объект кии что это
Категорирование объектов критической информационной инфраструктуры (КИИ). Практические примеры
Автор статьи:
Царев Евгений Олегович
Прежде чем приступить к категорированию объектов КИИ, нужно определиться с основными понятиями, которые разъясняются в Федеральном законе от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»:
Критическая информационная инфраструктура — объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов.
Объекты критической информационной инфраструктуры — информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.
Субъекты критической информационной инфраструктуры — государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы (ИС), информационно-телекоммуникационные сети (ИТС), автоматизированные системы управления (АСУ), функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.
Значимый объект критической информационной инфраструктуры — объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры.
Компьютерный инцидент — факт нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки.
Исходя из этих определений, появляется ясность, что такое КИИ, что является «объектом КИИ», а что «субъектом», и в каких именно отраслях функционируют объекты и субъекты КИИ.
Все ИС, ИТС и АСУ субъекта КИИ — это объекты КИИ.
ИС – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
ИТС – технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.
АСУ – комплекс программных и программно-аппаратных средств, предназначенных для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими оборудованием и процессами.
Какие же объекты КИИ подлежат категорированию? На этот вопрос есть ответ в Постановлении Правительства РФ от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» (ПП №127). В данном постановлении четко определено:
«Категорированию подлежат объекты критической информационной инфраструктуры, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры».
Прежде чем перейти непосредственно к детальному разбору методики категорирования объектов КИИ (согласно ПП №127) советуем Вам внимательно изучить наши предыдущие статьи по данной теме:
КАТЕГОРИРОВАНИЕ ОБЪЕКТОВ КИИ: РАБОЧИЙ АЛГОРИТМ
Если вы не специалист в области ИБ и комплаенса (compliance), то просто прочитав ПП №127, вам будет непросто самостоятельно выполнить работы в области категорирования объектов КИИ, поэтому лучше обратиться за консультацией к профессионалам, а также желательно изучить практические рекомендации по этому вопросу.
Первое, что нужно сделать – это составить для себя алгоритм категорирования объектов КИИ:
ПЕРЕЧЕНЬ ПОКАЗАТЕЛЕЙ КРИТЕРИЕВ ЗНАЧИМОСТИ
В таблице ПП №127 детально расписаны эти показатели. Например, по «социальному критерию» идет подразделение на «причинение ущерба жизни и здоровью людей», «прекращение или нарушение функционирования объектов обеспечения жизнедеятельности населения» и т.д. Потенциальный ущерб учитывается по охваченной территории и по количеству пострадавших людей, детальную информацию по всем показателям можно найти в данной таблице. Устанавливаются 3 категории значимости. Самая высокая категория — первая, самая низкая – третья, а также объекту КИИ может быть вообще не присвоена категория (т.е. «без категории»).
Исходя из нормативных документов, организации (субъекты КИИ) будут сами составлять перечень процессов (управленческие, технологические, финансово-экономические, производственные и др. процессы) и сами оценивать их критичность. Таким образом, количество объектов КИИ, которые войдут в перечень, зависит от решения самих организаций.
Важное примечание: может получиться так, что у субъекта КИИ вообще не будет объектов КИИ, подлежащих категорированию (т.е. они будут обозначены, как «без категории»). Однако надо учитывать, что «Перечень объектов КИИ» согласовывается с отраслевым регулятором (например, с Министерством энергетики, Банком России и пр.) и перечень объектов КИИ отправляется во ФСТЭК.
По вопросам оформления перечня объектов КИИ советуем ознакомиться с «Информационным сообщением» ФСТЭК от 24 августа 2018 г. N 240/25/3752
Какие именно исходные данные понадобятся для категорирования объектов КИИ, можно посмотреть здесь: Этап 5. Сбор исходных данных для категорирования объектов КИИ.
КАКАЯ ИНФОРМАЦИЯ ПОНАДОБИТСЯ ДЛЯ ПОДАЧИ ВО ФСТЭК?
КАК ОПРЕДЕЛИТЬСЯ ПО СРОКАМ?
ПРАКТИЧЕСКИЕ ПРИМЕРЫ ПО КОНКРЕТНЫМ ОТРАСЛЯМ И ОРГАНИЗАЦИЯМ
Изучив НПА и алгоритм категорирования объектов КИИ (см. выше) можно непосредственно приступить к практике. Здесь хотелось бы дать ряд советов и показать практические кейсы для организаций финансовой и банковской сферы.
