Тема критической информационной инфраструктуры сейчас актуальна для тысяч российских компаний. Наиболее строгие требования выдвигаются к значимым объектам КИИ – ЗОКИИ.
В этой статье рассмотрим отличия объектов КИИ от ЗОКИИ, ключевые критерии значимых объектов критической информационной инфраструктуры, практики категорирования ЗОКИИ и специфику обеспечения информационной безопасности таких объектов.
ЗОКИИ — это аббревиатура, обозначающая значимые объекты критической информационной инфраструктуры. По сути, это объекты, деятельность которых критически важна для функционирования страны. Нарушение или остановка их работы может привести к серьезным негативным последствиям для общества, экономики, безопасности и жизнедеятельности людей.
Влад Крылов
Консультант по информационной безопасности AKTIV.CONSULTING
С 1 января 2018 года вступил в силу 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», в котором впервые были введены понятия «критическая информационная инфраструктура» (КИИ), «объект КИИ» (ОКИИ), «значимый объект КИИ» (ЗОКИИ).
ОКИИ являются информационные системы (ИС), информационно-телекоммуникационные сети (ИТКС), автоматизированные системы управления (АСУ) субъектов КИИ. К субъектам КИИ относятся госорганы, учреждения, юрлица и ИП, которым принадлежат ИС, ИТКС, АСУ, функционирующие в одной из 14 сфер, определенных в 187-ФЗ.
ЗОКИИ — это ОКИИ, которому присвоена одна из категорий значимости, и который включен в реестр значимых объектов критической информационной инфраструктуры (ведется ФСТЭК России). Категорирование осуществляется в соответствии со ст.7 187-ФЗ и Правилами категорирования ОКИИ, утвержденным Постановлением Правительства РФ от 02.02.2018 г. № 127 (далее — «127 ПП РФ»).
В первую очередь субъект КИИ должен выявить в своей организации критические процессы с точки зрения функционирования и сфер деятельности предприятия, выделить ОКИИ, задействованные при выполнении данных процессов, после чего происходит определение значимости ОКИИ на основании показателей критериев значимости.
Показатели критериев значимости определены в Приложении в 127 ПП РФ, и распределены по следующим категориям: социальная, политическая, экономическая, экологическая, а также значимость для обеспечения обороны страны, безопасности государства и правопорядка. В каждой категории приводится один или несколько критериев, их пороговые значения, с которыми организация соотносит свой ОКИИ.
К примеру, показатель 10.3 показывает, что, если в организации, являющейся негосударственным пенсионным фондом, функционирует ОКИИ, который участвует в проведении операций по выплатам, передаче или размещению денежных средств суммой пенсионных накоплений и пенсионных резервов от 50 млрд до 1 трлн руб., то такой ОКИИ признается значимым. Для каждого показателя значимости необходимо провести оценку масштаба возможных последствий в случае инцидентов на ОКИИ. В результате ОКИИ присваивается в соответствии с перечнем показателей критериев значимости категория значимости с наивысшим значением.
ЗОКИИ являются ключевыми элементами критической информационной инфраструктуры (КИИ). Они обеспечивают стабильную работу систем, которые поддерживают:
Важно понимать, что ЗОКИИ — это не только физические объекты, но и информационные системы, которые ими управляют.
Алексей Сидякин
Ведущий инженер-проектировщик УИБ АСУ ТП Cloud Networks
В отличие от других ОКИИ, ЗОКИИ играют ключевую роль в обеспечении непрерывности работы государства, его национальной безопасности и экономического развития, в связи с чем они подвержены более высокому риску кибератак со стороны злоумышленников. Следовательно, реализация данных атак на ЗОКИИ приводит к более серьезным негативным последствиям для всей страны.
В связи с этим для ЗОКИИ установлены обязательные требования по созданию системы безопасности и обеспечению её функционирования в соответствии с ч.1 ст.10, 187-ФЗ (Приказ ФСТЭК Росси №235 и 239, Приказ ФСБ России №282 и 367).
В отношении незначимых ОКИИ у Субъекта КИИ установлена обязанность лишь информировать о компьютерных инцидентах ФСБ России (НКЦКИ) в соответствии с 187-ФЗ (ст.9, ч.2, п.1) и Приказом ФСБ России №367.
Защита ЗОКИИ от кибератак и других угроз считается приоритетной задачей обеспечения национальной безопасности.
Все объекты КИИ, в том числе и значимые, требуют повышенного внимания с точки зрения безопасности. Но ЗОКИИ выделяются после категорирования и проведенного анализа.
Анатолий Широков
Старший аналитик отдела консалтинга и аудита информационной безопасности STEP LOGIC
Ключевой критерий — это то, что проведено категорирование объекта КИИ, по результатам ему присвоена одна из категорий значимости, и он внесен в реестр ЗОКИИ ФСТЭК России. Правила категорирования объектов КИИ приведены в постановлении Правительства от 08.02.2018 №127.
