Защита КИИ  (187-ФЗ)

Внимание! С 30 марта 2022 года принципиально изменились требования к значимым объектам критической информационной инфраструктуры. Данный документ радикально меняет всю структуру существовавших ранее требований и подходов к обеспечению защиты значимых объектов КИИ. В частности:

  1. С 31 марта 2022 года введен прямой запрет на закупку иностранных программных продуктов и программно-аппаратных комплексов для целей использования на значимых объектах КИИ. Исключения допускаются только по согласованию.

  2. С 1 января 2025 года запрещается использование иностранного программного обеспечения и программно-аппаратных комплексов на значимых объектах КИИ.

  3. Должны быть согласованы новые требования к ПО, а также правила закупок иностранного ПО.

  4. Правительство должно обеспечить преимущественное применение отечественного оборудования и программно-аппаратных комплексов на значимых объектах КИИ.

внимание.png

Таким образом, те субъекты КИИ, у которых имеются значимые объекты критической инфраструктуры, должны в экстренном порядке провести следующие работы:

  1. Предпроектное обследование с целью сбора данных об объектах КИИ, подлежащих категорированию.

  2. Определение критических процессов и для каждого критического процесса ИС, АСУ ИТКС, обеспечивающие его функционирование.

  3. Разработку всей необходимой документации, в том числе и сопроводительного письма для отправки во ФСТЭК.

  4. Проведение оценки масштаба возможных последствий, в случаях инцидентов.

  5. Составление проектов Актов категорирования.

  6. Проектирование с учетом требований Указа Президента Российской Федерации от 30.03.2022 № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации».

  7. Модернизация значимого объекта КИИ (включая поставку оборудования, ПАК и ПО, внедрение и пр.)

Основные понятия

Критическая информационная инфраструктура — объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов

Объекты критической информационной инфраструктуры — информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.

Субъекты критической информационной инфраструктуры — государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы (ИС), информационно-телекоммуникационные сети (ИТС), автоматизированные системы управления (АСУ), функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

 

Значимый объект критической информационной инфраструктуры — объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры.

Компьютерный инцидент — факт нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки.

Исходя из этих определений, появляется ясность, что такое КИИ, что является «объектом КИИ», а что «субъектом», и в каких именно отраслях функционируют объекты и субъекты КИИ.

Все ИС, ИТС и АСУ субъекта КИИ — это объекты КИИ.

ИС – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

ИТС – технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.

АСУ – комплекс программных и программно-аппаратных средств, предназначенных для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими оборудованием и процессами.

Какие объекты КИИ подлежат категорированию?

«Категорированию подлежат объекты критической информационной инфраструктуры, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры».

Постановление Правительства РФ от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» (ПП №127).

Перейдем к разъяснению, как именно работать с Постановлением Правительства РФ от 08.02.2018 № 127.

Категорирование объектов КИИ: рабочий алгоритм

diag.png

Обследование субъекта КИИ

список.png

Составление перечня объектов КИИ с выделеним критичных

да (1).png

Значимых объектов есть

категорирование.png

Категорирование объектов КИИ

zashp (1).png

Создание систем

безопасности

значимых

объектов

нет.png

Значимых

объектов нет

доки.png

Обязанности

ч.2,3 ст.9 187-ФЗ

внимание.png

Требования безопасности КИИ

  • Определение

  • Разработка

  • Внедрение

  • Безопасность в ходе эксплуатации

  • Безопасность при выводе из эксплуатации

доки.png

Обязанности

ч.2,3 ст.9 187-ФЗ

Перечень показателей критериев значимости

1. Социальная

2. Политическая

3. Экономическая

4. Экологическая

5. Значимость для обеспечения обороны,

безопасности государства и правопорядка

В таблице  ПП №127 детально расписаны эти показатели. Например, по «социальному критерию» идет подразделение на «причинение ущерба жизни и здоровью людей», «прекращение или нарушение функционирования объектов обеспечения жизнедеятельности населения» и т.д.   Потенциальный ущерб учитывается по охваченной территории и по количеству пострадавших людей, детальную информацию по всем показателям можно найти в данной таблице.  Устанавливаются 3 категории значимости. Самая высокая категория — первая, самая низкая – третья, а также объекту КИИ  может быть вообще не присвоена категория (т.е. «без категории»).

Исходя из нормативных документов, организации (субъекты КИИ) будут сами составлять перечень процессов (управленческие, технологические, финансово-экономические, производственные и др. процессы) и сами оценивать их критичность. Таким образом,  количество объектов КИИ, которые войдут в перечень, зависит от решения самих организаций.

