Критическая информационная инфраструктура и безопасность КИИ

Что такое категорирование объектов КИИ? ПРОВЕРКА И ИНСПЕКЦИЯ

Основные термины и понятия в процессе категорирования КИИ

  • Критическая информационная инфраструктура — объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов.
  • Объекты критической информационной инфраструктуры — информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.
  • Субъекты критической информационной инфраструктуры — государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы (ИС), информационно-телекоммуникационные сети (ИТС), автоматизированные системы управления (АСУ), функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.
  • Значимый объект критической информационной инфраструктуры — объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры.
  • Компьютерный инцидент — факт нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки.

Меры защиты информации в информационных системах

Что такое категорирование объектов КИИ?

Категорирование объекта критической информационной инфраструктуры представляет собой установление соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения.

Порядок категорирования объектов КИИ

Категорирование объектов КИИ осуществляется согласно Постановлению Правительства Российской Федерации от 08.02.2018 г. № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» 

К субъектам КИИ относятся государственные органы, государственные учреждения, российские юридические лица, индивидуальные предприниматели. Сведения о том, является ли организация субъектом КИИ, можно получить в следующих источниках:

  • Общероссийский классификатор видов экономической деятельности;
  • Лицензии и иные разрешительные документы на различные виды деятельности;
  • Уставы, положения организаций (госорганов);
  • Другие источники.

Объектами КИИ могут являться: ИС, ИТКС и АСУ, функционирующие в 12 сферах деятельности:

  • ИС – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
  • ИТС – технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.
  • АСУ – комплекс программных и программно-аппаратных средств, предназначенных для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими оборудованием и процессами.

Субъекты КИИ обязаны самостоятельно категорировать принадлежащие им объекты в зависимости от масштаба возможных последствий объекту КИИ.

Как провести категорирование объектов КИИ

Категорирование КИИ проходит следующим образом:

  1. Руководитель организации создает комиссию по категорированию, которая выявляет критичные процессы субъекта (управленческие, технологические, производственные и другие).
  2. Определяются объекты КИИ, связанные с этими процессами.
  3. Полученный перечень КИИ согласовывается со ФСТЭК в течение пяти дней.
  4. Объекту КИИ присваивается одна из трёх категорий значимости или устанавливается отсутствие необходимости присвоения категории.
    • При выборе категории объект КИИ оценивается по показателям критериев значимости. Всего существует 5 групп показателей, включающих от одной до пяти подгрупп. Итоговая оценка ставится по максимальному значению из всех групп/подгрупп.
    • Первая категория означает, что объект требует максимальной защиты.
  5. По результатам составляется Акт категорирования объекта КИИ, который подписывается членами комиссии и утверждается руководителем субъекта КИИ. Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом КИИ перечня объектов.
  6. Сведения о результатах категорирования направляются в ФСТЭК в соответствии с Приказом ФСТЭК №236 в течение 10 дней.

Реестр значимых объектов КИИ формируется и ведётся ФСТЭК России на основании данных, предоставляемых субъектами КИИ. Реестр подлежит защите в соответствии законодательством РФ о гостайне. Соответствующий документ: Приказ ФСТЭК от 6.12.2017. № 227.

Данные об изменении категории КИИ также должны направляться в ФСТЭК. Изменение категории КИИ значимости может произойти:

  • По мотивированному решению ФСТЭК по результатам проверки, выполненной в рамках осуществления государственного контроля в области обеспечения безопасности значимых объектов КИИ
  • Объект перестал соответствовать критериям значимости и показателям их значений
  • Субъект КИИ был реорганизован, ликвидирован или произошли изменения в его организационно-правовой форме

Субъект КИИ не реже чем один раз в 5 лет осуществляет пересмотр установленной категории значимости и сообщает об изменениях в ФСТЭК.

Какие есть требования к системам безопасности значимых объектов КИИ

Регулируются Приказом ФСТЭК от 21.12.2017 №235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования».

Система безопасности значимых объектов — это совокупность организационных, технических, правовых и других мер. Она может быть создана для обеспечения безопасности одного объекта или совокупности объектов. Кроме того, субъект в праве создать одну систему безопасности для всех значимых объектов.

Что такое система безопасности значимых объектов

Требования, описанные в приказе, едины для объектов всех трёх категорий КИИ. Допускается применять их в том числе для обеспечения безопасности незначимых объектов КИИ.

Задачи, выполняемые системой безопасности:

  1. Предотвращение неправомерного доступа к информации, обрабатываемой значимыми объектами;
  2. Предотвращение воздействия на технические средства обработки информации, в результате которого может быть нарушено или прекращено функционирование объектов;
  3. Восстановление функционирования объектов, если они вышли из строя;
  4. Непрерывное взаимодействие с ГосСОПКА.

Как организовать взаимодействие с ГосСОПКА

Для подключения субъекта КИИ к ГосСОПКА необходимо направить письменный запрос в ФСБ России по адресу: 107031, г. Москва, Ул. Большая Лубянка, д. 1/3. В запросе необходимо указать сферы деятельности субъекта КИИ, перечень информационных ресурсов, включенных в зону ответственности субъекта, контактные данные руководителя и лиц, ответственных за взаимодействие.

В соответствии с приказом ФСБ России № 367 взаимодействие осуществляется через НКЦКИ с помощью технической инфраструктуры НКЦКИ или по альтернативным каналам — почте (в том числе электронной), факсу, телефону.

Для обмена информацией об инцидентах через техническую инфраструктуру НКЦКИ необходимо организовать канал защищенного межсетевого взаимодействия, решить организационные вопросы по определению зоны ответственности и подключить организацию к технической инфраструктуре под определенной учетной записью.

В состав системы безопасности входят три основных элемента: силы, средства, организационно-распорядительные документы.

Что понимается под силами системы безопасности значимых объектов КИИ

  1. Руководитель субъекта — определяет состав и структуру системы и функции её участников по обеспечению безопасности.
  2. Уполномоченное лицо (назначается по решению руководителя) — создаёт систему безопасности, контролирует её функционирование.
  3. В зависимости от количества объектов, их категорий и загруженности персонала в структурных подразделениях назначаются ответственные за обеспечение безопасности КИИ. К ним относятся:
    • Работники подразделений, эксплуатирующих объект — обеспечивают безопасность во время эксплуатации.
    • Работники подразделений, обеспечивающих функционирование — осуществляют свои функции в соответствии с правилами безопасности.
    • Данные сотрудники должны обладать соответствующими знаниями и навыками для обеспечения безопасности значимых объектов, а также должны ежегодно проходить повышение уровня знаний по вопросам обеспечения безопасности КИИ и возможным угрозам.
  4. Подразделения, ответственные за обеспечение безопасности — выполняют исключительно функции по обеспечению безопасности объекта.

Для проведения работ по обеспечению безопасности КИИ субъектами также могут привлекаться внешние организации. Однако у таких организаций должна быть соответствующая лицензия ФСТЭК России: либо в области защиты государственной тайны (если на объекте обрабатывается информация, составляющая гостайну), либо по технической защите конфиденциальной информации.

«Информационная безопасность в законе». Порядок хранения и защиты информации

К средствам относятся программные и программно-аппаратные средства, предназначенные для обеспечения безопасности объекта.

Средства должны пройти оценку соответствия. В случае, если объектом обрабатывается государственная тайна или объект КИИ представляет собой государственную информационную систему, сертификация обязательна.

В приоритетном порядке применяются встроенные в рабочие системы специальные программные средства защиты информации. Они должны применяться в соответствии с эксплуатационной документацией и обязательно сопровождаться поддержкой со стороны разработчика. При создании системы также должны учитываться возможные ограничения самого разработчика, например, запрет использования средства на определённых объектах

Нормативно-организационные документы разделяются на три категории:

  • Общесистемные документы (определяют цели, задачи, существующие угрозы, основные организационно-технические мероприятия, состав и структуру системы безопасности)
  • Документы, которые встроены в правила безопасной работы работников и регламенты действий в случае возникновения инцидентов или иных внештатных ситуаций
  • Документы планирования и документы, в которых описаны действия работников в различных ситуациях (порядок проведения испытаний, порядок приёмки, порядок взаимодействия подразделений и т.д.)

Состав и форма документов определяются субъектом КИИ самостоятельно. Допускается изложение всех перечисленных положений в одном документе, а также частичное изложение в разных документах при условии отражении этого в системе ОРД субъекта.

Отдельно подчеркивается, что документация должна быть не формальным набором инструкций, а реальным руководством сотрудников.

