Как проводится категорирование объекта 187 фз

Введение

Еще год назад, когда речь шла о безопасности критически важных объектов, на ум приходила защита промышленных объектов, например гидроэлектростанций, и 31-й Приказ ФСТЭК России. Ситуация изменилась — на самом высшем государственном уровне было решено, что если, например, кибератака остановит на неделю работу крупного банка, то ущерб для людей будет, мягко говоря, значительным.

С 1 января 2018 года вступил в силу Федеральный закон №187 от 26.07.2017 г. «О безопасности КИИ РФ», вводящий понятие критической информационной инфраструктуры. Кто сегодня подпадает под его действие и какие меры необходимо предпринять для обеспечения безопасности в соответствии с новыми требованиями — расскажем в статье.

https://www.youtube.com/watch?v=https:accounts.google.comServiceLogin

Понятие «критическая информационная инфраструктура» определена в законе довольно расплывчато. Сперва закон определяет понятие «субъект КИИ»: «субъекты критической информационной инфраструктуры — государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей».

Чтобы понять эту формулировку, ее приходится анализировать по частям. В ней определяется тринадцать сфер деятельности (здравоохранение, наука, транспорт и т. п.), которые находятся в фокусе внимания закона. Закон затрагивает не сами эти сферы, а информационные системы, автоматизированные системы управления и информационно-телекоммуникационные сети (для краткости дальше по тексту будем называть их объектами IT-инфраструктуры), которые в этих сферах функционируют.

Далее, закон определяет понятие «объект КИИ»: «объекты критической информационной инфраструктуры — информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры».

Из этих определений следует, что закон затрагивает целые отрасли экономики, в которых работают десятки тысяч организаций и индивидуальных предпринимателей, вплоть до отдельных таксопарков и стоматологических кабинетов. Но не все так мрачно: основные требования закона относятся к объектам КИИ, которым в результате категорирования присваивается категория значимости.

Является ли организация субъектом КИИ?

Изучив НПА и алгоритм  категорирования объектов КИИ (см. выше) можно непосредственно приступить к практике. Здесь хотелось бы дать ряд советов и показать практические кейсы для организаций финансовой и банковской сферы.

Это говорит о том, что не каждый банк или финансовая структура вообще подпадает под законодательство о КИИ. Надо помнить, что категорируем мы не субъект, а объект КИИ, для каждого объекта КИИ будет присвоена своя категория, оценку последствий инцидента надо делать для каждого объекта.

На начальном этапе нужно сформировать комиссию. Подробнее об этом  можно прочитать по ссылке: Этап 1. Создание комиссии по категорированию объектов КИИ (там же и образец «Приказа о создании комиссии по категорированию КИИ»).

Затем необходимо определиться с процессами, которые есть в организации, составить их полный перечень. На этом этапе нам не обойтись без помощи специалистов и руководителей различных подразделений. Рассмотрим, как действовать, на примере банка. Как правило, основные виды деятельности  организации уже задокументированы, специалисту ИБ надо внимательно изучить учредительные и др.

Виды деятельности банка по  Код ОКВЭД 64: «Деятельность по предоставлению финансовых услуг, кроме услуг по страхованию и пенсионному обеспечению».  Затем, исходя из видов деятельности, необходимо прописать бизнес-процессы в финансовой организации. Есть различные классификации бизнес-процессов в банковской сфере (в конкретном банке они, как правило, уже задокументированы).

Основные бизнес-процессы банка:

  • Создание продукта (услуги), представляющего ценность для внешнего клиента.
  • Получение добавленной стоимости.
  • Получение прибыли, как цель коммерческой деятельности.

Обеспечивающие бизнес-процессы банка:

  • Процессы, клиентами которых являются основные процессы.
  • Процессы, которые создают и поддерживают инфраструктуру банка.

Управляющие бизнес-процессы банка:

  • Процессы, основной целью которых является управление деятельностью банка.
  • Процессы, которые обеспечивают развитие банка и регулируют его текущую деятельность.

Рис.1. Бизнес-процессы банка (типовой пример)

Для начала ответим на важный вопрос: нарушение (или остановка)  каких процессов в банке приведет негативным экономическим последствиям, согласно ПП №127? Т.е.  другими словами, в ходе категорирования мы попытаемся решить, попадают ли возможные последствия от компьютерных инцидентов на объекте КИИ (ИС, ИТС, АСУ) в категории значимости (ПП 127).

См.  таблицу в ПП №127, п.3. «Экономическая значимость» п. 8,9,10.

Как проводится категорирование объекта 187 фз

Как выделить из всех процессов именно критические и связать с ними объекты КИИ видно на рис  2.  Например, Процесс 2 не критический.

Рис 2. Выявление критических процессов

Выделяем объекты КИИ, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов, т.е. осуществляют управление, контроль, мониторинг критических процессов.

https://www.youtube.com/watch?v=https:tv.youtube.com

Таблица 1. Объекты КИИ и процессы

Например, в качестве объектов КИИ в банке есть:

  •  Система дистанционного банковского обслуживания (СДБО);
  •  Процессинговая система;
  •  Антифрод система;
  •  Автоматизированная банковская система (АБС) и др.

