КИИ. Системы “распределенные” по нескольким участникам

КИИ. Системы “распределенные” по нескольким участникам

Есть объекты КИИ (ИС, АСУ или ИТС) для которых пользователи, оператор или владелец – это разные организации. Такие объекты в рамках данной статьи буду называть Распределенными системами. Разнообразны варианты Распределённых систем, давайте посмотрим на примеры некоторых из них:
·         ЕГИСЗ: владелец - Минзрав РФ, основной оператор – Минздрав РФ, но привлекаются также иные организации, пользователи – медицинские организации
·         Региональные МИС: владельцы и операторы региональных сегментов – региональные Минздравы, МИАЦ, ЦИТ, комитеты по информатизации или иные операторы, пользователи – медицинские организации
·         Госзакупки: владелец – Федеральное казначейство, пользователи – гос. органы и учреждение, в том числе сферы здравоохранения (для закупки лекарственных средств)  
·         ДБО: владелец – банк, пользователи – клиенты банка
·         Диспетчерские системы, например в сфере энергетики: владелец – РДУ; пользователи – энергетические компании
·         Какое-то облачное приложение: владелец и пользователь – организация 1, оператор облачного серверов / оператор приложения – организация 2

Так вот, оказалось, что для Распределенных систем нельзя установить простые правила: кто должен включать такие системы в Перечень объектов КИИ? кто должен проводить категорирование? кто моделировать угрозы и создавать систему безопасности?

ФСТЭК попытались решить просто, но даже в рамках одного мероприятия SOC Forum, получилось что на докладе по практике категорирования КИИ говорят одно, а на диалоге с Регулятором вынуждены отвечать прямо противоположное. На встрече с блогерами говорили одно, а после рассмотрения частных примеров получается прямо противоположное.

Раз простые правила не подходят, давайте попробуем сформулировать хотя бы подходы к сложным правилам. Но для начала разберемся почему вообще возникла идея что для пользователей или операторов Распределенных систем возникают какие-то обязанности в части категорирования и обеспечения безопасности объектов КИИ? Смотрим на определение субъекта КИИ из 2 статьи 187-ФЗ и пункта 2 ПП РФ №127:



И на правильную трактовку “законного основания” и видим, что сюда попадают как пользователи как и операторы.

Такой подход позволяет ФСТЭК обеспечить, что в реестр значимых объектов КИИ попадут все нужные объекты, даже если их владельцы или операторы не попадают в сферу КИИ. С другой стороны, пользовали могут вообще ничего не знать о Распределенной системе, для них она может быть черным ящиком. При рассмотрении многих конкретных примеров, оказывается что системы пользователей не надо включать в Перечень.

А теперь рекомендованный подход:
1.       Вы являетесь субъектом КИИ, в вашей организации выявлен Критический процесс из сферы КИИ, Распределенная система обрабатывает информацию такого процесса, а вы не являетесь владельцем Распределенной системы

2.       Распределенная система выполнены ВСЕ следующие условия:
·         в вашем ведении отсутствуют серверные компоненты
в случае если на вашей стороне достаточно сложный сегмент, владелец или оператор системы не всегда смогут оценить возможный ущерб, поэтому оценка с вашей стороны может быть полезной
·         для работы вашей организации не используется эта Распределенная система (например данные предоставляются для отчетности вышестоящей организации) или вы самостоятельно не определяете для чего используется Распределенная система (то, что вы делаете в системе строго регламентировано инструкциями, порядками и другими НПА)
если вы самостоятельно придумали как вы будете использовать данную систему, то кроме вас никто не сможет правильно оценить возможный ущерб от инцидента с данной системой
·         ваша организация не единственный пользователь Распределенной системы
если вы единственный пользователь системы - то скорее всего кроме вас никто не сможет правильно оценить возможный ущерб от инцидента с данной системой
·         вы точно знаете, что владелец ИС – занимается деятельности в сферах КИИ, а соответственно является субъектом КИИ
если владелец и оператор не являются субъектами КИИ, они не будут проводить категорирование объектов КИИ и соответственно данная ИС, возможно значимый объект КИИ, будет упущена и останется не защищенной
3.       Тогда можно не включать эту Распределённую систему в Перечень объектов КИИ
иначе
3.       В рабочем порядке спросить otd25 ФСТЭК России, стоит ли включать данную систему в ваш Перечень объектов КИИ указав все подробности
4.       Если Распределенная система не была включена в ваш перечень объектов КИИ, значит у неё гарантировано есть иной владелец, и он проводит категорирование данной системы. Вы можете ждать от него требований по обеспечению безопасности или самостоятельно запросить была ли отнесена данная система к значимым объектам КИИ и предъявляются ли какие то требования к вам как к пользователю.   

В дальнейшем, на сколько мне известно, проблема с "Распределенными" системами будет прорабатываться более детально и в новой версии ПП 127 можно ожидать каких-то уточнений по этой части


Alt text

Если вам нравится играть в опасную игру, присоединитесь к нам - мы научим вас правилам!

Подписаться