 |
4. Мероприятия по инвентаризации и категорированию объектов КИИ
|
|
|
|
Пример 3
Права собственника и оператора АИС СУДИР возложены на ДИТ.
При этом, СУДИР обеспечивает предоставление доступа к информационным системам и ресурсам, принадлежащих другим ОИВ города Москвы на основе централизованного управления учетными данными участников информационного взаимодействия и реализации технологии однократной аутентификации пользователей информационных систем города Москвы
2. В случае выявления соответствующих объектов инфраструктуры, уточняем наличие у Организации явных поручений на уровне законодательных актов и нормативных требований (Распоряжения Правительства Москвы и т. д. ), возлагающих на Организацию обязанности по обеспечению информационного взаимодействия между сторонними ИСиР. В случае наличия указанных обязательств, запрашиваем владельцев сторонних ИСиР (ОИВ и их организаций) об отнесении данных систем к объектам КИИ (включена ли данная ИСиР в Перечень объектов КИИ, подлежащих категорированию сторонней организации). В случае положительного ответа, Организация признается субъектом КИИ.
3. В случае наличия инфраструктуры Организации, которая используется для информационного обмена сторонними ИСиР, делается запрос владельцам данных систем об их отнесении к объектам КИИ (включена ли данная ИСиР в Перечень объектов КИИ, подлежащих категорированию сторонней организации). В случае положительного ответа, делается уточнение наличия компонентов инфраструктуры и сетей передачи данных, используемых для указанного взаимодействия и находящихся в собственности Организации. В случае положительного заключения Организация признается субъектом КИИ.
4. Организация рассматривает свою инфраструктуру (или ее часть, непосредственно задействованную в обеспечении взаимодействия объектов КИИ) в качестве объекта КИИ.
|
|
|
Пример 4
Организация владеет и обслуживает ЦОД, в котором размещаются ИСиР ОИВ Москвы, в сфере транспорта или здравоохранения.
Выявлено, что некоторые из размещаемых в ЦОД ИСиР относятся к объектам КИИ. Программно-аппаратное обеспечение компонентов ИС является собственностью ОИВ Москвы, в сфере транспорта или здравоохранения. При этом, для взаимодействия между данными ИС, а также с внешними системами и пользователями используются каналы передачи данных и коммутационное оборудование ЦОД, которые принадлежат Организации. В данном случае Организация является субъектом КИИ, как обеспечивающая взаимодействие объектов КИИ.
ВАЖНО: Сеть электросвязи Организации, непосредственно задействованная в обеспечении взаимодействия объектов КИИ, не должна рассматриваться в качестве объекта КИИ и в Перечень объектов КИИ, подлежащих категорированию, не включается.
Пример 5
Организация предоставляет услуги технической поддержки и сопровождения ОИВ Москвы, в сфере транспорта или здравоохранения.
Работники Организации администрируют ИС, ИТС и АСУ, являющихся объектами КИИ, управляют сетевыми компонентами, отвечают за работоспособность и взаимодействие систем.
В данном случае Организация не является субъектом КИИ, так как ее работники обеспечивают «поддержку» работоспособности систем, но фактически взаимодействие объектов КИИ обеспечивается программно-аппаратными компонентами, не находящимися в собственности у Организации.
Результат:
Заключение Рабочей группы о наличии/отсутствии оснований для отнесения ИСиР ОИВ/организации к объектам критической информационной инфраструктуры и рекомендаций по включению их в Перечень объектов с последующим установлением одной из категорий значимости объектов критической информационной инфраструктуры, либо об отсутствии оснований для отнесения ИСиР ОИВ/организации к объектам критической информационной инфраструктуры в соответствии с законодательством Российской Федерации.
|
|
|
Заключение об отсутствии оснований может оформляться по консолидированной форме на все ИСиР ОИВ/организации сразу, форма заключения Рабочей группы об отсутствии оснований для отнесения ИСиР ОИВ/организации к объектам критической информационной инфраструктуры в соответствии с законодательством Российской Федерации приведена в Приложении 1.
Но желательно оформление отдельного заключения о наличии/отсутствии оснований по каждой информационной системе ОИВ/организации в отдельности. Форма заключения Рабочей группы об отсутствии оснований для отнесения ИС ОИВ/организации к объектам критической информационной инфраструктуры в соответствии с законодательством Российской Федерации приведена в Приложение 2. Форма заключения Рабочей группы о наличии оснований для отнесения ИС ОИВ/организации к объектам критической информационной инфраструктуры в соответствии с законодательством Российской Федерации приведена в Приложении 3.
4. Мероприятия по инвентаризации и категорированию объектов КИИ
4. 1. Инвентаризация объектов КИИ
В случае принятия решения о наличии оснований для отнесения ИСиР ОИВ/организации к объектам критической информационной инфраструктуры, необходимо провести предварительный анализ угроз безопасности информации и реализованных меры по обеспечению безопасности. Провести предварительную оценку масштаба возможных последствий в случае возникновения компьютерных инцидентов в ИСиР в соответствии с перечнем показателей критериев значимости, утвержденных ПП-127. Сформировать предложение Рабочей группы о присвоении данной ИСиР категории значимости либо об отсутствии необходимости присвоения одной из таких категорий, а также перечень необходимых мер по обеспечению безопасности в соответствии с требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры, установленными федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры.
|
|
|
Подготовленные материалы служат основаниями для принятия окончательных решений Комиссией по определению объектов критической информационной инфраструктуры и категорий значимости объектов критической информационной инфраструктуры.
В соответствии с ПП-127, категорированию подлежат объекты КИИ, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры в областях (сферах), установленных пунктом 8 статьи 2 Федерального закона 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
4. 1. 2 Формирование перечня процессов
Анализируется устав и учредительные документы, иные положения организации, где прописаны основные и вспомогательные виды деятельности, имеющиеся лицензии, сертификаты и иные разрешительные документы на виды деятельности — из них выписываются все указанные функции и виды деятельности.
Анализируется организационная структура Организации, анализируются положения об отделах и/или запрашивается информация об обязанности и функциях подразделений Организации. Данная информация используется для детализации или расширения перечня функций Организации, полученного на первом шаге.
Для каждой выявленной функции / осуществляемого вида деятельности формируется перечень процессов, реализуемых в рамках этой функции / вида деятельности.
В соответствии с ПП-127, необходимо формировать перечень процессов, с учетом их соотнесения с отраслями / областями деятельности, которые обозначены в 187-ФЗ. Субъекты КИИ определяются через 13 сфер функционирования ИС / АСУ / ИТКС.
|
|
|