На этом этапе уже можно занести объекты КИИ в «Перечень объектов КИИ».

Принимаем решение о значимости объекта КИИ: перечень объектов у нас есть, также построена взаимосвязь объектов с процессами (Таблица 1).

Далее оцениваем:

  •  действия нарушителей;
  •  уязвимости и потенциальные угрозы;
  •  масштаб возможных последствий (оценим по таблице из ПП 127).

Для этой работы нам потребуется: «Модель угроз», «Модель нарушителя», а также статистика по компьютерным инцидентам.  Как правило, в банках есть свои службы ИБ, у которых имеются политики безопасности и др. документы по ИБ, поэтому, думаем, что проблем с такими данными не должно быть.  В помощь службам ИБ: методические документы ФСТЭК России и «Основные положения базовой модели угроз и нарушителей безопасности информации» прил. А ГОСТ Р 57580.1-2017.

Как оценивать?

  • Нужно рассмотреть потенциальные действия нарушителей в отношении объектов КИИ, также иные источники угроз ИБ (в противном случае, кратко обосновать невозможность реализовать угрозы  ИБ нарушителем).
  • Провести анализ угроз ИБ и уязвимостей, которые могут привести к возникновению компьютерных инцидентов на объектах КИИ (или обосновать их неактуальность).
  • Оценить в соответствии с перечнем показателей критериев значимости масштаб возможных последствий, в случае возникновения компьютерных инцидентов на объектах КИИ, (или кратко обосновать невозможность наступления компьютерных инцидентов).

Для более точной оценки при категорировании объектов КИИ, мы составили небольшой опросник.  На вопросы желательно отвечать точно: «да» или «нет».

  1. Уровень процесса выше нижней границы значения для III категории? (см. рис. 2 для наглядности).
  2. Масштаб объекта КИИ выше нижней границы значения для III категории?
  3. Есть ли источники угроз ИБ?
  4. Существуют ли актуальные угрозы ИБ?
  5. Возможны ли инциденты ИБ на объекте, например, вследствие целенаправленных компьютерных атак?
  6. Возможно ли причинение ущерба вследствие инцидентов ИБ?
  7. Какие возможные последствия от инцидента? Превышает ли их величина нижнюю границу значения показателя для 3 категории?

Таким образом, процесс принятия решения о категорировании объектов КИИ проходит на основании «моделирования угроз».  Для финансовых расчетов возможных потерь и убытков согласно табл. ПП 127 п. 8,9,10. желательно привлечь специалистов из экономических подразделений банка.

После проведения категорирования объектов КИИ составляется «Акт категорирования объектов КИИ», который отправляется во ФСТЭК в установленные законом сроки.

По определению, данному в законе, лицо является субъектом КИИ, если ему принадлежат объекты IT-инфраструктуры, функционирующие в тринадцати сферах, перечисленных в определении. К сожалению, в законодательстве нет однозначных определений для понятий «сфера», «принадлежать» и «функционировать», поэтому решение о принадлежности организации к субъектам КИИ очень сильно зависит от субъективных оценок человека, принимающего такое решение.

https://www.youtube.com/watch?v=ytcopyright

В выступлениях, посвященных вопросам безопасности КИИ, представители ФСТЭК России рекомендуют обращать внимание на виды деятельности, указанные в уставе организации и в Едином государственном реестре юридических лиц в форме кодов ОКВЭД, а также на выданные организации лицензии. Действительно, виды деятельности, которыми может заниматься организация, определены в ее уставе, а некоторые виды требуют еще и специального разрешения (лицензии).

Таким образом, если в уставе указан вид деятельности, относящийся к одной из указанных в законе сфер, то организация с большой вероятностью занимается этой деятельностью, и в этом виде деятельности (для краткости назовем его «критическим») она почти наверняка использует какие-либо объекты своей IT-инфраструктуры.

просто в какой-то момент владелец решил отказаться от нерентабельного направления деятельности, а вносить при этом изменения в устав не требуется. Во-вторых, в уставе почти любой коммерческой организации есть приписка «и любыми иными видами деятельности, не запрещенными законом». Поэтому коды ОКВЭД в уставе могут быть полезны, но не являются критерием.

Еще одна тонкость относится к сфере науки. Любая организация, даже не специализирующаяся в области науки, имеет право в своих интересах заниматься научными исследованиями и использовать результаты этих исследованиях при производстве продукции или оказании услуг. В ряде случаев государство даже стимулирует такую деятельность, предоставляя таким организациям налоговые льготы.

В самом сложном положении оказываются организации IT-индустрии, особенно операторы связи, ЦОД и облачных инфраструктур. Ключевым для отнесения организации к субъектам КИИ является не деятельность в одной из «критических» сфер, а принадлежность к этой организации хотя бы одного объекта IT-инфраструктуры, который в одной из этих сфер используется.

