Кто осуществляет категорирование объектов транспортной инфраструктуры

Обновлено: 30.06.2024

Таким образом, категорирование - это некая процедура, в ходе которой объект КИИ оценивается по некоторой совокупности показателей и исходя из значений этих показателей ему присваивается категория значимости, либо принимается мотивированное решение о ее отсутствии. На основании установленной категории значимости (при ее наличии) определяется базовый набор мер по обеспечению безопасности.

Процедура категорирования определяется Правилами категорирования объектов критической информационной инфраструктуры Российской Федерации (утв. Постановлением Правительства РФ от 8 февраля 2018 г. № 127), далее по тексту – Правила категорирования.

Автор обращает внимание на важность данного момента, т.к. в практике ему нередко приходилось сталкиваться с таким мнением, что информационные системы, автоматизированные системы или информационно-телекоммуникационные сети, которые не обрабатывают информацию, необходимую для обеспечения критических процессов и не осуществляют управление, контроль или мониторинг критических процессов, якобы, не являются объектами КИИ. Данная точка зрения представляется неверной. Перечисленные системы являются объектами КИИ, однако они не подлежат включению в перечень объектов КИИ, подлежащих категорированию и, соответственно, самому категорированию.

Проведение категорирования

Схематично процедуру категорирования можно представить в следующем виде:



Рисунок 1 – Процедура категорирования

Рассмотрим процедуру категорирования более подробно:

Этап 1. Формирование комиссии по категорированию.

Одним из проблемных вопросов на сегодняшний день является формирование комиссии по категорированию. Несмотря на то, что состав комиссии прописан в п. 11 Правил категорирования, на практике возникают следующие, требующие решения, вопросы:

Кто должен возглавлять комиссию по категорированию?

Пунктом 13 Правил категорирования установлено, что комиссию по категорированию возглавляет руководитель субъекта КИИ или уполномоченное им лицо. При этом, относительно того, кто должен быть уполномоченным лицом, единой позиции нет. Исходя из практического опыта автора, можно сказать, что данным лицом является, как правило, работник, отвечающий за безопасность организации (руководитель службы безопасности, руководитель службы информационной безопасности, заместитель директора по безопасности и т.п.), либо главный инженер промышленного предприятия. По мнению автора, уполномоченным лицом должен быть работник из числа топ менеджмента, в чьи функциональные обязанности входит курирование вопросов обеспечения безопасности.

Какие дополнительные специалисты должны входить в комиссию помимо перечисленных в п. 11 Правил категорирования?

Указанное дополнение позволяет включать в комиссии всех имеющихся у субъекта КИИ специалистов, знания и навыки которых необходимы для корректного расчета и оценки показателей критериев значимости. Прежде всего это касается специалистов финансово-экономического подразделения, необходимых для расчета показателей экономической значимости (раздел 3) и представления их для рассмотрения членами комиссии по категорированию, а также специалистов юридических подразделений для проверки корректности соблюдения процедуры и оформления документов.

Можно ли создавать разные комиссии в филиалах территориально распределенной организации ?

Этап 2. Подготовка перечня объектов КИИ подлежащих категорированию.

В соответствии с п. 14 Правил категорирования для формирования перечня объектов КИИ подлежащих категорированию комиссии по категорированию необходимо:

а) определить процессы, в рамках выполнения функций (полномочий) или осуществления видов деятельности субъекта КИИ.

б) выявить те из них, которые являются критическими, т.е. их нарушение и (или) прекращение может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка.

в) выявить объекты КИИ, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов, для включения в перечень объектов;

То есть, в перечень объектов КИИ, подлежащих категорированию, включаются только те объекты, которые обрабатывают информацию, необходимую для обеспечения критических процессов и (или) осуществляют их управление, контроль или мониторинг, а, следовательно, они и подлежат категорированию.

В рамках же самой процедуры категорирования осуществляется выявление критических процессов, а затем из перечня объектов КИИ вычленяются объекты КИИ, подлежащие категорированию.

