ПРОСТО о КИИ

КИИ – это критическая информационная инфраструктура. Т.е. из определения видно, что значимость ее корректного функционирования велика, а сбои могут повлечь серьезные последствия.

На последнем хочу акцентировать внимание. Здесь речь идет о том, что инциденты ИБ могут повлечь причинение ущерба жизни и здоровью граждан, экологии, стабильности функционирования государства. Степень возможного ущерба в дальнейшем влияет и на категорию значимости.

Работа КИИ и ее ИБ влияет на жизни и здоровью граждан, экологии, стабильности функционирования государства. Имеет следующую значимость:

• Социальная значимость
• Политическая значимость
• Экономическая значимость
• Экологическая значимость
• Значимость для обороны страны

Изначально законодательство определило 13 значимых (ключевых) сфер, воздействие на ИС которых может с большей долей вероятности нанести тот самый ущерб.

Сама КИИ – это совокупность объектов (проще скажем, ИС), которые находятся в ведении субъекта КИИ.

Субъект КИИ – это лицо, которое имеет в своем ведении (владеет или арендует) объекты КИИ.

Объекты КИИ – это совокупность ИС, ИТКС и АСУ, которые автоматизирую бизнес- процессы Компании.

Это базовая терминология главного ФЗ №187. Именно этот ФЗ регламентирует требования как к субъектам КИИ, так и к их объектам.

Этот же ФЗ определяет необходимость проведения категорирования объектов КИИ. То есть определения тех ИС, нарушение защищенности которых может привести к негативным последствиям.

Примерами объектов КИИ могут быть:

• В медицинской сфере – цифровые рентгены, КТ, МРТ аппараты.
• В банках – это система дистанционного банковского обслуживания.
• У фармакологических компаний такими ИС могут быть – системы по производству лекарств, учету сырья.
• У промышленных систем – это в первую очередь те ИС, которые отвечают за производственные процессы, нарушение и сбои, которые могут привести к человеческим и экологическим потерям.

Для того, чтобы понять есть КИИ или нет, нужно определить сферу деятельности Компании: самое простое – это по ОКВЭДам, но также нужно учитывать, лицензии, уставы, иные документы, в которых описана деятельность вашей компании.

Здесь необходимо смотреть В СОВОКУПНОСТИ, входит ли данная деятельность в эти 13 сфер или нет. Если входит, то переходим к инвентаризации систем. Не каждая система будет являться объектом КИИ, а только та, с помощью которой вы осуществляете критический процесс.

Хороший пример, который встретился на практике, это включение в перечень объектов КИИ медицинской организации 1С Кадры или Бухгалтерия, которая явно не осуществляет критический процесс – оказание медицинской помощи.

Как видите из схемы, которая приведена ниже, процесс категорирования непростой, здесь понадобится создать комиссию по категорированию, понять процессы, выявить критические процессы. Далее нужно сформировать перечень объектов КИИ, утвердить перечень этих объектов, собрать данные для категорирования (это и финансовые данные по деятельности Компании, и технические данные об ИС, провести моделирование угроз, оценить последствия от возможных инцидентов. На основании полученных данных сделать вывод о необходимости присвоения категории и оформить это все актом, при этом не забыть направить сведения из акта во фстэк в установленный срок.

Что сделать: Провести категорирование.

Кому: Компаниям, деятельность которых включена в 13 значимых сфер.

Кто делает: комиссия по категорированию, которая определяется самостоятельно субъектом КИИ.

Как: по схеме ниже

Если посмотреть на те штрафы, которые имеются, то ничего страшного, только есть один нюанс. Вам все равно придется провести категорирование. Только уже не в комфортном для вас режиме, а спешно. Тут и контроль со стороны регуляторов будет выше. Вероятнее всего без помощи лицензиатов не обойтись. То есть путь страуса – тут самый плохой. Лучше решить все до момента прихода регулятора.

Кроме того, Федеральному закону от 26.07.2017 № 194-ФЗ «О внесении изменений в УК РФ и УПК РФ в связи с принятием ФЗ «О безопасности критической информационной инфраструктуры РФ» максимальная мера наказания, за нарушения норм безопасности КИИ, составляет лишение свободы до 10 лет. Пожалуй, весомый аргумент!

