Есть объекты КИИ (ИС, АСУ или ИТС) для которых пользователи, оператор или владелец – это разные организации. Такие объекты в рамках данной статьи буду называть Распределенными системами. Разнообразны варианты Распределённых систем, давайте посмотрим на примеры некоторых из них:
· ЕГИСЗ: владелец - Минзрав РФ, основной оператор – Минздрав РФ, но привлекаются также иные организации, пользователи – медицинские организации
· Региональные МИС: владельцы и операторы региональных сегментов – региональные Минздравы, МИАЦ, ЦИТ, комитеты по информатизации или иные операторы, пользователи – медицинские организации
· Госзакупки: владелец – Федеральное казначейство, пользователи – гос. органы и учреждение, в том числе сферы здравоохранения (для закупки лекарственных средств)
· ДБО: владелец – банк, пользователи – клиенты банка
· Диспетчерские системы, например в сфере энергетики: владелец – РДУ; пользователи – энергетические компании
· Какое-то облачное приложение: владелец и пользователь – организация 1, оператор облачного серверов / оператор приложения – организация 2
Так вот, оказалось, что для Распределенных систем нельзя установить простые правила: кто должен включать такие системы в Перечень объектов КИИ? кто должен проводить категорирование? кто моделировать угрозы и создавать систему безопасности?
ФСТЭК попытались решить просто, но даже в рамках одного мероприятия SOC Forum, получилось что на докладе по практике категорирования КИИ говорят одно, а на диалоге с Регулятором вынуждены отвечать прямо противоположное. На встрече с блогерами говорили одно, а после рассмотрения частных примеров получается прямо противоположное.
Раз простые правила не подходят, давайте попробуем сформулировать хотя бы подходы к сложным правилам. Но для начала разберемся почему вообще возникла идея что для пользователей или операторов Распределенных систем возникают какие-то обязанности в части категорирования и обеспечения безопасности объектов КИИ? Смотрим на определение субъекта КИИ из 2 статьи 187-ФЗ и пункта 2 ПП РФ №127:
И на правильную трактовку “законного основания” и видим, что сюда попадают как пользователи как и операторы.
Такой подход позволяет ФСТЭК обеспечить, что в реестр значимых объектов КИИ попадут все нужные объекты, даже если их владельцы или операторы не попадают в сферу КИИ. С другой стороны, пользовали могут вообще ничего не знать о Распределенной системе, для них она может быть черным ящиком. При рассмотрении многих конкретных примеров, оказывается что системы пользователей не надо включать в Перечень.
А теперь рекомендованный подход:
1. Вы являетесь субъектом КИИ, в вашей организации выявлен Критический процесс из сферы КИИ, Распределенная система обрабатывает информацию такого процесса, а вы не являетесь владельцем Распределенной системы
2. Распределенная система выполнены ВСЕ следующие условия:
· в вашем ведении отсутствуют серверные компоненты
в случае если на вашей стороне достаточно сложный сегмент, владелец или оператор системы не всегда смогут оценить возможный ущерб, поэтому оценка с вашей стороны может быть полезной
· для работы вашей организации не используется эта Распределенная система (например данные предоставляются для отчетности вышестоящей организации) или вы самостоятельно не определяете для чего используется Распределенная система (то, что вы делаете в системе строго регламентировано инструкциями, порядками и другими НПА)
если вы самостоятельно придумали как вы будете использовать данную систему, то кроме вас никто не сможет правильно оценить возможный ущерб от инцидента с данной системой
· ваша организация не единственный пользователь Распределенной системы
если вы единственный пользователь системы - то скорее всего кроме вас никто не сможет правильно оценить возможный ущерб от инцидента с данной системой
· вы точно знаете, что владелец ИС – занимается деятельности в сферах КИИ, а соответственно является субъектом КИИ
если владелец и оператор не являются субъектами КИИ, они не будут проводить категорирование объектов КИИ и соответственно данная ИС, возможно значимый объект КИИ, будет упущена и останется не защищенной
3. Тогда можно не включать эту Распределённую систему в Перечень объектов КИИ
иначе
3. В рабочем порядке спросить otd25 ФСТЭК России, стоит ли включать данную систему в ваш Перечень объектов КИИ указав все подробности
4. Если Распределенная система не была включена в ваш перечень объектов КИИ, значит у неё гарантировано есть иной владелец, и он проводит категорирование данной системы. Вы можете ждать от него требований по обеспечению безопасности или самостоятельно запросить была ли отнесена данная система к значимым объектам КИИ и предъявляются ли какие то требования к вам как к пользователю.
В дальнейшем, на сколько мне известно, проблема с "Распределенными" системами будет прорабатываться более детально и в новой версии ПП 127 можно ожидать каких-то уточнений по этой части