 |
Пример 6. - Организация работ по подготовке технических условий, согласованию и оформлению разрешительной документации для выполнения работ по прокладке волоконно-оптических линий для системы обеспечения
|
|
|
|
Пример 6
Процессы ДИТ в сфере связи:
Постановление Правительства Москвы №105-ПП «Об утверждении Положения о Департаменте информационных технологий города Москвы»
- Создание и эксплуатации городской мультисервисной транспортной сети (ГМТС) Правительства Москвы.
- Организация работ по подготовке технических условий, согласованию и оформлению разрешительной документации для выполнения работ по прокладке волоконно-оптических линий для системы обеспечения безопасности города Москвы и комплексной автоматизированной системы обеспечения безопасности населения города Москвы.
- Утверждение порядка разработки и согласования схемы размещения таксофонов на территории города Москвы.
- Согласование передачи прав пользования, владения, распоряжения линейно-кабельными сооружениями связи и сетями связи и иным движимым и недвижимым имуществом, необходимым для их эксплуатации, находящимся в собственности города Москвы.
- Определение порядка пользования, владения, распоряжения линейно-кабельными сооружениями связи и сетями связи и иным движимым и недвижимым имуществом, необходимым для их эксплуатации, находящимся в собственности города Москвы.
- Утверждение по согласованию с Департаментом городского имущества города Москвы порядка приемки во временную эксплуатацию вновь построенных или реконструированных за счет средств бюджета города Москвы линейно-кабельных сооружений связи и сетей связи и иного движимого и недвижимого имущества, необходимого для их эксплуатации.
- Обеспечение содержания, обслуживания и временной эксплуатации бесхозяйных линейно-кабельных сооружений связи и сетей связи и иного движимого и недвижимого имущества, необходимого для их эксплуатации, до признания прав собственности города Москвы на такое имущество.
|
|
|
- Обращение в уполномоченный орган государственной власти с целью постановки на учет бесхозяйных линейно-кабельных сооружений связи и сетей связи, а также государственной регистрации прав собственности города Москвы на линейно-кабельные сооружения связи и сети связи и иное движимое и недвижимое имущество, необходимое для их эксплуатации, в том числе бесхозяйные линейно-кабельные сооружения и сети связи и иное движимое и недвижимое имущество, необходимое для их эксплуатации.
- Обеспечение выдачи технических условий при строительстве и/или реконструкции линейно-кабельных сооружений и сетей связи, вновь возводимых и/или реконструируемых на территории города Москвы за счет средств бюджета города Москвы.
- Утверждение рекомендуемой формы договора на размещение таксофона.
4. 1. 3 Определение критичности процессов
Для каждого выявленного процесса должна быть проведена оценка критичности его нарушения с точки зрения возможных негативных социальных, политических, экономических, экологических последствий, последствий для обеспечения обороны страны, безопасности государства и правопорядка.
В связи с тем, что критерии оценки критичности нарушения процессов в ПП-127 явно не заданы, то будем использовать перечень критериев значимости объектов и их значения из Приложения 1 к ПП-127 (минимальные показатели категории значимости). Определяем для каждого рассматриваемого процесса, способно ли его нарушение повлечь последствия, соответствующие, минимальным показателям критериев значимости из ПП-127.
Пример 7
Остановка процесса «Утверждение порядка разработки и согласования схемы размещения таксофонов на территории города Москвы» не приводит к прекращению или нарушению функционирования сетей связи и не приводит к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка.
|
|
|
4. 1. 4 Формирование перечня объектов
Для каждого критичного процесса определяется перечень ИСиР, которые осуществляют:
- обработку информацию, необходимую для критических процессов;
- управление критическим процессом;
- контроль или мониторинг критических процессов.
Важно:
Обработка – систематическое выполнение операций над данными, необходимыми для обеспечения критического процесса.
Управление – поддержание критического процесса в рабочем состоянии [VG1] в рамках заданных значений характеристик критического процесса.
Контроль – сравнение (сопоставление) фактических (текущих) значений характеристик критического процесса с заданными значениями этих характеристик.
Мониторинг – постоянное (регулярное) наблюдение [VG2] за значениями характеристик критического процесса.
Результат:
Сформирован Перечень ИСиР, подлежащих категорированию и оформлен в табличной форме (таблица 3).
|
Комиссия по категорированию принимает окончательное решение о формировании перечня объектов, подлежащих категорированию.
Перечень объектов, подлежащих категорированию оформляется по форме, приведенной в таблице 4, рекомендованной ФСТЭК России. Утверждается и направляется в экспедицию центрального аппарата ФСТЭК России по адресу: 105066, г. Москва, ул. Старая Басманная, д. 17 на бумажном носителе и на электронном носителе информации (формат docx, xlsx). Телефон экспедиции: 8 (495) 696-74-06.
Таблица 4.
| № | Наименование объекта | Тип объекта1 | Сфера (область) деятельности, в которой функционирует объект2 | Планируемый срок категорирования объекта | Должность, фамилия, имя, отчество (при наличии) представителя, его телефон, адрес электронной почты (при наличии)3 |
| 1. | |||||
| 2. |
|
|
|
1 Указывается один из следующих типов объекта: информационная система, автоматизированная система управления, информационно-телекоммуникационная сеть.
2 Указывается сфера (область) в соответствии с пунктом 8 статьи 2 Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации инфраструктуры Российской Федерации».
3 Указываются должность, фамилия, имя, отчество (при наличии) должностного лица, с которым можно осуществить взаимодействие по вопросам категорирования объекта, его телефон, адрес электронной почты (при наличии). Для нескольких объектов может быть определено одно должностное лицо.
Важно: планируемый срок категорирования не должен превышать 365 календарных дней с момента утверждения перечня объектов, подлежащих категорированию. Для государственных органов и организаций он не можетбыть позже 01. 09. 2020 г.
4. 2. Категорирование объектов КИИ
Определение категорий значимости объектов КИИ осуществляется на основании показателей критериев значимости и их значений, утвержденных
ПП-127.
При категорировании осуществляется:
- анализ возможных источников угроз и действий предполагаемых нарушителей;
- анализ возможных угроз и типов компьютерных атак;
- оценка масштаба последствий угроз и соотнесение со значениями показателей категорий;
- определение категории значимости объекта КИИ;
- оформление акта категорирования.
4. 2. 1 Анализ возможных действий нарушителей
Данная информация получается экспертным путем[VG3]. В случае, если для рассматриваемой ИСиР существует модель угроз и нарушителей, то используются данные из нее. Также могут использоваться существующие данные из моделей угроз и моделей нарушителей для схожих ИСиР, функционирующих в Организации.
Если для данной ИСиР не разрабатывалась модель угроз и нарушителя, то используем классификацию, приведенную в Приложении 4.
4. 2. 2 Анализ угроз безопасности информации и типов компьютерных атак
|
|
|
Для каждой ИСиР проводится анализ возможных угроз и их последствий. В случае, если для рассматриваемой ИСиР существует модель угроз и нарушителей, то используются данные из нее. Также могут использоваться существующие данные из моделей угроз и моделей нарушителей для схожих ИСиР, функционирующих в Организации.
Если для данной ИСиР не разрабатывалась модель угроз и нарушителя, то используем классификацию, приведенную в Приложении 5.
4. 2. 3 Оценка масштаба последствий и соотнесение со значениями
показателей категорий
Для рассматриваемой ИСиР необходимо определить возможные последствия нарушений, основываясь на выявленных возможных угрозах ИБ, типах компьютерных атак, назначение ИСиР и автоматизируемого процесса. Для рассматриваемой ИСиР должны выбираться те типы последствий, которые могут стать следствием реализации вероятных угроз для данной ИСиР. В качестве последствий рассматриваем:
1) причинение ущерба жизни и здоровью людей;
2) прекращение или нарушение функционирования объектов обеспечения жизнедеятельности населения, в том числе объектов обеспечивающие водо-, тепло-, газо- и электроснабжение населения;
3) прекращение или нарушение функционирования объектов транспортной инфраструктуры;
4) прекращение или нарушение функционирования сети связи;
5) отсутствие доступа к государственной услуге;
6) прекращение или нарушение функционирования государственного органа в части невыполнения возложенной на него функции (полномочия);
7) нарушение условий международного договора РФ, срыв переговоров или подписания планируемого к заключению международного договора РФ, оцениваемые по уровню международного договора РФ;
8) возникновение ущерба субъекту критической информационной инфраструктуры, который является государственной корпорацией, государственным унитарным предприятием, государственной компанией, стратегическим акционерным обществом, стратегическим предприятием, оцениваемого в снижении уровня дохода (с учетом налога на добавленную стоимость, акцизов и иных обязательных платежей) по всем видам деятельности (процентов от годового объема доходов, усредненного за прошедший 5-летний период);
9) возникновение ущерба бюджетам Российской Федерации, оцениваемого в снижении выплат (отчислений) в бюджеты Российской Федерации, осуществляемых субъектом критической информационной инфраструктуры (процентов прогнозируемого годового дохода федерального бюджета, усредненного за планируемый 3-летний период);
Важно: для периода 2019-2021 это 20 388, 65 млрд. рублей. Соответственно, если оцениваемый ущерб бюджетам РФ менее 20 388, 65 млн. рублей, то принимается решение об отсутствии необходимости присвоения категории значимости. В иных случаях необходимо руководствоваться таблицей 5:
|
|
|
Таблица 5.
| Категория значимости | |||
| Ущерб, млрд. руб | до 1019, 43, включительно | от 1019, 43 до 2038, 86, включительно | более 2038, 86 |
10) прекращение или нарушение проведения клиентами операций по банковским счетам и (или) без открытия банковского счета или операций, осуществляемых субъектом критической информационной инфраструктуры, являющимся в соответствии с законодательством Российской Федерации системно значимой кредитной организацией, оператором услуг платежной инфраструктуры системно и (или) социально значимых платежных систем или системно значимой инфраструктурной организацией финансового рынка, оцениваемые среднедневным (по отношению к числу календарных дней в году) количеством осуществляемых операций (млн. единиц) (расчет осуществляется по итогам года, а для создаваемых объектов - на основе прогнозных значений);
11) вредные воздействия на окружающую среду (ухудшение качества воды в поверхностных водоемах, обусловленное сбросами загрязняющих веществ, повышение уровня вредных загрязняющих веществ, в том числе радиоактивных веществ, в атмосфере, ухудшение состояния земель в результате выбросов или сбросов загрязняющих веществ или иные вредные воздействия);
12) прекращение или нарушение функционирования (невыполнение установленных показателей) пункта управления (ситуационного центра), оцениваемые в уровне (значимости) пункта управления или ситуационного центра;
13) снижение показателей государственного оборонного заказа, выполняемого субъектом критической информационной инфраструктуры;
14) прекращение или нарушение функционирования (невыполнения установленных показателей) информационной системы в области обеспечения обороны страны, безопасности государства и правопорядка.
При оценке масштабов последствий и соотнесении со значениями показателей категорий следует использовать (для соответствующих ИСиР):
- договоры на оказание соответствующих услуг (учет количества потребителей и подключаемых территориальных объектов);
- паспорта объектов (систем);
- ТЗ на объекты;
- результаты категорирования объектов транспортной инфраструктуры;
- декларация промышленной безопасности;
- паспорта безопасности опасного производственного объекта;
- декларация безопасности объектов;
- паспорта безопасности объектов топливно-энергетического комплекса;
- результаты категорирования объектов, оказывающих негативное воздействие на окружающую среду;
- результаты классификации сетей электросвязи.
Полученная оценка масштабов последствий должна соотноситься со значениями показателей критериев значимости и для каждого показателя должна быть определена соответствующая категория значимости.
Должны быть рассмотрены наихудшие сценарии, учитывающие проведение целенаправленных компьютерных атак на объекты критической информационной инфраструктуры, результатом которых являются прекращение или нарушение выполнения критических процессов и нанесение максимально возможного ущерба.
Для каждого показателя критериев значимости, для которого установлено более одного значения такого показателя (территория, количество людей и т. д. ), оценка производится по каждому из значений показателя критериев значимости.
В случае если показатель критерия значимости неприменим для ИСиР или ИСиР не соответствует ни одному показателю и их значениям (оцененный масштаб ниже минимального показателя критерия значимости), категория значимости данной ИСиР не присваивается.
4. 2. 4 Определение категории значимости объекта КИИ
Объекту КИИ присваивается категория значимости, соответствующая наивысшему значению из присвоенных категорий при соотнесении возможного ущерба с показателями категорий значимости (самая высокая категория – первая, самая низкая – третья). Форма для оформления результатов предварительного категорирования, проведенного рабочей группой приведена в Приложении 6.
Важно: эта информация используется комиссией по категорированию для принятия и оформления окончательного решения по ИСиР.
Результат:
Собрана в формализованном виде информация по ИСиР, рекомендованных к отнесению к объектам КИИ. Пример оформления приведен в Приложении 7.
4. 2. 6 Оформление акта категорирования объекта КИИ
Решение комиссии по категорированию оформляется актом, который должен содержать сведения об объекте критической информационной инфраструктуры, сведения о присвоенной объекту критической информационной инфраструктуры категории значимости либо об отсутствии необходимости присвоения ему одной из таких категорий. Акт подписывается членами комиссии по категорированию и утверждается руководителем субъекта критической информационной инфраструктуры.
Допускается оформление единого акта по результатам категорирования нескольких объектов критической информационной инфраструктуры, принадлежащих одному субъекту критической информационной инфраструктуры.
Важно: акт утверждает исключительно руководитель ОИВ/организации. Акт хранится в ОИВ/организации, направлять в ФСТЭК России не требуется.
Форма рекомендуемого акта приведена в Приложении 8.
Пример оформления сведений о результатах категорирования ИСиР для отправки в ФСТЭК России приведена в Приложении 9.
5. Рекомендуемая литература
- Методические рекомендации по категорированию объектов критической информационной инфраструктуры в медицинских организациях Красноярского края от 30. 11. 2018.
- Методические рекомендации по категорированию объектов критической информационной инфраструктуры. ООО «СТЭП ЛОДЖИК» v2. 0, 2019.
- Общие рекомендации «Безопасность объектов критической информационной инфраструктуры организации» Версия 1. 0. АРСИБ 2019.
- Методические рекомендации по категорированию объектов критической информационной инфраструктуры, принадлежащих субъектам критической информационной инфраструктуры, функционирующим в сфере связи. ОГО «АДЭ» 2019.
- Приказ Минтранса России от 14. 12. 2018 № 449 «О создании Комиссии Министерства транспорта Российской Федерации по согласованию перечней объектов критической информационной инфраструктуры подведомственных Минтрансу России службы, агентств, предприятий, учреждений и организаций».
Приложение 1
к Методическим рекомендациям
Форма заключения об отсутствии оснований по отнесению информационных систем и ресурсов к объектам критической информационной инфраструктуры
|
|
|
