 |
3 Основные мероприятия по определению оснований для отнесения ИСиР ОИВ/организации к объектам критической информационной инфраструктуры
|
|
|
|
3 Основные мероприятия по определению оснований для отнесения ИСиР ОИВ/организации к объектам критической информационной инфраструктуры
В соответствии с определением в 187-ФЗ, субъект КИИ – это:
1) государственный орган, государственное учреждение, российское юридическое лицо и (или) индивидуальный предприниматель, которому на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере:
- здравоохранения;
- науки;
- транспорта;
- связи;
- энергетики;
- банковской сфере и иных сферах финансового рынка;
- топливно-энергетического комплекса;
- атомной энергии;
- оборонной промышленности;
- ракетно-космической промышленности;
- горнодобывающей промышленности;
- металлургической промышленности;
- химической промышленности.
2) российское юридическое лицо и (или) индивидуальный предприниматель, который обеспечивает взаимодействие указанных систем или сетей. ( Важно: к государственным органам и государственным учреждениям не применимо. )
3. 1. Определение сфер деятельности организации.
В 187-ФЗ установлены 13 сфер (областей деятельности), которые подпадают под его область действия. По определению, к субъектам КИИ относятся те организации, которые владеют объектами, функционирующими в указанных сферах, а не организации, работающие в данных областях.
При этом, ФСТЭК России был предложен метод, основанный на определение сферы деятельности организации в соответствии с:
- ОКВЭД и ОКОГУ;
- лицензиями, сертификатами и иными разрешительными документами на виды деятельности;
|
|
|
- учредительными документами, уставами, положениями организации, где прописаны основные и вспомогательные виды деятельности.
Соответственно, если в любом из данных источников присутствует указание на рассматриваемые сферы деятельности, то по мнению ФСТЭК России, присутствуют признаки того, что организация является субъектом КИИ.
1. В Лицензиях / Уставе / кодах ОКВЭД и ОКОГУ организации выявляем деятельность в областях, соответствующих 187-ФЗ.
2. Анализируем область функционирования используемых ИСиР (Распоряжения Правительства Москвы по созданию ИСиР, государственные программы, проектную документацию на создание ИСиР и подобное).
3. Определяем ИСиР, используемые для реализации соответствующего вида деятельности, указанного в уставе, лицензии или ОКВЭД.
4. Анализируем на предмет принадлежности данных ИСиР Организации (право собственности, аренда, договор пользования, хозяйственного ведения, право оперативного управления и т. д. ).
Если выявлена ИСиР, удовлетворяющая указанным параметрам, то принимается решение о признании организации субъектом КИИ.
Пример 1
ГКУ ИАЦ в сфере здравоохранения города Москвы
Код ОКВЭД 72. 1 «Научные исследования и разработки в области естественных и технических наук» и код ОКОГУ 2300229 «Органы исполнительной власти субъектов Российской Федерации / - здравоохранения»
Необходимо выявить ИСиР автоматизирующие процессы в сферах науки и здравоохранения.
Пример 2
АО «Электронная Москва» имеет лицензии Роскомнадзора на следующие услуги связи:
Услуги связи по предоставлению каналов связи
Услуги связи по передаче данных, за исключением услуг связи по передаче данных для целей передачи голосовой информации
Услуги на телематические услуги связи
Необходимо выявить ИСиР автоматизирующие процессы оказание услуг связи.
|
|
|
3. 2. Определение деятельности в организации по обеспечению взаимодействия объектов КИИ
В качестве обеспечения взаимодействия объектов КИИ может рассматриваться:
- предоставление вычислительных мощностей для объектов КИИ и каналов взаимодействия с ними (ЦОД);
- предоставление телекоммуникационных услуг, в рамках которых осуществляется взаимодействие объектов КИИ;
- предоставление иных информационных услуг для обеспечения взаимодействия с объектами КИИ.
Частными случаями таких субъектов являются операторы сетей связи или ИС, предназначенных для обеспечения работы государственных ИС или взаимодействия с объектами энергетического комплекса — для данных лиц ответственность за обеспечение взаимодействия объектов КИИ указывается в документации на системы/каналы связи, а также в их обязанностях.
В более неопределенных случаях, когда Организация предоставляет вычислительные мощности и каналы связи для широкого круга заказчиков, детальной информации о том, что инфраструктура может использоваться для организации взаимодействия КИИ, может не быть. Однако, незнание данной информации не освобождает организацию от ответственности.
1. Проводим анализ наличия объектов инфраструктуры, находящейся в собственности Организации, которая используется в интересах сторонних лиц и для организации информационного взаимодействия систем, не принадлежащих самой Организации.
|
|
|
