ПО определению объектов кии и категорий значимости объектов кии

МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ

По определению объектов КИИ и категорий значимости объектов КИИ

 

Содержание

 

Введение.. 3

Определения.. 4

Используемые сокращения.. 6

1 Общая информация.. 7

2 Определение признаков оснований для отнесения ИСиР Департамента к объектам критической информационной инфраструктуры... 7

3. Инвентаризация и категорирование объектов КИИ.. 11

3.1. Инвентаризация объектов КИИ.. 11

3.2. Категорирование объектов КИИ.. 13

Приложения.. 16

 

 

Введение

 

Настоящий документ содержит методические рекомендации по отнесению информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, принадлежащих на праве собственности, аренды или на ином законном основании городу Москве в лице Департамента, Департаменту, подведомственных Департаменту организациям (далее – ИСиР Департамента) к объектам критической информационной инфраструктуры, включению объектов критической информационной инфраструктуры в Перечень объектов критической информационной инфраструктуры Департамента (далее – Перечень объектов Департамента) или Перечень объектов критической информационной инфраструктуры подведомственной Департаменту организации (далее – Перечень организации), с последующим установлением одной из категорий значимости объектов критической информационной инфраструктуры, либо решений об отсутствии оснований для их отнесения к объектам критической информационной инфраструктуры. в соответствии с требованиями Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».

 

Определения

Автоматизированная система управления — комплекс программных и программно-аппаратных средств, предназначенных для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими оборудованием и процессами.

Безопасность информации — состояние защищённости информации, при котором обеспечены ее конфиденциальность, доступность и целостность.

Безопасность КИИ — состояние защищенности критической информационной инфраструктуры, обеспечивающее ее устойчивое функционирование при проведении в отношении ее компьютерных атак.

Вредоносная программа — программа (программное обеспечение), предназначенная для осуществления несанкционированного доступа к информации и или деструктивного воздействия на информацию или ресурсы информационной системы нарушение их целостности и/или доступности.

Государственная информационная система — федеральная информационная система или региональная информационная система, созданная на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов. Государственные информационные системы создаются в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях.

Доступ к информации — возможность получения информации и ее использования.

Доступность информации — состояние информации (ресурсов информационной системы), при котором субъекты, имеющие права доступа, могут реализовать их беспрепятственно.

Значимый объект критической информационной инфраструктуры — объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры.

Информационная система — совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

Информационно-телекоммуникационная сеть — технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.

Инцидент информационной безопасности — одно или несколько нежелательных или не ожидаемых событий информационной безопасности, которые со значительной вероятностью приводят к компрометации бизнес-операций и создают угрозы для информационной безопасности.

Компьютерная атака — целенаправленное воздействие программных и (или) программно-аппаратных средств на объекты критической информационной инфраструктуры, сети электросвязи, используемые для организации взаимодействия таких объектов, в целях нарушения и (или) прекращения их функционирования и (или) создания угрозы безопасности обрабатываемой такими объектами информации.

Компьютерный инцидент — факт нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки.

Конфиденциальность информации — обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.

Критическая информационная инфраструктура — объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов.

     Нарушитель безопасности информации — физическое лицо, случайно или преднамеренно совершившее действия, следствием которых является нарушение безопасности информации при ее обработке техническими средствами в информационных системах.

Несанкционированный доступ к информации — доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.

Примечание: Под штатными средствами понимается совокупность программного, микропрограммного и технического обеспечения средств вычислительной техники или автоматизированных систем.

Обладатель информации — лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.

Объект критической информационной инфраструктуры — информационная система, информационно-телекоммуникационная сеть, автоматизированная система управления субъекта критической информационной инфраструктуры.

Оператор информационной системы — гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.

Распространение информации — действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц.

Субъекты критической информационной инфраструктуры — государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливноэнергетического комплекса, в области атомной энергии, оборонной, ракетнокосмической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

Угроза безопасности информации — совокупность условий и факторов, определяющих потенциальную или реально существующую опасность нарушения безопасности информации.

Целостность информации — состояние информации, при котором обеспечивается ее неизменность в условиях преднамеренного и или непреднамеренного воздействия на нее.

 

Используемые сокращения

 

АСУ	Автоматизированная система управления
АСУ ТП	Автоматизированная система управления технологическим процессом
ИС	Информационная система
ИСиР	Информационные системы и ресурсы
ИТС	Информационно-телекоммуникационная сеть
КИИ	Критическая информационная инфраструктура
ЛВС	Локальная вычислительная сеть
ОКВЭД	Общероссийский классификатор видов экономической деятельности
ОКОГУ	Общероссийский классификатор органов государственной власти и управления
РФ	Российская Федерация
ФСБ России	Федеральная служба безопасности Российской Федерации
ФСТЭК России	Федеральная служба по техническому и экспортному контролю Российской Федерации
ЦОД	Центр Обработки Данных

Общая информация

С 01 января 2018 года вступил в силу Федеральный закон от 26.07.2017 № 187ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее — 187-ФЗ), регулирующий отношения в области обеспечения безопасности КИИ РФ в целях ее устойчивого функционирования при проведении в отношении ее компьютерных атак.

