец или компетентное уполномоченное лицо должен быть в составе комиссии для присвоения правильной категории значимости процессу.
Однако далеко не всегда члены комиссии по категорированию являются достаточно квалифицированными именно в области КИИ.
ВТОРОЙ ЭТАП. На этом этапе собираются исходные данные, проводится предпроектное обследование и на основании полученных данных, комиссия принимает решение о наличии перечня объектов КИИ, подлежащих категорированию и присваивает категорию значимости.
Результаты категорирования объектов КИИ должны направляться субъектом КИИ во ФСТЭК России для ведения реестра значимых объектов КИИ. В реестр включается следующая информация:
наименование значимого объекта КИИ;
наименование субъекта КИИ;
сведения о взаимодействии значимого объекта КИИ и сетей электросвязи;
сведения о лице, эксплуатирующем значимый объект КИИ;
присвоенная категория значимости;
сведения о программных и программно-аппаратных средствах, используемых на значимом объекте КИИ;
меры, применяемые для обеспечения безопасности значимого объекта КИИ.
Важно отметить, что если в процессе категорирования было определено отсутствие категории значимости у объекта КИИ, результаты категорирования все равно должны быть представлены во ФСТЭК России. Регулятор проверяет представленные материалы и при необходимости направляет замечания, которые должен учесть субъект КИИ.
Если субъект КИИ не предоставит данные о категорировании, ФСТЭК России вправе потребовать эту информацию.
Правила регламентируют процедуру категорирования, а также содержат перечень критериев и их показатели для значимых объектов КИИ первой, второй и третьей категории значимости.
СОГЛАСНО ПРАВИЛАМ, ПРОЦЕДУРА КАТЕГОРИРОВАНИЯ ВКЛЮЧАЕТ В СЕБЯ:
Определение субъектом КИИ перечня всех процессов, выполняемых в рамках своей деятельности.
Выявление критических процессов, то есть тех процессов, нарушение или прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка.
Определение объектов КИИ, которые обрабатывают информацию, необходимую для обеспечения критических процессов, управления и контроля ими.
Формирование перечня объектов КИИ, подлежащих категорированию. Перечень объектов для категорирования подлежит согласованию с ведомством-регулятором, утверждается субъектом КИИ и в течение 5 рабочих дней после утверждения направляется во ФСТЭК России.
Оценку масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах КИИ в соответствии с показателями, указанных в Правилах. Всего предусматривается 14 показателей, определяющих социальную, политическую, экономическую значимость объекта КИИ, а также его значимость для обеспечения правопорядка, обороны и безопасности страны.
Присвоение каждому из объектов КИИ одной из категорий значимости в соответствии с наивысшим значением показателей, либо принятие решения об отсутствии необходимости присвоения категории.
Категорирование должно проводиться как для существующих, так и для создаваемых или модернизируемых объектов КИИ специальной комиссией под председательством руководителя субъекта КИИ или уполномоченного им лица, его работников и, при необходимости, приглашённых специалистов ведомств-регуляторов в соответствующей сфере. Решение комиссии оформляется соответствующим актом и в течение 10-ти дней после его утверждения направляется во ФСТЭК России. Предоставленные материалы в тридцатидневный срок со дня получения проверяются регулятором на соответствие порядку осуществления категорирования и оценивается правильность присвоения категории.
Категория значимого объекта КИИ может быть изменена по мотивированному решению ФСТЭК России в рамках государственного контроля безопасности значимых объектов КИИ, в случае изменения самого объекта КИИ, а также в связи с реорганизацией субъекта КИИ (в том числе ликвидацией, изменением его организационно-правовой формы и т.д.).
Создание комиссии по категорированию
Сбор исходных данных для проведения категорирования
Определение перечня объектов, подлежащих категорированию
Проведение категорирования объектов КИИ
Составление Акта категорирования объекта КИИ
Направление сведений в ФСТЭК России
Категории значимости присваиваются исходя из показателей критериев значимости, которых пять:
социальная;
политическая;
экономическая;
экологическая;
значимость для обеспечения обороны страны, безопасности государства и правопорядка.
На этом этапе есть один нюанс, после утверждения перечня объектов КИИ подлежащих категорированию, субъект КИИ в течении 5 дней обязан известить об этом ФСТЭК России. С этого момента на проведение процедур категорирования отводится максимум 1 год.
Если объект КИИ не подпадает под один из показателей критериев значимости, то у него отсутствует необходимость присвоения категории значимости, но тем не менее предприятие является субъектом КИИ у которого отсутствуют критически значимые объекты КИИ.
НЕОБХОДИМЫЕ ИСХОДНЫЕ ДАННЫЕ ДЛЯ КАТЕГОРИРОВАНИЯ:
сведения об объекте КИИ (назначение, архитектура объекта, применяемые ПО и ТС, взаимодействие с другими объектами КИИ, наличие и характеристики доступа к сетям связи)
сведения об основных бизнес-процессах
состав информации, обрабатываемой объектами КИИ
декларация промышленной безопасности ОПО, декларация безопасности гидротехнического сооружения и паспорт объекта ТЭК
сведения о взаимодействии объекта КИИ с другими объектами КИИ
угрозы безопасности информации в отношении объекта КИИ
данные о компьютерных инцидентах, произошедших ранее на объектах КИИ соответствующего типа
Для объектов КИИ, не являющихся значимыми, в обязательном порядке должна быть обеспечена только взаимодействие с НКЦКИ и интеграция с ГосСОПКА канал обмена информацией. Остальные мероприятия по обеспечению безопасности объекта КИИ реализуются на усмотрение соответствующего субъекта КИИ.
Для значимых объектов КИИ, помимо интеграции в ГосСОПКА субъекты КИИ должны:
создать систему безопасности значимого объекта КИИ
реагировать на компьютерные инциденты
предоставлять на объект КИИ беспрепятственный доступ регуляторам и выполнять их предписания по результатам проверок. Законом предусматриваются как плановые, так и внеплановые проверки.
Закон не вводит дополнительных требований по защите гостайны и не содержит положений о необходимости засекречивать такую информацию. Степень её конфиденциальности определяет субъект КИИ в зависимости от степени конфиденциальности информации, обрабатываемой на его объектах КИИ если объект КИИ обрабатывает секретную информацию, то данные о его защите также будут секретными.
В Уголовный кодекс Российской Федерации была добавлена новая статья 274.1, которая устанавливает уголовную ответственность должностных лиц субъекта КИИ за несоблюдение установленных правил эксплуатации технических средств объекта КИИ или нарушение порядка доступа к ним вплоть до лишения свободы сроком до 10-ти лет.
ТРЕТИЙ ЭТАП. Один из самых трудоёмких и дорогих – выполнение требований по обеспечению безопасности значимых объектов КИИ. Не будем вдаваться сейчас в детали, а перечислим ключевые стадии по обеспечению безопасности объектов КИИ:
РАЗРАБОТКА ТЕХНИЧЕСКОГО ЗАДАНИЯ
В списке организационных и технических мер, предусмотренных положениями данного приказа в зависимости от категории значимости объекта КИИ и угроз безопасности информации, указаны следующие пункты:
идентификация и аутентификация;
управление доступом;
ограничение программной среды;
защита машинных носителей информации;
аудит безопасности;
антивирусная защита;
предотвращение вторжений (компьютерных атак);
защита технических средств и систем;
защита информационной (автоматизированной) системы и ее компонентов;
планирование мероприятий по обеспечению безопасности;
управление обновлениями программного обеспечения;
реагирование на инциденты информационной безопасности;
обеспечение действий в нештатных ситуациях;
информирование и обучение персонала.
РАЗРАБОТКА МОДЕЛИ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Анализ угроз включает в себя выявление источников угроз, оценку возможностей нарушителей (т.е. создание модели нарушителя), анализ уязвимостей используемых систем, определение возможных способов реализации угроз и их последствий. Модель нарушителя строится на основе предположений о потенциале атакующих, т.е. о мере усилий, затрачиваемых нарушителем при реализации угроз безопасности информации в информационной системе (при этом потенциалы нарушителей можно условно разделить на высокий, средний и низкий). При проведении пентестов проверяющие определяют слабые места инфраструктуры компании, выявляют уязвимости в системах защиты, проводят контролируемую эмуляцию настоящей хакерской атаки.
разработка технического проекта;
разработка рабочей документации;
ввод в действие.