Вы должны войти, чтобы создавать сообщения и темы.

Как проводить категорирование объектов КИИ?

Показатели критериев значимости, порядок и сроки категорирования будут определяться соответствующим постановлением правительства, проект которого также уже подготовлен. В соответствии с текущей версией документа, процедура категорирования включает в себя:

  • определение всех процессов, выполняемых субъектом КИИ в рамках своей деятельности;
  • выявление критических процессов, нарушение или прекращение которых может привести к негативным последствиям в масштабах страны;
  • определение перечня объектов КИИ, подлежащих категорированию, — данный этап должен быть выполнен в течение 6 месяцев со дня вступления постановления правительства в силу;
  • оценку показателей критериев значимости в соответствии с установленными значениями — всего проектом постановления правительства предусматривается 14 показателей, определяющих социальную, политическую, экономическую значимость объекта КИИ и его значимость для обеспечения обороны страны, безопасности государства и правопорядка;
  • установление соответствия объектов КИИ значениям показателей и присвоение каждому из них одной из категорий значимости либо принятие решения об отсутствии необходимости присвоения им одной из категорий значимости.

Категорирование должно проводиться как для существующих, так и для создаваемых или модернизируемых объектов КИИ специальной комиссией из работников субъекта КИИ. Решение комиссии оформляется соответствующим актом и в течение 10 дней после его утверждения сведения о результатах категорирования должны быть направлены во ФСТЭК. Максимальный срок категорирования объектов КИИ — 1 год со дня утверждения субъектом КИИ перечня объектов КИИ.

Этот порядок является предварительным и должен быть уточнен после утверждения соответствующего постановления правительства.

источник

вот товарищ заморочился и блок-схему нарисовал

https://plutsik.blogspot.com/2018/03/blog-post_83.html

на конференциях по КИИ в Ростове, Категорирование КИИ РФ

активно слежу за творчеством Андрея Прозорова, табличку своровал у него )

КИИ РФ

Для проведения категорирования объекта КИИ решением руководителя субъекта КИИ создается комиссия, в состав которой включаются:

  1. Руководитель субъекта КИИ или уполномоченное им лицо.
  2. Работники субъекта КИИ, являющиеся специалистами в области выполняемых функций или осуществляемых видов деятельности, в области информационных технологий и связи, по эксплуатации основного технологического оборудования, технологической (промышленной) и пожарной безопасности, контролю за опасными веществами и материалами, учету опасных веществ и материалов.
  3. Работники субъекта КИИ, на которых возложены функции обеспечения безопасности (информационной безопасности) объектов КИИ.
  4. Работники подразделения по защите государственной тайны субъекта КИИ (в случае, если объект КИИ обрабатывает информацию, составляющую государственную тайну).
  5. Работники структурного подразделения по гражданской обороне объекта или работники, уполномоченные на решение задач в области гражданской обороны.
  6. В состав комиссии могут также включаться представители государственных органов и российских юридических лиц, выполняющих функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности, по согласованию с ними.

В ходе работы комиссия по категорированию:

  1. Проводит инвентаризацию всех процессов основных видов деятельности субъекта КИИ.
  2. Выявляет наличие критических процессов у субъекта КИИ.
  3. Выявляет объекты КИИ, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов, и готовит предложения в перечень объектов КИИ, подлежащих категорированию.
  4. Формирует модель нарушителя.
  5. Формирует модель угроз.
  6. Оценивает возможные последствия в случае возникновения компьютерных инцидентов.
  7. На основании результатов определения значений показателей критериев значимости присваивает категорию значимости объекту КИИ.
  8. Представляет сведения о категорировании объекта КИИ в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности КИИ.

Хотелось бы отметить, что субъект КИИ не реже, чем один раз в 5 лет должен осуществлять пересмотр установленной категории значимости объекта КИИ.

на этой неделе официально опубликован приказ 236 ФСТЭК "Об утверждении формы сведений о результатах категорирования КИИ"

Существует мнение, что правильнее присваивать категории значимости без учета имеющихся на объектах КИИ средств защиты и компенсирующих мер, однако если субъект сумеет обосновать перед ФСТЭК их включение в состав  объектов КИИ - такой подход тоже имеет право на жизнь.