Как определить, относится процесс к критическим или нет? Поскольку категорированию подлежат только объекты КИИ, которые автоматизируют критические процессы, на практике перед субъектом КИИ встает вопрос о том, как определить, что тот или иной процесс является критическим.

Действующее законодательство в области КИИ не содержит методики выявления критических процессов, а значит, вопрос отнесения того или иного процесса к критическому остается исключительно на усмотрение субъекта КИИ.

В связи с этим возникают разные подходы к выявлению критических процессов:

По мнению автора, определение критичности процесса должно базироваться на общей логике закона. Речь идет о том, что к критическим нужно относить те процессы, нарушение нормального функционирования которых может привести к последствиям, указанным в Перечне показателей критериев значимости объектов КИИ (утв. постановлением Правительства РФ от 08.02.2018 № 127), и, соответственно, выделять конкретные объекты КИИ, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов.

Этап 3. Оценка объектов КИИ в соответствии с показателями критериев значимости и присвоение каждому из объектов КИИ категории, либо принятие решения об отсутствии необходимости ее присвоения.

На данном этапе комиссия оценивает объекты КИИ по всем показателям критериев значимости утвержденным постановлением Правительства РФ от 08.02.2018 № 127 и, в зависимости от полученных в ходе оценки значений, принимает решение о присвоении объекту КИИ одной из категории значимости, либо об ее отсутствии. Здесь следует отметить следующие важные, с практической точки зрения, моменты:

2. Оценка каждого конкретного объекта КИИ по показателям критериев значимости осуществляется членами комиссии по категорированию, как правило (во всяком случае автор пока не встречал иного), экспертным методом. Каких-либо утвержденных методик проведения расчетов по данным показателям, в настоящее время, нет.

3. Как осуществлять присвоение категории значимости объекту КИИ: с учетом мер защиты или без?

В настоящее время рядом экспертов высказывается мнение о том, что при присвоении объекту КИИ категории значимости, необходимо учитывать принятые на объекте меры защиты.

При этом, на практике, нередки ситуации, когда меры защиты изначально встроены в объект КИИ при его создании, реализуются с момента ввода его в эксплуатацию и не отделимы от объекта КИИ (архитектурные компоненты).

Иными словами, реализация мер обеспечения информационной безопасности не оказывает влияние на присвоение объекту КИИ категории значимости. При определении категории значимости в расчет берутся последствия от уже реализованной гипотетической компьютерной атаки и сравниваются с перечнем показателей критериев значимости – какому показателю соответствует, такая категория и присваивается. Логика этого вполне очевидна и понятна, в расчет категории значимости берутся те последствия, к которым приведет успешная реализация в отношении объекта КИИ компьютерной атаки. В свою очередь, меры защиты лишь позволяют избежать указанной атаки или существенно затруднить ее реализацию и не могут влиять на причиненный в результате нее ущерб.

Этап 4. Подготовка итоговых документов по результатам категорирования.

По итогам своей работы, комиссия по категорированию подготавливает два документа:

1. Акт о категорировании. Перечень информации о субъекте и объектах КИИ, которая должна быть включена в акт определяется п. 16 Правил категорирования.

Акт подписывается членами комиссии по категорированию и утверждается руководителем субъекта КИИ и только им, а не председателем комиссии, в случае если комиссию возглавляет не руководитель субъекта КИИ, а уполномоченное им лицо.

Субъект критической информационной инфраструктуры обеспечивает хранение акта до вывода из эксплуатации объекта критической информационной инфраструктуры или до изменения категории значимости. Направление акта во ФСТЭК России не требуется.

2. Сведения о результатах присвоения объекту КИИ одной из категорий значимости, либо об отсутствии необходимости присвоения ему одной из таких категорий. Данные сведения в течение 10 дней со дня утверждения акта направляются во ФСТЭК России. Форма сведений утверждена приказом ФСТЭК России от 22.12.2017 № 236.

