Категория значимости объекта КИИ.
Категория значимости объекта КИИ – главный показатель объектов КИИ, определение значимости которого задает вектор дальнейших работ для выполнения требований ФЗ 187 о Безопасности КИИ. В подпункте «д» пункта 5 Постановления Правительства №127 (далее –ПП127) этот этап категорирования формулируется так – «Оценка в соответствии с перечнем показателей критериев значимости масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах критической информационной инфраструктуры»
Часто компании, проводя предварительную оценку, ошибаются с определением категории значимости объекта КИИ. Неправильное определение категории, как испорченный компас, может завести в такие дебри категорирования, что выбраться будет гораздо сложнее, чем зайти. Ошибочное определение категории значимости объекта КИИ обусловлено, в первую очередь, отсутствием методик для определения значений показателей критериев значимости и, как следствие, на работы по оценке влияет субъективное мнение участников комиссии.
И представьте, какую необходимо иметь фантазию при подготовке ФОРМЫ НАПРАВЛЕНИЯ СВЕДЕНИЙ О РЕЗУЛЬТАТАХ, определенной пунктом 8.3 приказа 236 от 22.12.2017, где говорится о необходимости привести обоснование полученных значений по каждому из показателей критериев значимости или обоснование неприменимости показателя к объекту.
Опишем некоторые моменты, с которыми столкнулись наши специалисты на примере различных компаний.
Семь раз отмерь, один подай.
Как правило, к большинству объектов КИИ часть показателей неприменима в принципе. Наиболее распространённые следующие показатели:
- Показатель 1 – Причинение ущерба жизни и здоровью людей (человек).
- Показатель 9 – Возникновение ущерба бюджетам Российской Федерации, оцениваемого в снижении выплат (отчислений) в бюджеты Российской Федерации, осуществляемых субъектом критической информационной инфраструктуры (процентов прогнозируемого годового дохода федерального бюджета, усредненного за планируемый трехлетний период).
- Показатель 11 – Вредные воздействия на окружающую среду.
Полный перечень показателей критериев значимости объектов КИИ и их значения приведены в ПП127
При этом в качестве исходных данных для категорирования в п. 10 ПП127 определены следующие источники:
а) сведения об объекте критической информационной инфраструктуры (назначение, архитектура объекта, применяемые программные и программно-аппаратные средства, взаимодействие с другими объектами критической информационной инфраструктуры, наличие и характеристики доступа к сетям связи);
б) процессы, указанные в пункте 3 настоящих Правил, в рамках выполнения функций (полномочий) или осуществления видов деятельности субъекта критической информационной инфраструктуры;
в) состав информации, обрабатываемой объектами критической информационной инфраструктуры, сервисы по управлению, контролю или мониторингу, предоставляемые объектами критической информационной инфраструктуры;
г) декларация промышленной безопасности опасного производственного объекта, декларация безопасности гидротехнического сооружения и паспорт безопасности объекта топливно-энергетического комплекса в случае, если на указанных объектах функционирует объект критической информационной инфраструктуры (если разработка указанных деклараций и паспорта безопасности предусмотрена законодательством Российской Федерации);
д) сведения о взаимодействии объекта критической информационной инфраструктуры с другими объектами критической информационной инфраструктуры и (или) о зависимости функционирования объекта критической информационной инфраструктуры от других таких объектов;
е) угрозы безопасности информации в отношении объекта критической информационной инфраструктуры, а также имеющиеся данные, в том числе статистические, о компьютерных инцидентах, произошедших ранее на объектах критической информационной инфраструктуры соответствующего типа.
Позволяют ли эти исходные данные оценить значения показателей значимости – большой вопрос. Наиболее близкий к «реальности» в большинстве случаев – пункт «г». И у организаций часто возникает непонимание, как же оценивать последствия.
Приведем несколько примеров, в результате которых специалистами предприятий собственными руками были завышены категории значимости объектов КИИ.
Кейс №1. Доверяй, но проверяй
Специалисты одного из обследуемых предприятий предполагали, что информацию для показателя 1 (Причинение ущерба жизни и здоровью людей) критериев значимости, можно получить в декларации промышленной безопасности (документы из пункта г). Указанные в декларации значения соответствовали 2 категории значимости объекта КИИ.
Декларации промышленной безопасности — документ, определенный в ст.14 Федерального закона от 21.07.1997 N 116-ФЗ «О промышленной безопасности опасных производственных объектов». В декларации представлена оценка риска аварии и связанной с нею угрозы; анализ достаточности принятых мер по предупреждению аварий, по обеспечению готовности организации к эксплуатации опасного производственного объекта в соответствии с требованиями промышленной безопасности, а также к локализации и ликвидации последствий аварии на опасном производственном объекте; разработку мероприятий, направленных на снижение масштаба последствий аварии и размера ущерба, нанесенного в случае аварии на опасном производственном объекте.