Спасибо plutsik.blogspot.com

основные возможные подходы к присвоению КЗ:
1.       Рекомендуемый подход. Присвоение КЗ на основании масштаба возможных последствий в случае возникновения компьютерных инцидентов на ОКИИ, без учета существующих средств защиты  и компенсирующих мер, которые могут существенно снизить масштаб возможных последствий и как следствие – снизить КЗ или вообще привести к отсутствию необходимости присвоения КЗ. Это наиболее правильный и непротиворечивый с сточки зрения 127-ПП подход. Если у субъекта уже используются какие-то СЗИ или компенсирующие меры, которые могут снизить масштаб возможных последствий, они не учитываются при определении КЗ, но их можно будет учесть при формировании базового набора мер для определенной КЗ и дальнейшей его адаптации с учетом моделирования угроз. При этом субъекту можно с большой долей вероятности быть уверенным, что у ФСТЭК не будет вопросов по присвоению КЗ ни при согласовании результатов категорирования, ни при проверках.
2.       Нерекомендуемый (неживой) подход. Присвоение КЗ на основании масштаба возможных последствий, с учетом существующих на ОКИИ средств защиты (например, уже внедрен «джентельменский набор» СЗИ) или компенсирующих мер (например, вручную открывается калитка для прохода пассажиров на платформы на ЖД станции в случае атаки на систему управления турникетами). Данный подход имеет существенный недостаток, но при определенной трансформации (см.подход 3) тоже может использоваться. Что касается основного недостатка - в 127-ПП нет никаких указаний на то, что при определении масштаба возможных последствий могут учитываться существующие СЗИ или компенсирующие меры. Но если субъект все же решит их учесть на свой страх и риск, то в этом случае он каким-то образом должен доказать ФСТЭК, что применяемые им СЗИ или компенсирующие меры позволяют защититься от актуальных угроз и соответственно снизить масштаб возможных последствий и как итог присвоить более низкую КЗ или вообще обойтись без ее присвоения. В 127-ПП есть п.17, который определяет состав сведений о результатах категорирования, который субъект должен направить на согласование во ФСТЭК по результатам категорирования. В состав данных сведений в том числе входят:
  • a.       Сведения о программных и программно-аппаратных средствах, используемых на ОКИИ, в том числе о средствах, используемых для обеспечения безопасности ОКИИ
  • b.      Возможные последствия в случае возникновения компьютерных инцидентов на ОКИИ
  • c.       Сведения об угрозах безопасности информации и о категориях нарушителей.
  • d.      Организационные и технические меры, применяемые для обеспечения безопасности ОКИИ
При данном подходе субъект указывает в составе сведений о результатах категорирования угрозы, категории нарушителей и возможные последствия от реализации угроз, а также применяемые для нейтрализации угроз СЗИ и компенсирующие меры. В случае использования субъектом при категорировании данного подхода у ФСТЭК могут возникнуть к субъекту вопросы как на этапе согласования результатов категорирования, так и на этапе проведения проверок.
3.       Приемлемый подход. Присвоение КЗ на основании масштаба возможных последствий с учетом существующих СЗИ и компенсирующих мер, которые могут существенно снизить масштаб возможных последствий и как следствие – снизить КЗ или вообще привести к отсутствию необходимости присвоения КЗ. Этот подход очень похож на предыдущий подход, но отличается от него очень важным нюансом – существующие СЗИ и/или компенсирующие меры включаются в состав ОКИИ. Т.е. упомянутая выше калитка включается в состав ОКИИ в качестве одного из режимов работы ОКИИ. Но с данным подходом нужно обращаться аккуратно и со здравым смыслом, т.к. та же калитка может не справиться, например, с большим потоком пассажиров в час-пик и может начаться давка, которой не было бы при работающих турникетах. Данный подход не противоречит 127-ПП, но все же может вызвать вопросы у ФСТЭК при согласовании результатов категорирования или при проведении проверок. Поэтому в результаты категорирования, отправляемые на согласование во ФСТЭК, стоит включить соответствующее обоснование включения СЗИ или компенсирующих мер в состав ОКИИ.

ИСТОЧНИК https://valerykomarov.blogspot.com/2018/05/blog-post_22.html

 

Вопрос: С какой целью ФСБ и ФСТЭК определяет субъектов КИИ среди организаций страны?
Исходная информация:

1. ФСТЭК отвечает за выполнение трех задач: проверка правильности присвоения категорий значимости объектам КИИ, ведение реестра ЗНАЧИМЫХ объектов КИИ, устанавливает требования по обеспечению безопасности ЗНАЧИМЫХ объектов КИИ и контролирует их выполнение субъектами КИИ.
2. ФСБ отвечает за выполнение одной задачи по 187-ФЗ: "обнаружение, предупреждение и ликвидация последствий компьютерных атак" на ВСЕХ объектах КИИ.
3. ФСБ полностью отвечает за выполнение 194-ФЗ, который касается ВСЕХ объектов КИИ: "организует в пределах своих полномочий оперативно-розыскную деятельность по выявлению, предупреждению, пресечению и раскрытию преступлений, борьба с которыми отнесена к ведению органов безопасности, а также организует такую деятельность в иных случаях, предусмотренных федеральным законом; определяет порядок осуществления органами безопасности внедрения в преступные группы и других оперативно-розыскных мероприятий;" и "проводит криминалистические и другие экспертизы и исследования" (Положение ФСБ), предварительное следствие по Ст.274.1 УК РФ (Ст.151 УПК РФ).
4. ФСБ отвечает за выполнение 193-ФЗ. Формально касается ВСЕХ  объектов КИИ.
5. Прокуратура отвечает за законность решений и действий ФСБ и ФСТЭК в отношении ВСЕХ субъектов КИИ.

Ответ: 

   ФСТЭК определяет субъектов КИИ среди организаций страны только для выделения владельцев ЗНАЧИМЫХ объектов КИИ.
   ФСБ выделяет субъектов КИИ среди организаций страны для следующих задач:
1. Функционирование ГосСОПКи.
2. Привлечение к уголовной ответственности по ст.274.1 УК РФ. (Не только субъекта КИИ, но и хакеров атакующих ЛЮБОЙ объект КИИ).
3. Контроль за защитой сведений, составляющих гостайну по 193-ФЗ на объектах КИИ.
Прокуратура определяет субъектов КИИ среди организаций страны для решения о законности действий ФСБ и ФСТЭК в отношении этих организаций.

 По простому: 
1. ФСТЭК интересуют только ЗНАЧИМЫЕ объекты КИИ.
2. ФСБ и Прокуратуру интересуют ВСЕ объекты КИИ.
3. ФСТЭК может привлечь только к административной ответственности.
4. ФСБ может привлечь к уголовной ответственности.
5. Прокуратура осуществляет надзор за законностью требований ФСБ и ФСТЭК к любым организациям.
5. У ФСТЭК нет права на проведение ОРД, на проведение экспертиз, на проведение следственных действий. А у ФСБ есть.
6. ФСБ интересуют ВСЕ субъекты КИИ не только для выполнения требований 187-ФЗ. Они имеют все ресурсы (оперативники, технари, мозги, следователи) для поимки и привлечения к уголовному наказанию хакеров. Для применения п.1-2 Ст.274.1 следствию обязательно необходимо доказать, что компьютерная атака осуществлялась на объект КИИ, а не просто на информационную систему (это другая статья УК РФ).
7. ФСБ необходимо понимать обоснованность обработки в организации сведений по 193-ФЗ. А для этого организация должна быть субъектом КИИ.

Примечание: необходимо понимать, что под ФСБ подразумевается не 8 Центр ФСБ, а территориальные органы ФСБ, в зону ответственности которых входит ваша организация. В ФСБ 8 Центр и НКЦКИ не имеют полномочий на решение таких запросов организаций, да и не считают это своей задачей. Просто на конференциях по ГосСОПКе обычно их представители  выступают,а в реальной работе по борьбе с компьютерными атаками задействованы и другие подразделения ФСБ. Это четко указано в проектах приказов ФСБ по КИИ, в части разработки регламента привлечения субъектом КИИ сил  и средств ФСБ для ликвидации последствий компьютерных атак.

Свежее, источник https://valerykomarov.blogspot.com/2018/05/blog-post_30.html

Принципиальный момент:
    В связи с высокими рисками уголовной ответственности по Ст.274.1 УК РФ и неопределенными определениями в 187-ФЗ, считаю необходимым провести анализ назначения своих ИС всеми организациями в России. С обязательным оформлением акта, обосновывающим решение об определении ИС как объект КИИ, либо нет.

   Пояснения:
1. Ответственный может назначаться и устным указанием, если ему не требуется официальных полномочий для проведения подготовительных мероприятий.
2. Наличие ИС в организации определяется через бухгалтерию и приказы о вводе в эксплуатацию. Возможно через распоряжения вышестоящих организаций для подведомственных учреждений о передаче ИС. Не забывайте о сайтах организации в интернет, они то же ИС, если зарегистрированы на организацию.
3. Сферы деятельности организации определять через уставные документы, ОКВЭД, ОКОГУ, лицензии на виды деятельности.
4. Назначение ИС определять через приказы на создание и ввод в эксплуатацию, проектную документацию, анализ обрабатываемой информации в ИС.
5. Акт оформляется на каждую ИС в организации.

Яндекс.Метрика