- Основные термины и понятия в процессе категорирования КИИ
- Что такое категорирование объектов КИИ?
- Порядок категорирования объектов КИИ
- Как провести категорирование объектов КИИ
- Какие есть требования к системам безопасности значимых объектов КИИ
- Как организовать взаимодействие с ГосСОПКА
- Что понимается под силами системы безопасности значимых объектов КИИ
- Требования к функционированию системы безопасности значимых объектов КИИ
- Планирование и разработка мероприятий
- Реализация (внедрение) мероприятий
- Контроль состояния безопасности объектов
- Совершенствование безопасности объектов
- Требования по обеспечению безопасности значимых объектов КИИ
Основные термины и понятия в процессе категорирования КИИ
- Критическая информационная инфраструктура — объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов.
- Объекты критической информационной инфраструктуры — информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.
- Субъекты критической информационной инфраструктуры — государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы (ИС), информационно-телекоммуникационные сети (ИТС), автоматизированные системы управления (АСУ), функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.
- Значимый объект критической информационной инфраструктуры — объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры.
- Компьютерный инцидент — факт нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки.
Меры защиты информации в информационных системах
Что такое категорирование объектов КИИ?
Категорирование объекта критической информационной инфраструктуры представляет собой установление соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения.
Порядок категорирования объектов КИИ
Категорирование объектов КИИ осуществляется согласно Постановлению Правительства Российской Федерации от 08.02.2018 г. № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений»
К субъектам КИИ относятся государственные органы, государственные учреждения, российские юридические лица, индивидуальные предприниматели. Сведения о том, является ли организация субъектом КИИ, можно получить в следующих источниках:
- Общероссийский классификатор видов экономической деятельности;
- Лицензии и иные разрешительные документы на различные виды деятельности;
- Уставы, положения организаций (госорганов);
- Другие источники.
Объектами КИИ могут являться: ИС, ИТКС и АСУ, функционирующие в 12 сферах деятельности:
- ИС – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
- ИТС – технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.
- АСУ – комплекс программных и программно-аппаратных средств, предназначенных для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими оборудованием и процессами.
Субъекты КИИ обязаны самостоятельно категорировать принадлежащие им объекты в зависимости от масштаба возможных последствий объекту КИИ.
Категорирование (КИИ) критической информационной инфраструктуры
Как провести категорирование объектов КИИ
Категорирование КИИ проходит следующим образом:
- Руководитель организации создает комиссию по категорированию, которая выявляет критичные процессы субъекта (управленческие, технологические, производственные и другие).
- Определяются объекты КИИ, связанные с этими процессами.
- Полученный перечень КИИ согласовывается со ФСТЭК в течение пяти дней.
- Объекту КИИ присваивается одна из трёх категорий значимости или устанавливается отсутствие необходимости присвоения категории.
- При выборе категории объект КИИ оценивается по показателям критериев значимости. Всего существует 5 групп показателей, включающих от одной до пяти подгрупп. Итоговая оценка ставится по максимальному значению из всех групп/подгрупп.
- Первая категория означает, что объект требует максимальной защиты.
- По результатам составляется Акт категорирования объекта КИИ, который подписывается членами комиссии и утверждается руководителем субъекта КИИ. Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом КИИ перечня объектов.
- Сведения о результатах категорирования направляются в ФСТЭК в соответствии с Приказом ФСТЭК №236 в течение 10 дней.
Субъекты и объекты КИИ
Реестр значимых объектов КИИ формируется и ведётся ФСТЭК России на основании данных, предоставляемых субъектами КИИ. Реестр подлежит защите в соответствии законодательством РФ о гостайне. Соответствующий документ: Приказ ФСТЭК от 6.12.2017. № 227.
Данные об изменении категории КИИ также должны направляться в ФСТЭК. Изменение категории КИИ значимости может произойти:
- По мотивированному решению ФСТЭК по результатам проверки, выполненной в рамках осуществления государственного контроля в области обеспечения безопасности значимых объектов КИИ
- Объект перестал соответствовать критериям значимости и показателям их значений
- Субъект КИИ был реорганизован, ликвидирован или произошли изменения в его организационно-правовой форме
Субъект КИИ не реже чем один раз в 5 лет осуществляет пересмотр установленной категории значимости и сообщает об изменениях в ФСТЭК.
Какие есть требования к системам безопасности значимых объектов КИИ
Регулируются Приказом ФСТЭК от 21.12.2017 №235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования».
Система безопасности значимых объектов — это совокупность организационных, технических, правовых и других мер. Она может быть создана для обеспечения безопасности одного объекта или совокупности объектов. Кроме того, субъект в праве создать одну систему безопасности для всех значимых объектов.
Что такое система безопасности значимых объектов
Требования, описанные в приказе, едины для объектов всех трёх категорий КИИ. Допускается применять их в том числе для обеспечения безопасности незначимых объектов КИИ.
Задачи, выполняемые системой безопасности:
- Предотвращение неправомерного доступа к информации, обрабатываемой значимыми объектами;
- Предотвращение воздействия на технические средства обработки информации, в результате которого может быть нарушено или прекращено функционирование объектов;
- Восстановление функционирования объектов, если они вышли из строя;
- Непрерывное взаимодействие с ГосСОПКА.
Как организовать взаимодействие с ГосСОПКА
Для подключения субъекта КИИ к ГосСОПКА необходимо направить письменный запрос в ФСБ России по адресу: 107031, г. Москва, Ул. Большая Лубянка, д. 1/3. В запросе необходимо указать сферы деятельности субъекта КИИ, перечень информационных ресурсов, включенных в зону ответственности субъекта, контактные данные руководителя и лиц, ответственных за взаимодействие.
В соответствии с приказом ФСБ России № 367 взаимодействие осуществляется через НКЦКИ с помощью технической инфраструктуры НКЦКИ или по альтернативным каналам — почте (в том числе электронной), факсу, телефону.
Для обмена информацией об инцидентах через техническую инфраструктуру НКЦКИ необходимо организовать канал защищенного межсетевого взаимодействия, решить организационные вопросы по определению зоны ответственности и подключить организацию к технической инфраструктуре под определенной учетной записью.
В состав системы безопасности входят три основных элемента: силы, средства, организационно-распорядительные документы.
Что понимается под силами системы безопасности значимых объектов КИИ
- Руководитель субъекта — определяет состав и структуру системы и функции её участников по обеспечению безопасности.
- Уполномоченное лицо (назначается по решению руководителя) — создаёт систему безопасности, контролирует её функционирование.
- В зависимости от количества объектов, их категорий и загруженности персонала в структурных подразделениях назначаются ответственные за обеспечение безопасности КИИ. К ним относятся:
- Работники подразделений, эксплуатирующих объект — обеспечивают безопасность во время эксплуатации.
- Работники подразделений, обеспечивающих функционирование — осуществляют свои функции в соответствии с правилами безопасности.
- Данные сотрудники должны обладать соответствующими знаниями и навыками для обеспечения безопасности значимых объектов, а также должны ежегодно проходить повышение уровня знаний по вопросам обеспечения безопасности КИИ и возможным угрозам.
- Подразделения, ответственные за обеспечение безопасности — выполняют исключительно функции по обеспечению безопасности объекта.
Для проведения работ по обеспечению безопасности КИИ субъектами также могут привлекаться внешние организации. Однако у таких организаций должна быть соответствующая лицензия ФСТЭК России: либо в области защиты государственной тайны (если на объекте обрабатывается информация, составляющая гостайну), либо по технической защите конфиденциальной информации.
«Информационная безопасность в законе». Порядок хранения и защиты информации
К средствам относятся программные и программно-аппаратные средства, предназначенные для обеспечения безопасности объекта.
Средства должны пройти оценку соответствия. В случае, если объектом обрабатывается государственная тайна или объект КИИ представляет собой государственную информационную систему, сертификация обязательна.
В приоритетном порядке применяются встроенные в рабочие системы специальные программные средства защиты информации. Они должны применяться в соответствии с эксплуатационной документацией и обязательно сопровождаться поддержкой со стороны разработчика. При создании системы также должны учитываться возможные ограничения самого разработчика, например, запрет использования средства на определённых объектах
Нормативно-организационные документы разделяются на три категории:
- Общесистемные документы (определяют цели, задачи, существующие угрозы, основные организационно-технические мероприятия, состав и структуру системы безопасности)
- Документы, которые встроены в правила безопасной работы работников и регламенты действий в случае возникновения инцидентов или иных внештатных ситуаций
- Документы планирования и документы, в которых описаны действия работников в различных ситуациях (порядок проведения испытаний, порядок приёмки, порядок взаимодействия подразделений и т.д.)
Состав и форма документов определяются субъектом КИИ самостоятельно. Допускается изложение всех перечисленных положений в одном документе, а также частичное изложение в разных документах при условии отражении этого в системе ОРД субъекта.
Отдельно подчеркивается, что документация должна быть не формальным набором инструкций, а реальным руководством сотрудников.
Требования к функционированию системы безопасности значимых объектов КИИ
Требования к функционированию системы безопасности разделены на 4 этапа, соответствующие классическому циклу PDCA:
Планирование и разработка мероприятий
В рамках этого этапа должен ежегодно разрабатываться План мероприятий по обеспечению безопасности значимых объектов. Утверждается исключительно руководителем субъекта КИИ. В отношении каждого мероприятия должны быть определены сроки реализации и подразделения, ответственные за исполнение. Контроль за исполнением осуществляется структурным подразделением по безопасности. Результаты отражаются в отчете, который предоставляется руководителю субъекта КИИ.
Реализация (внедрение) мероприятий
В рамках этого этапа реализуется составленный План мероприятий. Выполнение мероприятий осуществляется в соответствии с заранее разработанными организационно-структурными документами субъекта.
Этап включает принятие организационно-технических мер, применение технических средств защиты информации. Результаты документируются и учитываются при подготовке следующего ежегодного Плана.
Контроль состояния безопасности объектов
Проводится ежегодно. Выделяется внешний и внутренний контроль состояния безопасности.
Внутренний контроль проводится комиссией, назначаемой субъектом. В состав входят работники подразделения, ответственного за обеспечение безопасности, а также сотрудники заинтересованных подразделений.
Внешний контроль (аудит) проводится внешней организацией, имеющей лицензию в области услуг по контролю защищенности информации от НСД и её модификации системах и средствах автоматизации.
Совершенствование безопасности объектов
Осуществляется в 3 этапа подразделением по безопасности.
- Проводится анализ функционирования системы безопасности и состояние безопасности объектов
- По результатам осуществляется разработка предложений по развитию системы безопасности
- Рассмотренные предложения представляются руководителю субъекта КИИ и могут быть внесены в План мероприятий
Требования по обеспечению безопасности значимых объектов КИИ
Регулируются Приказом ФСТЭК от 25.12.2017 №239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
Структура документа схожа с Приказами ФСТЭК №17 и 21 и включает в себя: общие положения, требования по обеспечению безопасности на этапах жизненного цикла, требования к организационным и техническим мерам, а также приложение с перечнем мер по обеспечению безопасности.
Требования документа распространяются на все стадии жизненного цикла системы безопасности: создание, эксплуатация, вывод из эксплуатации. Если на данный момент значимый объект уже функционирует, то требования должны быть выполнены при его ближайшей модернизации.
Реализация требований к ИБ, описанных в Приказе, включает в себя 5 базовых шагов:
Шаг 1. Формирование перечня применимых требований
Включает в себя категорирование объекта КИИ (в соответствии с Постановлением Правительства № 127 от 08.02.2018 г.), а также требования по обеспечению безопасности, включаемые в ТЗ.
Шаг 2. Разработка организационных и технических мер. Включает в себя:
- Моделирование угроз (по требованиям ФСТЭК)
- Проектирование системы безопасности
- Разработка эксплуатационной документации
Шаг 3. Внедрение организационных и технических мер по обеспечению безопасности. Включает в себя:
- Установка и настройка средств защиты
- Разработка документов по безопасности объекта
- Предварительные испытания
- Опытная эксплуатация
- Выявление уязвимостей
- Приемочные испытания (для ГИС проводится аттестация)
Шаг 4. Обеспечение безопасности во время эксплуатации
Шаг 5. Обеспечение безопасности при выводе из эксплуатации
Состав мер по обеспечению безопасности для значимого объекта приводится в приложении к Приказу. Часть мер, вошедших в документ, уже содержатся в Приказе ФСТЭК №17, но также появились новые меры, которые затронули следующие области:
- Аудит безопасности
- Реагирование на инциденты ИБ
- Управление конфигурацией
- Управление обновлениями ПО
- Планирование мероприятий по обеспечению безопасности
- Обеспечение действий в нештатных (непредвиденных) ситуациях
- Информирование и обучение персонала
Помимо этих мероприятий необходимо учитывать следующие ограничения:
- Не допускается наличие прямого удаленного доступа к значимому объекту
- Не допускается передача информации, в т.ч. технологической, разработчику/производителю значимого объекта без ведома субъекта КИИ
При отсутствии возможности реализации отдельных мер защиты информации, в первую очередь рассматриваются меры по обеспечению промышленной и физической безопасности объекта.
При выборе мер следует учитывать возможные угрозы, связанные с соответствующим категории объекта уровнем потенциалом источника, а также соотношение категории значимости и требуемого класса СЗИ.