Всё о категорировании критической информационной инфраструктуры
Все субъекты критической информационной инфраструктуры (КИИ) обязаны провести категорирование:
- В соответствии с требованиями законов. Субъекты КИИ обязаны:
— согласовать со ФСТЭК России перечень объектов КИИ, подлежащих категорированию и сроки проведения;
— провести категорирование и направить утвержденные акты во ФСТЭК. - Для собственной осведомленности. Для разных категорий значимости — разные требования. В случае нововведений от регуляторов вы будете знать, касаются ли они конкретно вашей организации.
Кто относится к КИИ, законодательная база и всё, что необходимо знать субъектам критической информационной инфраструктуры — в этом материале.
Например, с 1 мая 2022 года первое лицо компании-субьекта КИИ несёт персональную ответственность за инциденты в контуре информационной безопасности. Это касается всех КИИ.
А вот Указ президента «О дополнительных мерах по обеспечению информационной безопасности РФ» вводит в правовое поле помимо административной, также и уголовную ответственность до 10 лет лишения свободы для особо значимых объектов КИИ.
Разберёмся, как провести категорирование объектов КИИ, что подразумевает и к чему обязывает каждая категория значимости. За основу возьмём «Методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения», согласованные ФСТЭК России (письмо от 14.10.2020 № 240/82/1904дсп).
Шаг 1: определение, составление реестра и оценка критичности бизнес-процессов
Для начала нужно определить и оценить критические бизнес-процессы в организации для последующего категорирования объектов КИИ:
- Составьте список всех бизнес-процессов вашей организации, включая управленческие, технологические, производственные, финансово-экономические и иные процессы. Здесь важно включить названия и описание каждого процесса, цель и задачи, но не оценивать их критичность. Реестр подписывает председатель комиссии по категорированию и утверждает руководитель организации.
- Оцениваем критичность. Проанализируйте каждый процесс из Реестра, чтобы понять, как его нарушение или прекращение может повлиять на деятельность организации.
- Оцените влияние процесса по критериям:
- Социальная значимость — возможное причинение ущерба жизни и здоровью людей или нарушение предоставления государственных услуг.
- Политическая значимость — ущерб интересам Российской Федерации в вопросах внутренней и внешней политики.
- Экономическая значимость — прямой или косвенный ущерб государственному унитарному предприятию.
Если процесс задействован хотя бы по одному из этих критериев, он считается критическим.
- Для каждого критического процесса опишите возможные негативные последствия в случае его нарушения. Укажите, какие именно параметры следует учитывать при оценке.
- Исключите из Реестра процессы, которые не являются критическими. Оставшиеся объедините в Перечень критических бизнес-процессов. Оформите описательную часть Перечня, в которой укажите название, описание, и критические параметры каждого процесса.
Шаг 2: определение и формирование перечня объектов КИИ
Для этого потребуется ревизия ВСЕХ систем, имеющихся в организации.
- Определите все информационные системы (ИС), информационно-телекоммуникационные сети (ИТКС) и автоматизированные системы управления (АСУ), используемые в организации. Используйте данные из источников:
- Федеральная государственная информационная система учета информационных систем, создаваемых и приобретаемых за счет средств федерального бюджета и бюджетов государственных внебюджетных фондов.
- Договоры на разработку, внедрение и обслуживание ИС, ИТКС, АСУ.
- Локальные нормативные акты, определяющие порядок использования и эксплуатации ИС, ИТКС, АСУ.
- Данные бухгалтерского учета (основные средства и нематериальные активы).
- Проектная документация на ИС, ИТКС, АСУ.
- Данные управленческого учета подразделения, отвечающего за ИТ и автоматизацию.
- Составьте Реестр ИС, ИТКС, АСУ. Важно:
- Внесите в Реестр информацию обо всех системах, которые находятся на праве собственности, аренды или ином законном основании.
- Каждая система должна быть описана с указанием ее назначения и владельца.
- Реестр подписывает Председатель постоянно действующей комиссии по категорированию и утверждается руководителем организации.
Для каждой системы из Реестра оцените её роль в поддержании, управлении, контроле или мониторинге критических бизнес-процессов. Если система обрабатывает информацию, необходимую для выполнения критического процесса, или автоматизирует его – она считается задействованной. Если система обеспечивает управление, контроль или мониторинг процесса – она также считается задействованной.
Определите, может ли нарушение или прекращение функционирования системы привести к нарушению или прекращению критического бизнес-процесса. Учитывайте уровень автоматизации:
- Полная автоматизация: система незаменима, без нее процесс невозможен.
- Дублирующая автоматизация: существуют альтернативные методы выполнения процесса, не требующие участия системы.
3. Формирование Перечня потенциально значимых объектов КИИ
К потенциально значимым объектам КИИ относятсятолько те ИС, ИТКС и АСУ, которые одновременно:
- Задействованы в реализации критических бизнес-процессов.
- Оказывают существенное влияние на выполнение критических бизнес-процессов (их нарушение приведет к значительным последствиям).
Исключите из Перечня:
- Системы, которые не участвуют в критических бизнес-процессах.
- Системы, которые участвуют, но не оказывают существенного влияния (наличие альтернативных способов выполнения процессов).
Для каждой системы укажите:
- Название и назначение.
- Участие в критических бизнес-процессах.
- Степень влияния на процессы.
4. Согласование и отправка Перечня объектов КИИ
Подготовьте заключение об отнесении систем к потенциально значимым объектам КИИ. Оно должно содержать обоснование включения каждой системы в Перечень значимых объектов. Затем официально утвердите Перечень у руководителя организации или уполномоченного лица.
Отправьте утвержденный Перечень в ФСТЭК России.
В течение 10 рабочих дней отправьте Перечень с сопроводительным письмом и электронной копией на носителе (CD, DVD или USB).
Шаг 3: категорирование объектов КИИ
Для начала определяем необходимость категорирования. Для этого проверяем соответствие каждого объекта КИИ критериям значимости. Используем критерии, установленные постановлением Правительства РФ от 08.02.2018 № 127, для оценки значимости каждого объекта КИИ (ИС, ИТКС, АСУ).Критерии включают:
- Причинение ущерба жизни и здоровью людей.
- Нарушение предоставления государственных услуг.
- Ущерб интересам Российской Федерации в вопросах внутренней и внешней политики.
- Экономический ущерб для государственного предприятия.
- Ущерб бюджетам Российской Федерации.
- Вредные воздействия на окружающую среду.
Оцениваем, необходимо ли присвоение категории значимости объекту КИИ.
- Если объект КИИ не соответствует ни одному критерию значимости, категорирование не требуется.
- Если объект КИИ соответствует хотя бы одному из критериев значимости, продолжайте процесс категорирования.
Выбор сценария реализации компьютерных атак
- Определите возможные сценарии компьютерных атак. Проанализируйте потенциальные действия нарушителей и угрозы безопасности информации, которые могут привести к компьютерным инцидентам. Рассмотрите наихудший сценарий, предполагающий целенаправленную компьютерную атаку на объект КИИ с нанесением максимального ущерба.
- При выборе сценария учитывайте:
- Осведомленность нарушителя о системах и мерах защиты объекта.
- Возможность использования методов социальной инженерии для получения доступа к системам.
- Способность нарушителя внедрить программные закладки, использовать уязвимости и создавать специализированные средства для атак.
- Примеры возможных инцидентов: отказ в обслуживании (DoS/DDoS), утечка данных, несанкционированный доступ, модификация данных, нарушение функционирования технических средств.
- Зафиксируйте наихудший сценарий атаки.
- Опишите возможные инциденты и их последствия для объекта КИИ, которые будут использоваться для дальнейшего расчета показателей значимости.
Расчет показателей критериев значимости объектов КИИ
- Определите, какие критерии значимости применимы к объекту КИИ.
- Используйте Приложение 14 документа для обоснования неприменимости определенных критериев значимости.