В соответствии с требованиями Закона, субъекты КИИ должны присвоить одну из категорий значимости принадлежащим им объектам КИИ. Если объект КИИ не соответствует критериям значимости, показателям этих критериев и их значениям, ему не присваивается ни одна из таких категорий.

Критерии значимости, показатели их значений, а также порядок осуществления категорирования определены в Постановлении Правительства РФ от 8 февраля 2018 г. № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений»
(далее — ПП-127).

В соответствии с требованиями 187-ФЗ, субъект КИИ обязан направить сведения о результатах категорирования своих объектов КИИ во ФСТЭК России (Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности КИИ РФ). Форма направления сведений определена приказом ФСТЭК России от 22 декабря 2017 г. № 236 «Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий».

 

Описание этапа

В 187-ФЗ установлены 13 сфер (областей деятельности), которые подпадают под его область действия. По определению, к субъектам КИИ относятся те организации, которые владеют объектами, функционирующими в указанных сферах, а не организации, работающие в данных областях.

При этом, ФСТЭК России был предложен метод, основанный на определение сферы деятельности организации в соответствии с:

- ОКВЭД и ОКОГУ;

- лицензиями, сертификатами и иными разрешительными документами на виды деятельности;

- учредительными документами, уставами, положениями организации, где прописаны основные и вспомогательные виды деятельности.

Соответственно, если в любом из данных источников присутствует указание на рассматриваемые сферы деятельности, то по мнению ФСТЭК России, присутствуют признаки, что организация является субъектом КИИ.

 

Делаем

1. В Лицензиях / Уставе / кодах ОКВЭД и ОКОГУ организации выявляется деятельность, соответствующая областям из 187-ФЗ.

2. Анализируем область функционирования используемых ИСиР (Распоряжения Правительства Москвы по созданию ИСиР, государственные программы, Проектную документацию на создание ИСиР и подобное).

3. Определяем ИСиР, используемые для реализации соответствующего вида деятельности, указанного в уставе, лицензии или ОКВЭД.

4. Анализируем на предмет принадлежности данных ИСиР Организации (право собственности, аренда, договор пользования, хозяйственного ведения, право оперативного управления и т. д.).

Если выявлена ИСиР, удовлетворяющая указанным параметрам, то принимается решение о признании организации субъектом КИИ.

 

Пример 1

ГКУ ИАЦ в сфере здравоохранения города Москвы

Код ОКВЭД 72.1 ««Научные исследования и разработки в области естественных и технических наук» и код ОКОГУ 2300229 «Органы исполнительной власти субъектов Российской Федерации / - здравоохранения»

Необходимо выявить ИСиР автоматизирующие процессы в сферах науки и здравоохранения.

Пример 2

АО «Электронная Москва» имеет лицензии Роскомнадзора на следующие услуги связи:

Услуги связи по предоставлению каналов связи

Услуги связи по передаче данных, за исключением услуг связи по передаче данных для целей передачи голосовой информации

Услуги на телематические услуги связи

Необходимо выявить ИСиР автоматизирующие процессы оказание услуг связи.

 

2) российское юридическое лицо и (или) индивидуальный предприниматель, который обеспечивает взаимодействие указанных систем или сетей.

Описание этапа

В качестве обеспечения взаимодействия объектов КИИ может рассматриваться:

- предоставление вычислительных мощностей для объектов КИИ и каналов взаимодействия с ними (ЦОД);

- предоставление телекоммуникационных услуг, в рамках которых осуществляется взаимодействие объектов КИИ;

- предоставление иных информационных услуг для обеспечения взаимодействия с объектами КИИ.

Частными случаями таких субъектов являются операторы сетей связи или ИС, предназначенных для обеспечения работы государственных ИС или взаимодействия с объектами энергетического комплекса — для данных лиц ответственность за обеспечение взаимодействия объектов КИИ указывается в документации на системы/каналы связи, а также в их обязанностях.

В более неопределенных случаях, когда Организация предоставляет вычислительные мощности и каналы связи для широкого круга заказчиков, детальной информации о том, что инфраструктура может использоваться для организации взаимодействия КИИ, может не быть. Однако, незнание данной информации не освобождает организацию от ответственности.

Делаем

1. Проводим анализ наличия объектов инфраструктуры, находящейся в собственности Организации, которая используется в интересах сторонних лиц и для организации информационного взаимодействия систем, не принадлежащих самой Организации.

