тел:8 (800) 775-99-90

Личный кабинет

Выйти из системы

Сменить пользователя

Блог компании Cortel > Информационная безопасность > Всё о категорировании критической информационной инфраструктуры

By 26.09.2024 Информационная безопасность 0 Comments

Всё о категорировании критической информационной инфраструктуры

Все субъекты критической информационной инфраструктуры (КИИ) обязаны провести категорирование:

  • В соответствии с требованиями законов. Субъекты КИИ обязаны:
    — согласовать со ФСТЭК России перечень объектов КИИ, подлежащих категорированию и сроки проведения;
    — провести категорирование и направить утвержденные акты во ФСТЭК.
  • Для собственной осведомленности. Для разных категорий значимости — разные требования. В случае нововведений от регуляторов вы будете знать, касаются ли они конкретно вашей организации.

Памятка для субъекта критической информационной инфраструктуры

Кто относится к КИИ, законодательная база и всё, что необходимо знать субъектам критической информационной инфраструктуры — в этом материале.

Например, с 1 мая 2022 года первое лицо компании-субьекта КИИ несёт персональную ответственность за инциденты в контуре информационной безопасности. Это касается всех КИИ.

А вот Указ президента «О дополнительных мерах по обеспечению информационной безопасности РФ» вводит в правовое поле помимо административной, также и уголовную ответственность до 10 лет лишения свободы для особо значимых объектов КИИ.

Разберёмся, как провести категорирование объектов КИИ, что подразумевает и к чему обязывает каждая категория значимости. За основу возьмём «Методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения», согласованные ФСТЭК России (письмо от 14.10.2020 № 240/82/1904дсп).

Приложение 6 «Методических рекомендаций…»

Шаг 1: определение, составление реестра и оценка критичности бизнес-процессов

Для начала нужно определить и оценить критические бизнес-процессы в организации для последующего категорирования объектов КИИ:

  1. Составьте список всех бизнес-процессов вашей организации, включая управленческие, технологические, производственные, финансово-экономические и иные процессы. Здесь важно включить названия и описание каждого процесса, цель и задачи, но не оценивать их критичность. Реестр подписывает председатель комиссии по категорированию и утверждает руководитель организации.
  2. Оцениваем критичность. Проанализируйте каждый процесс из Реестра, чтобы понять, как его нарушение или прекращение может повлиять на деятельность организации.
  3. Оцените влияние процесса по критериям:
    • Социальная значимость — возможное причинение ущерба жизни и здоровью людей или нарушение предоставления государственных услуг.
    • Политическая значимость — ущерб интересам Российской Федерации в вопросах внутренней и внешней политики.
    • Экономическая значимость — прямой или косвенный ущерб государственному унитарному предприятию.
      Если процесс задействован хотя бы по одному из этих критериев, он считается критическим.
  4. Для каждого критического процесса опишите возможные негативные последствия в случае его нарушения. Укажите, какие именно параметры следует учитывать при оценке.
  5. Исключите из Реестра процессы, которые не являются критическими. Оставшиеся объедините в Перечень критических бизнес-процессов. Оформите описательную часть Перечня, в которой укажите название, описание, и критические параметры каждого процесса.

Шаг 2: определение и формирование перечня объектов КИИ

Для этого потребуется ревизия ВСЕХ систем, имеющихся в организации.

  1. Определите все информационные системы (ИС), информационно-телекоммуникационные сети (ИТКС) и автоматизированные системы управления (АСУ), используемые в организации. Используйте данные из источников:
    • Федеральная государственная информационная система учета информационных систем, создаваемых и приобретаемых за счет средств федерального бюджета и бюджетов государственных внебюджетных фондов.
    • Договоры на разработку, внедрение и обслуживание ИС, ИТКС, АСУ.
    • Локальные нормативные акты, определяющие порядок использования и эксплуатации ИС, ИТКС, АСУ.
    • Данные бухгалтерского учета (основные средства и нематериальные активы).
    • Проектная документация на ИС, ИТКС, АСУ.
    • Данные управленческого учета подразделения, отвечающего за ИТ и автоматизацию.
  2. Составьте Реестр ИС, ИТКС, АСУ. Важно:
    • Внесите в Реестр информацию обо всех системах, которые находятся на праве собственности, аренды или ином законном основании.
    • Каждая система должна быть описана с указанием ее назначения и владельца.
    • Реестр подписывает Председатель постоянно действующей комиссии по категорированию и утверждается руководителем организации.

Для каждой системы из Реестра оцените её роль в поддержании, управлении, контроле или мониторинге критических бизнес-процессов. Если система обрабатывает информацию, необходимую для выполнения критического процесса, или автоматизирует его – она считается задействованной. Если система обеспечивает управление, контроль или мониторинг процесса – она также считается задействованной.

Определите, может ли нарушение или прекращение функционирования системы привести к нарушению или прекращению критического бизнес-процесса. Учитывайте уровень автоматизации:

  • Полная автоматизация: система незаменима, без нее процесс невозможен.
  • Дублирующая автоматизация: существуют альтернативные методы выполнения процесса, не требующие участия системы.

3. Формирование Перечня потенциально значимых объектов КИИ

К потенциально значимым объектам КИИ относятсятолько те ИС, ИТКС и АСУ, которые одновременно:

  • Задействованы в реализации критических бизнес-процессов.
  • Оказывают существенное влияние на выполнение критических бизнес-процессов (их нарушение приведет к значительным последствиям).

Исключите из Перечня:

  • Системы, которые не участвуют в критических бизнес-процессах.
  • Системы, которые участвуют, но не оказывают существенного влияния (наличие альтернативных способов выполнения процессов).

Для каждой системы укажите:

  • Название и назначение.
  • Участие в критических бизнес-процессах.
  • Степень влияния на процессы.

4. Согласование и отправка Перечня объектов КИИ

Подготовьте заключение об отнесении систем к потенциально значимым объектам КИИ. Оно должно содержать обоснование включения каждой системы в Перечень значимых объектов. Затем официально утвердите Перечень у руководителя организации или уполномоченного лица.

Отправьте утвержденный Перечень в ФСТЭК России.

В течение 10 рабочих дней отправьте Перечень с сопроводительным письмом и электронной копией на носителе (CD, DVD или USB).

Шаг 3: категорирование объектов КИИ

Для начала определяем необходимость категорирования. Для этого проверяем соответствие каждого объекта КИИ критериям значимости. Используем критерии, установленные постановлением Правительства РФ от 08.02.2018 № 127, для оценки значимости каждого объекта КИИ (ИС, ИТКС, АСУ).Критерии включают:

  • Причинение ущерба жизни и здоровью людей.
  • Нарушение предоставления государственных услуг.
  • Ущерб интересам Российской Федерации в вопросах внутренней и внешней политики.
  • Экономический ущерб для государственного предприятия.
  • Ущерб бюджетам Российской Федерации.
  • Вредные воздействия на окружающую среду.

Оцениваем, необходимо ли присвоение категории значимости объекту КИИ.

  • Если объект КИИ не соответствует ни одному критерию значимости, категорирование не требуется.
  • Если объект КИИ соответствует хотя бы одному из критериев значимости, продолжайте процесс категорирования.

Выбор сценария реализации компьютерных атак

  1. Определите возможные сценарии компьютерных атак. Проанализируйте потенциальные действия нарушителей и угрозы безопасности информации, которые могут привести к компьютерным инцидентам. Рассмотрите наихудший сценарий, предполагающий целенаправленную компьютерную атаку на объект КИИ с нанесением максимального ущерба.
  2. При выборе сценария учитывайте:
    • Осведомленность нарушителя о системах и мерах защиты объекта.
    • Возможность использования методов социальной инженерии для получения доступа к системам.
    • Способность нарушителя внедрить программные закладки, использовать уязвимости и создавать специализированные средства для атак.
    • Примеры возможных инцидентов: отказ в обслуживании (DoS/DDoS), утечка данных, несанкционированный доступ, модификация данных, нарушение функционирования технических средств.
  3. Зафиксируйте наихудший сценарий атаки.
    • Опишите возможные инциденты и их последствия для объекта КИИ, которые будут использоваться для дальнейшего расчета показателей значимости.

Расчет показателей критериев значимости объектов КИИ

  1. Определите, какие критерии значимости применимы к объекту КИИ.
    • Используйте Приложение 14 документа для обоснования неприменимости определенных критериев значимости.
  2. Рассчитайте показатели значимости для каждого применимого критерия:
    • Причинение ущерба жизни и здоровью людей:
      • Рассчитайте время, за которое может быть устранен инцидент (t устр) и максимально допустимый период простоя (t доп). Если t устр превышает t доп, это приводит к значительным последствиям.
    • Нарушение доступа к государственной услуге:
      • Оцените, сколько людей и на какой территории будут лишены доступа к услуге.
    • Прекращение или нарушение функционирования государственного органа:
      • Оцените, какое количество органов власти или их подразделений будет затронуто и на какой территории.
    • Экономический ущерб:
      • Оцените возможные финансовые потери и их влияние на деятельность организации.
    • Ущерб бюджетам Российской Федерации:
      • Оцените снижение выплат в бюджеты в результате прекращения деятельности объекта КИИ.
    • Вредные воздействия на окружающую среду:
      • Оцените возможное ухудшение экологической обстановки в случае инцидента.
  3. Присвойте объекту КИИ категорию значимости по наивысшему значению показателя.
    • Если объект КИИ соответствует показателям первой категории по одному из критериев, ему присваивается первая категория значимости.
    • Если объект соответствует второй категории или третьей по наивысшему значению, присваивается соответствующая категория.
    • Если объект не соответствует ни одному значению показателя критериев значимости, категория не присваивается.

Шаг 4. Оформление результатов категорирования

  1. Подготовьте заключение о присвоении категории значимости.
    • Оформите документ, в котором указано:
      • Название объекта КИИ.
      • Основание для присвоения категории (описание применимых критериев и рассчитанных показателей значимости).
      • Присвоенная категория значимости.
    • Если категория не присваивается, это также должно быть обосновано в заключении.
  2. Оформите Акт категорирования объекта КИИ.
    • Акт должен содержать все данные о проведенной процедуре, включая:
      • Сценарии атак и их последствия.
      • Оценку значимости по каждому критерию.
      • Присвоенную категорию или обоснование ее отсутствия.
    • Акт подписывается председателем комиссии по категорированию и утверждается руководителем организации.
  3. Направьте результаты категорирования в ФСТЭК России.
    • В течение 10 рабочих дней отправьте сопроводительное письмо и копию Акта категорирования в ФСТЭК России.
    • В письме укажите результаты категорирования для каждого объекта КИИ и обоснование присвоенной категории значимости.
    • Если для объекта категории значимости не установлены, отправьте уведомление об отсутствии необходимости присвоения категории значимости.

Шаг 5. Пересмотр категории значимости

  1. Проводите регулярную ревизию объектов КИИ.
    • Оценивайте изменения в функционировании объектов, которые могут повлиять на их категорию значимости.
    • Пересматривайте категорию значимости объектов КИИ в случае изменения критериев или показателей значимости, появления новых угроз или изменений в бизнес-процессах организации.
  2. При необходимости проведите повторное категорирование — внесите изменения в Акт категорирования и направьте в ФСТЭК России.

Действия после

1. При наличии категории значимости

  • Разработка и реализация мер защиты: На основании присвоенной категории разрабатывается и внедряется система мер защиты, соответствующая требованиям законодательства, включая мониторинг, управление инцидентами и защиту от угроз.
  • План мероприятий: Утверждается план мероприятий по защите объектов КИИ, включающий в себя технические, организационные и правовые меры.
  • Информирование регулятора: В течение года с момента категорирования организация обязана предоставить в ФСТЭК отчет о выполнении мер защиты.

2. При отсутствии категории значимости

  • Поддержание актуальности данных: Организация обязана поддерживать актуальность информации о своих информационных системах. В случае изменения характеристик объекта, необходимо повторно провести анализ и, при необходимости, изменить категорию значимости.
  • Обеспечение базовой безопасности: Даже при отсутствии категории значимости, объекты КИИ должны соответствовать минимальным требованиям безопасности информации.

Процедуры по защите КИИ в соответствии с требованиями, подключение и взаимодействие с ГОССОПКА имеют отдельный ряд нюансов. Если у вас остались вопросы о категорировании и защите КИИ — заполните форму, и наши специалисты свяжутся с вами.