После того, как мы провели категорирование объектов КИИ, оценили возможные последствия в случае возникновения инцидентов на объектах КИИ и сверились с перечнем показателей критериев значимости, приведенном в ПП127. После ответа на эти вопросы, уже можно говорить, будет системе присвоена категория или нет. И какие должны обязательно применяться в соответствии с приказами регуляторов.

В декабре 2022 г. было изменение требований по категорированию в ПП-127. Изменения коснулись организаций, оказывающие гос услуги, операторов платежных систем, бирж, оборонно-промышленной сферы. Если ваша организация попадает под изменения, то вам необходимо повторно оценить показатели из перечня, указанные в ПП 127 и проверить, не изменились ли у вас категория.

Если система является объектам КИИ, но категория значимости не присвоена, то согласно ст.9 ч.2 187-ФЗ вы, как субъект КИИ, должны информировать ФСБ о компьютерных инцидентах.

Если невозможно обеспечить все предприятия, входящие в критическую информационную инфраструктуру, специалистами с нужными компетенциями, значит, нужно создавать центры компетенции, которые будут непосредственно подключаться к противодействию атакам. Этот подход и был заложен в концепцию ГосСОПКА.

ГосСОПКА – система государственных и частных центров компетенции (центров ГосСОПКА), которые обслуживают субъектов критической информационной инфраструктуры. Такой центр берет на себя часть функций безопасности, необходимых для противодействия атакам на информационные системы субъектов критической информационной инфраструктуры. Как правило, к таким функциям относится: выявление и анализ уязвимостей обслуживаемых информационных систем, координация действий по устранению таких уязвимостей; анализ событий, регистрируемых компонентами обслуживаемых информационных систем и средств их защиты, для поиска признаков атак, направленных на эти системы; координация действий по реагированию на обнаруженную атаку, а если атака привела к инциденту –– по ликвидации последствий такого инцидента; расследование инцидентов и ретроспективный анализ атак, которые не удалось предотвратить; информирование персонала обслуживаемых информационных систем, проведение киберучений.

Субъект ГосСОПКА – государственные органы РФ, российские юридические лица и индивидуальные предприниматели, в силу закона или на основании заключенных с ФСБ России соглашений, осуществляющих обнаружение, предупреждение и ликвидацию последствий компьютерных атак и реагирование на компьютерные инциденты.

Центр ГосСОПКА – структурная единица ГосСОПКА, представляющая совокупность подразделений и должностных лиц субъекта ГосСОПКА, которые принимают участие в обнаружении, предупреждении и ликвидации последствий компьютерных атак и реагирование на компьютерные инциденты в своей зоне ответственности.

Уведомлять нужно во исполнение требований Приказов ФСБ всем субъектам КИИ в течение 24 часов. Субъектам со значимыми ОКИИ – 3 часа с момента инцидента.

В утвержденных приказах ФСБ России нет деления на значимые и не значимые объекты КИИ.

А как же РКН?

Нужно уведомлять в случае утечек ПДн (согласно ст 21 ФЗ-152)

Подведем итог и сведем это все в некую дорожную карту.

Если значимых объектов КИИ нет, то не забывайте про ч.2 ст.9 187 ФЗ, это обязательно для всех субъектов КИИ, вам нужно разработать регламент информирования о компьютерных инцидентах НКЦКИ, в какой форме уведомлять в законе не указано. И конечно, законодательство меняется, у вас могут добавиться системы, поэтому не забывайте держать в актуализированном состоянии акты категорирования.

Если же значимые объекты есть, вам в любом случае необходимо создать систему безопасности для значимых объектов КИИ. Для начала нужно определить требования для системы безопасности. Они содержаться в приказах ФСТЭК 235 и 239, после определения требований приступаем к разработке проектной документации: это моделирование угроз, техническое задание, технический проект. Далее, идет этап внедрения средств защиты с разработкой эксплуатационной документации. После внедрения обязательный этап –– это аттестация объектов КИИ с выдачей документа, подтверждающего выполнения требований безопасности. Финальный этап –– это поддержание безопасности в ходе эксплуатации, в том числе и взаимодействие с технической инфраструктурой ГОССОПКа.

Процесс трудоемкий, но и не каждая система попадет под значимую. В к сфере КИИ у нас есть опыт, и мы можем вам помочь.

Подписывайтесь на Telegram-канал Б-152, чтобы оперативно получать информацию и разъяснения по всем законодательным изменениям в области Privacy.

С уважением, Екатерина Витенбург, Старший консультант по информационной безопасности Б-152.