Это говорит о том, что не каждый банк или финансовая структура вообще подпадает под законодательство о КИИ. Надо помнить, что категорируем мы не субъект, а объект КИИ, для каждого объекта КИИ будет присвоена своя категория, оценку последствий инцидента надо делать для каждого объекта.
Формирование комиссии:
На начальном этапе нужно сформировать комиссию. Подробнее об этом можно прочитать по ссылке: Этап 1. Создание комиссии по категорированию объектов КИИ (там же и образец «Приказа о создании комиссии по категорированию КИИ»).
Определение процессов:
Затем необходимо определиться с процессами, которые есть в организации, составить их полный перечень. На этом этапе нам не обойтись без помощи специалистов и руководителей различных подразделений. Рассмотрим, как действовать, на примере банка. Как правило, основные виды деятельности организации уже задокументированы, специалисту ИБ надо внимательно изучить учредительные и др. документы (лицензии, сертификаты), для банков опираемся на Федеральный закон от 02.12.1990 N 395-1 «О банках и банковской деятельности» и нормативные документы Центрального Банка РФ.
Виды деятельности банка по Код ОКВЭД 64: «Деятельность по предоставлению финансовых услуг, кроме услуг по страхованию и пенсионному обеспечению». Затем, исходя из видов деятельности, необходимо прописать бизнес-процессы в финансовой организации. Есть различные классификации бизнес-процессов в банковской сфере (в конкретном банке они, как правило, уже задокументированы).
Рассмотрим типовой пример (источник):
Основные бизнес-процессы банка:
Обеспечивающие бизнес-процессы банка:
Управляющие бизнес-процессы банка:
Рис.1. Бизнес-процессы банка (типовой пример)
Переходим от процессов к критическим процессам:
Для начала ответим на важный вопрос: нарушение (или остановка) каких процессов в банке приведет негативным экономическим последствиям, согласно ПП №127? Т.е. другими словами, в ходе категорирования мы попытаемся решить, попадают ли возможные последствия от компьютерных инцидентов на объекте КИИ (ИС, ИТС, АСУ) в категории значимости (ПП 127).
Как выделить из всех процессов именно критические и связать с ними объекты КИИ видно на рис 2. Например, Процесс 2 не критический.
Рис 2. Выявление критических процессов
Далее переходим от процессов к объектам КИИ:
Выделяем объекты КИИ, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов, т.е. осуществляют управление, контроль, мониторинг критических процессов.
Для соответствия процессов и объектов можно составить такую простую таблицу:
Таблица 1. Объекты КИИ и процессы
Например, в качестве объектов КИИ в банке есть:
На этом этапе уже можно занести объекты КИИ в «Перечень объектов КИИ».
Принимаем решение о значимости объекта КИИ: перечень объектов у нас есть, также построена взаимосвязь объектов с процессами (Таблица 1).
Далее оцениваем:
Для этой работы нам потребуется: «Модель угроз», «Модель нарушителя», а также статистика по компьютерным инцидентам. Как правило, в банках есть свои службы ИБ, у которых имеются политики безопасности и др. документы по ИБ, поэтому, думаем, что проблем с такими данными не должно быть. В помощь службам ИБ: методические документы ФСТЭК России и «Основные положения базовой модели угроз и нарушителей безопасности информации» прил. А ГОСТ Р 57580.1-2017.
Как оценивать?
Для более точной оценки при категорировании объектов КИИ, мы составили небольшой опросник. На вопросы желательно отвечать точно: «да» или «нет».
Таким образом, процесс принятия решения о категорировании объектов КИИ проходит на основании «моделирования угроз». Для финансовых расчетов возможных потерь и убытков согласно табл. ПП 127 п. 8,9,10. желательно привлечь специалистов из экономических подразделений банка.
После проведения категорирования объектов КИИ составляется «Акт категорирования объектов КИИ», который отправляется во ФСТЭК в установленные законом сроки.
КИИ: обзор нормативной базы ФСТЭК России
С началом 2018-го года в силу вступил федеральный закон от 26.07.2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее — Закон). На протяжении первых пяти месяцев года интереса к данной тематике растет. В частности, особое внимание со стороны потенциальных субъектов критической информационной инфраструктуры (далее — КИИ), а также представителей IT/ИБ-отрасли уделяется порядку категорирования и защиты КИИ.
Наиболее распространенные вопросы:
Ниже мы попытаемся разъяснить основные положения и практическое применение новой нормативной базы ФСТЭК России. Однако нужно понимать, что наша статья заменить по содержанию сами руководящие документы не может.
Нормативная база ФСТЭК России
Напомним, что органом исполнительной власти, уполномоченным в области обеспечения безопасности КИИ, является ФСТЭК России. Это закреплено указом Президента Российской Федерации от 25.11.2017 г. № 569 «О внесении изменений в Положение о ФСТЭК России, утвержденное Указом Президента Российской Федерации от 16.08.2004 г. № 1085». Специалисты ведомства серьезно подошли к поставленной задаче и уже к концу зимы разработали и ввели нормативную базу, необходимую для категорирования потенциальных объектов КИИ и создания систем их защиты. Состав указанной нормативной базы приведен в таблице 1.
Таблица 1. Состав нормативной базы ФСТЭК России в области обеспечения информационной безопасности КИИ
Ключевыми для потенциальных субъектов КИИ и представителей IT/ИБ-отрасли, которые готовы помогать субъектам КИИ в реализации положений Закона, являются Правила категорирования, Приказ № 235 и Требования по безопасности КИИ. Эти документы и определяют последовательность действий, которые должны быть выполнены потенциальным субъектом КИИ:
Далее приводится краткий обзор требований каждого из этих документов.
Правила категорирования
Категорированию подлежат объекты КИИ, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов КИИ.
Категория значимости определяется на основе показателей критериев значимости из Правил категорирования.
Устанавливаются три категории значимости: от самой высокой — первой, к самой низкой — третьей. Объекту КИИ по результатам категорирования присваивается категория с наивысшим значением. Например, если хотя бы по одному из критериев исследуемый объект КИИ соответствует первой категории, то присваивают именно ее.
Перечень объектов для категорирования утверждается субъектом КИИ, согласуется организацией-регулятором в соответствующей области деятельности и передается во ФСТЭК России. Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом КИИ такого перечня.
Состав установленных показателей критериев значимости приведен в таблице 2.
Таблица 2. Перечень показателей критериев значимости
Исходными данными для категорирования являются:
Для проведения категорирования решением руководителя субъекта КИИ создается комиссия по категорированию, в которую включаются:
В состав комиссии также могут включаться представители организаций-регуляторов в соответствующей области по согласованию с ними.
Комиссия по категорированию в ходе работы:
Субъект КИИ не реже чем один раз в пять лет осуществляет пересмотр установленной категории значимости в соответствии с настоящими Правилами. В случае изменения категории значимости сведения о результатах пересмотра направляются в федеральный орган, уполномоченный в области обеспечения безопасности КИИ.
Требования по безопасности КИИ
Первое, на что следует обратить внимание, это возможность применения данного документа к объектам КИИ, которым категория значимости присвоена не была. Решение, делать это или нет, находится в компетенции владельца КИИ. Для значимых объектов КИИ реализация положений Требований является обязательной.
Второй важный момент — это корреляционные связи с другими руководящими документами ФСТЭК России. При проектировании защиты значимых объектов КИИ, являющихся информационными системами персональных данных, необходимо учитывать Требования к защите персональных данных при их обработке в информационных системах персональных данных (постановление Правительства Российской Федерации от 01.11.2012 г. № 1119). В случае с государственными информационными системами (ГИС) — Требования о защите информации, которая содержится в ГИС и не составляет государственную тайну (приказ ФСТЭК России от 11.02.2013 г. № 17), соответственно. Причем меры защиты принимаются в соответствии с более высокой категорией значимости, классом защищенности ГИС или уровнем защищенности персональных данных.
Третье и, пожалуй, самое важное — в Требованиях закреплено, что меры по обеспечению безопасности значимого объекта КИИ принимаются субъектом КИИ на всех стадиях его жизненного цикла, включая создание, модернизацию, использование и вывод из эксплуатации, и должны содержать (см. рисунок 1):
Рисунок 1. Состав требований по обеспечению безопасности КИИ
Конкретные требования по защите значимого объекта КИИ определяются субъектом КИИ в соответствии с его категорией значимости и включаются в техническое задание, которое должно содержать:
Целью защиты значимого объекта КИИ является обеспечение его устойчивого функционирования в проектных режимах работы в условиях реализации угроз безопасности информации.
Разработка организационных и технических мер защиты включает:
При разработке мер защиты объекта КИИ должно учитываться его взаимодействие с другими системами и сетями. При этом меры защиты не должны оказывать негативного влияния на создание и функционирование объекта КИИ.
Для проведения соответствующих работ допускается привлечение внешних организаций, имеющих лицензию на деятельность по технической защите информации, составляющей государственную тайну, и/или конфиденциальной информации. Однако необходимо учитывать, что для значимого объекта КИИ не допускается:
Все работы должны документироваться в соответствии с действующими государственными стандартами.
Основные этапы создания системы защиты значимого объекта КИИ и их содержание приведено на рисунке 2.
Рисунок 2. Состав и содержание этапов создания системы защиты
В значимых объектах КИИ должны быть реализованы следующие организационные и технические меры:
Содержание перечисленных мер конкретизируется в приложении к Требованиям и определяется в зависимости от категории значимости объекта КИИ. При этом базовый набор мер целесообразно адаптировать с учетом особенностей конкретного объекта КИИ и при необходимости дополнять (см. рисунок 3).
Рисунок 3. Порядок формирования набора мер по защите КИИ
Для реализации итогового набора мер должны применяться СрЗИ, прошедшие оценку на соответствие требованиям по безопасности в формах сертификации (обязательно — в случаях, установленных законодательством Российской Федерации), испытаний или приемки (в иных случаях), проведенных субъектами КИИ самостоятельно или с привлечением специализированных организаций. При этом классы защиты, сертифицированные СрЗИ и используемые средства вычислительной техники (СВТ) должны подбираться в соответствии с категорией значимости объектов КИИ, как показано в таблице 3.
Таблица 3. Требования к СВТ и СрЗИ, применяемым для защиты значимого объекта КИИ
| Категория значимости объекта КИИ | Класс средств вычислительной техники | Уровень контроля отсутствия НДВ | Класс защиты СрЗИ |
| 1 категория | Не ниже 5 класса | Не ниже 4 уровня | Не ниже 4 класса |
| 2 категория | Не ниже 5 класса | Не ниже 4 уровня | Не ниже 5 класса |
| 3 категория | Не ниже 5 класса | — | Не ниже 6 класса |
Приказ № 235
Приказ № 235 содержит требования к составу и функционированию систем безопасности, а также организационно-распорядительным документам по безопасности значимых объектов КИИ.
Согласно документу, системы безопасности включают в себя силы (уполномоченные работники субъекта КИИ) и средства обеспечения безопасности значимых объектов КИИ (далее — Силы и Средства), которые должны:
Особое внимание нужно обратить на то, что системы безопасности должны быть созданы для всех значимых объектов КИИ, имеющихся у субъекта КИИ, но по его решению отдельные системы безопасности могут создаваться как для одного, так и для группы значимых объектов. Это — важно, потому что позволит существенно сократить расходы.
Состав и структура систем безопасности значимых объектов КИИ, функции ее участников определяются руководителем соответствующего субъекта КИИ в зависимости от количества таких объектов и особенностей деятельности самого субъекта КИИ, в частности:
К Средствам относятся:
Все они должны быть сертифицированы на соответствие требованиям по безопасности или пройти оценку соответствия в форме испытаний или приемки в соответствии с Федеральным законом от 27.12.2002 г. № 184-ФЗ «О техническом регулировании».
Применение сертифицированных СрЗИ или средств, прошедших испытания или приемку, регламентируются так же, как и в Требованиях по безопасности КИИ. Параметры и характеристики применяемых средств защиты информации должны обеспечивать реализацию технических мер по обеспечению безопасности значимых объектов КИИ. В приоритетном порядке подлежат применению СрЗИ, встроенные в программное обеспечение и (или) программно-аппаратные средства значимых объектов КИИ (при их наличии).
Важно отметить, что при выборе СрЗИ должно учитываться возможное наличие ограничений со стороны разработчиков (производителей) или иных лиц на применение этих средств. Это замечание особо существенно в условиях существующих санкций и их возможного расширения.
Система безопасности объекта КИИ должна функционировать на основе организационно-распорядительных документов, разработанных с учетом особенностей деятельности субъекта КИИ и положений нормативных правовых актов в области защиты КИИ, которые должны определять:
Организационно-распорядительные документы по безопасности значимых объектов утверждаются руководителем субъекта КИИ или уполномоченными на это сотрудниками и доводятся до сотрудников других подразделений субъекта КИИ в части, их касающейся.
В рамках функционирования системы безопасности субъектом КИИ должны быть внедрены следующие процессы:
Перечисленные процессы за исключением контроля реализуются и документируются структурным подразделением по безопасности и (или) специалистами по безопасности, по результатам составляется и утверждается соответствующий отчет, а также предложения по совершенствованию системы безопасности по результатам анализа ее функционирования.
Контроль проводится ежегодно комиссией, назначаемой субъектом КИИ. Для оценки эффективности принятых организационных и технических мер по обеспечению безопасности могут применяться средства контроля (анализа) защищенности. Результаты контроля оформляются актом. В случае проведения по решению руководителя субъекта КИИ внешней оценки (аудита) внутренний контроль может не проводиться. Для внешней оценки привлекаются организации, имеющие лицензии на деятельность в области защиты информации (в части услуг по контролю защищенности информации от несанкционированного доступа и ее модификации в средствах и системах информатизации).
В итоге
С вступлением в силу Закона и подзаконной нормативной базы окончательно поставлена точка в вопросе необходимости обеспечения информационной безопасности КИИ. Защищать КИИ нужно! И делать это придется планомерно и на регулярной основе всем организациям, которые осуществляют деятельность в банковской и кредитно-финансовой сфере, в областях здравоохранения, науки, транспорта, связи, энергетики и ТЭК, а также оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленностях.
Начать необходимо с инвентаризации собственной информационной инфраструктуры, что позволит выявить потенциальные значимые объекты КИИ. После чего провести их категорирование и сформировать набор требований по обеспечению безопасности, и затем создать и обеспечить эксплуатацию соответствующей системы защиты.
Руслан Рахметов, Security Vision
Какие же меры следует предпринимать для защиты значимых объектов критической информационной инфраструктуры (ЗОКИИ)? Приказ №239 говорит, что разработка мер защиты информации значимого объекта КИИ должна включать в себя анализ угроз безопасности и разработку модели угроз безопасности КИИ:
1. Анализ угроз включает в себя выявление источников угроз, оценку возможностей нарушителей (т.е. создание модели нарушителя), анализ уязвимостей используемых систем, определение возможных способов реализации угроз и их последствий. Модель нарушителя строится на основе предположений о потенциале атакующих, т.е. о мере усилий, затрачиваемых нарушителем при реализации угроз безопасности информации в информационной системе (при этом потенциалы нарушителей можно условно разделить на высокий, средний и низкий).
определение возможных негативных последствий от реализации угроз по результатам оценки рисков нарушения законодательства, бизнес-процессов и/или нарушения защищенности информации, что может привести к таким негативным последствиям, как нарушение законодательства, экономический или репутационный ущерб;
определение условий для реализации угроз безопасности информации, т.е. выявление уязвимостей, недекларированных возможностей, доступов к ИТ-системам, которые могут быть использованы злоумышленниками;
определение сценариев реализации угроз с помощью таблицы тактик и техник атакующих, приведенной в Методике;
оценка уровня опасности угроз безопасности информации путем анализа типа доступа, необходимого для реализации атаки, сложности сценария атаки и уровня важности атакуемых активов.
Вернемся к Приказу №239. После анализа и моделирования угроз следует переходить к внедрению контрмер. При этом следует иметь в виду, что внедряемые меры защиты не должны оказывать негативного влияния на функционирование самого объекта КИИ – этим подчеркивается, что приоритетом является непрерывность технологических процессов, остановка которых может сама по себе привести к инциденту на КИИ, например, к выходу оборудования из строя или даже аварии.
В списке организационных и технических мер, предусмотренных положениями данного приказа в зависимости от категории значимости объекта КИИ и угроз безопасности информации, указаны следующие пункты:
идентификация и аутентификация;
ограничение программной среды;
защита машинных носителей информации;
предотвращение вторжений (компьютерных атак);
защита технических средств и систем;
защита информационной (автоматизированной) системы и ее компонентов;
планирование мероприятий по обеспечению безопасности;
управление обновлениями программного обеспечения;
реагирование на инциденты информационной безопасности;
обеспечение действий в нештатных ситуациях;
информирование и обучение персонала.
Кроме этого, в Приказе №239 особо оговорено, что при использовании СЗИ для защиты КИИ приоритет отдается штатному защитному функционалу, а при реагировании на компьютерные инциденты в критической информационной инфраструктуре требуется отправлять информацию о них в систему ГосСОПКА. Указывается также на важность использования СЗИ, которые обеспечиваются гарантийной и/или технической поддержкой, а также на возможные ограничения по использованию программного/аппаратного обеспечения или СЗИ (видимо, имеются ввиду санкционные риски). Также указано, что на значимом объекте КИИ требуется запретить удаленный и локальный бесконтрольный доступ для обновления или управления лицами, не являющимися работниками субъекта КИИ, а также запретить бесконтрольную передачу информации из объекта КИИ производителю или иным лицам. Кроме этого, все программные и аппаратные средства объекта КИИ первой категории значимости должны располагаться на территории РФ (за исключением оговоренных законодательством случаев).