Таким образом, важно понимать, что акт и сведения это два абсолютно разных документа, содержание которых и действия, осуществляемые с ними, также различны.

Сроки категорирования

Согласно п. 15 Правил максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом КИИ перечня объектов.

Относительно субъектов КИИ – российских юридических лиц и (или) индивидуальных предпринимателей срок утверждения перечня объектов КИИ, подлежащих категорированию (до 1 сентября 2020 года) носит рекомендательный характер.

Таким образом, по мнению автора, поскольку срок законодательно не установлен (не обязателен), субъект КИИ из числа российских юридических лиц и (или) индивидуальных предпринимателей, вправе сам выбирать приемлемый для него срок подготовки и отправки перечня. С учетом того, что формирование перечня объектов КИИ является одним из этапов процесса категорирования (п. 5 Правил) можно говорить о том, что, по сути, реальный срок категорирования в большинстве случаев будет превышать один год, а в ряде случаев будет составлять и несколько лет.

При этом, следует иметь в виду, что в ходе процедуры категорирования может измениться реестр объектов КИИ подлежащих категорированию, например, появятся новые объекты КИИ, либо часть будет выведена из эксплуатации и т.п. Результатом чего может стать несовпадение сведений, содержащихся в итоговых актах категорирования и направленном ранее во ФСТЭК России перечне объектов КИИ, что, по мнению автора, непременно повлечет вопросы регулятора.

__________________
В данной публикации использовались материалы, опубликованные автором ранее в Журнале Information Security №2/2019

Порядок категорирования объектов транспортной инфраструктуры и транспортных средств

Согласно ФЗ № 16 от 9 февраля 2007 г.

ст. 12. Права и обязанности субъектов транспортной инфраструктуры и перевозчиков в области обеспечения транспортной безопасности.

2. п. 4. СТИ (перевозчики) обязаны предоставлять в компетентные органы в области ОТБ полную и достоверную информацию для проведения категорирования.

Требованиям по ОТБ . , утверждённым ПП № 1641 от 8 октября 2020 г. или ПП № 1633 от 8 октября 2020 г.

5. СТИ в целях ОТБ ОТИ, а также СТИ (перевозчики) в целях ОТБ ТС обязаны:

представить в Федеральное агентство железнодорожного транспорта (далее - Росжелдор) :

полные и достоверные сведения о СТИ и об ОТИ (ТС) для категорирования и ведения реестра ОТИ (ТС);

полную и достоверную информацию по количественным показателям критериев категорирования ОТИ (ТС).

Согласно Правилам категорирования и установления количества категорий объектов транспортной инфраструктуры, утверждённым ПП № 1595 от 3 октября 2020 г.

2. Категорирование ОТИ осуществляется компетентными органами в области ОТБ (далее - Росжелдор).

3. Задачей категорирования ОТИ является отнесение Росжелдором каждого ОТИ, подлежащего категорированию, к одной из категорий.

4. Устанавливается не более 5 категорий ОТИ . железнодорожного транспорта и объектов инфраструктуры внеуличного транспорта в порядке убывания их значимости - первая, вторая, третья, четвертая и пятая.

5. Категорирование ОТИ осуществляется исходя из критериев категорирования ОТИ.

6. По результатам категорирования ОТИ присваивается категория, соответствующая наивысшему количественному показателю любого из критериев категорирования.

7. В случае изменения показателей критериев категорирования, на основании представленной СТИ полной и достоверной информации меняется значение категории, присвоенной ОТИ.

8. Категорированные ОТИ включаются в реестр ОТИ и ТС (далее - реестр), ведение которого осуществляет Росжелдор (далее - порядок ведения реестра).

