Вопросы категорирования объектов КИИ

Вопросы категорирования объектов КИИ
Я посмотрел документ и для себя отметил несколько моментов.

1. Категорий объектов КИИ на самом деле 4

Предполагается 3 категории значимости объекта КИИ (3-1, 1 максимальная) или принимается решение "об отсутствии необходимости присвоения ему одной из таких категорий" (условно можно назвать "0" категория значимости). 

Дело все в том, что даже если "отсутствует необходимость присвоения категории", но мы все равно должны пройти всю процедуру категорирования, оформить Акт и направить информацию в уполномоченный орган исполнительной власти (мы уже знаем, что это будет ФСТЭК России), который проверит правильность присвоения категории и внесет соответствующую информацию в реестр.

Обосновать "0" категорию, на мой взгляд не очень сложно, и большинство объектов КИИ будут именно такими. Кстати, слышал информацию, что если объект КИИ не является значимым, то и подключать его к ГосСОПКА не обязательно...


2. Субъектам КИИ необходимо категорировать все информационные системы, даже не относящиеся к значимым

187-ФЗ определяет следующие важнейшие термины:
  • Субъекты критической информационной инфраструктуры - государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.
  • Объекты критической информационной инфраструктуры - информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.
  • Значимый объект критической информационной инфраструктуры - объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры.
Проект Порядка категорирования уточняет:
"4. Категорированию подлежат объекты критической информационной инфраструктуры, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций или осуществления основных видов деятельности субъектов критической информационной инфраструктуры."
Обратите внимание, что под "объекты" попадет все ИТ субъекта КИИ, вплоть до внутренней бухгалтерии, ЛВС, и отдельных систем. Проект порядка категорирования предполагает, что все объекты субъекта КИИ должны быть прокатегорированы в установленном порядке (с составлением Актов и уведомлением регулятора), даже если эти объекты (ИС) и не являются "значимыми".

Можете представить себе в какие трудозатраты и ненужную работу это все выльется... А ведь информацию необходимо еще и регулярно уточнять и актуализировать...

Надеюсь, что этот момент как-то подкорректируют в итоговой версии документа.


3. Не понятно какой вид деятельности должен быть прописан у лицензиатов ФСТЭК России

В проекте документа сказано:
"Для категорирования объектам критической информационной инфраструктуры субъекты критической информационной инфраструктуры могут привлекать организации, имеющие соответствующую лицензию на деятельность в области защиты информации."
При этом не понятно какой вид деятельности должен быть указан в лицензии на ТЗКИ.

Сейчас в соответствии с Постановление Правительства РФ от 03.02.2012 N 79 "О лицензировании деятельности по технической защите конфиденциальной информации"  их несколько:
4. При осуществлении лицензируемого вида деятельности лицензированию подлежат:
а) услуги по контролю защищенности конфиденциальной информации от утечки по техническим каналам:
в средствах и системах информатизации;
в технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается;
в помещениях со средствами (системами), подлежащими защите;
в помещениях, предназначенных для ведения конфиденциальных переговоров (далее - защищаемые помещения);
б) услуги по контролю защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;
в) услуги по мониторингу информационной безопасности средств и систем информатизации;
г) работы и услуги по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации:
средств и систем информатизации;
помещений со средствами (системами) информатизации, подлежащими защите;
защищаемых помещений;
д) работы и услуги по проектированию в защищенном исполнении:
средств и систем информатизации;
помещений со средствами (системами) информатизации, подлежащими защите;
защищаемых помещений;
е) услуги по установке, монтажу, наладке, испытаниям, ремонту средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля эффективности защиты информации).
Какой нам вид деятельности нужен? Проектирование (д)? Или контроль защищенности (б)?
И вообще, зачем нужна лицензия, ведь показатели критериев "не ИБшные", а скорее бизнес/непрерывность...

Кстати, что странно, в составе комиссии, которая проводит категорирование объекта КИИ, обозначены "работники безопасности", но не упоминаются сотрудники, отвечающие за ИБ...


4. Стало понятно по перечню банков, которые подпадают под КИИ

Определение "субъекта КИИ" в законе довольно общее, и было не понятно какие банки (банковская сфера и иные сферы финансового рынка) подпадают под него. Проект показателей критериев вносит ясность. Смотрим показатель 3.3 блока "экономическая значимость":
"3.3. Возможно ограничение более чем на 2 часа получения населением доступа к банковскому счету, осуществления переводов денежных средств, получения финансовых услуг, предоставляемых субъектом критической информационной инфраструктуры, являющимся в соответствии с законодательством Российской Федерации системно значимой кредитной организацией, оператором услуг платежной инфраструктуры системно, национально, социально значимых платежных систем или системно значимой инфраструктурной организацией финансового рынка, оцениваемое:
а) в размере территории, на которой возможно ограничение доступа к банковскому счету, осуществлению переводов денежных средств, получению финансовых услуг;
б) в количестве людей, для которых ограничен доступ к банковскому счету, осуществлению переводов денежных средств, получению финансовых услуг (КЛ), в тыс. чел."
Ключевые слова - "системно значимые". Таких банков (на 13.09.2017 года, вот ссылка на перечень ЦБ РФ ) всего 11:
  1. АО ЮниКредит Банк
  2. Банк ГПБ (АО)
  3. Банк ВТБ (ПАО)
  4. АО «АЛЬФА-БАНК»
  5. ПАО Сбербанк
  6. ПАО «Московский Кредитный Банк»
  7. ПАО Банк «ФК Открытие»
  8. ПАО РОСБАНК
  9. ПАО «Промсвязьбанк»
  10. АО «Райффайзенбанк»
  11. АО «Россельхозбанк»
Кстати, эти банки, как в принципе и другие финансовые организации, подпадающие под этот показатель, являются крупными и "выходят за пределы территории одного субъекта Российской Федерации или территории города федерального значения" и по "количеству людей, для которых может быть ограничен доступ к банковскому счету, осуществлению переводов денежных средств, получению финансовых услуг, превышают 5 000 000", а значит многим их ИС (объектам КИИ) будет присвоена высшая I категория значимости. Со всеми вытекающими из этого последствиями, это я намекаю на скорое появление требований по безопасности КИИ...


5. А надо ли проводить инвентаризацию процессов?

В проекте Порядка категорирования очень много раз упоминается о необходимости проведения инвентаризации процессов:
6. Категорирование объектов критической информационной инфраструктуры включает:
а) инвентаризацию всех процессов в рамках выполнения функций или осуществления основных видов деятельности субъекта критической информационной инфраструктуры;
б) выявление критических процессов, нарушение и (или) прекращение функционирования которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям или негативным последствиям для обеспечения обороны страны, безопасности государства и правопорядка, выраженным в показателях критериев значимости (далее - критические процессы);
г) определение объектов критической информационной инфраструктуры, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов;
д) оценку в соответствии со значениями показателей критериев значимости масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах критической информационной инфраструктуры, в результате которых возможны неправомерный доступ к информации, уничтожение, модифицирование, блокирование, копирование, предоставление или распространение информации, а также иные неправомерные действия, которые могут привести к нарушению управления, контроля или мониторинга критических процессов;
е) установление соответствия объектов критической информационной инфраструктуры значениям показателей критериев значимости и присвоение им одной из категорий значимости.
10. Для вновь создаваемого объекта критической информационной инфраструктуры его категория определяется при формировании заказчиком требований к объекту критической информационной инфраструктуры с учетом имеющихся исходных данных о критических процессах субъекта критической информационной инфраструктуры.
13. Исходными данными для категорирования объекта критической информационной инфраструктуры  являются:
...
б) управленческие, технологические, производственные, финансово-экономические или иные процессы в рамках выполнения функций или осуществления основных видов деятельности субъекта критической информационной инфраструктуры;
в) информация, функции или сервисы объектов критической информационной инфраструктуры, которые обеспечивают процессы в рамках выполнения функций или осуществления основных видов деятельности субъектов критической информационной инфраструктуры; ...
16. В ходе работы комиссия:
а) проводит инвентаризацию всех процессов в рамках выполнения функций или осуществления основных видов деятельности субъекта критической информационной инфраструктуры;
б) выявляет наличие критических процессов у субъекта критической информационной инфраструктуры;
в) выявляют объекты критической информационной инфраструктуры, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов;
...
Идея довольно здравая, и, в целом, правильная. Однако я вспоминаю свои прошлые проекты по СУИБ (27001), в которых мы, помимо прочего, проводили инвентаризацию процессов и BIA (Business Impact Analysis). Это ОЧЕНЬ трудозатратно... Особенно если процессы не документированы и имеют свойство периодически изменяться... 

Поэтому я не уверен, что субъекты КИИ будут это делать, ведь итогом категорирования являться Акт, но для его подготовки используется немного другая информация:
17. Решение комиссии оформляется актом категорирования, который должен содержать сведения об объекте критической информационной инфраструктуры, результаты анализа угроз безопасности и уязвимостей объекта критической информационной инфраструктуры, реализованные меры по обеспечению безопасности объекта критической информационной инфраструктуры, сведения о присвоенной объекту критической информационной инфраструктуры категории значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, а также сведения о необходимых дополнительных мерах по обеспечению безопасности в соответствии с требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры, установленными федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры.
Т.е. без деятельности по инвентаризации процессов, вроде как, можно и обойтись или сделать ее формально...
Alt text

Устали от того, что Интернет знает о вас все?

Присоединяйтесь к нам и станьте невидимыми!

Andrey Prozorov

Информационная безопасность в России и мире