- Рассчитайте показатели значимости для каждого применимого критерия:
- Причинение ущерба жизни и здоровью людей:
- Рассчитайте время, за которое может быть устранен инцидент (t устр) и максимально допустимый период простоя (t доп). Если t устр превышает t доп, это приводит к значительным последствиям.
- Нарушение доступа к государственной услуге:
- Оцените, сколько людей и на какой территории будут лишены доступа к услуге.
- Прекращение или нарушение функционирования государственного органа:
- Оцените, какое количество органов власти или их подразделений будет затронуто и на какой территории.
- Экономический ущерб:
- Оцените возможные финансовые потери и их влияние на деятельность организации.
- Ущерб бюджетам Российской Федерации:
- Оцените снижение выплат в бюджеты в результате прекращения деятельности объекта КИИ.
- Вредные воздействия на окружающую среду:
- Оцените возможное ухудшение экологической обстановки в случае инцидента.
- Причинение ущерба жизни и здоровью людей:
- Присвойте объекту КИИ категорию значимости по наивысшему значению показателя.
- Если объект КИИ соответствует показателям первой категории по одному из критериев, ему присваивается первая категория значимости.
- Если объект соответствует второй категории или третьей по наивысшему значению, присваивается соответствующая категория.
- Если объект не соответствует ни одному значению показателя критериев значимости, категория не присваивается.
Шаг 4. Оформление результатов категорирования
- Подготовьте заключение о присвоении категории значимости.
- Оформите документ, в котором указано:
- Название объекта КИИ.
- Основание для присвоения категории (описание применимых критериев и рассчитанных показателей значимости).
- Присвоенная категория значимости.
- Если категория не присваивается, это также должно быть обосновано в заключении.
- Оформите документ, в котором указано:
- Оформите Акт категорирования объекта КИИ.
- Акт должен содержать все данные о проведенной процедуре, включая:
- Сценарии атак и их последствия.
- Оценку значимости по каждому критерию.
- Присвоенную категорию или обоснование ее отсутствия.
- Акт подписывается председателем комиссии по категорированию и утверждается руководителем организации.
- Акт должен содержать все данные о проведенной процедуре, включая:
- Направьте результаты категорирования в ФСТЭК России.
- В течение 10 рабочих дней отправьте сопроводительное письмо и копию Акта категорирования в ФСТЭК России.
- В письме укажите результаты категорирования для каждого объекта КИИ и обоснование присвоенной категории значимости.
- Если для объекта категории значимости не установлены, отправьте уведомление об отсутствии необходимости присвоения категории значимости.
Шаг 5. Пересмотр категории значимости
- Проводите регулярную ревизию объектов КИИ.
- Оценивайте изменения в функционировании объектов, которые могут повлиять на их категорию значимости.
- Пересматривайте категорию значимости объектов КИИ в случае изменения критериев или показателей значимости, появления новых угроз или изменений в бизнес-процессах организации.
- При необходимости проведите повторное категорирование — внесите изменения в Акт категорирования и направьте в ФСТЭК России.
Действия после
1. При наличии категории значимости
- Разработка и реализация мер защиты: На основании присвоенной категории разрабатывается и внедряется система мер защиты, соответствующая требованиям законодательства, включая мониторинг, управление инцидентами и защиту от угроз.
- План мероприятий: Утверждается план мероприятий по защите объектов КИИ, включающий в себя технические, организационные и правовые меры.
- Информирование регулятора: В течение года с момента категорирования организация обязана предоставить в ФСТЭК отчет о выполнении мер защиты.
2. При отсутствии категории значимости
- Поддержание актуальности данных: Организация обязана поддерживать актуальность информации о своих информационных системах. В случае изменения характеристик объекта, необходимо повторно провести анализ и, при необходимости, изменить категорию значимости.
- Обеспечение базовой безопасности: Даже при отсутствии категории значимости, объекты КИИ должны соответствовать минимальным требованиям безопасности информации.
Процедуры по защите КИИ в соответствии с требованиями, подключение и взаимодействие с ГОССОПКА имеют отдельный ряд нюансов. Если у вас остались вопросы о категорировании и защите КИИ — заполните форму, и наши специалисты свяжутся с вами.