9. Процедура категорирования ОТИ состоит из следующих этапов:

а) представление СТИ в Росжелдор заявления о проведении категорирования, содержащего в себе сведения об ОТИ и о СТИ, а также полную и достоверную информацию о количественных показателях критериев категорирования;

б) проверка при необходимости Росжелдором указанной в пп "а" информации путём межведомственного взаимодействия с государственными органами и организациями, владеющими такой информацией, и получения при необходимости дополнительной информации от СТИ;

в) на основании оценки представленных СТИ заявления и информации, указанных в пп "а", Росжелдор принимает решение о присвоении категории ОТИ и уведомляет СТИ о принятом решении в срок, не превышающий 30 календарных дней со дня получения заявления.

10. Заявление и информация, указанные в пп "а" п. 9, представляются СТИ в Росжелдор на бумажном носителе, подписанном руководителем СТИ (либо уполномоченным им лицом) и заверенном печатью (при её наличии).

Допускается представление заявления и информации, указанных в пп "а" п. 9 в электронном виде, подписанных усиленной квалифицированной электронной подписью, при наличии у СТИ возможности такого представления, а у Росжелдора - получения и обработки их в электронном виде.

11. В целях оказания методической помощи СТИ по представлению заявления и информации, указанных в пп "а" п. 9, Росжелдор разрабатывает соответствующие методические рекомендации по оформлению и заполнению заявления, которые размещаются на официальном сайте Росжелдора в информационно-телекоммуникационной сети "Интернет".

12. Основанием для отказа в присвоении (изменении) категории ОТИ является представление в Росжелдор заявления и информации, указанных в пп "а" п. 9, не в полном объёме, а также представление недостоверной информации, необходимой для категорирования ОТИ.

13. В случае изменения показателей критериев категорирования, влекущих за собой изменение ранее присвоенной категории ОТИ, СТИ незамедлительно представляется в Росжелдор заявление об изменении ранее присвоенной категории, а также полную и достоверную информацию о количественных показателях критериев категорирования, влекущих изменение категории.

После выполнения процедур, предусмотренных пп "б" п. 9, Росжелдор принимает решение об изменении (либо отказе в изменении) ранее присвоенной категории ОТИ и уведомляет СТИ о принятом решении в срок, не превышающий 30 календарных дней со дня получения заявления.

При изменении категории ОТИ на основании принятого решения об изменении категории ОТИ вносятся изменения в реестр в соответствии с порядком ведения реестра.

14. Уведомление об отказе в присвоении (изменении) категории ОТИ направляется СТИ незамедлительно после принятия соответствующего решения.

Уведомление о присвоении (изменении) категории ОТИ направляется СТИ совместно с уведомлением о включении (внесении изменений) в реестр.

Указанные уведомления направляются СТИ в электронном и письменном виде по фактическому адресу СТИ и по адресу электронной почты, указанным в заявлениях, с одновременным размещением на официальном сайте Росжелдора в информационно-телекоммуникационной сети "Интернет".

Объекты транспортной инфраструктуры автомобильного транспорта - автомобильные вокзалы и станции, а также иные обеспечивающие функционирование транспортного комплекса здания, сооружения, устройства и оборудование, определяемые Правительством Российской Федерации (пункт 5 статьи 1 Федерального закона).

В соответствии с подпунктом а) пункта 11 статьи 1 Федерального закона к транспортным средствам автомобильного транспорта, относятся:

  • транспортные средства, используемые для регулярной перевозки пассажиров и багажа;
  • транспортные средства, используемые для перевозки пассажиров и багажа по заказу;
  • транспортные средства, используемые для перевозки опасных грузов, на осуществление которой требуется специальное разрешение.

В соответствии с подпунктом ж) пункта 11 статьи 1 Федерального закона к транспортным средствам городского наземного электрического транспорта подлежащих категорированию, относятся трамваи и троллейбусы, перевозящие пассажиров и багаж.

Кто является компетентным органом в области обеспечения транспортной безопасности в сфере автомобильного транспорта и городского наземного электрического транспорта

Федеральное дорожное агентство является компетентным органом в области обеспечения транспортной безопасности, осуществляющим функции по оказанию государственных услуг в области обеспечения транспортной безопасности в сфере автомобильного транспорта и городского наземного электрического транспорта.