Так, зачастую деятельностью в области здравоохранения занимается министерство здравоохранения субъекта федерации, но владельцем всех используемых им информационных систем является отдельное государственное унитарное предприятие — информационно-аналитический центр. В этом случае субъектом КИИ будет являться такой центр.

В результате чаще всего ответить на вопрос, является ли организация субъектом КИИ, можно лишь начав категорирование ее информационных систем.

Согласно закона «О безопасности КИИ РФ», субъекты КИИ — это государственные органы и учреждения, коммерческие компании или ИП, которым на законных основаниях (например, на правах собственности или аренды) принадлежат информационные системы (ИС), информационно-телекоммуникационные сети (ИТКС) и автоматизированные системы управления (АСУ), использующиеся в определенных сферах деятельности.

Эти ИС, ИТКС и АСУ закон называет объектами КИИ, а их совокупность составляет критическую информационную инфраструктуру Российской Федерации. Под ее безопасностью подразумевается состояние защищенности, обеспечивающее устойчивое функционирование при проведении компьютерных атак, а функции контроля за исполнением закона возложены на ФСТЭК России указом Президента РФ №569 от 25 ноября 2017 г.

Что такое категория значимости и для чего она нужна

  1. Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом КИИ перечня объектов.
  2. Перечень объектов КИИ надо подать во ФСТЭК в течение 5 дней после утверждения.
  3. Акт категорирования объектов КИИ подается в течение 10 дней со дня утверждения Акта.
  4. Пересмотр категории объекта КИИ проводится не реже 1 раз в 5 лет.

Критерии значимости рассмотрены в постановлении Правительства РФ №127 от 08.02.2018 «Об утверждении Правил категорирования объектов КИИ РФ, а также перечня показателей критериев значимости объектов КИИ РФ и их значений». Критериев всего пять: социальный, политический, экономический, экологический, а также обеспечение обороноспособности, безопасности государства и правопорядка.

Первое, что нужно сделать, проанализировать уязвимости и смоделировать действия злоумышленников, которые могут привести к возникновению компьютерных инцидентов на объектах КИИ. В результате формируется модель угроз и модель нарушителя. После этого необходимо оценить показатели критериев значимости, установить соответствие объектов КИИ значениям этих показателей и присвоить каждому из объектов одну из категорий значимости (либо принять решения об отсутствии необходимости в присвоении категории).

Показатели значимости подробно расписаны все в том же 127-м постановлении правительства. Если взять, к примеру, социальный критерий, можно говорить об ущербе для жизни и здоровья людей. Третья категория присваивается, если в результате инцидента пострадает один и более человек, а первая — если есть риски для более чем 500 человек.

Как проводится категорирование объекта 187 фз

Следующий показатель социального критерия — нарушение или прекращение функционирования объектов обеспечения жизнедеятельности населения. Это системы водоснабжения, канализации, теплоснабжения, очистки сточных вод и электроснабжения. Тут категории присваиваются по площади, на которой возникают нарушения. Третья категория — муниципальные образования, а первая присваивается, если происходит выход за пределы субъекта федерации.

Социальный критерий оценивается еще по нескольким показателям: транспорт, сети связи и доступ к государственным услугам. С другими критериями ситуация аналогичная — есть множество показателей, и по каждому из них мы оцениваем категории в соответствии со степенью возможного ущерба: количеству пострадавших, затронутым инцидентом территориям, времени недоступности услуг, снижению дохода, уровню вредного воздействия на окружающую среду и т. д.

По результатам составляются акты категорирования объектов КИИ, которые необходимо направить в ФСТЭК в течение 10 дней после подписания (приказ ФСТЭК России №236 от 22.12.2017 «Об утверждении формы направления сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий»). Категорирование объектов КИИ нужно закончить до 1 января 2019 года.

Оценивая объекты КИИ, выгодно делать их разбивку: если у вас есть один большой объект с множеством критичных систем и разными критериями значимости, для него будет установлена максимальная из всех возможных категория значимости. Если такой объект можно разбить на несколько более мелких, то у них могут быть разные (в том числе и более низкие) категории значимости в соответствии с определенными постановлением правительства критериями и показателями. Такой подход выгоден, поскольку для менее значимых объектов меры по защите будут проще и дешевле.

Одной из основных проблем государственного регулирования вопросов информационной безопасности до недавнего времени являлся конфликт интересов с одной стороны — бизнеса, с другой — государства и общества. Как правило, при принятии решения о необходимости тех или иных мер защиты владелец информационной системы оценивает свои потери от возможных инцидентов и сравнивает их со стоимостью мер защиты от этих инцидентов.

С его точки зрения защита нецелесообразна, если затраты на нее превышают возможные его потери при отсутствии такой защиты. К сожалению, при этом владельцы информационных систем чаще всего принимают в расчет только свои потери, игнорируя сопутствующий ущерб. Если в результате выхода из строя АСУ ТЭЦ город на три дня останется без тепла, это приведет к падению выручки компании менее чем на один процент.

Это потери, статистически неотличимые от нуля, и с финансовой точки зрения владелец ТЭЦ мог бы с ними смириться. Для города же три дня, проведенные без тепла и горячей воды, — катастрофа, которую трудно оценить в финансовом выражении. Чтобы решить эту проблему, в законе введено понятие «категория значимости».

