Категорирование объектов КИИ, требования к системам безопасности и обеспечению безопасности значимых объектов КИИ

Порядок категорирования объектов КИИ

Категорирование объектов КИИ осуществляется согласно Постановлению Правительства Российской Федерации от 08.02.2018 г. № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений»вступает в силу 21.02.2018.

К субъектам КИИ относятся государственные органы, государственные учреждения, российские юридические лица, индивидуальные предприниматели. Сведения о том, является ли организация субъектом КИИ, можно получить в следующих источниках:

  • Общероссийский классификатор видов экономической деятельности;
  • Лицензии и иные разрешительные документы на различные виды деятельности;
  • Уставы, положения организаций (госорганов);
  • Другие источники.

Объектами КИИ могут являться: ИС, ИТКС и АСУ, функционирующие в 12 сферах деятельности.

Субъекты КИИ обязаны самостоятельно категорировать принадлежащие им объекты в зависимости от масштаба возможных последствий объекту КИИ.

Порядок категорирования объектов КИИ
Порядок категорирования объектов КИИ

Категорирование проходит следующим образом:

  1. Руководитель организации создает комиссию по категорированию, которая выявляет критичные процессы субъекта (управленческие, технологические, производственные и другие).
  2. Определяются объекты КИИ, связанные с этими процессами.
  3. Полученный перечень согласовывается со ФСТЭК в течение пяти дней.
  4. Объекту КИИ присваивается одна из трёх категорий значимости или устанавливается отсутствие необходимости присвоения категории.
    • При выборе категории объект оценивается по показателям критериев значимости. Всего существует 5 групп показателей, включающих от одной до пяти подгрупп. Итоговая оценка ставится по максимальному значению из всех групп/подгрупп.
    • Первая категория означает, что объект требует максимальной защиты.
  5. По результатам составляется Акт категорирования объекта КИИ, который подписывается членами комиссии и утверждается руководителем субъекта КИИ. Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом КИИ перечня объектов.
  6. Сведения о результатах категорирования направляются в ФСТЭК в соответствии с Приказом ФСТЭК №236 в течение 10 дней.

Реестр значимых объектов формируется и ведётся ФСТЭК России на основании данных, предоставляемых субъектами КИИ. Реестр подлежит защите в соответствии законодательством РФ о гостайне. Соответствующий документ: Приказ ФСТЭК от 6.12.2017. № 227.

Данные об изменении категории также должны направляться в ФСТЭК. Изменение категории значимости может произойти:

  • По мотивированному решению ФСТЭК по результатам проверки, выполненной в рамках осуществления государственного контроля в области обеспечения безопасности значимых объектов КИИ
  • Объект перестал соответствовать критериям значимости и показателям их значений
  • Субъект КИИ был реорганизован, ликвидирован или произошли изменения в его организационно-правовой форме

Субъект КИИ не реже чем один раз в 5 лет осуществляет пересмотр установленной категории значимости и сообщает об изменениях в ФСТЭК.

Требования к системам безопасности значимых объектов КИИ

Регулируются Приказом ФСТЭК от 21.12.2017 №235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования». Приказ принят, проходит регистрацию в Минюсте РФ.

Система безопасности значимых объектов — это совокупность организационных, технических, правовых и других мер. Она может быть создана для обеспечения безопасности одного объекта или совокупности объектов. Кроме того, субъект в праве создать одну систему безопасности для всех значимых объектов.

Требования, описанные в приказе, едины для объектов всех трёх категорий. Допускается применять их в том числе для обеспечения безопасности незначимых объектов.

Задачи, выполняемые системой безопасности:

  1. Предотвращение неправомерного доступа к информации, обрабатываемой значимыми объектами;
  2. Предотвращение воздействия на технические средства обработки информации, в результате которого может быть нарушено или прекращено функционирование объектов;
  3. Восстановление функционирования объектов, если они вышли из строя;
  4. Непрерывное взаимодействие с ГОССОПКА.