Категорирование ОТИ и ТС - отнесение их к определенным категориям с учетом степени угрозы совершения акта незаконного вмешательства и его возможных последствий (подпункт 2 статьи 1 Федерального закона).

Порядок представления субъектом транспортной инфраструктуры в Федеральное дорожное агентство сведений для проведения категорирования объектов транспортной инфраструктуры и/или транспортных средств

Положением о Федеральном дорожном агентстве, утверждённом постановлением Правительства Российской Федерации от 23 июля 2004 г. № 374, на Росавтодор возложены функции по категорированию объектов транспортной инфраструктуры и транспортных средств автомобильного транспорта и городского наземного электрического транспорта.

Категорирование ОТИ и ТС осуществляется на безвозмездной основе в плановом порядке (согласно даты регистрации сведений для проведения категорирования в Росавтодоре) в соответствии с Порядком установления количества категорий и критериев категорирования объектов транспортной инфраструктуры и транспортных средств, утвержденным приказом Минтранса России от 21 февраля 2011 г. № 62.

16 августа 2013 г. - для проведения категорирования ОТИ и ТС автомобильного транспорта и городского наземного электрического транспорта;

17 февраля 2014 г. - для проведения категорирования ТС, используемых для перевозки опасных грузов, на осуществление которой требуется специальное разрешение.

К сведениям для проведения категорирования ТС в обязательном порядке прилагать заверенные подписью и печатью субъекта транспортной инфраструктуры ксерокопии паспортов транспортных средств, в отношении которых будет проводиться категорирование.

Порядок исключения транспортного средства из Реестра категорированных объектов транспортной инфраструктуры и транспортных средств

Для исключения ТС из Реестра субъекту транспортной инфраструктуры необходимо представить в Росавтодор заверенные надлежащим образом документы, подтверждающие списание (утилизацию) ТС.

Порядок исключения субъекта транспортной инфраструктуры из Реестра категорированных объектов транспортной инфраструктуры и транспортных средств

В случае изменения собственника ОТИ или ТС, передачи в аренду ОТИ или ТС, реорганизации юридического лица (изменения организационно-правовой формы), передачи в безвозмездное пользование и т.д., субъект транспортной инфраструктуры представляет в Росавтодор заверенные надлежащим образом документы, подтверждающие факт изменений, для внесения соответствующих записей в Реестр категорированных объектов транспортной инфраструктуры и транспортных средств.

Для принятия решения об исключении транспортных средств субъекта транспортной инфраструктуры из Реестра категорированных объектов транспортной инфраструктуры и транспортных средств (далее – Реестр), необходимо представить в Росавтодор заверенные надлежащим образом документы, подтверждающие списание (утилизацию) ТС.

Передача ТС по договору аренды (продажа) не является основанием для исключения из Реестра. В случае расторжения договора аренды ТС (продажи), вносится изменение в Реестр в части касающейся наименования субъекта транспортной инфраструктуры.

В случае изменения собственника ТС, субъект транспортной инфраструктуры представляет в Росавтодор заверенные надлежащим образом документы, подтверждающие факт изменений, для внесения соответствующих записей в Реестр, а также следующую информацию:

  • полное наименование субъекта транспортной инфраструктуры, краткое наименование субъекта транспортной инфраструктуры, административно-территориальное размещение субъекта транспортной инфраструктуры, организационно-правовая форма по ОКОПФ, основной государственный регистрационный номер ОГРН субъекта транспортной инфраструктуры, дата внесения записи об ОГРН в ЕГРЮЛ или ЕГРИП (для юридического лица, индивидуального предпринимателя), юридический адрес субъекта транспортной инфраструктуры, фактический адрес (адрес местонахождения) субъекта транспортной инфраструктуры, телефон, факс, адрес электронной почты, место регистрации ОТИ;
  • перечень ТС, в отношении которых будут вноситься изменения, с указанием реестровых номеров.