Требования к функционированию системы безопасности значимых объектов КИИ

Требования к функционированию системы безопасности разделены на 4 этапа, соответствующие классическому циклу PDCA:

Планирование и разработка мероприятий

В рамках этого этапа должен ежегодно разрабатываться План мероприятий по обеспечению безопасности значимых объектов. Утверждается исключительно руководителем субъекта КИИ. В отношении каждого мероприятия должны быть определены сроки реализации и подразделения, ответственные за исполнение. Контроль за исполнением осуществляется структурным подразделением по безопасности. Результаты отражаются в отчете, который предоставляется руководителю субъекта КИИ.

Реализация (внедрение) мероприятий

В рамках этого этапа реализуется составленный План мероприятий. Выполнение мероприятий осуществляется в соответствии с заранее разработанными организационно-структурными документами субъекта.

Этап включает принятие организационно-технических мер, применение технических средств защиты информации. Результаты документируются и учитываются при подготовке следующего ежегодного Плана.

Контроль состояния безопасности объектов

Проводится ежегодно. Выделяется внешний и внутренний контроль состояния безопасности.

Внутренний контроль проводится комиссией, назначаемой субъектом. В состав входят работники подразделения, ответственного за обеспечение безопасности, а также сотрудники заинтересованных подразделений.

Внешний контроль (аудит) проводится внешней организацией, имеющей лицензию в области услуг по контролю защищенности информации от НСД и её модификации системах и средствах автоматизации.

Совершенствование безопасности объектов

Осуществляется в 3 этапа подразделением по безопасности.

  • Проводится анализ функционирования системы безопасности и состояние безопасности объектов
  • По результатам осуществляется разработка предложений по развитию системы безопасности
  • Рассмотренные предложения представляются руководителю субъекта КИИ и могут быть внесены в План мероприятий

Требования по обеспечению безопасности значимых объектов КИИ

Регулируются Приказом ФСТЭК от 25.12.2017 №239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».

Структура документа схожа с Приказами ФСТЭК №17 и 21 и включает в себя: общие положения, требования по обеспечению безопасности на этапах жизненного цикла, требования к организационным и техническим мерам, а также приложение с перечнем мер по обеспечению безопасности.

Требования документа распространяются на все стадии жизненного цикла системы безопасности: создание, эксплуатация, вывод из эксплуатации. Если на данный момент значимый объект уже функционирует, то требования должны быть выполнены при его ближайшей модернизации.

Реализация требований к ИБ, описанных в Приказе, включает в себя 5 базовых шагов:

Шаг 1. Формирование перечня применимых требований

Включает в себя категорирование объекта КИИ (в соответствии с Постановлением Правительства № 127 от 08.02.2018 г.), а также требования по обеспечению безопасности, включаемые в ТЗ.

Шаг 2. Разработка организационных и технических мер. Включает в себя:

  • Моделирование угроз (по требованиям ФСТЭК)
  • Проектирование системы безопасности
  • Разработка эксплуатационной документации

Шаг 3. Внедрение организационных и технических мер по обеспечению безопасности. Включает в себя:

  • Установка и настройка средств защиты
  • Разработка документов по безопасности объекта
  • Предварительные испытания
  • Опытная эксплуатация
  • Выявление уязвимостей
  • Приемочные испытания (для ГИС проводится аттестация)

Шаг 4. Обеспечение безопасности во время эксплуатации

Шаг 5. Обеспечение безопасности при выводе из эксплуатации

Состав мер по обеспечению безопасности для значимого объекта приводится в приложении к Приказу. Часть мер, вошедших в документ, уже содержатся в Приказе ФСТЭК №17, но также появились новые меры, которые затронули следующие области:

  • Аудит безопасности
  • Реагирование на инциденты ИБ
  • Управление конфигурацией
  • Управление обновлениями ПО
  • Планирование мероприятий по обеспечению безопасности
  • Обеспечение действий в нештатных (непредвиденных) ситуациях
  • Информирование и обучение персонала

Помимо этих мероприятий необходимо учитывать следующие ограничения:

  • Не допускается наличие прямого удаленного доступа к значимому объекту
  • Не допускается передача информации, в т.ч. технологической, разработчику/производителю значимого объекта без ведома субъекта КИИ

При отсутствии возможности реализации отдельных мер защиты информации, в первую очередь рассматриваются меры по обеспечению промышленной и физической безопасности объекта.

При выборе мер следует учитывать возможные угрозы, связанные с соответствующим категории объекта уровнем потенциалом источника, а также соотношение категории значимости и требуемого класса СЗИ.

Классификация угроз и уязвимости информационных систем

Оцените статью