Определение признаков оснований для отнесения ИСиР Департамента к объектам критической информационной инфраструктуры

В соответствии с определением в 187-ФЗ, субъект КИИ – это:

1) государственный орган, государственное учреждение, российское юридическое лицо и (или) индивидуальный предприниматель, которому на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере:

- здравоохранения;

- науки;

- транспорта;

- связи;

- энергетики;

- банковской сфере и иных сферах финансового рынка;

- топливно-энергетического комплекса;

- атомной энергии;

- оборонной промышленности;

- ракетно-космической промышленности;

- горнодобывающей промышленности;

- металлургической промышленности;

- химической промышленности.

Описание этапа

В 187-ФЗ установлены 13 сфер (областей деятельности), которые подпадают под его область действия. По определению, к субъектам КИИ относятся те организации, которые владеют объектами, функционирующими в указанных сферах, а не организации, работающие в данных областях.

При этом, ФСТЭК России был предложен метод, основанный на определение сферы деятельности организации в соответствии с:

- ОКВЭД и ОКОГУ;

- лицензиями, сертификатами и иными разрешительными документами на виды деятельности;

- учредительными документами, уставами, положениями организации, где прописаны основные и вспомогательные виды деятельности.

Соответственно, если в любом из данных источников присутствует указание на рассматриваемые сферы деятельности, то по мнению ФСТЭК России, присутствуют признаки, что организация является субъектом КИИ.

 

Делаем

1. В Лицензиях / Уставе / кодах ОКВЭД и ОКОГУ организации выявляется деятельность, соответствующая областям из 187-ФЗ.

2. Анализируем область функционирования используемых ИСиР (Распоряжения Правительства Москвы по созданию ИСиР, государственные программы, Проектную документацию на создание ИСиР и подобное).

3. Определяем ИСиР, используемые для реализации соответствующего вида деятельности, указанного в уставе, лицензии или ОКВЭД.

4. Анализируем на предмет принадлежности данных ИСиР Организации (право собственности, аренда, договор пользования, хозяйственного ведения, право оперативного управления и т. д.).

Если выявлена ИСиР, удовлетворяющая указанным параметрам, то принимается решение о признании организации субъектом КИИ.

 

Пример 1

ГКУ ИАЦ в сфере здравоохранения города Москвы

Код ОКВЭД 72.1 ««Научные исследования и разработки в области естественных и технических наук» и код ОКОГУ 2300229 «Органы исполнительной власти субъектов Российской Федерации / - здравоохранения»

Необходимо выявить ИСиР автоматизирующие процессы в сферах науки и здравоохранения.

Пример 2

АО «Электронная Москва» имеет лицензии Роскомнадзора на следующие услуги связи:

Услуги связи по предоставлению каналов связи

Услуги связи по передаче данных, за исключением услуг связи по передаче данных для целей передачи голосовой информации

Услуги на телематические услуги связи

Необходимо выявить ИСиР автоматизирующие процессы оказание услуг связи.

 

2) российское юридическое лицо и (или) индивидуальный предприниматель, который обеспечивает взаимодействие указанных систем или сетей.

Описание этапа

В качестве обеспечения взаимодействия объектов КИИ может рассматриваться:

- предоставление вычислительных мощностей для объектов КИИ и каналов взаимодействия с ними (ЦОД);

- предоставление телекоммуникационных услуг, в рамках которых осуществляется взаимодействие объектов КИИ;

- предоставление иных информационных услуг для обеспечения взаимодействия с объектами КИИ.

Частными случаями таких субъектов являются операторы сетей связи или ИС, предназначенных для обеспечения работы государственных ИС или взаимодействия с объектами энергетического комплекса — для данных лиц ответственность за обеспечение взаимодействия объектов КИИ указывается в документации на системы/каналы связи, а также в их обязанностях.

В более неопределенных случаях, когда Организация предоставляет вычислительные мощности и каналы связи для широкого круга заказчиков, детальной информации о том, что инфраструктура может использоваться для организации взаимодействия КИИ, может не быть. Однако, незнание данной информации не освобождает организацию от ответственности.

Делаем

1. Проводим анализ наличия объектов инфраструктуры, находящейся в собственности Организации, которая используется в интересах сторонних лиц и для организации информационного взаимодействия систем, не принадлежащих самой Организации.

2. В случае выявления соответствующих объектов инфраструктуры, уточняем наличие у Организации явных поручений на уровне законодательных актов и нормативных требований (Распоряжения Правительства Москвы и т.д.), возлагающих на Организацию обязанности по обеспечению информационного взаимодействия между сторонними ИСиР. В случае наличия указанных обязательств, запрашиваем владельцев сторонних ИСиР (ОИВ и их подведомственные организации, подведомственные организации Департамента) об отнесении данных систем к объектам КИИ (включена ли данная ИСиР в Перечень объектов КИИ, подлежащих категорированию сторонней организации). В случае положительного ответа, Организация признается субъектом КИИ.

3. В случае наличия инфраструктуры Организации, которая используется для информационного обмена сторонними ИСиР, делается запрос владельцам данных систем об их отнесении к объектам КИИ (включена ли данная ИСиР в Перечень объектов КИИ, подлежащих категорированию сторонней организации). В случае положительного ответа, делается уточнение наличия компонентов инфраструктуры и сетей передачи данных, используемых для указанного взаимодействия и находящихся в собственности Организации. В случае положительного заключения Организация признается субъектом КИИ.

4. Организация далее рассматривает свою инфраструктуру (или ее часть, непосредственно задействованную в обеспечении взаимодействия объектов КИИ) в качестве объекта КИИ. 

 

Пример 3

Организация владеет и обслуживает ЦОД, в котором размещаются ИСиР ОИВ Москвы, в сфере транспорта или здравоохранения.

Выявлено, что некоторые из размещаемых в ЦОД ИСиР относятся к объектам КИИ. Программно-аппаратное обеспечение компонентов ИС является собственностью ОИВ Москвы, в сфере транспорта или здравоохранения. При этом, для взаимодействия между данными ИС, а также с внешними системами и пользователями используются каналы передачи данных и коммутационное оборудование ЦОД, которые принадлежат Организации. В данном случае Организация является субъектом КИИ, как обеспечивающая взаимодействие объектов КИИ. Часть инфраструктуры Организации, непосредственно задействованная в обеспечении взаимодействия объектов КИИ, должна рассматриваться в качестве самостоятельного объекта КИИ.

 

Пример 4

Организация предоставляет услуги технической поддержки и сопровождения ОИВ Москвы, в сфере транспорта или здравоохранения.  

Работники Организации администрируют ИС, ИТС и АСУ, являющихся объектами КИИ, управляют сетевыми компонентами, отвечают за работоспособность и взаимодействие систем.

В данном случае Организация не является субъектом КИИ, так как ее работники обеспечивают «поддержку» работоспособности систем, но фактически взаимодействие объектов КИИ обеспечивается программно-аппаратными компонентами, находящимися в собственности не у Организации.

 

Результат

Заключение Рабочей группы о наличии оснований для отнесения ИСиР Департамента к объектам критической информационной инфраструктуры и рекомендаций по включению их в Перечень объектов с последующим установлением одной из категорий значимости объектов критической информационной инфраструктуры, либо об отсутствии оснований для отнесения ИСиР Департамента к объектам критической информационной инфраструктуры в соответствии с законодательством Российской Федерации.

Форма заключения Рабочей группы об отсутствии оснований для отнесения ИСиР Департамента к объектам критической информационной инфраструктуры в соответствии с законодательством Российской Федерацииприведена в Приложении 1.