К сведениям для внесения изменений в Реестр в обязательном порядке прилагать заверенные подписью и печатью субъекта транспортной инфраструктуры ксерокопии паспортов ТС (далее – ПТС), в отношении которых будет проводиться изменения в Реестре. Нумерация листов ксерокопий ПТС должна соответствовать нумерации строк перечня.

Порядок проведения дополнительной оценки уязвимости объектов транспортной инфраструктуры и транспортных, внесения изменений в планы обеспечения транспортной безопасности

С 1 октября 2016 г. вступили в законную юридическую силу Требования по обеспечению транспортной безопасности, в том числе требований к антитеррористической защищенности объектов (территорий), учитывающие уровни безопасности для различных категорий объектов транспортной инфраструктуры и транспортных средств автомобильного и городского наземного электрического транспорта, утвержденные постановлением Правительства Российской Федерации от 14 сентября 2016 г. № 924 (далее – Требования).

В отношении объектов транспортной инфраструктуры:

Согласно подпункту 16 пункта 6 Требований при изменении положений Требований, регламентирующих меры по защите объекта транспортной инфраструктуры от актов незаконного вмешательства, субъект транспортной инфраструктуры обязан обеспечивать проведение дополнительной оценки уязвимости объекта транспортной инфраструктуры и утверждение в установленном порядке ее результатов в течение 3 месяцев со дня возникновения таких изменений.

При проведении оценки уязвимости (дополнительной оценки уязвимости) объектов транспортной инфраструктуры следует руководствоваться Требованиями.

Согласно подпункту 17 пункта 6 Требований субъект транспортной инфраструктуры обязан обеспечивать внесение изменений в план объекта транспортной инфраструктуры, в том числе внесение изменений по результатам дополнительно проведенной оценки уязвимости объекта транспортной инфраструктуры, и их представление на утверждение в Федеральное дорожное агентство в течение 3 месяцев со дня утверждения результатов дополнительно проведенной оценки уязвимости объекта транспортной инфраструктуры.

В отношении транспортных средств:

Согласно подпункту 16 пункта 7 Требований при изменении положений Требований, регламентирующих меры по защите транспортного средства от актов незаконного вмешательства, субъект транспортной инфраструктуры обязан обеспечивать проведение дополнительной оценки уязвимости транспортного средства и утверждение в установленном порядке ее результатов в течение 3 месяцев со дня возникновения таких изменений.

Согласно подпункту 17 пункта 7 Требований субъект транспортной инфраструктуры обязан обеспечивать внесение изменений в план транспортного средства, в том числе внесение изменений по результатам дополнительно проведенной оценки уязвимости транспортного средства, и их представление на утверждение в Федеральное дорожное агентство в течение 3 месяцев со дня утверждения результатов дополнительно проведенной оценки уязвимости транспортного средства.

Царев Евгений Олегович

Критическая информационная инфраструктура — объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов.

Объекты критической информационной инфраструктуры — информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.

Субъекты критической информационной инфраструктуры — государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы (ИС), информационно-телекоммуникационные сети (ИТС), автоматизированные системы управления (АСУ), функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

Значимый объект критической информационной инфраструктуры — объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры.

Компьютерный инцидент — факт нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки.

Все ИС, ИТС и АСУ субъекта КИИ — это объекты КИИ.

ИС – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

ИТС – технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.

АСУ – комплекс программных и программно-аппаратных средств, предназначенных для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими оборудованием и процессами.

Прежде чем перейти непосредственно к детальному разбору методики категорирования объектов КИИ (согласно ПП №127) советуем Вам внимательно изучить наши предыдущие статьи по данной теме:

Там вы найдете полный перечень базовых понятий по КИИ, основные НПА в этой сфере и образцы документов, а также описание этапов работ по категорированию КИИ. В этой статье мы не будем повторять материал из наших предыдущих публикаций, а сразу перейдем к разъяснению, как именно работать с Постановлением Правительства РФ от 08.02.2018 № 127.

