Check-IB

187 ФЗ

Критерии значимости, показатели их значений, а также порядок осуществления категорирования определены в Постановлении Правительства РФ от 8 февраля 2018 г. № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений».

Определение принадлежности

Согласно нормативным документам субъектом критической информационной инфраструктуры может являться государственная организация или орган власти, юридическое лицо, которому принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере:

  • здравоохранения,
  • науки,
  • транспорта,
  • связи,
  • энергетики,
  • банковской сфере и иных сферах финансового рынка,
  • топливно-энергетического комплекса,
  • атомной энергии,
  • оборонной промышленности,
  • ракетно-космической промышленности,
  • горнодобывающей промышленности,
  • металлургической промышленности,
  • химической промышленности;

Также к субъектам относятся организации, которые обеспечивают взаимодействие указанных систем или сетей.

Предлагаем следующий порядок действий:

  • Произвести анализ Устава организации, имеющихся лицензий, кодов ОКВЭД на предмет наличия деятельности, соответствующей сферам, определенным в 187-ФЗ.
  • Генеральному директору издать приказ или запрос на составление перечней используемых систем и об отнесении полученного перечня (самих систем) к рассматриваемым областям.
  • После получения данных перечней необходимо произвести уточнение полученных результатов на предмет принадлежности систем самой организации. Необходимо выявить форму собственности.
  • Если по результатам действий выявлены системы, удовлетворяющие параметрам, то принимается решение о признании организации субъектом КИИ.

Создание комиссии по категорированию

Данный процесс регулируется пунктом 11 Постановления Правительства РФ от 8 февраля 2018 г. № 127 “Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений”.

В состав комиссии должны включаться:

а) руководитель субъекта критической информационной инфраструктуры или уполномоченное им лицо;

б) работники субъекта критической информационной инфраструктуры, являющиеся специалистами в области выполняемых функций или осуществляемых видов деятельности, и в области информационных технологий и связи, а также специалисты по эксплуатации основного технологического оборудования, технологической (промышленной) безопасности, контролю за опасными веществами и материалами, учету опасных веществ и материалов;

в) работники субъекта критической информационной инфраструктуры, на которых возложены функции обеспечения безопасности (информационной безопасности) объектов критической информационной инфраструктуры;

г) работники подразделения по защите государственной тайны субъекта критической информационной инфраструктуры (в случае, если объект критической информационной инфраструктуры обрабатывает информацию, составляющую государственную тайну);

д) работники структурного подразделения по гражданской обороне и защите от чрезвычайных ситуаций или работники, уполномоченные на решение задач в области гражданской обороны и защиты от чрезвычайных ситуаций.

На основании пункта 12 127-ПП в состав комиссии по категорированию могут также входить представители государственных органов и российских юридических лиц, выполняющих функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности, по согласованию с государственными органами и российскими юридическими лицами.

На наш взгляд данную норму следует использовать Организациям, которые должны согласовывать перечень объектов, подлежащих категорированию, и результаты категорирования с вышестоящими организациями.
Основной смысл включения дополнительных лиц — упрощение дальнейшего этапа согласования результатов.

Формирование перечня критических процессов субъекта КИИ

Категорированию подлежат объекты, которые обеспечивают критические процессы субъектов КИИ.

Критическими процессами считаются управленческие, технологические, производственные, финансово-
экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов КИИ, нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка.

В соответствии с 127-ПП, на данных шагах необходимо формировать полный перечень процессов. На данном этапе не нужно проводить анализ на соответствие с отраслями / областями деятельности, которые определены в 187-ФЗ для объектов КИИ.

Основная трудоемкость состоит в том, что субъекты КИИ определяются через 13 областей функционирования систем, но в качестве объектов КИИ необходимо рассматривать все системы. На следующих шагах ряд процессов будут вычеркнуты из рассмотрения, но изначально должен рассматриваться полный перечень.

Критериев оценки критичности нарушения процессов в 127-ПП явно не определено, поэтому мы предлагаем использовать перечень критериев значимости объектов и их значения из Приложения 1 к 127-ПП.

Соответственно, нужно определить для каждого рассматриваемого процесса способно ли его нарушение повлечь последствия, соответствующие критериям значимости из 127-ПП.

В соответствии с последними разъяснениями ФСТЭК России, процесс является критическим, если есть соответствующие последствия от нарушений в любом масштабе, даже если они по своему масштабу не превышают нижний порог показателей для 3-й категории значимости.

В результате данного шага в Организации должен быть сформирован перечень критических процессов.

Рекомендуем документально зафиксировать данный список.

Формирование перечня объектов КИИ, подлежащих категорированию

Для каждого критического процесса определяется перечень систем, которые осуществляют что-либо из следующего:

  • обработку информацию, необходимую для критических процессов;
  • управление критическим процессом;
  • контроль или мониторинг критических процессов.

Если обобщать, то для каждого критического процесса необходимо сформировать перечень систем, которые реализуют (полностью или частично) данный процесс, участвуют в его автоматизации.

Итоговый перечень систем оформляется в виде перечня объектов КИИ, подлежащих категорированию и передается в ФСТЭК России.

В соответствии с информационным сообщением ФСТЭК России от 24 августа 2018 г. N 240/25/3752, а также требованиями 127-ПП, рекомендуется:

  • согласовать перечень объектов КИИ, подлежащих категорированию, с
    государственным органом или с компанией, выполняющим функции по разработке, проведению или реализации
    государственной политики и (или) нормативно-правовому регулированию в сфере работы Организации.
  • направить перечень объектов КИИ, подлежащих категорированию, в ФСТЭК России в течение 5 дней после утверждения руководителем субъекта КИИ;
  • прикладывать при направлении в ФСТЭК России электронную копию перечня объектов КИИ, подлежащих категорированию (формат docx, xlsx).

Категорирование объектов критической информационной инфраструктуры

Определение категорий значимости объектов КИИ осуществляется на
основании показателей критериев значимости и их значений, утвержденных 127-ПП.
При категорировании осуществляется:

  • анализ возможных источников угроз и действий предполагаемых
    нарушителей;
  • анализ возможных угроз и сценариев компьютерных атак;
  • оценка масштаба последствий угроз и соотнесение со значениями
    показателей категорий;
  • определение категории значимости объекта КИИ.

Объекту КИИ присваивается категория значимости, соответствующая наивысшему значению из присвоенных категорий при соотнесении возможного ущерба с показателями категорий значимости (самая высокая категория — первая, самая низкая — третья).

В соответствии с пунктом 16 127-ПП, решение комиссии по категорированию оформляется актом, который должен содержать:

  • сведения об объекте КИИ;
  • результаты анализа угроз безопасности информации объекта КИИ;
  • реализованные меры по обеспечению безопасности объекта КИИ;
  • сведения о присвоенной объекту КИИ категории значимости либо об отсутствии необходимости присвоения ему одной из таких категорий;
  • сведения о необходимых мерах по обеспечению безопасности в соответствии с требованиями по обеспечению безопасности значимых объектов КИИ, установленными ФСТЭК России.

Допускается оформление единого акта по результатам категорирования нескольких объектов КИИ, принадлежащих одному субъекту КИИ.