2. В случае выявления соответствующих объектов инфраструктуры, уточняем наличие у Организации явных поручений на уровне законодательных актов и нормативных требований (Распоряжения Правительства Москвы и т.д.), возлагающих на Организацию обязанности по обеспечению информационного взаимодействия между сторонними ИСиР. В случае наличия указанных обязательств, запрашиваем владельцев сторонних ИСиР (ОИВ и их подведомственные организации, подведомственные организации Департамента) об отнесении данных систем к объектам КИИ (включена ли данная ИСиР в Перечень объектов КИИ, подлежащих категорированию сторонней организации). В случае положительного ответа, Организация признается субъектом КИИ.

3. В случае наличия инфраструктуры Организации, которая используется для информационного обмена сторонними ИСиР, делается запрос владельцам данных систем об их отнесении к объектам КИИ (включена ли данная ИСиР в Перечень объектов КИИ, подлежащих категорированию сторонней организации). В случае положительного ответа, делается уточнение наличия компонентов инфраструктуры и сетей передачи данных, используемых для указанного взаимодействия и находящихся в собственности Организации. В случае положительного заключения Организация признается субъектом КИИ.

4. Организация далее рассматривает свою инфраструктуру (или ее часть, непосредственно задействованную в обеспечении взаимодействия объектов КИИ) в качестве объекта КИИ. 

 

Пример 3

Организация владеет и обслуживает ЦОД, в котором размещаются ИСиР ОИВ Москвы, в сфере транспорта или здравоохранения.

Выявлено, что некоторые из размещаемых в ЦОД ИСиР относятся к объектам КИИ. Программно-аппаратное обеспечение компонентов ИС является собственностью ОИВ Москвы, в сфере транспорта или здравоохранения. При этом, для взаимодействия между данными ИС, а также с внешними системами и пользователями используются каналы передачи данных и коммутационное оборудование ЦОД, которые принадлежат Организации. В данном случае Организация является субъектом КИИ, как обеспечивающая взаимодействие объектов КИИ. Часть инфраструктуры Организации, непосредственно задействованная в обеспечении взаимодействия объектов КИИ, должна рассматриваться в качестве самостоятельного объекта КИИ.

 

Пример 4

Организация предоставляет услуги технической поддержки и сопровождения ОИВ Москвы, в сфере транспорта или здравоохранения.  

Работники Организации администрируют ИС, ИТС и АСУ, являющихся объектами КИИ, управляют сетевыми компонентами, отвечают за работоспособность и взаимодействие систем.

В данном случае Организация не является субъектом КИИ, так как ее работники обеспечивают «поддержку» работоспособности систем, но фактически взаимодействие объектов КИИ обеспечивается программно-аппаратными компонентами, находящимися в собственности не у Организации.

 

Результат

Заключение Рабочей группы о наличии оснований для отнесения ИСиР Департамента к объектам критической информационной инфраструктуры и рекомендаций по включению их в Перечень объектов с последующим установлением одной из категорий значимости объектов критической информационной инфраструктуры, либо об отсутствии оснований для отнесения ИСиР Департамента к объектам критической информационной инфраструктуры в соответствии с законодательством Российской Федерации.

Форма заключения Рабочей группы об отсутствии оснований для отнесения ИСиР Департамента к объектам критической информационной инфраструктуры в соответствии с законодательством Российской Федерацииприведена в Приложении 1.

 

Инвентаризация объектов КИИ

В случае принятия решения о наличии оснований для отнесения ИСиР Департамента к объектам критической информационной инфраструктуры, необходимо провести предварительный анализ угроз безопасности информации и реализованных меры по обеспечению безопасности. Провести предварительную оценку масштаба возможных последствий в случае возникновения компьютерных инцидентов в ИСиР в соответствии с перечнем показателей критериев значимости, утвержденных ПП-127. Сформировать предложение Рабочей группы о присвоении данной ИСиР категории значимости либо об отсутствии необходимости присвоения одной из таких категорий, а также перечень необходимых мер по обеспечению безопасности в соответствии с требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры, установленными федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры.

Подготовленные материалы служат основаниями для принятия окончательных решений Комиссией по определению объектов критической информационной инфраструктуры и категорий значимости объектов критической информационной инфраструктуры.

Описание этапа

В соответствии с ПП-127, категорированию подлежат объекты КИИ, которые обеспечивают критические процессы субъектов КИИ. Критическими процессами считаются управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов КИИ, нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка.

 

Результат

Сформирован Перечень ИСиР, подлежащих категорированию.

Результат

Собрана в формализованном виде информация по ИСиР, рекомендованных к отнесению к объектам КИИ.

 

 

Приложения

 

Приложение 1

Приложение 2

Возможные атаки