В состав системы безопасности входят три основных элемента: силы, средства, организационно-распорядительные документы.

Под силами системы безопасности значимых объектов понимаются сотрудники субъекта КИИ. А именно:

  1. Руководитель субъекта — определяет состав и структуру системы и функции её участников по обеспечению безопасности.
  2. Уполномоченное лицо (назначается по решению руководителя) — создаёт систему безопасности, контролирует её функционирование.
  3. В зависимости от количества объектов, их категорий и загруженности персонала в структурных подразделениях назначаются ответственные за обеспечение безопасности КИИ. К ним относятся:
    • Работники подразделений, эксплуатирующих объект — обеспечивают безопасность во время эксплуатации.
    • Работники подразделений, обеспечивающих функционирование — осуществляют свои функции в соответствии с правилами безопасности.
    • Данные сотрудники должны обладать соответствующими знаниями и навыками для обеспечения безопасности значимых объектов, а также должны ежегодно проходить повышение уровня знаний по вопросам обеспечения безопасности КИИ и возможным угрозам.
  1. Подразделения, ответственные за обеспечение безопасности — выполняют исключительно функции по обеспечению безопасности объекта.

Для проведения работ по обеспечению безопасности КИИ субъектами также могут привлекаться внешние организации. Однако у таких организаций должна быть соответствующая лицензия ФСТЭК России: либо в области защиты государственной тайны (если на объекте обрабатывается информация, составляющая гостайну), либо по технической защите конфиденциальной информации.

К средствам относятся программные и программно-аппаратные средства, предназначенные для обеспечения безопасности объекта.

Средства должны пройти оценку соответствия. В случае, если объектом обрабатывается государственная тайна или объект КИИ представляет собой государственную информационную систему, сертификация обязательна.

В приоритетном порядке применяются встроенные в рабочие системы специальные программные средства защиты информации. Они должны применяться в соответствии с эксплуатационной документацией и обязательно сопровождаться поддержкой со стороны разработчика. При создании системы также должны учитываться возможные ограничения самого разработчика, например, запрет использования средства на определённых объектах

Нормативно-организационные документы разделяются на три категории:

  • Общесистемные документы (определяют цели, задачи, существующие угрозы, основные организационно-технические мероприятия, состав и структуру системы безопасности)
  • Документы, которые встроены в правила безопасной работы работников и регламенты действий в случае возникновения инцидентов или иных внештатных ситуаций
  • Документы планирования и документы, в которых описаны действия работников в различных ситуациях (порядок проведения испытаний, порядок приёмки, порядок взаимодействия подразделений и т.д.)

Состав и форма документов определяются субъектом КИИ самостоятельно. Допускается изложение всех перечисленных положений в одном документе, а также частичное изложение в разных документах при условии отражении этого в системе ОРД субъекта.

Отдельно подчеркивается, что документация должна быть не формальным набором инструкций, а реальным руководством сотрудников.

Требования к функционированию системы безопасности значимых объектов КИИ

Требования к функционированию системы безопасности разделены на 4 этапа, соответствующие классическому циклу PDCA:

  1. Планирование и разработка мероприятий

В рамках этого этапа должен ежегодно разрабатываться План мероприятий по обеспечению безопасности значимых объектов. Утверждается исключительно руководителем субъекта КИИ. В отношении каждого мероприятия должны быть определены сроки реализации и подразделения, ответственные за исполнение. Контроль за исполнением осуществляется структурным подразделением по безопасности. Результаты отражаются в отчете, который предоставляется руководителю субъекта КИИ.

  1. Реализация (внедрение) мероприятий

В рамках этого этапа реализуется составленный План мероприятий. Выполнение мероприятий осуществляется в соответствии с заранее разработанными организационно-структурными документами субъекта.

Этап включает принятие организационно-технических мер, применение технических средств защиты информации. Результаты документируются и учитываются при подготовке следующего ежегодного Плана.

  1. Контроль состояния безопасности объектов

Проводится ежегодно. Выделяется внешний и внутренний контроль состояния безопасности.

