Категорирование объектов критической информационной инфраструктуры

FAQ

• Как часто провводится пересмотр категории объекта КИИ?

  Пересмотр категории объекта КИИ проводится не реже 1 раз в 5 лет, а также в случае изменения показателей критериев значимости, указанных в ПП-127.

• Как понять, является ли организация субъектом КИИ?

  В первую очередь, определите свои сферы деятельности согласно ОКВЭД, определите, попадает ли ваша сфера деятельность под сферы деятельности, указанные в Федеральном законе от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (ФЗ-187): сферы здравоохранения, науки, транспорта, связи, энергетики, банковская сфера и иных сферы финансового рынка, топливно-энергетический комплекс, атомная энергия, сферы оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности.

• Что такое категория значимости и для чего она нужна?

  Категория значимости объекта КИИ – главный показатель объектов КИИ, исходя из которого будет определено направление дальнейших работ для выполнения требований ФЗ-187, в частности, определен набор необходимых организационных и технических мер защиты, исходя из присвоенной категории. Перечень показателей критериев значимости представлен в Постановлении Правительства № 127. Категория значимости определяется, исходя из масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах КИИ.

• Показатели критериев значимости объектов КИИ

  Всего определено три категории — первая, вторая или третья (в порядке убывания значимости). Объекты КИИ, которым была присвоена одна из категорий, называются значимыми объектами КИИ. Если объект КИИ не соответствует ни одному из установленных критериев, ему категория не присваивается, но при этом у субъекта КИИ есть обязанность передачи сведений о компьютерных инцидентах в Государственную систему предотвращения и обнаружения компьютерных атак (ГосСОПКА).

• Как происходит категорирование объектов КИИ?

  Категорирование объекта КИИ предполагает определение его категории значимости на основе ряда критериев и показателей.
  В рамках категорирования объектов КИИ необходимо сделать следующие шаги:

  • создать комиссию по категорированию;
  • определить все процессы организации и выделить из них критические;
  • определить объекты КИИ, реализующие критические процессы;сформировать перечень объектов КИИ, подлежащих категорированию и направить его во ФСТЭК России;
  • собрать исходные данные для категорирования и провести категорирование объектов КИИ;
  • подготовить акты и сведения о категорировании объектов КИИ;
  • направить сведения о категорировании во ФСТЭК России.

• Особенности анализа угроз при категорировании объектов КИИ

  Проводя категорирование, субъекты часто путают два понятия: анализ угроз, который проводится при создании системы безопасности значимого объекта КИИ в соответствии с приказом ФСТЭК России № 239 от 25 декабря 2017 г. и оценку негативных последствий инцидента с объектом КИИ, которая проводится при категорировании.

  В первом случае решается задача выбора мер защиты и способов их реализации. Чтобы определить адекватную реализацию меры защиты (например, требуется ли для защиты от сетевых атак применять межсетевой экран прикладного уровня или достаточно обойтись сигнатурной системой обнаружения вторжений), нужно оценить все возможные способы проведения атак — и для этого требуется использовать Банк данных угроз и уязвимостей ФСТЭК России.

  Во втором случае, для оценки негативных последствий нарушения работы объекта КИИ такая степень детализации бесполезна, в ряде случаев — невозможна, а главное — не требуется.

• Что понадобится для подачи информации во ФСТЭК?

  Результаты категорирования объектов КИИ должны направляться субъектом КИИ во ФСТЭК России, которая формирует и ведет реестр значимых объектов КИИ. В реестр включается следующая информация:

  • наименование значимого объекта КИИ;

  • наименование субъекта КИИ;

  • сведения о взаимодействии значимого объекта КИИ и сетей электросвязи;

  • сведения о лице, эксплуатирующем значимый объект КИИ;

  • присвоенная категория значимости;

  • сведения о программных и программно-аппаратных средствах, используемых на значимом объекте КИИ;

  • меры, применяемые для обеспечения безопасности значимого объекта КИИ.

  Если в процессе категорирования было определено отсутствие необходимости присвоения категории значимости объекту КИИ, результаты категорирования все равно должны быть направлены во ФСТЭК России. Регулятор проверяет представленные материалы и, при необходимости, направляет замечания, которые должен учесть субъект КИИ и повторно направить доработанные сведения о категорировании. Если субъект КИИ не предоставит данные о категорировании, ФСТЭК России вправе потребовать эту информацию.

