Порядок категорирования объектов КИИ

 

Категорирование объектов КИИ осуществляется согласно постановлению Правительства Российской Федерации от 08.02.2018 г. № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений».

К субъектам КИИ относятся государственные органы, государственные учреждения, российские юридические лица, индивидуальные предприниматели. Сведения о том, является ли организация субъектом КИИ, можно получить в следующих источниках:

общероссийский классификатор видов экономической деятельности;

лицензии и иные разрешительные документы на различные виды деятельности;

уставы, положения организаций (госорганов);

другие источники.

Объектами КИИ могут являться: ИС, ИТКС и АСУ, функционирующие в 12 сферах деятельности.

Субъекты КИИ обязаны самостоятельно категорировать принадлежащие им объекты в зависимости от масштаба возможных последствий объекту КИИ.

На рис.1 представлены этапы категорирования объектов СБО КИИ.

Рис.1 – Процесс категорирования КИИ

Категорирование проходит следующим образом:

1. Руководитель организации создает комиссию по категорированию, которая выявляет критичные процессы субъекта (управленческие, технологические, производственные и другие).

2. Определяются объекты КИИ, связанные с этими процессами.

3. Полученный перечень согласовывается со ФСТЭК в течение пяти дней.

Объекту КИИ присваивается одна из трёх категорий значимости или устанавливается отсутствие необходимости присвоения категории.

При выборе категории объект оценивается по показателям критериев значимости. Всего существует 5 групп показателей, включающих от одной до пяти подгрупп. Итоговая оценка ставится по максимальному значению из всех групп/подгрупп.

Первая категория означает, что объект требует максимальной защиты.

Данные об изменении категории также должны направляться в ФСТЭК. Изменение категории значимости может произойти:

по мотивированному решению ФСТЭК по результатам проверки, выполненной в рамках осуществления государственного контроля в области обеспечения безопасности значимых объектов КИИ;

объект перестал соответствовать критериям значимости и показателям их значений;

субъект КИИ был реорганизован, ликвидирован или произошли изменения в его организационно-правовой форме;

субъект КИИ не реже чем один раз в 5 лет осуществляет пересмотр установленной категории значимости и сообщает об изменениях в ФСТЭК.

4. По результатам составляется Акт категорирования объекта КИИ, который подписывается членами комиссии и утверждается руководителем субъекта КИИ. Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом КИИ перечня объектов.

5. Сведения о результатах категорирования направляются в ФСТЭК в соответствии с Приказом ФСТЭК №236 в течение 10 дней.

Реестр значимых объектов формируется и ведётся ФСТЭК России на основании данных, предоставляемых субъектами КИИ. Реестр подлежит защите в соответствии законодательством РФ о гос. тайне. Соответствующий документ: Приказ ФСТЭК от 6.12.2017. № 227.

 

Требования к системам безопасности значимых объектов КИИ

 

Регулируются Приказом ФСТЭК от 21.12.2017 № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования».Приказ принят, проходит регистрацию в Минюсте РФ.

Система безопасности значимых объектов — это совокупность организационных, технических, правовых и других мер. Она может быть создана для обеспечения безопасности одного объекта или совокупности объектов. Кроме того, субъект в праве создать одну систему безопасности для всех значимых объектов.

Требования, описанные в приказе, едины для объектов всех трёх категорий. Допускается применять их в том числе для обеспечения безопасности незначимых объектов.

Задачи, выполняемые системой безопасности:

1.  предотвращение неправомерного доступа к информации, обрабатываемой значимыми объектами;

2.  предотвращение воздействия на технические средства обработки информации, в результате которого может быть нарушено или прекращено функционирование объектов;

3.  восстановление функционирования объектов, если они вышли из строя;

4.  непрерывное взаимодействие с ГОССОПКА.

В состав системы безопасности входят три основных элемента: силы, средства, организационно-распорядительные документы.

Под силами системы безопасности значимых объектов понимаются сотрудники субъекта КИИ. А именно:

1.  руководитель субъекта — определяет состав и структуру системы и функции её участников по обеспечению безопасности;

2.  уполномоченное лицо (назначается по решению руководителя) — создаёт систему безопасности, контролирует её функционирование;

3.  в зависимости от количества объектов, их категорий и загруженности персонала в структурных подразделениях назначаются ответственные за обеспечение безопасности КИИ.

К ответственным относятся:

работники подразделений, эксплуатирующих объект — обеспечивают безопасность во время эксплуатации;

работники подразделений, обеспечивающих функционирование — осуществляют свои функции в соответствии с правилами безопасности;

данные сотрудники должны обладать соответствующими знаниями и навыками для обеспечения безопасности значимых объектов, а также должны ежегодно проходить повышение уровня знаний по вопросам обеспечения безопасности КИИ и возможным угрозам.

4.  подразделения, ответственные за обеспечение безопасности — выполняют исключительно функции по обеспечению безопасности объекта.

Для проведения работ по обеспечению безопасности КИИ субъектами также могут привлекаться внешние организации. Однако у таких организаций должна быть соответствующая лицензия ФСТЭК России: либо в области защиты государственной тайны (если на объекте обрабатывается информация, составляющая гос. тайну), либо по технической защите конфиденциальной информации.

К средствам относятся программные и программно-аппаратные средства, предназначенные для обеспечения безопасности объекта.

Средства должны пройти оценку соответствия. В случае, если объектом обрабатывается государственная тайна или объект КИИ представляет собой государственную информационную систему, сертификация обязательна.

В приоритетном порядке применяются встроенные в рабочие системы специальные программные средства защиты информации. Они должны применяться в соответствии с эксплуатационной документацией и обязательно сопровождаться поддержкой со стороны разработчика. При создании системы также должны учитываться возможные ограничения самого разработчика, например, запрет использования средства на определённых объектах

Нормативно-организационные документы разделяются на три категории:

общесистемные документы (определяют цели, задачи, существующие угрозы, основные организационно-технические мероприятия, состав и структуру системы безопасности);

документы, которые встроены в правила безопасной работы работников и регламенты действий в случае возникновения инцидентов или иных внештатных ситуаций;

документы планирования и документы, в которых описаны действия работников в различных ситуациях (порядок проведения испытаний, порядок приёмки, порядок взаимодействия подразделений и т.д.).

Состав и форма документов определяются субъектом КИИ самостоятельно. Допускается изложение всех перечисленных положений в одном документе, а также частичное изложение в разных документах при условии отражении этого в системе ОРД субъекта.

Отдельно подчеркивается, что документация должна быть не формальным набором инструкций, а реальным руководством сотрудников.

 

Требования к функционированию системы безопасности значимых объектов КИИ

 

Требования к функционированию системы безопасности разделены на 4 этапа, соответствующие классическому циклу PDCA:

1.  Планирование и разработка мероприятий.

В рамках этого этапа должен ежегодно разрабатываться План мероприятий по обеспечению безопасности значимых объектов. Утверждается исключительно руководителем субъекта КИИ. В отношении каждого мероприятия должны быть определены сроки реализации и подразделения, ответственные за исполнение. Контроль за исполнением осуществляется структурным подразделением по безопасности. Результаты отражаются в отчете, который предоставляется руководителю субъекта КИИ.

2.  Реализация (внедрение) мероприятий.

В рамках этого этапа реализуется составленный План мероприятий. Выполнение мероприятий осуществляется в соответствии с заранее разработанными организационно-структурными документами субъекта.

Этап включает принятие организационно-технических мер, применение технических средств защиты информации. Результаты документируются и учитываются при подготовке следующего ежегодного Плана.

3. Контроль состояния безопасности объектов.

Проводится ежегодно. Выделяется внешний и внутренний контроль состояния безопасности.

Внутренний контроль проводится комиссией, назначаемой субъектом. В состав входят работники подразделения, ответственного за обеспечение безопасности, а также сотрудники заинтересованных подразделений.

Внешний контроль (аудит) проводится внешней организацией, имеющей лицензию в области услуг по контролю защищенности информации от НСД и её модификации системах и средствах автоматизации.

4.  Совершенствование безопасности объектов.

Осуществляется в 3 этапа подразделением по безопасности.

проводится анализ функционирования системы безопасности и состояние безопасности объектов;

по результатам осуществляется разработка предложений по развитию системы безопасности;

рассмотренные предложения представляются руководителю субъекта КИИ и могут быть внесены в План мероприятий;

требования по обеспечению безопасности значимых объектов КИИ.

Регулируются Приказом ФСТЭК от 25.12.2017 № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».

Структура документа схожа с Приказами ФСТЭК №17 и 21 и включает в себя: общие положения, требования по обеспечению безопасности на этапах жизненного цикла, требования к организационным и техническим мерам, а также приложение с перечнем мер по обеспечению безопасности.

Требования документа распространяются на все стадии жизненного цикла системы безопасности: создание, эксплуатация, вывод из эксплуатации. Если на данный момент значимый объект уже функционирует, то требования должны быть выполнены при его ближайшей модернизации.

Реализация требований к ИБ, описанных в Приказе, включает в себя 5 базовых шагов:

Шаг 1. Формирование перечня применимых требований.

Включает в себя категорирование объекта КИИ (в соответствии с постановлением Правительства № 127 от 08.02.2018 г.), а также требования по обеспечению безопасности, включаемые в ТЗ.