Внутренний контроль проводится комиссией, назначаемой субъектом. В состав входят работники подразделения, ответственного за обеспечение безопасности, а также сотрудники заинтересованных подразделений.

Внешний контроль (аудит) проводится внешней организацией, имеющей лицензию в области услуг по контролю защищенности информации от НСД и её модификации системах и средствах автоматизации.

  1. Совершенствование безопасности объектов

Осуществляется в 3 этапа подразделением по безопасности.

  • Проводится анализ функционирования системы безопасности и состояние безопасности объектов
  • По результатам осуществляется разработка предложений по развитию системы безопасности
  • Рассмотренные предложения представляются руководителю субъекта КИИ и могут быть внесены в План мероприятий

Требования по обеспечению безопасности значимых объектов КИИ

Регулируются Приказом ФСТЭК от 25.12.2017 №239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».

Структура документа схожа с Приказами ФСТЭК №17 и 21 и включает в себя: общие положения, требования по обеспечению безопасности на этапах жизненного цикла, требования к организационным и техническим мерам, а также приложение с перечнем мер по обеспечению безопасности.

Требования документа распространяются на все стадии жизненного цикла системы безопасности: создание, эксплуатация, вывод из эксплуатации. Если на данный момент значимый объект уже функционирует, то требования должны быть выполнены при его ближайшей модернизации.

Реализация требований к ИБ, описанных в Приказе, включает в себя 5 базовых шагов:

Шаг 1. Формирование перечня применимых требований

Включает в себя категорирование объекта КИИ (в соответствии с Постановлением Правительства № 127 от 08.02.2018 г.), а также требования по обеспечению безопасности, включаемые в ТЗ.

Шаг 2. Разработка организационных и технических мер. Включает в себя:

  • Моделирование угроз (по требованиям ФСТЭК)
  • Проектирование системы безопасности
  • Разработка эксплуатационной документации

Шаг 3. Внедрение организационных и технических мер по обеспечению безопасности. Включает в себя:

  • Установка и настройка средств защиты
  • Разработка документов по безопасности объекта
  • Предварительные испытания
  • Опытная эксплуатация
  • Выявление уязвимостей
  • Приемочные испытания (для ГИС проводится аттестация)

Шаг 4. Обеспечение безопасности во время эксплуатации

Шаг 5. Обеспечение безопасности при выводе из эксплуатации

Состав мер по обеспечению безопасности для значимого объекта приводится в приложении к Приказу. Часть мер, вошедших в документ, уже содержатся в Приказе ФСТЭК №17, но также появились новые меры, которые затронули следующие области:

  • Аудит безопасности
  • Реагирование на инциденты ИБ
  • Управление конфигурацией
  • Управление обновлениями ПО
  • Планирование мероприятий по обеспечению безопасности
  • Обеспечение действий в нештатных (непредвиденных) ситуациях
  • Информирование и обучение персонала

Помимо этих мероприятий необходимо учитывать следующие ограничения:

  • Не допускается наличие прямого удаленного доступа к значимому объекту
  • Не допускается передача информации, в т.ч. технологической, разработчику/производителю значимого объекта без ведома субъекта КИИ

При отсутствии возможности реализации отдельных мер защиты информации, в первую очередь рассматриваются меры по обеспечению промышленной и физической безопасности объекта.

При выборе мер следует учитывать возможные угрозы, связанные с соответствующим категории объекта уровнем потенциалом источника, а также соотношение категории значимости и требуемого класса СЗИ.

Категория объекта КИИ Потенциал источника угроз, который следует рассматривать при выборе мер Требуемый класс СЗИ
1 категория Высокий Не ниже 4 класса
2 категория Базовый усиленный Не ниже 5 класса
3 категория Базовый Не ниже 6 класса

 

Все нормативные документы по КИИ

Материал резюмирует доклады представителей ФСТЭК России, прозвучавшие 14.02.2018 на 8-й конференции «Актуальные вопросы защиты информации» в рамках ТБ Форума 2018. 

Поделиться записью: