Оглавление
Категорирование – отдать подрядчику или провести самостоятельно?
Многие организации предпочитают отдать эту часть работ подрядчикам. Есть множество примеров, когда заказчик просит не только провести категорирование, но и в целом «привести все объекты КИИ в соответствие с 187-ФЗ». Специалисты «Стэп Лоджик» рекомендуют осуществлять категорирование самостоятельно, а если и привлекать сторонних исполнителей, то только для консультации по частным вопросам.
Во-первых, в соответствии с законодательством, вся ответственность за принятие решений ложится исключительно на руководителя организации и комиссию, включающую руководителей подразделений и иных ответственных работников, а не на подрядную организацию.
Во-вторых, основа категорирования – оценка последствий от нарушений функционирования критических процессов и соответствующих объектов КИИ. Интеграторы и консультанты априори не могут знать все детали и нюансы вашей деятельности, все возможные последствия и их взаимосвязи. По опыту «Стэп Лоджик», даже в рамках группы компаний одни и те же процессы иногда реализованы по-разному, и такие нюансы могут оказать существенное влияние на результаты категорирования. Поэтому сторонние специалисты, изучив, например, десять заводов, не смогут быстро и идеально описать одиннадцатый без его обследования – вся информация в итоге будет снова запрашиваться у ответственных сотрудников. Таким образом, массив данных для категорирования предоставляется самой организацией, а суть услуг подрядчиков в 90% случаев состоит в наличии у них отработанных шаблонов и отчетных форм, а также имеющегося опыта работы с конкретной сферой.
В-третьих, для того чтобы подрядчик смог качественно провести категорирование, ему необходимо полностью изучить все бизнес-процессы организации, ее инфраструктуру, показатели деятельности (договоры, финансовую отчетность, иную статистику). Очевидно, что в данном случае проект займет не один месяц, а стоимость работ может оцениваться в миллионы рублей, если речь идет о крупных предприятиях или группах компаний. Насколько это оправдано с учетом сказанного выше?
Проведение категорирования своими силами – это еще один повод детально разобраться в бизнес-процессах организации, оценить все риски и ответить на главный вопрос: к каким последствиям может привести недостаточное соблюдение организационных и технических мер защиты информации
Это важно понимать самой организации, в том числе при дальнейшей реализации мер защиты и обосновании соответствующих проектов.. Если вы решились проводить категорирование самостоятельно, получить ответы на отдельные вопросы можно из следующих источников:
Если вы решились проводить категорирование самостоятельно, получить ответы на отдельные вопросы можно из следующих источников:
- По телефону горячей линии ФСТЭК России: 8 (499) 246-11-89, на методических сборах регулятора и конференциях, где выступают специалисты ФСТЭК;
- В подробной методике категорирования объектов КИИ от «Стэп Лоджик» с шаблонами необходимых документов и ответами на часто задаваемые вопросы. Методика распространяется на безвозмездной основе, доступна для скачивания на сайте компании и постоянно обновляется с учетом взаимодействия с регулятором и полученного опыта;
- На профильных ресурсах (например, чат КИИ 187-ФЗ в Telegram);
- Также можно привлекать консультантов для решения конкретных вопросов. Но в данном случае это частное мнение, основанное на субъективных знаниях и опыте, и оно не всегда будет верным. Лучше сопоставлять информацию из нескольких источников.
ГосСОПКА
- инвентаризация информационных ресурсов;
- выявление уязвимостей информационных ресурсов;
- анализ угроз информационной безопасности;
- повышение квалификации персонала информационных ресурсов;
- прием сообщений о возможных инцидентах от персонала и пользователей информационных ресурсов;
- обнаружение компьютерных атак;
- анализ данных о событиях безопасности;
- регистрация инцидентов;
- реагирование на инциденты и ликвидация их последствий;
- установление причин инцидентов;
- анализ результатов устранения последствий инцидентов.
- ведомственные Центры осуществляют лицензируемую деятельность по защите информационных ресурсов в интересах органов государственной власти;
- корпоративные Центры осуществляют лицензируемую деятельность по защите информационных ресурсов в собственных интересах, а также имеют право предоставлять услуги по предупреждению, обнаружению и ликвидации последствий компьютерных атак.
- создание собственного Центра мониторинга информационной безопасности с учетом требований нормативных документов ФСБ РФ, ФСТЭК России, иных нормативно-правовых актов;
- внедрение и поддержка технических средств и решений, соответствующих методическим рекомендациям ФСБ РФ по созданию ведомственных и корпоративных центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;
- внедрение и поддержка технических средств и решений, соответствующих требованиям к лицензиату ФСТЭК России для осуществления деятельности по мониторингу информационной безопасности средств и систем мониторинга;
- получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации (ТЗКИ) в части перечня работ и услуг по мониторингу информационной безопасности средств и систем мониторинга (в случае предоставления коммерческих услуг другим организациям или при работе в составе холдинговой структуры);
- получение лицензии ФСБ РФ на деятельность по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (в случае предоставления коммерческих услуг другим организациям или при работе в составе холдинговой структуры);
- осуществление взаимодействия с НКЦКИ в соответствии с регламентом взаимодействия подразделений ФСБ РФ и субъектов ГосСОПКА при осуществлении информационного обмена в области обнаружения, предупреждения и ликвидации последствий компьютерных атак;
- привлечение, обучение, удержание сотрудников Центра мониторинга информационной безопасности;
- разработка и непрерывная актуализация сценариев атак и мониторинга;
- аналитика событий и инцидентов, построение отчетности.
Пресс-релизы, интервью и прочее
- Технологии безопасности
- Правительство Ростовской области защищено от целевых атак решением «Лаборатории Касперского»
- СИБЕР представляет первую в России IP-видеокамеру с киберзащитой
- Group-IB предложила создать центр по борьбе с утечкой данных россиян
- «Ростелеком» купил долю «ЭЛВИС-ПЛЮС»
- Какие решения защищают промышленность от киберпреступников и катастроф
- Киберзлодеи заинтересовались промышленностью
- На пяти российских АЭС проведено аудиторское обследование АСУ ТП
- Концерн «Росэнергоатом» создал корпоративную систему сервисной поддержки на базе Naumen Service Desk
- Топ-менеджер «Ростелекома» раскритиковал госорганы за уязвимость перед хакерами
- Создание ГИС компьютерных вирусов откладывается
- InfoWatch ARMA вышла в полуфинал конкурса «Энергопрорыв»-2020
- Все дайджесты КИИ
- Подписаться на рассылку
Новости партнеров
30.09.2021 | 14:55
Внедрение цифровых технологий в сферу охраны труда обсудили участники онлайн-конференции
Мероприятие прошло в рамках деловой программы 25-й юбилейной выставки и форума «Безопасность и охрана труда» (БИОТ 2021).
30.09.2021 | 14:05
Приоритеты цифровой трансформации транспортной отрасли обсудили в Москве
Конференции «Цифровизация транспорта 2021. Процесс трансформации: оценка и перспективы» состоялась 21 сентября.
30.09.2021 | 09:23
О приоритетах развития стройотрасли на форуме 100+ TechnoBuild расскажет Марат Хуснуллин
Мероприятие пройдет в Екатеринбурге 5-7 октября 2021 года.
29.09.2021 | 14:23
«Транспортная неделя» пройдет в Москве 13-19 ноября
Ключевые форматы мероприятия будут также доступны онлайн.
другие публикации по теме
09.09.2021 | 12:58
Алексей Ковыршин: в приоритете социальные программы
06.09.2021 | 14:15
Биометрическая идентификация активно развивается в сфере авиации
22.07.2021 | 16:19
Требования по защите от АНВ и пожарной защите ОТИ трудносовместимы
19.07.2021 | 10:10
Необходим баланс между бюджетом ОТИ и затратами на ОТБ
12.07.2021 | 13:33
Процедуры аккредитации и аттестации сил ОТБ требуют ревизии
02.07.2021 | 09:14
Защиту транспортных объектов нужно начинать на этапе проектирования
08.06.2021 | 09:32
Культура безопасности должна стать повседневной практикой авиации
07.06.2021 | 15:09
Популярность беспилотников растет – угрозы множатся
Какова ответственность за нарушения?
Если вы не успели отправить в ФСТЭК перечень объектов КИИ, никакой ответственности за это не предусмотрено. Но ФЗ-187 действует с начала 2018 года, и если произойдет инцидент, а необходимые меры по защите не были приняты, последствия для субъекта КИИ будут серьезными — в уголовный кодекс уже внесены соответствующие изменения. Согласно ст. 274.1 УК РФ за создание, распространение и (или) использование ПО или иной компьютерной информации для неправомерного воздействия на КИИ предусмотрены принудительные работы на срок до 5 лет или до 5 лет лишения свободы, а также штраф до 1 млн рублей. Неправомерный доступ к информации КИИ, если он повлек вред, будет наказан принудительными работами сроком до 5 лет, до 6 лет лишения свободы и штрафами до 1 млн рублей.
Есть ответственность и для субъектов КИИ. Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой законом информации КИИ либо правил доступа, если оно повлекло причинение вреда для КИИ, наказывается принудительными работами на срок до 5 лет, лишением свободы до 6 лет, запретом на определенные виды деятельности на срок до 3 лет для юридических лиц и индивидуальных предпринимателей или запретом занимать определенные должности для физических лиц на тот же срок.
У этой статьи есть усиление. Если преступление совершено группой лиц или с использованием служебного положения, оно наказывается лишением свободы на срок до 8 лет, а также запретом на определенные виды деятельности (юридические лица и ИП) или запретом занимать определенные должности (физические лица) на срок до 3 лет. В случае тяжких последствий максимальный срок лишения свободы увеличивается до 10 лет, а запрет на виды деятельности и должности — до 5 лет.
Методические рекомендации по КИИ
-
Типовой ежегодный план мероприятий по обеспечению безопасности значимых объектов критической информационной инфраструктуры на 2021 год (21.05.2021) (Доп.ссылка)
Авторство: Департамент информационных технологий города Москвы -
Методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения. Версия 1.0 (05.04.2021) (Доп.ссылка)
Авторство: Министерство здравоохранения РФ
Согласования: Настоящие методические рекомендации согласованы ФСТЭК России (письмо от 14.10.2020 N 240/82/1904дсп) -
Рекомендации по оценке показателей критериев экономической значимости объектов критической информационной инфраструктуры Российской Федерации (16.02.2021)
Авторство: Федеральная служба по техническому и экспортному контролю -
Методические рекомендации по определению объектов критической информационной инфраструктуры и категорий значимости объектов критической информационной инфраструктуры на объектах и нформатизации медицинских организаций для учреждений государственной системы здравоохранения Московской области (20.08.2020)
Авторство: Министерство здравоохранения Московской области
Согласования: ФСТЭК России -
Методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения (Проект) (17.08.2020)
Авторство: Министерство здравоохранения Российской Федерации
Согласования: Проект направлен на согласование в ФСТЭК России -
Методическое пособие «Безопасность объектов критической информационной инфраструктуры организации» (29.11.2019)
Авторство: Межрегиональная общественная организация Ассоциация руководителей служб информационной безопасности -
Методические рекомендации по категорированию объектов критической информационной инфраструктуры, принадлежащих субъектам критической информационной инфраструктуры, функционирующим в сфере связи (26.06.2019)
Авторство: Общественно-государственное объединение «Ассоциация документальной электросвязи»
Согласования: 8 Центр ФСБ России, ФСТЭК России -
Методические рекомендации по определению и категорированию объектов критической информационной инфраструктуры топливно-энергетического комплекса (01.09.2019)
Авторство: Министерство энергетики Российской Федерации
Согласования: Минэнерго России, ФСТЭК России -
Методические рекомендации по определению объектов КИИ и категорий значимости объектов КИИ (23.05.2019)
Авторство: Департамент информационных технологий города Москвы
Статья 2. Основные понятия, используемые в настоящем Федеральном законе
Для целей настоящего Федерального закона используются следующие основные понятия:
1) автоматизированная система управления — комплекс программных и программно-аппаратных средств, предназначенных для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими оборудованием и процессами;
2) безопасность критической информационной инфраструктуры — состояние защищенности критической информационной инфраструктуры, обеспечивающее ее устойчивое функционирование при проведении в отношении ее компьютерных атак;
3) значимый объект критической информационной инфраструктуры — объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры;
4) компьютерная атака — целенаправленное воздействие программных и (или) программно-аппаратных средств на объекты критической информационной инфраструктуры, сети электросвязи, используемые для организации взаимодействия таких объектов, в целях нарушения и (или) прекращения их функционирования и (или) создания угрозы безопасности обрабатываемой такими объектами информации;
5) компьютерный инцидент — факт нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки;
6) критическая информационная инфраструктура — объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов;
7) объекты критической информационной инфраструктуры — информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры;
8) субъекты критической информационной инфраструктуры — государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.
Как составить перечень объектов КИИ
В первую очередь субъектам необходимо сформировать перечень объектов КИИ и провести их категорирование. Для этого создается специальная комиссия, утверждаемая приказом — в нем обязательно указывается состав комиссии, план мероприятий со сроками исполнения, а также ответственный за взаимодействие со ФСТЭК России (туда отправляется перечень объектов). Необходимо определить выполняемые субъектом КИИ управленческие, производственные, финансовые процессы и выявить среди них критические, нарушение или прекращение которых может привести к масштабным негативным последствиям. Затем нужно выявить объекты КИИ, относящиеся к критическим процессам, составить перечень подлежащих категорированию и передать его ФСТЭК в течение 5 дней с момента утверждения. Согласно решению №59 Коллегии ФСТЭК России от 24.04.2018, сделать это нужно было до 1 августа 2018 года.
Каким способом могут субъекты КИИ передавать информацию об инцидентах в НКЦКИ?
Ответ: приказом ФСБ от 19.06.2019 № 282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах…» установлено, что информирование осуществляется путем направления информации в НКЦКИ в соответствии с определенными НКЦКИ форматами с использованием технической инфраструктуры НКЦКИ.
Однако на данный момент эта процедура не описана в каких-либо документах, поэтому информацию можно передавать по сценарию, когда подключение к технической инфраструктуре НКЦКИ отсутствует. В таком случае информация передается посредством почтовой, факсимильной или электронной связи на адреса (телефонные номера), указанные на сайте НКЦКИ
Факторы, влияющие на стоимость работ по реализации требований 187-ФЗ
Напоследок следует затронуть немаловажный вопрос – стоимость проектов, а точнее, факторов, которые могут на нее повлиять.
Объем работ. Большая часть работ напрямую связана с числом объектов КИИ в организации, так как все объекты необходимо изучить в отдельности, понять их взаимосвязи, интеграцию в общую инфраструктуру. Кроме того, многие обязательные документы разрабатываются для каждого объекта. Меры защиты в части случаев также могут реализовываться раздельно для объектов.
Возможная оптимизация. Рекомендуется укрупнять объекты КИИ при категорировании. Если 10 систем реализуют один технологический процесс и размещены в едином сегменте сети, то их можно обобщить (в части случаев это стоит делать даже с распространением повышенной категории значимости на все системы).
Гетерогенность объектов. Если в организации 20 «офисных» ИС, расположенных в стандартной ЛВС, то объем работ будет меньший, чем, например, для 10 «офисных» ИС и 10 АСУ ТП. Данные типы систем различаются в архитектуре, будут иметь различные риски ИБ и подходы к их защите.
Централизация. Для групп компаний имеет смысл проводить работы в рамках централизованного проекта. В данном случае будет обеспечен стандартизованный подход с использованием типовых документов и проектных решений. Суммарный объем объектов защиты останется прежним, но повысится коэффициент типизации систем, что позволит уменьшить общую стоимость работ.
Зрелость существующих процессов обеспечения ИБ. Если в организации уже реализованы проекты по защите ИСПДн, ГИС, АСУ ТП, существует система управления ИБ с налаженными процессами, такими как управление рисками, мониторинг и выявление инцидентов ИБ, управление конфигурацией и т.д., то весьма вероятно, что проект сведется к грамотному обоснованию достаточности существующих мер и предоставлению ссылок на соответствующую документацию.
Принадлежность к органам государственной власти. Для объектов КИИ, являющихся ГИС, становятся актуальными требования по использованию сертифицированных мер защиты и аттестации объектов. Если данные требования еще не были выполнены, то это значительно повлияет на увеличение бюджета и сроков работ. Для юридических лиц рекомендуется не включать эти требования в задания на работы, так как они не являются обязательными.
Мероприятия
6-й форум и выставка «Интеллектуальные транспортные системы России. Цифровая эра транспорта»
Москва, AZIMUT Отель Олимпик | 5-6 октября 2021 года
Ключевое событие в области цифровизации транспортного комплекса. В обсуждении проблематики и поиска наилучших решений примут участие лидеры мнений. На мероприятии будут продемонстрированы реальные технологические решения в области ИТС.
VIII Международный форум и выставка 100+ TechnoBuild
Екатеринбург, МВЦ «Екатеринбург-ЭКСПО» | 5-7 октября 2021 г.
Ежегодно в выставке участвуют крупнейшие представители строительной отрасли, а деловая программа проходит с участием лучших мировых специалистов по строительству и проектированию. Ключевая задача выставки — представить новейшие достижения в строительстве, технологии и проекты для развития современных городов.
VII Ежегодная конференция «Транспортная безопасность в Российской Федерации»
г. Ялта ул. Дражинского, д. 50, ГК «Ялта – Интурист | 7-8 октября 2021 года
Ключевыми темами мероприятия станут проблемные вопросы, возникающие при реализации требований в области ОТБ, правоприменительная практика в сфере транспортной безопасности, а также нововведения в нормативно-правовом регулировании.
Как защитить объекты КИИ
Перечень организационных и технических мер по обеспечению безопасности для значимых объектов КИИ есть в приказе ФСТЭК России №239 от 25.12.2017 «Об утверждении Требований по обеспечению безопасности значимых объектов КИИ РФ». Требования очень серьезные и защита значимых объектов КИИ должна им соответствовать, но для не значимых объектов такие меры не нужны.
Перечень организационных и технических мер по защите значимых объектов КИИ:
- Идентификация и аутентификация (ИАФ);
- Управление доступом (УПД);
- Ограничение программой среды (ОПС);
- Защита машинных носителей информации (ЗНИ);
- Аудит безопасности (АУД);
- Антивирусная защита (АВЗ);
- Предотвращение вторжений (компьютерных атак) (СОВ);
- Обеспечение целостности (ОЦЛ);
- Обеспечение доступности (ОДТ);
- Защита технических средств и систем (ЗТС);
- Защита информационной (автоматизированной) системы и её компонентов (ЗИС);
- Реагирование на компьютерные инциденты (ИНЦ);
- Управление конфигурацией (УКФ);
- Управление обновлениями программного обеспечения (ОПО);
- Планирование мероприятий по обеспечению безопасности (ПЛН);
- Обеспечение действий в нештатных ситуациях (ДНС);
- Информирование и обучение персонала (ИПО).
Нелишне будет ознакомиться и с приказом ФСТЭК России №235 от 21.12.2017 «Об утверждении Требований к созданию систем безопасности значимых объектов КИИ РФ и обеспечению их функционирования». Здесь, в частности, перечислены средства обеспечения безопасности:
- СрЗИ от несанкционированного доступа (включая встроенные в общесистемное, прикладное программное обеспечение);
- межсетевые экраны;
- средства обнаружения (предотвращения) вторжений (компьютерных атак);
- средства антивирусной защиты;
- средства (системы) контроля (анализа) защищенности;
- средства управления событиями безопасности;
- средства защиты каналов передачи данных.
Все они должны быть сертифицированы на соответствие требованиям по безопасности или пройти оценку соответствия в форме испытаний или приемки в соответствии с Федеральным законом от 27.12.2002 г. № 184-ФЗ «О техническом регулировании».