Категория значимости — это характеристика объекта КИИ, которая позволяет провести водораздел: вот с этими объектами владелец может поступать, как ему заблагорассудится, а вот эти объекты должны защищаться так, как того требует государство. Для этого в приложении к правилам категорирования (постановление Правительства РФ от 8 февраля 2018 г.

  • причинение вреда жизни и здоровью людей;
  • нарушение работы систем жизнеобеспечения;
  • нарушение транспортного сообщения;
  • нарушение связи;
  • снижение доходов федерального или местного бюджета и т. п.

В результате для каждого из объектов КИИ вводится четырнадцать показателей категорирования, каждый из которых характеризует размер вреда, который может быть причинен при наступлении соответствующего негативного последствия, например: «В случае отказа системы диспетчерского управления ТЭЦ может быть нарушено теплоснабжение муниципального образования Медведевский район, в котором проживает 67000 человек».

  • размером территории, на которой может быть нарушено теплоснабжение (территория муниципального образования);
  • численностью населения, жизнеобеспечение которого может быть нарушено (67000 человек).

Как проводится категорирование объекта 187 фз

Для каждой величины, характеризующий показатель категорирования, устанавливаются четыре градации, по которым определяется категория значимости объекта КИИ. Например, для численности населения, которое может остаться без теплоснабжения, установлены следующие градации:

  • 2 тыс. и менее — объект не является значимым;
  • от 2 тыс. до 1 млн — объекту присваивается третья категория значимости;
  • от 1 до 5 млн — объекту присваивается вторая категория значимости;
  • более 5 млн — объекту присваивается первая, наивысшая категория значимости.

https://www.youtube.com/watch?v=upload

Таким образом, все на тот же первый взгляд, по численности населения система диспетчерской автоматизации данной ТЭЦ должна быть отнесена к значимым объектам КИИ третьей категории значимости.

В действительности определение объектов КИИ и категорий их значимости — не такая простая задача. Во-первых, даже в пределах отдельного муниципального образования теплоснабжение может обеспечиваться системой из нескольких ТЭЦ и автономных котельных, и определить численность населения, обслуживаемую одним предприятием — задача сама по себе непростая.

Во-вторых, объектом КИИ является не предприятие, а каждая информационная система, каждая автоматизированная система управления и каждая информационно-телекоммуникационная сеть предприятия, которые в данном примере используются для теплоснабжения. То есть объектами КИИ будут являться автоматизированные системы управления водогрейными котлами (причем каждый котел может иметь отдельную систему управления), насосами, задвижками и т. п.

Таким образом, категорирование объектов КИИ — довольно сложный процесс, требующий учета многих нюансов деятельности организации. И начать стоит с определения основополагающего факта.

Кого касаются требования 187-ФЗ о безопасности КИИ

Под требования законодательства о безопасности КИИ подпадают субъекты, работающие в сфере атомной, ракетно-космической, горнодобывающей, металлургической, химической и оборонной промышленности, здравоохранения, науки, энергетики, транспорта и связи. Субъектами КИИ также являются предприятия топливно-энергетического комплекса и организации из банковской и финансовой сферы.

Чтобы понять, нужно ли вам позаботиться о защите объектов КИИ, придется проверить коды ОКВЭД, уставные документы и выданные на соответствующие виды деятельности лицензии. Если по формальным признакам организация не относится к указанным в ФЗ-187 отраслям, расслабляться не стоит — необходимо проанализировать бизнес-процессы и информационные системы (ИС, ИТКС и АСУ), работающие в регулируемых отраслях.

ПЕРЕЧЕНЬ ПОКАЗАТЕЛЕЙ КРИТЕРИЕВ ЗНАЧИМОСТИ

  1. Социальная
  2. Политическая
  3. Экономическая
  4. Экологическая
  5. Значимость для обеспечения обороны страны, безопасности государства и правопорядка.

В таблице  ПП №127 детально расписаны эти показатели. Например, по «социальному критерию» идет подразделение на «причинение ущерба жизни и здоровью людей», «прекращение или нарушение функционирования объектов обеспечения жизнедеятельности населения» и т.д.   Потенциальный ущерб учитывается по охваченной территории и по количеству пострадавших людей, детальную информацию по всем показателям можно найти в данной таблице.

Исходя из нормативных документов, организации (субъекты КИИ) будут сами составлять перечень процессов (управленческие, технологические, финансово-экономические, производственные и др. процессы) и сами оценивать их критичность. Таким образом,  количество объектов КИИ, которые войдут в перечень, зависит от решения самих организаций.

Важное примечание: может  получиться так, что у субъекта КИИ вообще не будет объектов КИИ, подлежащих категорированию (т.е. они будут обозначены, как «без категории»). Однако надо учитывать, что «Перечень объектов КИИ» согласовывается с отраслевым регулятором (например, с Министерством энергетики, Банком России и пр.) и перечень объектов КИИ отправляется во ФСТЭК.