Если же говорить простым языком, объект КИИ является значимым в случаях, когда нарушение его функционирования или связанные с ним инциденты ИБ, могут повлечь негативные социальные, политические, экономические, экологические, последствия. Например: ущерб жизни и здоровью людей, нарушение в работе объектов обеспечения жизнедеятельности населения, транспортной инфраструктуры, недоступность услуг связи, государственных услуг, ущерб бюджету страны, невозможность проведения операций по переводу денежных средств, вредные воздействия на окружающую среду и т. д.
Ключевые критерии ЗОКИИ — та самая значимость, которая выделена в названии этих объектов и которая определяется в процессе категоризации.
Алена Лукашева
Заместитель руководителя департамента аудита и консалтинга iTPROTECT
Критерии значимости объектов КИИ строго регламентируются Постановлением Правительства РФ от 08.02.2018 № 127 – всего определено 14 показателей критериев значимости, которые разделены на 5 основных групп: социальная, политическая, экономическая, экологическая значимость и значимость для обеспечения обороны страны, безопасности государства и правопорядка.
Основным и единственным параметром, определяющим значимость объекта КИИ, является масштаб возможных последствий от нарушения или прекращения функционирования управленческих, технологических, производственных, финансово-экономических и (или) иных процессов (критических процессов) субъекта КИИ в случае возникновения компьютерного инцидента на объекте КИИ.
Показатели критериев, по которым оценивается значимость:
- Причинение ущерба жизни и здоровью людей.
- Нарушение функционирования объектов, обеспечивающих водо-, тепло-, газо- и электроснабжение населения (объектов обеспечения жизнедеятельности).
- Нарушение функционирования объектов транспортной инфраструктуры и транспортных средств.
- Нарушение функционирования сети связи.
- Отсутствие доступа к государственной услуге.
- Нарушение функционирования государственного органа.
- Нарушение условий международного договора РФ, срыв переговоров или подписания международного договора РФ.
- Снижение уровня дохода определенных субъекта КИИ.
- Снижение выплат (отчислений) в бюджет РФ.
- Нарушение проведения определенных финансовых операций кредитными и некредитными финансовыми организациями-субъектами КИИ.
- Вредные воздействия на окружающую среду.
- Нарушение функционирования пункта управления (ситуационного центра).
- Снижение показателей государственного оборонного заказа.
- Нарушение функционирования информационной системы в области обеспечения обороны страны, безопасности государства и правопорядка.
Чтобы считаться значимым, объект должен быть незаменим или его отключение/нарушение работы будет иметь серьезные негативные последствия для общества, экономики, безопасности и жизнедеятельности людей. Или он критически важен для обороноспособности страны или обеспечения государственного управления и т. д.
ЗОКИИ — это не просто один из типов объектов критической информационной инфраструктуры (КИИ), а специфическая категория, обладающая особым статусом и повышенным уровнем защиты.
Александр Хонин
Руководитель отдела консалтинга и аудита Angara Security
Есть два главных отличия. Во-первых, простыми словами, когда объект признается значимым, это означает, что в случае каких-либо компьютерных атак на него могут быть негативные последствия в отдельных отраслях, которые установлены 187 ФЗ.
А во-вторых для таких объектов предусмотрен ряд необходимых мероприятий. А именно, для ЗОКИИ требуется создавать системы обеспечения безопасности объектов КИИ, в рамках которых необходимо определить актуальные угрозы безопасности, требования по безопасности, а также спроектировать и внедрить саму систему. При этом данные мероприятия должны выполняться с учетом требований, которые определены регуляторами для ЗОКИИ.
По сути, ЗОКИИ отличаются от других объектов КИИ повышенным уровнем критичности, государственной защитой, строгими требованиями к безопасности и расширенной ответственностью за их безопасность.
Категорирование ЗОКИИ — это процесс определения уровня критичности и значимости объектов для страны. И проводится он субъектами КИИ на местах.
Виктор Шавернев
Руководитель департамента по защите КИИ системного интегратора по ИБ «Бастион»
Есть алгоритм категорирования объектов КИИ:
- Необходимо понять, является ли организация субъектом КИИ (согласно № 187-ФЗ «О безопасности критической информационной инфраструктуры»).
- Далее формируется постоянно действующая комиссия по категорированию.
- Определяются все процессы в организации и составляется полный перечень: управленческие, технологические, финансово-экономические, производственные и т. д.
- Из всех процессов выявляются критические, которые влияют на функционирование организации.
- Определяются объекты, которые обрабатывают информацию, необходимую для выполнения критических процессов, и осуществляют управление, контроль или мониторинг критических процессов.