• Сроки категорирования КИИ, сроки подачи документов, сроки пересмотра категории объекта и т.д.

  Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом КИИ перечня объектов.

  Перечень объектов КИИ необходимо подать во ФСТЭК в течение 5 дней после утверждения.

  Решение комиссии оформляется соответствующим актом и в течение 10-ти дней после его утверждения, сведения о категорировании направляется во ФСТЭК России.

  Предоставленные материалы в тридцатидневный срок со дня получения проверяются регулятором на соответствие порядку осуществления категорирования и оценивается правильность присвоения категории.

  Пересмотр категории объекта КИИ проводится не реже 1 раз в 5 лет, а также в случае изменения показателей критериев значимости, указанных в ПП-127.

• Особенности категорирования объектов КИИ в различных отраслях

  Как правило, к большинству объектов КИИ часть показателей неприменима в принципе.
  
  Наиболее распространены следующие показатели:

  • Показатель 1 – Причинение ущерба жизни и здоровью людей (человек).

  • Показатель 9 – Возникновение ущерба бюджетам Российской Федерации, оцениваемого в снижении выплат (отчислений) в бюджеты Российской Федерации, осуществляемых субъектом критической информационной инфраструктуры (процентов прогнозируемого годового дохода федерального бюджета, усредненного за планируемый трехлетний период).

  • Показатель 11 – Вредные воздействия на окружающую среду.

• Что относится к объектам КИИ?

  • информационные системы,
  • информационно-телекоммуникационные сети,
  • автоматизированные системы управления (АСУ) субъектов КИИ.

  На какие организации распространяется действие закона?

  Под субъектом КИИ в законе понимаются государственные органы или учреждения, российские юридические лица или индивидуальные предприниматели, которым принадлежат объекты КИИ – на праве собственности, аренды или на другом основании.

  Документ определяет перечень стратегических отраслей, компании из которых должны соблюдать законодательство в области обеспечения защиты критической информационной инфраструктуры. Соответственно, проводить категорирование обязаны организации из сфер здравоохранения, науки, транспорта и связи, топливно-энергетического комплекса, атомной энергетики, банковской отрасли и финансового рынка, регистрации сделок с недвижимостью, а также ракетно-космической, оборонной, химической, горнодобывающей, металлургической промышленности. Также в этом списке субъекты, обеспечивающие взаимодействие систем и сетей компании.

  Если юрлицо или ИП подпадают под действие закона, то они обязаны провести категорирование, принять меры для обеспечения защиты значимых объектов КИИ и подключить их к Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы (ГосСОПКА). Контроль соблюдения мер по защите КИИ осуществляется Федеральной службой по техническому и экспортному контролю (ФСТЭК), Федеральной службой безопасности (ФСБ) и прокуратурой. На базе ФСБ функционирует Национальный координационный центр по компьютерным инцидентам (НКЦКИ). Он следит за действиями организаций в области обеспечения безопасности критической информационной инфраструктуры, участвует в выявлении компьютерных атак и устранении их последствий, а также хранит и анализирует информацию.

• Категорирование объектов КИИ

  Категорирование объектов КИИ – это ключевой этап в обеспечении безопасности информационных систем. Процесс позволяет определить приоритетные объекты, которые требуют особой защиты. Им присваивается одна из трех категорий значимости в соответствии с важностью и рисками для национальной безопасности страны и общественного порядка. Значимость информационной инфраструктуры устанавливается на основании 14 критериев. Они охватывают пять сфер жизни, аспекты функционирования которых могут быть нарушены в результате компьютерной атаки.

  • Социум – какой ущерб будет нанесен жизни людей и их здоровью.
  • Экономика – какой прямой или косвенный ущерб получат компании и бюджет РФ.
  • Экология – как потенциальные угрозы воздействуют на окружающую среду.
  • Безопасность – какие последствия могут быть для обороны страны и поддержания правопорядка.
  • Политика – как нарушение работоспособности объектов КИИ повлияет на внутреннюю и внешнюю политику РФ.

  Категория значимости присваивается на основе оценки размера потенциального ущерба и вероятных негативных последствий, которые произойдут из-за нарушения работы критической информационной инфраструктуры. К первой категории принадлежат объекты, уязвимость которых может нанести наибольший урон. Например, если в результате нарушения работы информационной инфраструктуры доступ к связи не будут иметь 5 млн человек, то объект относится к первой категории. Если же связью не смогут воспользоваться от 3 тыс. до 1 млн человек, то присваивается третья категория.

  Если объект КИИ не подходит под установленные параметры и показатели, то категория значимости ему не назначается.

   

• Что делать субъекту КИИ?

  Процесс категорирования объектов делится на несколько этапов. Правила процедуры устанавливаются положениями Федерального закона, Постановлением Правительства №127 и документами ФСТЭК.

  • Создать комиссию по категорированию. Ее цель – выявить обрабатывающие информацию объекты и оценить их значимость. В состав комиссии входят руководитель организации, специалисты информационных технологий и связи, работники подразделений информационной безопасности, по защите гостайны и ответственные за ГО и ЧС. Также руководитель может подключить к работе сотрудников других подразделений. Создание комиссии оформляется приказом, где прописаны ее задачи и ответственные лица.
  • Определить процессы в организации – управленческие, технологические, производственные, финансово-экономические, затем установить, какие из них являются критическими и требуют защиты.
  • Выявить объекты КИИ, которые обеспечивают работу критических процессов, и принять решение о необходимости их категорирования.
  • Изучить потенциальные угрозы безопасности объектам КИИ и их источники (внешние и внутренние), определить серьезность возможных последствий из-за компьютерных инцидентов и наихудшие сценарии развития ситуации.
  • Установить каждому объекту КИИ категорию значимости, опираясь на приложение к Постановлению. Или же принять мотивированное решение, что нет необходимости присваивать категорию. Это также необходимо задокументировать.
  • Составить перечень объектов КИИ и согласовать его со ФСТЭК, которая ведет реестр критической информационной инфраструктуры.
  • Направить сведения по каждому объекту КИИ по форме из приказа ФСТЭК №236. Информацию внесут в реестр, если у регулятора не будет замечаний.
  • Утвердить Акт категорирования на все объекты и хранить его в организации.

  Сроки

  • Перечень объектов КИИ, для которых необходимо провести категорирование, направляется во ФСТЭК в течение 10 рабочих дней после утверждения. Документы предоставляются как в печатном, так и в электронном виде.
  • Категорирование объектов КИИ проводится в течение 12 месяцев после утверждения перечня. Несмотря на то, что дается год на эту процедуру, стоит не затягивать и начать как можно раньше.
  • 10 рабочих дней после утверждения Акта есть на передачу во ФСТЭК сведений о результатах процедуры или об отсутствии объектов, попадающих под одну из трех категорий. В документе необходимо указать не только категорию, возможные угрозы и их последствия, но и меры для обеспечения безопасности объекта критической информационной инфраструктуры. Если сведения меняются, то актуальные данные необходимо передать в течение 20 дней.
  • Субъект обязан не реже чем один раз в пять лет пересматривать результаты присвоения объектам КИИ категории значимости.

• Типичные ошибки при категорировании объектов КИИ

  Неверный состав комиссии

  Субъекты КИИ формально подходят к формированию комиссии и включают в ее состав сотрудников без необходимой квалификации. Члены комиссии не участвуют в процедуре категорирования. Это приводит к ошибкам.

  Некорректный расчет показателей значимости

  Категория значимости определяется на основе установленного перечня значений. Сложно учесть все критерии и отраслевые рекомендации без помощи специалистов. Завышение категории значимости грозит дополнительными расходами на защиту таких объектов.

  Неполный анализ последствий

  Рассматриваются не все возможные последствия, которые могут наступить в результате воздействия нарушителей на критическую информационную инфраструктуру.

  Не включаются проектируемые объекты КИИ

  При категорировании упускаются объекты, которые только разрабатываются или проектируются.

  Не учитывается связь объектов

  Упускается то, как объекты КИИ взаимодействуют между собой и другими элементами. Иногда информационная инфраструктура также необоснованно разбиваются на отдельные подсистемы.

  Ошибки в документации

  При подготовке документов допускаются разные ошибки и во ФСТЭК направляются неполные или некорректные сведения. Также субъекты КИИ нарушают сроки предоставления информации уполномоченным органам.