По вопросам оформления перечня объектов КИИ советуем ознакомиться с «Информационным сообщением» ФСТЭК от 24 августа 2018 г. N 240/25/3752

Какие именно исходные данные понадобятся для категорирования объектов КИИ, можно посмотреть здесь:  Этап 5. Сбор исходных данных для категорирования объектов КИИ.

В первую очередь субъектам необходимо сформировать перечень объектов КИИ и провести их категорирование. Для этого создается специальная комиссия, утверждаемая приказом — в нем обязательно указывается состав комиссии, план мероприятий со сроками исполнения, а также ответственный за взаимодействие со ФСТЭК России (туда отправляется перечень объектов).

Необходимо определить выполняемые субъектом КИИ управленческие, производственные, финансовые процессы и выявить среди них критические, нарушение или прекращение которых может привести к масштабным негативным последствиям. Затем нужно выявить объекты КИИ, относящиеся к критическим процессам, составить перечень подлежащих категорированию и передать его ФСТЭК в течение 5 дней с момента утверждения. Согласно решению №59 Коллегии ФСТЭК России от 24.04.2018, сделать это нужно было до 1 августа 2018 года.

Как проводится категорирование

Как проводится категорирование объекта 187 фз

Как мы видели на примере ТЭЦ, для категорирования объектов КИИ и даже просто для определения этих объектов требуется глубоко погрузиться в специфику деятельности организации. Для этого необходимо создать специальную комиссию, в состав которой должны входить лица, ответственные за информационную безопасность, представители подразделения ИТ и основных технологических подразделений.

В соответствии с правилами категорирования такая комиссия должны быть постоянно действующей, но торопиться с ее созданием не стоит. Если мы еще не уверены, относится ли организация к субъектам КИИ, для начала достаточно обсудить основные направления деятельности организации с лицами, которым эта деятельность хорошо известна.

В небольших организациях такими людьми будут генеральный директор и главный бухгалтер, на производственных предприятиях — главный инженер, главный технолог или главный энергетик, в медицинских учреждениях — главный врач или заместитель главного врача по медицинской части. Организация не является субъектом КИИ, если:

  • она не занимается деятельностью ни в одной из «критических» сфер;
  • она занимается одним или несколькими «критическими» видами деятельности, но для них не использует объекты IT-инфраструктуры.

https://www.youtube.com/watch?v=ytabout

В остальных случаях требуется создать комиссию по категорированию, и первым действием комиссии является составление перечня процессов организации (управленческих, технологических, производственных, финансово-экономических и так далее), в которых используются объекты IT-инфраструктуры. Формально правила категорирования предписывают включать в перечень вообще все процессы, но в реальности процессы, связанные исключительно с ручным или механизированным трудом потом все равно будут исключены из рассмотрения.

Далее, для каждого процесса нужно определить, может ли его нарушение или прекращение привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка. Сами правила не говорят, какие именно последствия должны рассматриваться, но на практике достаточно ограничиться теми четырнадцатью, которые указаны в приложении к постановлению №127 в качестве показателей категорирования. Процессы, нарушение которых может привести к таким последствиям, называются критическими, а остальные из дальнейшего рассмотрения исключаются.

Стоит отметить, что возможность наступления негативных последствий, делающих процесс критическим, не всегда очевидна. На первый взгляд, процессы бухгалтерского учета и взаиморасчетов с контрагентами не могут существенно влиять на производственную деятельность, и в большинстве организаций это именно так.

Но, например, на некоторых предприятиях прекращение бухгалтерских операций может привести к задержке оплаты материалов и, как следствие, прекращению поставок, остановке производства и срыву сроков исполнения государственного оборонного заказа — последствию, которое именно для этого предприятия делает процессы бухгалтерского учета критическими.

Далее, для каждого критического процесса определяются объекты IT-инфраструктуры, используемые в процессе — они и станут объектами КИИ, которые комиссии предстоит категорировать. Критические процессы, не использующие объекты IT-инфраструктуры, из дальнейшего рассмотрения исключаются. Все выявленные таким образом объекты КИИ включаются в единый перечень, который должен быть направлен в центральный аппарат ФСТЭК России.

Анализ процессов при категорировании КИИ

Далее для каждого объекта КИИ следует оценить актуальные для него негативные последствия, к которым может привести атака на этот объект, и масштаб таких последствий. Это уже творческая работа, в чем-то аналогичная анализу угроз, который должен проводиться при создании системы защиты — об этом мы поговорим чуть позже. Сложность заключается в том, что:

  • каждый объект может использоваться в нескольких критических процессах;
  • один и тот же объект можно атаковать разными способами, и это будет проводить к разным последствиям для разных процессов.

В результате анализа нужно для каждого объекта КИИ по каждому показателю категорирования оценить максимально возможный масштаб негативных последствий, соответствующих данному показателю. Наконец, на основе этой оценки нужно для каждого показателя категорирования определить, какой категории значимости соответствует данный объект КИИ по данному показателю. В результате объекту присваивается максимальная из получившихся категорий и составляется акт категорирования.