Важное примечание: может  получиться так, что у субъекта КИИ вообще не будет объектов КИИ, подлежащих категорированию (т.е. они будут обозначены, как «без категории»). Однако надо учитывать, что «Перечень объектов КИИ» согласовывается с отраслевым регулятором (например, с Министерством энергетики, Банком России и пр.) и перечень объектов КИИ отправляется во ФСТЭК.

По вопросам оформления перечня объектов КИИ советуем ознакомиться с «Информационным сообщением» ФСТЭК от 24 августа 2018 г. N 240/25/3752

Какая информация понадобиться для подачи во ФСТЭК?

  •  Сведения о субъекте КИИ;

  •  Сведения об объекте КИИ;

  •  Сведения о взаимодействии объекта КИИ и сетей электросвязи;

  •  Сведения о лице, эксплуатирующем объект КИИ;

  •  Сведения о ИС, ИТС, АСУ;

  •  Анализ угроз и категории нарушителей;

  •  Оценка возможных последствий инцидента;

  •  Акт категорирования объектов КИИ.

 

Как определиться по срокам?

01

Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом КИИ перечня объектов.

02

Перечень объектов КИИ надо подать во ФСТЭК в течение 5 дней после утверждения.

03

Акт категорирования объектов КИИ подается в течение 10 дней со дня утверждения Акта.

04

Пересмотр категории объекта КИИ проводится не реже 1 раз в 5 лет.

 

Практические примеры по конкретным отраслям и организациям

Изучив НПА и алгоритм  категорирования объектов КИИ (см. выше) можно непосредственно приступить к практике. Здесь хотелось бы дать ряд советов и показать практические кейсы для организаций финансовой и банковской сферы.

Изначально решаем вопрос: «Является ли наша организация субъектом КИИ»? В определении субъектов КИИ указаны организации финансовой и банковской сферы. Любой ли банк является субъектом КИИ? Если внимательно изучить таблицу в ПП №127 в части  экономических критериев значимости, то напрашивается следующие выводы о том, что субъектами КИИ могут быть:

категорирование.png

Это говорит о том, что не каждый банк или финансовая структура вообще подпадает под законодательство о КИИ. Надо помнить, что категорируем мы не субъект, а объект КИИ, для каждого объекта КИИ будет присвоена своя категория, оценку последствий инцидента надо делать для каждого объекта.​

Формирование комиссии:

На начальном этапе нужно сформировать комиссию. Подробнее об этом  можно прочитать по ссылке: Этап 1. Создание комиссии по категорированию объектов КИИ (там же и образец «Приказа о создании комиссии по категорированию КИИ»).

 

Определение процессов:

Затем необходимо определиться с процессами, которые есть в организации, составить их полный перечень. На этом этапе нам не обойтись без помощи специалистов и руководителей различных подразделений. Рассмотрим, как действовать, на примере банка. Как правило, основные виды деятельности  организации уже задокументированы, специалисту ИБ надо внимательно изучить учредительные и др. документы (лицензии, сертификаты), для банков опираемся на  Федеральный закон  от 02.12.1990 N 395-1 «О банках и банковской деятельности»  и нормативные документы Центрального Банка РФ.

Виды деятельности банка по  Код ОКВЭД 64: «Деятельность по предоставлению финансовых услуг, кроме услуг по страхованию и пенсионному обеспечению».  Затем, исходя из видов деятельности, необходимо прописать бизнес-процессы в финансовой организации. Есть различные классификации бизнес-процессов в банковской сфере (в конкретном банке они, как правило, уже задокументированы).

Рассмотрим типовой  пример (источник):

Основные бизнес-процессы банка:

  • Создание продукта (услуги), представляющего ценность для внешнего клиента.

  • Получение добавленной стоимости.

  • Получение прибыли, как цель коммерческой деятельности.

 

Обеспечивающие бизнес-процессы банка:

  • Процессы, клиентами которых являются основные процессы.

  • Процессы, которые создают и поддерживают инфраструктуру банка.

 

Управляющие бизнес-процессы банка:

  • Процессы, основной целью которых является управление деятельностью банка.

  • Процессы, которые обеспечивают развитие банка и регулируют его текущую деятельность.

bank_process_tree1-1.png
bank_process_tree2.png
bank_process_tree3.png

Рис.1. Бизнес-процессы банка (типовой пример)

Защита КИИ  (187-ФЗ)

тел.: 8 (8512) 525-025 (г. Астрахань)   |   тел.: 8 (800) 30 25 525 (остальные регионы РФ)   |   эл. почта: ib@5-25.ru
Получить консультацию эксперта

Нажимая на кнопку, я принимаю условия соглашения

Информация отправлена. Спасибо!