Результат: В декларации были описаны сценарии аварии с физическим разрушением технологического оборудования и определены последствия, связанные с этим сценарием. Сценарии, связанные с компьютерными инцидентами, в декларациях не описываются.
Ошибка: Специалисты упустили ключевой момент. Все показатели для определения категории необходимо рассматривать через призму компьютерных инцидентов.
Вывод: Технологический процесс выстроен таким образом, что отказ АСУ не приведет к последствиям, описанных в декларации сценариев. Максимально возможные последствия при возникновении компьютерного инцидента это остановка производства, но никак не физические разрушения. Таким образом вместо 3 категории, специалисты предприятия присвоили себе 2 категорию, таким образом сами себе завысили категорию значимости объекта КИИ.
Итог: 3-я категория вместо 2-й категории.
Кейс №2. Разделяй и властвуй.
Специалисты одного из обследуемых предприятий предполагали, что информацию для показателя 9 (Возникновение ущерба бюджетам Российской Федерации) можно получить в финансовом подразделении путем оценки прибыли предприятия и налоговых отчислений.
Результат: Было определено, что предполагаемый компьютерный инцидент приведет к остановке производства. Период простоя составит до 5 дней в случае, если оборудование не будет повреждено, и до 20 дней, если оборудование выйдет из строя.
Ошибка: И в этом случае была допущена аналогичная ошибка из кейса №1. В случае проведения работ по категорированию объектов КИИ и определения категорий значимости объектов КИИ все показатели необходимо рассматривать через призму компьютерного инцидента и делать это необходимо на конкретном объекте КИИ, а не на всем предприятии в целом.
Вывод: Сумма ущерба от простоя оцениваемого объекта и стоимости поврежденного оборудования оказалась в разы меньше первоначальной оценки специалистов предприятия, т.к. оценка проводилась в разрезе конкретного объекта и не всего предприятия в целом.
Итог: Отсутствие категории вместо 3-й категории.
Кейс №3. У страха глаза велики.
На предприятии отсутствовала декларация промышленной безопасности, поэтому специалисты предприятия предполагали, что информацию для показателя 11 (Вредные воздействия на окружающую среду) можно получить из численности населенного пункта, расположенного рядом с субъектом КИИ.
Результат: Было определено, что в случае компьютерного инцидента на предприятии возможны вредные воздействия на окружающую среду, которые могут коснуться близлежащего населенного пункта.
Ошибка: Специалисты допустили ту же самую ошибку, как и в предыдущем примере – необходимо рассматривать последствия от компьютерного инцидента на конкретном объекте, а не на всем предприятии в целом.
Вывод: В момент инцидента в зону поражения попадет территория одного цеха и работники одного помещения, в котором функционирует объект КИИ. А условия, при которых в зону поражения попадают жители населенного пункта при компьютерном инциденте недостижимы. Последствия оказались на порядок ниже, чем предполагали специалисты.
Итог: Отсутствие категории вместо 3-й категории.
Кейс №4. Знал бы, где падать – соломки подстелил.
У специалистов на предприятии возникли сложности при оценке показателя 1 (Причинение ущерба жизни и здоровью людей).
Результат: Было определено, что в случае компьютерного инцидента на предприятии ущерб жизни и здоровью людей невозможен.
Ошибка: Специалисты провели недостаточный анализ последствий от компьютерного инцидента, сделали вывод, но сформулировать обоснование для формы отправки сведений не смогли.
Вывод: При проведении анализа были определены условия, при которых возможно причинение ущерба жизни и здоровью людей. Также было составлено корректное обоснование для формы отправки сведений.
Итог: 3-я категория значимости объекта КИИ вместо отсутствия категории.
Как и на что влияет категория значимости объекта КИИ
При определении категории главное — не делать этого бездумно. Нельзя отказаться от категории, потому что «не хочется присваивать». Всё-таки ответственность в случае инцидента лежит на субъекте, в том числе и на должностных лицах. Нужно быть честным и внимательно проводить анализ возможных сценариев и последствий от инцидента.
Но и «перестраховка» в завышении значимости — это, в первую очередь, дополнительные требования к защите, что приведет к значительным затратам на ИБ. Хотя затрат на ИБ не бывает, есть только инвестиции в ИБ.
Что в итоге, занизил – ответственность за инцидент, завысили – обязал себя к инвестициям в ИБ.
Необходимо рассматривать объекты КИИ и их влияние на технологический процесс с различных сторон и привлекать к этому различных специалистов. Именно поэтому в п.11 ПП127 определен состав комиссии, а в п.11.1 указано, что включать в комиссию по категорированию можно и других работников.
Качественный анализ позволит сформировать верное обоснование полученных значений для п.8.3 формы сведений для отправки в ФСТЭК.
Кроме того, корректное обоснование категории является основанием для развития инфраструктуры безопасности предприятия и обоснованием для получения необходимого для этого финансирования.