Сведения о результатах категорирования включаются в форму, утвержденную приказом ФСТЭК России №236 22 декабря 2017 г., отдельно по каждому объекту и направляются в центральный аппарат ФСТЭК России.

Особенности анализа угроз при категорировании объектов КИИ

Проводя категорирование, субъекты часто путают два понятия:

  • анализ угроз, который проводится при создании системы безопасности значимого объекта КИИ в соответствии с приказом ФСТЭК России №239 от 25 декабря 2017 г.;
  • оценка негативных последствий инцидента с объектом КИИ, которая проводится при категорировании.

В первом случае решается задача выбора мер защиты и способов их реализации. Чтобы выбрать адекватную реализацию меры защиты (например, требуется ли для защиты от сетевых атак применять межсетевой экран прикладного уровня или достаточно обойтись сигнатурной системой обнаружения вторжений), нужно оценить все возможные способы проведения атак — и для этого предписывается использовать Банк данных угроз и уязвимостей ФСТЭК России.

Рассмотрим на примере всё того же теплоснабжения. На стадии категорирования нам в общих чертах известен технологический процесс теплоснабжения: водогрейные котлы нагревают воду, насосы нагнетают холодную воду в котлы, а горячую — в трубы теплотрассы, подача воды в отдельные участки трубы регулируется задвижками, давление воды контролируется датчикам, превышение допустимых показателей приводит в действие аварийную защиту. Все перечисленные компоненты управляются автоматизированно.

https://www.youtube.com/watch?v=ytpolicyandsafety

На стадии категорирования мы принимаем в качестве аксиомы, что если не обеспечивать защиту системы от действий злоумышленника, то он может воздействовать на элементы системы управления. Исходя из этого мы ставим себя на место злоумышленника и оцениваем потенциально возможные сценарии его действий, ставя целью причинение максимального ущерба.

Например, нарушитель потенциально может отключить аварийную защиту, перекрыть задвижку на выходе водогрейного котла и увеличить до максимума мощность насоса, нагнетающего воду в котел. Результатом потенциально может стать повреждение котла, как следствие — нарушение теплоснабжения подключенных к котельной потребителей.

Для оценки возможности такого сценария не требуется оценивать, возможно ли внедрение вредоносного кода или данных в программное обеспечение системы управления котельной или иные угрозы, перечисленные в банке данных ФСТЭК России. Достаточно того, что система управления позволяет человеку, получившему к ним доступ, выполнить подобные действия, и это подтверждает специалист из службы главного инженера организации.

Анализ процессов при категорировании КИИ 2

При оценке негативных последствий субъекты КИИ часто пытаются учесть применяемые меры защиты, например:

  • в системе управления реализован комплекс мер защиты, исключающий несанкционированные действия злоумышленника;
  • в котельной установлено два котла, в штатном режиме работающие с половинной нагрузкой.

В подобном подходе заключаются сразу три методических ошибки. Во-первых, нарушена причинно-следственная связь, установленная в нормативных документах ФСТЭК: сперва оцениваются угрозы, и только потом выбираются соответствующие им меры защиты. Полное резервирование котлов потому и выполняется, что выход из строя одного из них привел бы к нарушению теплоснабжения потребителей. Иначе получается бессмыслица: нарушение теплоснабжения невозможно благодаря резервированию котлов, а раз оно невозможно, резервный котел не нужен.

Во-вторых, в случае категорирования объектов КИИ угрозы определяют категорию значимости, а категория значимости — состав базовых мер защиты, которые должны быть реализованы на объекте КИИ. На стадии категорирования еще не определена категория значимости объекта, а значит не определено, какие меры защиты являются необходимыми. Поэтому на этой стадии у субъекта нет никаких оснований утверждать, что принятые им меры защиты достаточны.

В-третьих, правила категорирования требуют при оценке последствий учитывать также и взаимосвязь объектов, включая возможность комбинированной атаки на них. Если нарушитель способен провести атаку на один котел, то он способен точно так же провести атаку и на второй котел, а значит, при категорировании системы управления придется учитывать возможность вывода из строя всех котлов.

Рисунок 1. При категорировании приходится рассматривать теоретически возможные многоходовые сценарии действий нарушителя

Еще одна распространенная ошибка — это попытка категорировать объект КИИ только на основе его назначения, без учета его реального использования. Это хорошо иллюстрирует категорирование в качестве объектов КИИ интеллектуальной медицинской техники. Рассмотрим два примера:

  • теоретически возможно инфицировать аппарат УЗИ вредоносной программой, которая будет подменять изображение;
  • теоретически возможно инфицировать компьютерный томограф вредоносной программой, которая будет подменять снимки.

Обе угрозы кажутся идентичными и приводящими к одинаковым последствиям: нарушитель может, например, удалить из изображения опухоль и тем самым вынудить врача пропустить заболевание, а значит, в обоих случаях возможно причинение вреда жизни и здоровью людей. В действительности результаты категорирования будут разными:

  • Компьютерная томография — исследование статичного объекта с предсказуемым перемещением объекта съемки относительно излучателя. Можно перехватить изображение в процессе его программной обработки, проанализировать и модифицировать прежде, чем оно будет сохранено или показано на экране.
  • УЗИ-диагностика — динамическое исследование, в котором объект съемки перемещается относительно излучателя непредсказуемо для наблюдателя, который не имеет возможности наблюдать за движением руки врача. Перехватить и модифицировать изображение можно, но сделать его правдоподобным — нет.

Соответственно, приходится признать потенциальную опасность для здоровья людей в случае атаки нарушителя на компьютерный томограф и присвоить ему первую категорию значимости. А вот аппарат УЗИ такую опасность не представляет, и присвоение ему категории значимости не требуется. Различие обусловлено не техническими особенностями устройств, а особенностями их использования в лечебном процессе.

Как защитить объекты КИИ

Анализ процессов при категорировании КИИ 3

Перечень организационных и технических мер по обеспечению безопасности для значимых объектов КИИ есть в приказе ФСТЭК России №239 от 25.12.2017 «Об утверждении Требований по обеспечению безопасности значимых объектов КИИ РФ». Требования очень серьезные и защита значимых объектов КИИ должна им соответствовать, но для не значимых объектов такие меры не нужны.

https://www.youtube.com/watch?v=ytdev

Перечень организационных и технических мер по защите значимых объектов КИИ:

  • Идентификация и аутентификация (ИАФ);
  • Управление доступом (УПД);
  • Ограничение программой среды (ОПС);
  • Защита машинных носителей информации (ЗНИ);
  • Аудит безопасности (АУД);
  • Антивирусная защита (АВЗ);
  • Предотвращение вторжений (компьютерных атак) (СОВ);
  • Обеспечение целостности (ОЦЛ);
  • Обеспечение доступности (ОДТ);
  • Защита технических средств и систем (ЗТС);
  • Защита информационной (автоматизированной) системы и её компонентов (ЗИС);
  • Реагирование на компьютерные инциденты (ИНЦ);
  • Управление конфигурацией (УКФ);
  • Управление обновлениями программного обеспечения (ОПО);
  • Планирование мероприятий по обеспечению безопасности (ПЛН);
  • Обеспечение действий в нештатных ситуациях (ДНС);
  • Информирование и обучение персонала (ИПО).

Нелишне будет ознакомиться и с приказом ФСТЭК России №235 от 21.12.2017 «Об утверждении Требований к созданию систем безопасности значимых объектов КИИ РФ и обеспечению их функционирования». Здесь, в частности, перечислены средства обеспечения безопасности:

  • СрЗИ от несанкционированного доступа (включая встроенные в общесистемное, прикладное программное обеспечение);
  • межсетевые экраны;
  • средства обнаружения (предотвращения) вторжений (компьютерных атак);
  • средства антивирусной защиты;
  • средства (системы) контроля (анализа) защищенности;
  • средства управления событиями безопасности;
  • средства защиты каналов передачи данных.

Все они должны быть сертифицированы на соответствие требованиям по безопасности или пройти оценку соответствия в форме испытаний или приемки в соответствии с Федеральным законом от 27.12.2002 г. № 184-ФЗ «О техническом регулировании».

Формальности в процессе категорирования объектов КИИ

В процессе категорирования у субъекта КИИ есть две контрольные точки:

  • момент утверждения перечня объектов КИИ;
  • момент присвоения объекту КИИ категории значимости или принятия решения об отсутствии необходимости присваивать ему категорию.

Перечень объектов КИИ необходимо направить в центральный аппарат ФСТЭК России в течение пяти рабочих дней с момента его утверждения. Ведомство принимает этот перечень к сведению, но никаких действий при этом не предпринимает. Некоторые территориальные управления ФСТЭК рекомендуют направлять им копию перечня — также к сведению.

Сведения о результатах категорирования направляются в центральный аппарат ФСТЭК по мере готовности. Сведения по каждому объекту КИИ должны быть направлены в ФСТЭК в течение десяти рабочих дней с момента утверждения соответствующего акта категорирования. Ведомство проводит проверку таких сведений и в случае несогласия с результатами категорирования в течение десяти календарных дней направляет субъекту замечания. Замечания должны быть устранены также в течение десяти календарных дней.

Важно помнить, что момент утверждения перечня объектов КИИ является стартовой точкой при отсчете сроков проведения категорирования и надзорных действий. Категорирование объектов КИИ должно быть закончено не позднее, чем через год после утверждения перечня, а проверки выполнения требований могут начаться не ранее, чем через три года после завершения категорирования.

Стоит отметить, что крайний срок разработки перечня объектов КИИ нормативными документами установлен лишь для органов власти и государственных учреждений: в соответствии с постановлением Правительство №452 от 13 апреля 2019 г. эти субъекты должны утвердить свои перечни до 1 сентября 2019 г. Остальным субъектам также рекомендуется уложиться к этой дате, но это лишь рекомендация.

Как подключиться к НКЦКИ (ГосСОПКА)

Все субъекты КИИ должны подключиться к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), даже если у них нет значимых объектов КИИ. В главный центр ГосСОПКА в обязательном порядке будут передаваться данные о связанных с информационной безопасностью инцидентах на объектах КИИ — подчеркиваем, здесь речь идет обо всех объектах, а не только о значимых.

Регулирующая процесс законодательная и нормативная база еще не до конца разработана, однако не так давно приказом ФСБ РФ от 24.07.2018 № 366 «О Национальном координационном центре по компьютерным инцидентам» была учреждена новая структура. НКЦКИ будет координировать мероприятия по реагированию на инциденты, осуществлять обмен информацией об атаках между субъектами КИИ и другими организациями, а также займется методическим обеспечением.

Выводы

Правила игры изменились. Нравится нам это или нет, защита важной для жизнедеятельности людей и безопасности страны информационной инфраструктуры больше не является личным делом ее владельцев. У субъектов КИИ уже должны быть готовы (и переданы в ФСТЭК России) перечни объектов. Практика показывает, что далеко не все успели это сделать — стоит поторопиться и заняться категорированием.

Крупные организации могут иметь соответствующие компетенции, чтобы провести все мероприятия самостоятельно, но для небольших это станет серьезной проблемой — на выручку придут консалтинговые компании и системные интеграторы. Для приведения систем защиты в соответствие ФЗ-187 нужно провести обследование ИТ-инфраструктуры и сформировать дорожную карту работ, включающую перечень организационных и технических мероприятий. Время на это пока еще есть, но его осталось уже не так много, стоит поспешить.

https://www.youtube.com/watch?v=ytadvertise

Категорирование объектов КИИ — это своеобразная форма оценки рисков безопасности для объектов IT-инфраструктуры, используемых в важных для государства отраслях экономики и государственного управления. Своеобразие этого процесса вызвано тем, что объекты могут принадлежать коммерческим компаниям и частным лицам, но при этом создавать риски для государства и общества.

Если сравнить процесс категорирования объектов КИИ с аналогичным ему процессом определения уровней защищенности информационных систем персональных данных (постановление Правительства РФ от 01.11.2012 N 1119), видна заметная эволюция в подходе регулятора к формированию требований. Информация и ее свойства (конфиденциальность, доступность, целостность) больше не рассматриваются как самостоятельная ценность, требующая защиты.

Вместо этого требуется оценивать, как именно эта информация обрабатывается и используется и какой реальный вред может причинить злоумышленник, вмешавшись в информационно-технологические процессы. Именно так и рекомендуется оценивать риски — но в регулятивной практике российской информационной безопасности такой подход используется едва ли не впервые.

Важность категорирования заключается даже не в том, что кто-то присвоит своим информационным системам категории значимости и будет исполнять технические требования по обеспечению их безопасности. Нет никаких сомнений, что большинство субъектов КИИ (а скорее всего — все субъекты) будут стремиться разными способами обосновывать незначимость как можно большей части своей IT-инфраструктуры, чтобы по возможности вывести ее из-под нормативных требований. Это неважно.

Важно то, что многие коммерческие компании, и прежде всего — промышленные предприятия, пусть вынужденно, из-под палки, впервые трезво взглянули на состояние защищенности своих информационных систем и систем управления. И для руководства многих из них стала неприятным сюрпризом их практическая беззащитность перед целенаправленными действиями нарушителя.

Какова ответственность за нарушения?

Оценка значимости КИИ

Если вы не успели отправить в ФСТЭК перечень объектов КИИ, никакой ответственности за это не предусмотрено. Но ФЗ-187 действует с начала 2018 года, и если произойдет инцидент, а необходимые меры по защите не были приняты, последствия для субъекта КИИ будут серьезными — в уголовный кодекс уже внесены соответствующие изменения. Согласно ст. 274.

1 УК РФ за создание, распространение и (или) использование ПО или иной компьютерной информации для неправомерного воздействия на КИИ предусмотрены принудительные работы на срок до 5 лет или до 5 лет лишения свободы, а также штраф до 1 млн рублей. Неправомерный доступ к информации КИИ, если он повлек вред, будет наказан принудительными работами сроком до 5 лет, до 6 лет лишения свободы и штрафами до 1 млн рублей.

Есть ответственность и для субъектов КИИ. Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой законом информации КИИ либо правил доступа, если оно повлекло причинение вреда для КИИ, наказывается принудительными работами на срок до 5 лет, лишением свободы до 6 лет, запретом на определенные виды деятельности на срок до 3 лет для юридических лиц и индивидуальных предпринимателей или запретом занимать определенные должности для физических лиц на тот же срок.

https://www.youtube.com/watch?v=ytpress

У этой статьи есть усиление. Если преступление совершено группой лиц или с использованием служебного положения, оно наказывается лишением свободы на срок до 8 лет, а также запретом на определенные виды деятельности (юридические лица и ИП) или запретом занимать определенные должности (физические лица) на срок до 3 лет. В случае тяжких последствий максимальный срок лишения свободы увеличивается до 10 лет, а запрет на виды деятельности и должности — до 5 лет.

Понравилась статья? Поделиться с друзьями:
Юрист
Adblock
detector