Критическая информационная инфраструктура (КИИ): инструкция по выявлению и категорированию объектов

За помощь в подготовке материала портал Cyber Media благодарит «Астрал.Безопасность» — многопрофильного системного интегратора, обеспечивающего безопасность информационных систем различного уровня сложности.

Критическая информационная инфраструктура у всех на слуху. Это понятие регулярно оказывается в повестке дня органов законодательной и исполнительной власти, звучит на отраслевых мероприятиях различных уровнях и в дискуссиях специалистов. Все знаю, что её нужно защищать, причем обеспечить объектам КИИ особый уровень защиты обязывает законодательство.

Но вопросов у представителей госорганизаций и бизнеса меньше не становится. Как понять, что моя компания принадлежит к КИИ? Что с этим делать? Что будет, если не делать? Отсутствие ответов на эти вопросы может дорого стоить, если при проверке обнаружатся нарушения.

В этой статье не будет определения и подробного описания термина «критическая информационная инфраструктура». Если они необходимы, рекомендуем эту статью Cyber Media. Там всё дано максимально подробно и доступно. Здесь же мы коснемся только практики из жизни субъектов критической информационной инфраструктуры.

Субъект КИИ — а вдруг это моя компания?

Для начала определимся с законодательной базой. Узнать о том, что является критической информационной инфраструктурой и как нужно обеспечивать её защиту, можно из следующих документов:

• Федеральный закон от 26.07.2017 № 187 «О безопасности критической информационной инфраструктуры РФ»;
• Приказ ФСТЭК России от 06.12.2017 № 236 «Об утверждении формы направления сведений о результатах присвоений объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий»;
• Приказ ФСТЭК России от 25.12.2017 № 239 «Об утверждении требований по обеспечению значимых объектов КИИ РФ»;
• Постановление правительства РФ от 08.02.2018 № 127 «Об утверждении правил категорирования объектов критической информационной инфраструктуры РФ, а так же перечня показателей критериев значимости объектов КИИ РФ и их значений»;
• Приказ ФСТЭК России от 25.12.2017 № 235 «Об утверждении требований к созданию системы безопасности значимых объектов критической информационной инфраструктуры РФ и обеспечению их функционирования».

Организации, к которым относятся приведенные в этих законодательных актах нормы, именуются субъектами критической инфраструктуры. Для спокойной работы каждой компании крайне важно знать ответ на вопрос: субъект или не субъект?

Информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления субъектов КИИ в законодательстве именуются объектами критической информационной инфраструктуры. Соответственно, на них распространяются особые меры защиты. Если они у компании есть, впору вспомнить вопрос из классики: что делать?

Какие сферы могут относиться к КИИ

Многие связывают понятие критической информационной инфраструктуры только с оборонной и другими стратегически важными отраслями. На самом деле определяемая законодательством сфера КИИ существенно шире. ФЗ №187 относит к субъектам критической информационной инфраструктуре следующие учреждения:

• больницы, поликлиники, диспансеры, учреждения скорой медицинской помощи;
• НИИ, институты ядерной физики, медицинские университеты, ведущие научную деятельность учреждения;
• вокзалы, аэропорты; метро, организации городского общественного транспорта;
• банки и кредитные организации, страховые компании;
• операторы связи и интернет-провайдеры;
• предприятия химической, горнодобывающей и металлургической промышленности;
• представители топливно-энергетического комплекса, работающие с нефтью, газом, углем, ураном;
• атомные электростанции, разработка и производство атомной энергии;
• космическое приборостроение, производство ракетных двигателей;
• производство оборонной продукции.

Таким образом предприятия военно-промышленного комплекса — лишь одна из отраслей, которая попадает под действие законов о критической информационной инфраструктуре. Однако представителям страховых компаний или химических предприятий необходимо не менее пристально следить за соблюдением профильных законов и приказов ФСТЭК.

Как соблюсти федеральный закон

Если выяснилось, что компания является субъектом критической информационной инфраструктуры, а в её ведении находятся объекты КИИ, законодательство предписывает ей совершить ряд действий. От организации требуется:

1. Определить категории объектов КИИ.
2. Обеспечить безопасность значимых объектов.
3. Подключить объекты к ГосСОПКА (Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак).

Категорируем объекты

Присвоить категорию объекту КИИ не так просто, как может показаться на первый взгляд. Законодательство четко определяет процедуру категорирования. Для её проведения на предприятии требуется собрать комиссию. Она обязательно должна включать руководителя субъекта КИИ, IT-отдела компании и подразделения, отвечающего за информационную безопасность. Не забудьте пригласить ответственного за автоматизированные систему управления и за систему управлении промышленной безопасности. Наконец, в состав комиссии должны входить руководитель подразделения комплексной безопасности и лица, отвечающие за гражданскую обороны и подготовку к чрезвычайным ситуациям. Если в компании обнаружатся руководители подразделений, отвечающих за технологические, финансовые и другие аспекты деятельности субъектов КИИ, пригласите и их тоже. Комиссия должна быть постоянно действующей. А её создание закрепляется выпуском соответствующего приказа.

Далее необходимо описать все происходящие в организации процессы, разложив их на более мелкие. Критические процессы, прекращение которых негативно влияет на состояние КИИ, следует занести в таблицу. Отдельный вопрос — экология.

