Категорирование объектов КИИ

1. Как понять, является ли организация субъектом КИИ?

В первую очередь, определите свои сферы деятельности согласно ОКВЭД, определите, попадает ли ваша сфера деятельность под сферы деятельности, указанные в Федеральном законе от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (ФЗ-187): сферы здравоохранения, науки, транспорта, связи, энергетики, банковская сфера и иных сферы финансового рынка, топливно-энергетический комплекс, атомная энергия, сферы оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности.

2. Что является объектами КИИ?

Объекты КИИ — это информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления технологическими процессами, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов КИИ.

3. Что такое категория значимости и для чего она нужна?

Категория значимости объекта КИИ – главный показатель объектов КИИ, исходя из которого будет определено направление дальнейших работ для выполнения требований ФЗ-187, в частности, определен набор необходимых организационных и технических мер защиты, исходя из присвоенной категории. Перечень показателей критериев значимости представлен в Постановлении Правительства № 127. Категория значимости определяется, исходя из масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах КИИ.

4. Показатели критериев значимости объектов КИИ

Всего определено три категории — первая, вторая или третья (в порядке убывания значимости). Объекты КИИ, которым была присвоена одна из категорий, называются значимыми объектами КИИ. Если объект КИИ не соответствует ни одному из установленных критериев, ему категория не присваивается, но при этом у субъекта КИИ есть обязанность передачи сведений о компьютерных инцидентах в Государственную систему предотвращения и обнаружения компьютерных атак (ГосСОПКА).

5. Как происходит категорирование объектов КИИ?

Категорирование объекта КИИ предполагает определение его категории значимости на основе ряда критериев и показателей.

В рамках категорирования объектов КИИ необходимо сделать следующие шаги:

• создать комиссию по категорированию;
• определить все процессы организации и выделить из них критические;
• определить объекты КИИ, реализующие критические процессы;
• сформировать перечень объектов КИИ, подлежащих категорированию и направить его во ФСТЭК России;
• собрать исходные данные для категорирования и провести категорирование объектов КИИ;
• подготовить акты и сведения о категорировании объектов КИИ;
• направить сведения о категорировании во ФСТЭК России.

6. Особенности анализа угроз при категорировании объектов КИИ

Проводя категорирование, субъекты часто путают два понятия: анализ угроз, который проводится при создании системы безопасности значимого объекта КИИ в соответствии с приказом ФСТЭК России № 239 от 25 декабря 2017 г. и оценку негативных последствий инцидента с объектом КИИ, которая проводится при категорировании.

В первом случае решается задача выбора мер защиты и способов их реализации. Чтобы определить адекватную реализацию меры защиты (например, требуется ли для защиты от сетевых атак применять межсетевой экран прикладного уровня или достаточно обойтись сигнатурной системой обнаружения вторжений), нужно оценить все возможные способы проведения атак — и для этого требуется использовать Банк данных угроз и уязвимостей ФСТЭК России.

Во втором случае, для оценки негативных последствий нарушения работы объекта КИИ такая степень детализации бесполезна, в ряде случаев — невозможна, а главное — не требуется.

7. Что понадобится для подачи информации во ФСТЭК?

Результаты категорирования объектов КИИ должны направляться субъектом КИИ во ФСТЭК России, которая формирует и ведет реестр значимых объектов КИИ. В реестр включается следующая информация:

• наименование значимого объекта КИИ;
• наименование субъекта КИИ;
• сведения о взаимодействии значимого объекта КИИ и сетей электросвязи;
• сведения о лице, эксплуатирующем значимый объект КИИ;
• присвоенная категория значимости;
• сведения о программных и программно-аппаратных средствах, используемых на значимом объекте КИИ;
• меры, применяемые для обеспечения безопасности значимого объекта КИИ.

Если в процессе категорирования было определено отсутствие необходимости присвоения категории значимости объекту КИИ, результаты категорирования все равно должны быть направлены во ФСТЭК России. Регулятор проверяет представленные материалы и, при необходимости, направляет замечания, которые должен учесть субъект КИИ и повторно направить доработанные сведения о категорировании.

Если субъект КИИ не предоставит данные о категорировании, ФСТЭК России вправе потребовать эту информацию.

8. Сроки категорирования КИИ, сроки подачи документов, сроки пересмотра категории объекта и т.д.

Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом КИИ перечня объектов.

Перечень объектов КИИ необходимо подать во ФСТЭК в течение 5 дней после утверждения.

Решение комиссии оформляется соответствующим актом и в течение 10-ти дней после его утверждения, сведения о категорировании направляется во ФСТЭК России.

Предоставленные материалы в тридцатидневный срок со дня получения проверяются регулятором на соответствие порядку осуществления категорирования и оценивается правильность присвоения категории.

Пересмотр категории объекта КИИ проводится не реже 1 раз в 5 лет, а также в случае изменения показателей критериев значимости, указанных в ПП-127.

9. Особенности категорирования объектов КИИ в различных отраслях

Как правило, к большинству объектов КИИ часть показателей неприменима в принципе.

Наиболее распространены следующие показатели:

• Показатель 1 – Причинение ущерба жизни и здоровью людей (человек).
• Показатель 9 – Возникновение ущерба бюджетам Российской Федерации, оцениваемого в снижении выплат (отчислений) в бюджеты Российской Федерации, осуществляемых субъектом критической информационной инфраструктуры (процентов прогнозируемого годового дохода федерального бюджета, усредненного за планируемый трехлетний период).
• Показатель 11 – Вредные воздействия на окружающую среду.

Полный перечень показателей критериев значимости объектов КИИ и их значения приведены в Постановления Правительства № 127.

Автор: Юрий Шишебаров, ведущий специалист отдела аудита компании Infosecurity