Категорирование объектов КИИ
Согласно внутреннему подходу, работы по категорированию объектов критической информационной инфраструктуры (далее — КИИ/критическая информационная инфраструктура) включают в себя 8 этапов.
Последовательность выполнения этапов и описание этапов работ:
Этап 1. Создание комиссии по категорированию объектов КИИ
На данном этапе готовится Приказ о создании комиссии по категорированию КИИ.
В состав комиссии необходимо включить:
• генерального директора или уполномоченное им лицо;
• специалистов производства;
• специалистов промышленной безопасности;
• специалистов отдела АСУ ТП;
• специалистов отдела информационных технологий;
• ответственных за обеспечения безопасности в АСУ ТП;
• работников подразделения по защите государственной тайны;
• специалистов по промышленной безопасности, по гражданской обороне и защите от чрезвычайных ситуаций.
В состав комиссии могут включаться представители отраслевого регулятора.
Пример приказа О создании комиссии (наименование организации, учреждения) по категорированию объектов КИИ
Основание проведения работ: ПП РФ №127, п. 11-13.
—
Этап 2. Составление перечня объектов КИИ
На данном этапе необходимо разработать:
• Протокол заседания комиссии;
• Перечень объектов КИИ (приложение к протоколу).
Для разработки документов необходимо осуществить:
а) определение процессов, в рамках осуществления видов деятельности субъекта КИИ;
б) выявление процессов, нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка (далее — критические процессы);
в) определение ИС (объектов КИИ), которые обрабатывают информацию, необходимую для обеспечения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов;
г) формирование перечня объектов КИИ, подлежащих категорированию (далее — перечень объектов)
Основание проведения работ: ПП РФ №127, п. 14.
ФСТЭК России опубликовала информационное сообщение от 24 августа 2018 г. N 240/25/3752, в котором содержится рекомендуемая форма перечня объектов КИИ, подлежащих категорированию.
Перечень объектов КИИ оформляется в виде таблицы следующего содержания:
Перечень утверждается руководителем субъекта КИИ или уполномоченным лицом. Обязательно указывается дата утверждения
Этап 3. Согласование перечня объектов КИИ
На данном этапе Перечень объектов КИИ согласовывается с отраслевым регулятором (например, с Министерством энергетики, Банком России и пр.).
Результатом данного этапа является: Согласованный Перечень объектов КИИ.
Основание проведения работ: ПП РФ №127, п. 15.
Этап 4. Отправка перечня объектов во ФСТЭК
На данном этапе готовится уведомление во ФСТЭК.
Основание проведения работ: ПП РФ №127, п. 15.
Этап 5. Сбор исходных данных для категорирования объектов КИИ
На данном этапе проводится обследование потенциальных объектов КИИ и готовится Отчет об обследовании.
Полученные данные являются исходными данными, для категорирования объектов КИИ. Отчет об обследовании включает в себя:
а) сведения об объекте КИИ (назначение, архитектура объекта, применяемые программные и программно-аппаратные средства, взаимодействие с другими объектами критической информационной инфраструктуры, наличие и характеристики доступа к сетям связи);
б) описание процессов, автоматизируемых с помощью объекта КИИ;
в) состав информации, обрабатываемой объектами КИИ, сервисы по управлению, контролю или мониторингу, предоставляемые объектами КИИ;
г) декларация промышленной безопасности опасного производственного объекта, декларация безопасности гидротехнического сооружения и паспорт объекта топливно-энергетического комплекса в случае, если на указанных объектах функционирует объект критической информационной инфраструктуры (если разработка указанных деклараций и паспорта предусмотрена законодательством Российской Федерации);
д) сведения о взаимодействии объекта КИИ с другими объектами КИИ и (или) о зависимости функционирования объекта КИИ от других таких объектов.
Основание проведения работ: ПП РФ №127, п.16.
Этап 6. Анализ угроз безопасности
В качестве исходных данных для анализа угроз безопасности информации используется банк данных угроз безопасности информации (bdu.fstec.ru).
Анализ угроз включает:
а) выявление источников угроз безопасности информации и оценку возможностей (потенциала) внешних и внутренних нарушителей;
б) анализ возможных уязвимостей значимого объекта и его программных, программно-аппаратных средств;
в) определение возможных способов (сценариев) реализации (возникновения) угроз безопасности информации;
г) оценку возможных последствий от реализации (возникновения) угроз безопасности информации.
В качестве результата работ по этапу разрабатывается Модель угроз безопасности.
Основание проведения работ: Приказ ФСТЭК № 239, п. 11.1.
—
Этап 7. Категорирование объектов КИИ
Решение комиссии по категорированию оформляется актом, который подписывается членами комиссии по категорированию и утверждается генеральным директором. Акт составляется по утвержденной ФСТЭК форме направления сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из такой категории.
Результатом работ по данному этапу является:
• Акты категорирования объектов КИИ.
Основание проведения работ: ПП РФ №127, п.16.
Этап 8. Отправка сведений о категорировании во ФСТЭК
Сведения о результатах присвоения объекту категории КИИ либо об отсутствии необходимости присвоения ему одной из таких категорий направляются во ФСТЭК России по утвержденной ФСТЭК России форме.
Основание проведения работ: ФЗ №187, ст. 7, п. 5; ПП РФ № 127, п. 17-18.
После проверки сведений о результатах присвоения категорий значимости, ФСТЭК России уведомляет субъекта КИИ о внесении его объектов в Реестр КИИ.
Работы, после получения уведомления о внесении объектов в Реестр КИИ, включают в себя следующие этапы:
• Формирование требований к обеспечению безопасности значимого объекта;
• Уточнение модели угроз безопасности информации;
• Разработка рекомендаций по нейтрализации отдельных угроз;
• Проектирование СОИБ АСУ ТП;
• Разработка рабочей (эксплуатационной) документации;
• Установка и настройка СЗИ;
• Разработка организационно-распорядительных документов по обеспечению безопасности АСУ ТП;
• Предварительные испытания СОИБ АСУ ТП;
• Опытная эксплуатация СОИБ АСУ ТП;
• Анализ уязвимостей и принятие мер по их устранению;
• Приемочные испытания СОИБ АСУ ТП;
• Пересмотр установленной категории значимости АСУ ТП.
Дополнительный этап. Независимая экспертиза работ по КИИ
Дополнительным этапом проведенных работ по защите критической информационной инфраструктуры является проведение независимой экспертизы. Экспертиза проводится в соответствии с требованиями 73-ФЗ «О государственной судебно-экспертной деятельности в Российской Федерации».
Цели и задачи экспертизы:
• Установление факта, что работы произведены в соответствии с действующим законодательством, подзаконными актами и требованиями регуляторов;
• Выявление ошибок при проведении работ, либо установление, что ошибок не было;
• Установление технической реализуемости проекта;
• Подтверждение факта корректного подбора и внедрения технических средств и организационных мер;
• Подтверждение функционирования СОИБ АСУ ТП.
В группу экспертиза по КИИ входят:
• Экспертиза проектной документации по защите КИИ;
• Экспертиза качества проведенных работ по защите КИИ;
• Экспертиза соответствия результата выполненных работ требованиям договора и технического задания.
Ключевыми критериями для экспертизы являются следующие нормативно-правовые акты:
• Федеральный закон от 26.07.2017 N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и проекты подзаконных актов;
• ПП Российской Федерации от 08.02.2018 г. № 127 «Об утверждении показателей критериев значимости ОКИИ РФ и их значений, а также порядка и сроков осуществления их категорирования»;
• Приказ ФСТЭК России от 21.12.2017 г. № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования»;
• Приказ ФСТЭК России от 22.12.2017 г. № 236 «Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий»;
• Приказ ФСТЭК России от 25.12.2017 г. № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
В зависимости от целей и задач, а также поставленных вопросов, критерии могут быть иными.
В ходе проведения экспертизы готовится мотивированное экспертное заключение с ответами на вопросы, поставленные перед экспертами. Вопросы определяются в зависимости от целей и задач конкретной экспертизы.
Заключение может использоваться:
• На этапе приемки результата выполненных подрядчиком работ;
• В качестве обоснования корректности проведенных подрядчиком работ;
• В качестве подтверждения корректности выполненных работ для регулятора;
• При принятии решения об отправке сведений во ФСТЭК России.
Независимая экспертиза является желательным элементом, позволяющим не допустить негативных последствий как для непосредственных Исполнителей, так и для Заказчиков.