В зависимости от территории, на которую будет оказано влияние в случае сбоя процесса, а также числа пострадавших людей, их делят на три категории. Первая категория в этом списке — самая высокая. Она присваивается, если могут пострадать пять и более тысяч человек, а его воздействие выходит за пределы территории одного субъекта Российской Федерации или города федерального значения. Вторая и третья категория менее масштабны, но также существенны.

Изображение 1. Пример таблицы критических процессов

Процесс может получить лишь третью категорию по экологической значимости, но оказаться особенно значимым с точки зрения социальной. Первая категория в это области присваивается, если его прерывание может нанести ущерб жизни и здоровью 500 и более человек, а также по ряду других параметров.

В результате такого анализа можно выяснить, что в здравоохранении объектом КИИ является в том числе и деятельность в области использования источников ионизирующего излучения, в транспорте — обеспечение обслуживания пассажиров, а не только обеспечение авиационным топливом. Если критические процессы нашлись, значит они осуществляются на объекте КИИ.

Порядок действий по выявленным объектам КИИ

Просто найти у себя объект критической информационной инфраструктуры, естественно, недостаточно. Далее для организации наступает второй не менее захватывающий этап — категоризация объектов и подача сведений во ФСТЭК.

Первый шаг на пути к успеху — составить таблицу объектов КИИ. В неё нужно включить наименование и тип объекта, сферу его функционирования, а также сведения о представителе объекта: ФИО, должность, номер телефона и адрес электронной почты.

Изображение 2. Пример таблицы объектов КИИ

Таблица проходит три этапа. Её необходимо:

• согласовать в головном офисе своей организации;
• отправить оригинал во второе управление ФСТЭК России;
• отправить копию руководителю управления ФСТЭК по своему региону.

Следующий шаг — категорирование объекта. Для этой процедуры потребуется информация по расположению и назначению объекта КИИ, его архитектуре, составе и используемых информационных технологиях, заблаговременно составленная карта информационных потоков, а также информация по используемым средствам защиты информации. Также важны сведения по подключению объекта КИИ к сетям электросвязи и операторе связи, который его обслуживает. Наконец, понадобится информация по эксплуатирующим элементы объекта лицам, обнаруженным уязвимостям, а также мерах по обеспечению физической и промышленной безопасности.

На основе таблицы объектов и детальной информации каждого из них производится категорирование. Тут пригодятся критерии оценки по социальной и экологической значимости.

Изображение 3. Порядок действий при категоризации объектов КИИ

Итогом плодотворной работы должны стать два вида документов:

• акт категорирования — один на все объекты КИИ;
• форма 236 — отдельно на каждый выявленный и категорированный объект КИИ.

Что делать с актом категорирования? Хранить как зеницу ока у себя в компании и быть готовым предъявить любой пришедшей в неё проверке по первому требованию. В документ нужно обязательно включить сведения о комиссии, данные о самом объекте КИИ, угрозы его безопасности и другие сведения.

Что делать с формами 236? Заполнять даже на с первого взгляда незначимые объекты КИИ. Это как раз тот случай, когда лучше «перебдеть». В заполненную форму нужно включить сведения о том, какая категория значимости присваивается объекту, о субъекте КИИ, о его взаимодействии с сетями электросвязи, об используемых программно-аппаратных средствах, угрозах безопасности и возможных последствиях от киберинцидентов, мерах по обеспечению его безопасности. Образец формы можно найти на сайте ФСТЭК. Когда всё будет готово, формы нужно отправить во ФСТЭК. Оттуда могут поступить замечания по присланным документам. Тогда компании дается 10 дней на то, чтобы их исправить.

Что ответит ФСТЭК

В ответе, который получит организация от Федеральной службы по техническому и экспортному контролю, могут быть всего два варианта определения значимости объекта:

1. Незначимый.
2. Значимый.

Если объект признан незначимым, данные о нем попадают в систему Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак или ГосСОПКА. От субъекта КИИ требуется оказывать содействие должностным лицам ФСБ РФ, которые обнаруживают, предупреждают и ликвидируют последствия компьютерных атак. Если на объектах КИИ устанавливается какие-либо средства для выполнения этих задач, нужно обеспечить их сохранность и создать условия для эксплуатации. Однако на этом всё — миссия субъекта критической информационной инфраструктуры выполнена.

Если объект признан значимым, то на субъекта КИИ возлагается обязанность обеспечить его сохранность в соответствии с порядком, установленным ФСТЭК.

Действовать нужно в четыре шага:

1. Установить требования к обеспечению безопасности объекта.
2. Разработать и ввести организационные и технические меры.
3. Обеспечить безопасность в ходе эксплуатации объекта КИИ.
4. Обеспечить безопасность при выводе объектов КИИ.

Если что-то изменилось

Документация по объектам критической информационной инфраструктуры не остается неизменной. Время от времени её нужно актуализировать. Например, если:

• такое решение приняла ФСТЭК по результатам проверки;
• сам объект КИИ претерпел изменения и перестал соответствовать ранее определенным критериям значимости;
• субъект КИИ ликвидирован или изменена его организационно-правовая форма;
• появились новые объекты КИИ или модернизированы существующие;
• прошло пять лет с момента согласования документации с ФСТЭК.

Если что-то из вышеперечисленного относится к вашей компании, рекомендуем вернуться в начало статьи и проделать процедуру с начала. Критическая информационная инфраструктура требует регулярного внимания, поэтому стоит всегда держать руку на пульсе.