Категорирование объектов критической информационной инфраструктуры осуществляется в соответствии с требованиями, установленными в Федеральном законе № 187, Постановлении Правительства Российской Федерации № 127 и приказах Федеральной службы по техническому и экспортному контролю № 235, 239 и 236. Основные нормативно-правовые основы были сформированы в 2017-2018 годах, однако ежегодно вносятся изменения для обеспечения высокого уровня защиты критической информационной инфраструктуры в условиях постоянного развития методов злоумышленников. Предприятиям важно следить за изменениями в законодательстве, а также сотрудничать с экспертами по информационной безопасности для проведения регулярного аудита и улучшения системы защиты информации.
Идентификация организации как субъекта критической информационной инфраструктуры.
Прежде чем рассматривать детали передачи данных об объектах критической информационной инфраструктуры в реестр Федеральной службы по техническому и экспортному контролю и разбираться в процедуре категорирования, предусмотренной Федеральным законом № 187, необходимо определить, является ли организация субъектом критической информационной инфраструктуры. Согласно нормативно-правовым документам, сюда относятся государственные учреждения и органы власти, а также учреждения и юридические лица, которые владеют объектами критической информационной инфраструктуры (временными или постоянными), имеют соответствующие документы о праве собственности, аренды или другом законном основании для управления автоматизированными системами управления, информационными системами и информационно-телекоммуникационными системами.
Также сюда относятся государственные структуры, компании и предприниматели, обеспечивающие взаимодействие информационных, управляющих и телекоммуникационных сетей и систем в указанных областях. Для иностранных организаций не требуется проведение процедуры категорирования объектов критической информационной инфраструктуры в соответствии с правилами Федеральной службы по техническому и экспортному контролю. Если хотя бы одно из вышеуказанных условий не выполняется, то процедуру проводить не требуется. К сожалению, на практике провести идентификацию сложно без глубоких специализированных знаний, так как нечетко определены понятия, упомянутые в Федеральном законе и других нормативно-правовых актах (например, отсутствует четкое определение термина "принадлежать" или "сфера"). В результате лица, принимающие решения, руководствуются собственным пониманием, которое не всегда соответствует требованиям контролирующих органов."
Как точно понять, есть ли объекты КИИ, подлежащие категорированию?
Чтобы точно понять, есть ли объекты КИИ, подлежащие категорированию, следует обратиться к рекомендациям ФСТЭК. Основным инструментом, который позволяет решить, нужно ли выделять ресурсы на определение категорий, является устав компании и Единый реестр организаций в форме ОКВЭД. Если указанные там виды деятельности идентичны тем, которые прописаны в ФЗ-187 (особенно при получении лицензий), то вероятно, придется заниматься категорированием ИТ-инфраструктуры. Однако наличие соответствующих кодов ОКВЭД не всегда является гарантией необходимости категорирования, а отсутствие таких кодов не освобождает от прохождения процедуры. Для точного определения необходимо учесть следующие моменты:
1. Не все организации занимаются всеми видами деятельности, указанными в учредительных документах.
2. Многие организации вносят в устав пометку о возможности заниматься иными направлениями работ, разрешенными законодательством, включая те, что предполагают внесение данных в реестр значимых объектов КИИ.
3. В области науки существует возможность проведения исследований с государственной поддержкой, что формально относит их к числу субъектов критической инфраструктуры. Однако требования ФЗ-187 применяются только в случае использования АСУ, ИС или ИТКС.
4. Работа в важной для государства отрасли не обязывает проводить категорирование. Требование к этому возникает только в случае использования объектов КИИ. Итого, окончательное установление принадлежности к числу субъектов критической инфраструктуры происходит непосредственно на этапе категорирования.
Суть категории значимости и потребность в её определении
Между коммерсантами, государством и обществом существует определенный конфликт интересов. Представители бизнеса заинтересованы в минимизации затрат и увеличении прибыли, что предполагает принятие решений о внедрении мер защиты, соизмеримых с потенциальными потерями в случае их отсутствия. Однако есть серьезный нюанс — в расчет берутся исключительно убытки предприятия, а не последствия для граждан и государства. Например, отключение тепловой электростанции на 1-2 дня для компании, которая обеспечивает ее работу, приведет к снижению дохода всего на пару процентов, тогда как потребителям предстоит столкнуться с серьезными проблемами из-за отсутствия отопления, электричества и горячей воды.
Для урегулирования подобных трудностей на законодательном уровне закреплено понятие "категория значимости" — это характеристика объекта критической инфраструктуры, с помощью которой удается четко определить, с какими ИТ-элементами предприятие может работать без ограничений, а какие необходимо дополнительно обезопасить от внутренних и внешних угроз. При установлении категории объектов КИИ в расчет берутся 14 типов негативных последствий прекращения или нарушения их работы, прописанных в правительственном постановлении №127. К ним относятся: ухудшение функциональности систем обеспечения жизнедеятельности населения, нанесение вреда здоровью и жизни граждан, сбои связи, уменьшение доходов бюджетов и проблемы с транспортным снабжением и т. д.
Проведение анализа по совокупности критериев позволяет определить значимые объекты критической информационной инфраструктуры, основываясь на размере вероятного наносимого вреда. Однако есть ряд трудностей, с которыми приходится сталкиваться при выяснении категории значимости в отношении каждого конкретного объекта. Не всегда есть возможность точно определить, сколько людей в теории могут пострадать от нарушения целостности и снижения работоспособности элемента ИТ-инфраструктуры.
В качестве объекта КИИ выступают не компания или учреждение в целом, а только те АСУ, ИС и ИТКС, которые применяются в отраслях, прописанных в ФЗ-187. Бывает сложно разграничить категории значимости в отношении сложных информационных систем, где элементы могут быть отдельными объектами, в отношении которых необходимо проводить оценку степени вреда.
В связи с перечисленными затруднениями, очевидно, что заниматься категорированием, как и защитой значимых объектов КИИ, должны те, кто разбирается в терминологии, методиках, а также располагают техническими ресурсами для составления моделей действий нарушителей (внутренних и внешних).
Для чего необходимо выделить незначимые и значимые объекты критической информационной инфраструктуры?
Для проведения категоризации необходимо классифицировать критическую информационную инфраструктуру, однако отсутствует единый подход к разграничению объектов. Если какой-то из них не является значимым, то нет смысла вкладывать деньги и ресурсы в обеспечение его безопасности. В то же время, элементы ИТ-инфраструктуры, которые могут потенциально причинить серьезный ущерб, должны быть надежно защищены от угроз как извне, так и изнутри.
Согласно положениям ФЗ-187 и ФСТЭК, можно выделить два типа объектов КИИ — значимые и незначимые, причем первые подразделяются на три категории, где первая является наивысшей, а третья — наинизшей.
Принадлежность к определенной категории определяет:
- выбор и применение мер по противодействию угрозам, способным вызвать остановку или нарушение функционирования. Чем выше категория, тем более серьезные методы блокировки должны быть использованы, чтобы предотвратить негативные последствия действий злоумышленника с высоким, базовым повышенным или базовым потенциалом;
- использование специализированных средств борьбы с злоумышленниками;
- перечень требований к обеспечению целостности и доступности информационной системы, а также расходы на интеграцию соответствующих систем защиты информации.
Обязательно ли осуществлять категорирование объектов информатизации?
Категорирование объектов информатизации является обязательным процессом для субъектов критической информационной инфраструктуры (КИИ) согласно Постановлению №127. Субъекты КИИ имеют шесть месяцев на согласование списка объектов и сроков с контролирующим органом. Есть также определенные временные рамки для решения формальностей, и если они не соблюдаются, ФСТЭК может направить официальный запрос с требованием выполнить положения Федерального закона №187. Несоблюдение этих требований влечет за собой серьезные штрафные санкции и другие наказания в соответствии с Кодексом административных правонарушений. В современных условиях, когда контроль за информационной безопасностью является приоритетным, более разумным и выгодным является проведение необходимых процедур с самого начала, чтобы избежать негативных последствий в будущем.
Специфика анализа угроз
Для успешного анализа угроз информационной безопасности важно следовать специфике, установленной Приказом ФСТЭК №239. Необходимо четко разделять оценку угроз и определение негативных результатов инцидентов, учитывая при этом особенности категорирования. При оценке угроз требуется использовать централизованную базу данных уязвимостей и тестировать различные сценарии действий злоумышленников. Однако при определении негативных результатов инцидентов такая детальная проработка может быть излишней. Важно помнить, что при выделении объектов критической информационной инфраструктуры необходимо ориентироваться не только на их функциональное назначение, но и на реальную сферу эксплуатации.
Формализация процесса
При формализации процесса категорирования объектов критической информационной инфраструктуры (КИИ) важно соблюдать установленные законодательством ограничения по времени на каждый этап процедуры. Контрольные точки включают в себя составление списка объектов КИИ и присвоение им категории значимости, а также информирование ФСТЭК об утверждении перечня в установленный срок. После подготовки акта категорирования объекта КИИ необходимо уведомить контролирующий орган и провести проверку данных, уделяя внимание возможным недоработкам. Весь процесс должен быть завершен в течение 12 месяцев, однако анализ соответствия правовым нормативам может проводиться только через 3 года. Важно соблюдать установленные сроки и процедуры для обеспечения безопасности информационной инфраструктуры.
Профессиональный подход к категорированию объектов критической информационной инфраструктуры.
Для эффективного выделения значимых объектов критической информационной инфраструктуры рекомендуется обратиться к экспертам.
Наша компания предлагает комплекс услуг, включающий в себя:
- Проведение исследования на этапе подготовки проекта для получения необходимой информации об элементах информационной инфраструктуры, требующих категорирования.
- Выявление критических процессов, ИТКС, АСУ и ИС, необходимых для их функционирования.
- Составление документов для передачи в контролирующие органы.
- Оценка потенциального ущерба при возникновении инцидентов.
- Подготовка актов категорирования с учетом актуальных нормативно-правовых требований.
Мы успешно сотрудничаем с частными клиентами и компаниями, обладаем лицензией ФСТЭК и предлагаем доступные цены на все виды услуг. Свяжитесь с нами онлайн или по телефону для обсуждения деталей, сроков и стоимости работ.