- Осуществляется подготовка перечня ОКИИ. При необходимости согласуется с головной организацией.
- Отправляется перечень во ФСТЭК.
- Исходя из перечня показателей критериев значимости, и учитывая дополнительные исходные данные, определяем, к какой категории относятся объекты КИИ.
- Для каждого ОКИИ формируются сведения по форме приказа ФСТЭК от 22 декабря 2017 г. № 236 «Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий ФСТЭК».
- Происходит подготовка акта категорирования объектов КИИ. 11. Затем сведения отправляются во ФСТЭК РФ.
Своевременная и грамотно категоризация позволяет приоритезировать меры безопасности в отношении ЗОКИИ, создавать эффективные стратегии защиты и обеспечивать координацию действий различных ведомств и организаций.
Евгений Баклушин
Заместитель директора Аналитического центра УЦСБ
С точки зрения закона классификация именуется процедурой категорирования, и в реальности она отличается от той последовательности, которая зафиксирована в законодательстве.
В реальности с бизнес-процессами все тяжело. Во многих организациях они не формализованы и не всегда четко структурированы, поэтому организации идут от систем (потенциальных объектов). Сначала составляют их перечень, далее описывают процессы, которые автоматизируют эти системы (объекты), следующие этапы аналогичны закону. Наиболее сложно в этой процедуре корректно определить границы объектов, а также собрать всю необходимую информацию для расчета показателей значимости.
Если говорить про второй момент, то сюда включено много коммуникаций с другими подразделениями организации, которые совсем далеки от ИБ, с целью получить от них нужную информацию. Для промышленных предприятий это может быть декларация промышленной безопасности, информация о промбезе, количестве сотрудников в рабочих сменах, информация о возможных вредных выбросах в случае аварии и т. п., ну и, конечно, много финансовой информации для расчета экономических показателей.
Также стоит отметить еще одну проблему, связанную с категорированием объектов КИИ. Их большое наличие, а также присвоение категорий оборачивается для организаций довольно серьезной ответственностью и финансовыми затратами (на силы и средства ИБ). Это приводит к тому, что часть организаций «манипулирует» показателями значимости, т. е. подгоняет цифры расчетов под выгодные им. В противовес этому от ФСТЭК и отраслевые контролирующие органы (Минэнерго, ЦБ и т. д.) готовят типовые перечни объектов КИИ (с категориями значимости), на которые будут ориентироваться и субъекты КИИ, и регулирующие органы при рассмотрении результатов категорирования и проведении государственного контроля. Например, два почти одинаковых предприятия. У одного АСУ ТП это ЗОКИИ 3-й категории, у второго этой системы даже нет в перечне объектов КИИ. Появятся соответствующие вопросы.
Важно понимать, что категорирование ЗОКИИ — это динамический процесс, который должен постоянно обновляться, учитывая новые угрозы, технологии и контекст меняющегося законодательства. Успешное категорирование ЗОКИИ является ключом к эффективной защите критически важных объектов и систем.
Система безопасности ЗОКИИ — это комплексный подход к защите важнейших объектов страны от угроз киберпространства. Она призвана не только предотвратить несанкционированный доступ к информации и защитить технические средства обработки данных, но и обеспечить быстрое восстановление работы в случае атаки.
Виктор Бондаренко
Генеральный директор компании «БСС-Безопасность»
Основные понятия, касающиеся области обеспечения безопасности критической информационной инфраструктуры (КИИ) сформулированы в статье 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». В соответствии с ней, под объектами критической информационной инфраструктуры понимаются информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.
Из всего массива объектов КИИ в отдельную категорию выделяются так называемые значимые объекты КИИ (ЗОКИИ). То есть объекты КИИ подразделяются на два вида: «значимые» и «незначимые». Значимые объекты, в свою очередь, подразделяются по уровням защищенности на три «категории значимости»: первый – объекты с максимальным уровнем защищенности, второй и третий, минимальный. Правила категорирования объектов критической информационной инфраструктуры Российской Федерации определены Постановлением Правительства РФ от 08.02.2018 г. № 127. Этим же постановлением определён Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений.
От уровня защищенности значимого ОКИИ, которому он должен соответствовать, зависит набор реализованных организационных и технических мер, обеспечивающих нейтрализацию угроз безопасности информации, последствиями реализации которых может стать прекращение или нарушение его функционирования, которое может привести к тяжелым последствиям.
Ключевым элементом этой системы является непрерывное взаимодействие с ГосСОПКА (Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак). Это позволяет оперативно получать информацию о новых угрозах, координировать действия по защите и реагировать на инциденты в режиме реального времени. Таким образом, ЗОКИИ выступает не только как барьер, но и как щит, способный отразить атаку и быстро восстановить работоспособность критически важных систем и объектов.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.
Зарегистрироваться