КАТЕГОРИРОВАНИЕ ОБЪЕКТОВ КИИ: РАБОЧИЙ АЛГОРИТМ

Если вы не специалист в области ИБ и комплаенса (compliance), то просто прочитав ПП №127, вам будет непросто самостоятельно выполнить работы в области категорирования объектов КИИ, поэтому лучше обратиться за консультацией к профессионалам, а также желательно изучить практические рекомендации по этому вопросу.

Первое, что нужно сделать – это составить для себя алгоритм категорирования объектов КИИ:

  • Отвечаем на вопрос, является ли наша организация субъектом КИИ (согласно № 187-ФЗ, см. выше, определены конкретные отрасли).
  • Определяем все процессы в нашей организации и составляем их полный перечень (процессы могут быть управленческие, технологические, финансово-экономические, производственные и т.д.).
  • Выявляем из всех процессов именно критические процессы.
  • Выделяем объекты, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов и (или) осуществляют управление, контроль или мониторинг критических процессов.
  • Смотрим ПП №127 и оцениваем, исходя из перечня показателей критериев значимости и учитывая дополнительные исходные данные, к какой категории относятся объекты КИИ.
  • Готовим Акт категорирования объектов КИИ для отправки во ФСТЭК.

Для того чтобы было понятно, как выполнять работы на этапе 5, расскажем подробней про показатели критериев значимости (они есть в таблицах ПП №127).

ПЕРЕЧЕНЬ ПОКАЗАТЕЛЕЙ КРИТЕРИЕВ ЗНАЧИМОСТИ

  1. Социальная
  2. Политическая
  3. Экономическая
  4. Экологическая
  5. Значимость для обеспечения обороны страны, безопасности государства и правопорядка.

Исходя из нормативных документов, организации (субъекты КИИ) будут сами составлять перечень процессов (управленческие, технологические, финансово-экономические, производственные и др. процессы) и сами оценивать их критичность. Таким образом, количество объектов КИИ, которые войдут в перечень, зависит от решения самих организаций.

Какие именно исходные данные понадобятся для категорирования объектов КИИ, можно посмотреть здесь: Этап 5. Сбор исходных данных для категорирования объектов КИИ.

КАКАЯ ИНФОРМАЦИЯ ПОНАДОБИТСЯ ДЛЯ ПОДАЧИ ВО ФСТЭК?

  • Сведения о субъекте КИИ;
  • Сведения об объекте КИИ;
  • Сведения о взаимодействии объекта КИИ и сетей электросвязи;
  • Сведения о лице, эксплуатирующем объект КИИ;
  • Сведения о ИС, ИТС, АСУ;
  • Анализ угроз и категории нарушителей;
  • Оценка возможных последствий инцидента;
  • Акт категорирования объектов КИИ.

КАК ОПРЕДЕЛИТЬСЯ ПО СРОКАМ?

  1. Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом КИИ перечня объектов.
  2. Перечень объектов КИИ надо подать во ФСТЭК в течение 5 дней после утверждения.
  3. Акт категорирования объектов КИИ подается в течение 10 дней со дня утверждения Акта.
  4. Пересмотр категории объекта КИИ проводится не реже 1 раз в 5 лет.

ПРАКТИЧЕСКИЕ ПРИМЕРЫ ПО КОНКРЕТНЫМ ОТРАСЛЯМ И ОРГАНИЗАЦИЯМ

Изучив НПА и алгоритм категорирования объектов КИИ (см. выше) можно непосредственно приступить к практике. Здесь хотелось бы дать ряд советов и показать практические кейсы для организаций финансовой и банковской сферы.

  • Системно значимые кредитные организации (см. перечень ЦБ РФ, это 11 организаций);
  • Финансовые организации с участием государства;
  • Системно значимые инфраструктурные организации финансового рынка (например, депозитарии);
  • Операторы услуг платежной инфраструктуры системно и (или) социально значимых ПС.

Это говорит о том, что не каждый банк или финансовая структура вообще подпадает под законодательство о КИИ. Надо помнить, что категорируем мы не субъект, а объект КИИ, для каждого объекта КИИ будет присвоена своя категория, оценку последствий инцидента надо делать для каждого объекта.

Формирование комиссии:

Определение процессов:

Рассмотрим типовой пример (источник):

Основные бизнес-процессы банка:

  • Создание продукта (услуги), представляющего ценность для внешнего клиента.
  • Получение добавленной стоимости.
  • Получение прибыли, как цель коммерческой деятельности.

Обеспечивающие бизнес-процессы банка:

  • Процессы, клиентами которых являются основные процессы.
  • Процессы, которые создают и поддерживают инфраструктуру банка.

Управляющие бизнес-процессы банка:

  • Процессы, основной целью которых является управление деятельностью банка.
  • Процессы, которые обеспечивают развитие банка и регулируют его текущую деятельность.

Анализ процессов при категорировании КИИ
Анализ процессов при категорировании КИИ 2
Анализ процессов при категорировании КИИ 3

Рис.1. Бизнес-процессы банка (типовой пример)

Переходим от процессов к критическим процессам:

Для начала ответим на важный вопрос: нарушение (или остановка) каких процессов в банке приведет негативным экономическим последствиям, согласно ПП №127? Т.е. другими словами, в ходе категорирования мы попытаемся решить, попадают ли возможные последствия от компьютерных инцидентов на объекте КИИ (ИС, ИТС, АСУ) в категории значимости (ПП 127).

Оценка значимости КИИ
Оценка значимости КИИ 2
Оценка значимости КИИ 3
Оценка значимости КИИ 4

Как выделить из всех процессов именно критические и связать с ними объекты КИИ видно на рис 2. Например, Процесс 2 не критический.

Выявление критических процессов КИИ

Рис 2. Выявление критических процессов

Далее переходим от процессов к объектам КИИ:

Выделяем объекты КИИ, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов, т.е. осуществляют управление, контроль, мониторинг критических процессов.

Для соответствия процессов и объектов можно составить такую простую таблицу:

Объекты КИИ и процессы

Таблица 1. Объекты КИИ и процессы

Например, в качестве объектов КИИ в банке есть:

  • Система дистанционного банковского обслуживания (СДБО);
  • Процессинговая система;
  • Антифрод система;
  • Автоматизированная банковская система (АБС) и др.

Принимаем решение о значимости объекта КИИ: перечень объектов у нас есть, также построена взаимосвязь объектов с процессами (Таблица 1).

Далее оцениваем:

  • действия нарушителей;
  • уязвимости и потенциальные угрозы;
  • масштаб возможных последствий (оценим по таблице из ПП 127).

Как оценивать?

  • Нужно рассмотреть потенциальные действия нарушителей в отношении объектов КИИ, также иные источники угроз ИБ (в противном случае, кратко обосновать невозможность реализовать угрозы ИБ нарушителем).
  • Провести анализ угроз ИБ и уязвимостей, которые могут привести к возникновению компьютерных инцидентов на объектах КИИ (или обосновать их неактуальность).
  • Оценить в соответствии с перечнем показателей критериев значимости масштаб возможных последствий, в случае возникновения компьютерных инцидентов на объектах КИИ, (или кратко обосновать невозможность наступления компьютерных инцидентов).
  1. Уровень процесса выше нижней границы значения для III категории? (см. рис. 2 для наглядности).
  2. Масштаб объекта КИИ выше нижней границы значения для III категории?
  3. Есть ли источники угроз ИБ?
  4. Существуют ли актуальные угрозы ИБ?
  5. Возможны ли инциденты ИБ на объекте, например, вследствие целенаправленных компьютерных атак?
  6. Возможно ли причинение ущерба вследствие инцидентов ИБ?
  7. Какие возможные последствия от инцидента? Превышает ли их величина нижнюю границу значения показателя для 3 категории?

Читайте также: