 |
ЗАКЛЮЧЕНИЕ о наличии оснований по отнесению ИСиР к объектам КИИ
|
|
|
|
1. Настоящее Заключение составлено рабочей группы по определению объектов критической информационной инфраструктуры и категорий значимости объектов критической информационной инфраструктуры (далее – Рабочая группа), созданной на основании распоряжения Департамента информационных технологий города Москвы от 19. 04. 2019 № 64-16-139/19 «Об утверждении составов рабочих групп по определению объектов критической информационной инфраструктуры и категорий значимости объектов критической информационной инфраструктуры» в целях обеспечения принятия решений Департаментом информационных технологий города Москвы (далее – Департамент) об отнесении информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, принадлежащих на праве собственности, аренды или на ином законном основании городу Москве в лице Департамента, Департаменту (далее – ИСиР Департамента) к объектам критической информационной инфраструктуры, включению объектов критической информационной инфраструктуры в Перечень объектов критической информационной инфраструктуры Департамента (далее – Перечень объектов), с последующим установлением одной из категорий значимости объектов критической информационной инфраструктуры, либо решений об отсутствии оснований для их отнесения к объектам критической информационной инфраструктуры в соответствии с требованиями Федерального закона
от 26. 07. 2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
2. Присутствовали 9 из 9 членов рабочей группы. Кворум имеется.
3. Рабочая группа выявила технологический процесс мониторинга оказания телекоммуникационных услуг, в том числе услуг связи, рамках выполнения Департаментом полномочий и функций в установленной Положением о Департаменте сфере деятельности.
|
|
|
4. Рабочая группа определила в отношении информационной системы «Полное наименование системы» (далее - ИС «Краткое наименование системы»), что согласно п. 2 Постановления Правительства Москвы от хх. хх. 2019 № хх-ПП «Об информационной системе «Полное наименование системы» Департамент осуществляет от имени города Москвы правомочия собственника ИС «Краткое наименование системы». Разделом № 2 в «Положение об информационной системе «Полное наименование системы» установлено, что основной задачей ИС «Краткое наименование системы» является автоматизация процесса непрерывного и качественного оказания телекоммуникационных услуг, в том числе услуг связи пользователям ИС «Краткое наименование системы», что позволяет отнести ИС «Краткое наименование системы» к информационным системам, функционирующим в сфере связи. Дополнительно ИС «Краткое наименование системы» обеспечивает автоматизацию процессов взаимодействия между участниками информационного взаимодействия с целью обеспечения контроля качества оказываемых телекоммуникационных услуг, в том числе услуг связи для нужд органов исполнительной власти города Москвы и подведомственных им организаций города Москвы. Проведенная оценка значимости масштаба возможных последствий в случае возникновения компьютерных инцидентов в ИС «Краткое наименование системы» показала, что компьютерные инциденты в ИС «Краткое наименование системы» не приводят к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка. Результаты оценки значимости масштаба возможных последствий в случае возникновения компьютерных инцидентов в ИС «Краткое наименование системы» приведены в таблице № 1.
|
|
|
Компьютерные инциденты в ИС «Краткое наименование системы» могут привести к:
- несанкционированному или ошибочному изменению/подмене данных в системе;
- блокированию данных, обрабатываемых в системе (блокирование доступа, шифрование данных и т. д. );
- несанкционированному или ошибочному удалению данных;
- недоступности данных, которые должны поступать из смежных систем.
Возможные нарушители для ИС «Краткое наименование системы»:
- внешний, с низким потенциалом;
- внутренний, с низким потенциалом;
- внутренний, с средним потенциалом.
Нарушителями при проведении компьютерных атак на ИС «Краткое наименование системы» могут быть предприняты следующие действия:
- компрометация данных идентификации и аутентификации;
- модификация данных при их передаче по каналам связи;
- атаки с использованием вредоносного ПО;
- атаки типа «отказ в обслуживании» на компоненты системы и каналы связи;
- сетевые атаки (нарушение связи с помощью специальных сетевых пакетов, подмена и изменение адресов, таблиц маршрутизации, обход правил разграничения доступа);
- направленные атаки на пользователей (фишинг и иные методы социальной инженерии).
Таблица № 1.
| № | Показатель | Значение показателя | Обоснование |
| Причинение ущерба жизни и здоровью людей | Показатель и его значения не применимы к объекту | ИС «Краткое наименование системы» система мониторинга оказания телекоммуникационных услуг, не влияющая на прекращение или нарушение функционирования ИС, влияющих на жизнь и здоровье людей | |
| Прекращение или нарушение функционирования объектов обеспечения жизнедеятельности населения | Показатель и его значения не применимы к объекту | ИС «Краткое наименование системы» система мониторинга оказания телекоммуникационных услуг, не влияющая на прекращение или нарушение функционирования ИС, обеспечивающих функционирование объектов обеспечения жизнедеятельности населения | |
| Прекращение или нарушение функционирования объектов транспортной инфраструктуры | Показатель и его значения не применимы к объекту | ИС «Краткое наименование системы» система мониторинга оказания телекоммуникационных услуг, не влияющая на прекращение или нарушение функционирования ИС, обеспечивающих функционирование объектов транспортной инфраструктуры | |
| Прекращение или нарушение функционирования сети связи | Не применимо | ИС «Краткое наименование системы» система мониторинга, не влияющая на прекращение или нарушение функционирования контролируемой сети связи | |
| Отсутствие доступа к государственной услуге | Показатель и его значения не применимы к объекту | ИС «Краткое наименование системы» система мониторинга оказания телекоммуникационных услуг, не влияющая на доступность государственных услуг | |
| Прекращение или нарушение функционирования государственного органа в части невыполнения возложенной на него функции (полномочия) | Показатель и его значения не применимы к объекту | ИС «Краткое наименование системы» система мониторинга оказания телекоммуникационных услуг, не влияющая на прекращение или нарушение функционирования государственного органа | |
| Нарушение условий международного договора РФ, срыв переговоров или подписания планируемого к заключению международного договора РФ, оцениваемые по уровню международного договора РФ | Показатель и его значения не применимы к объекту | ИС «Краткое наименование системы» система мониторинга оказания телекоммуникационных услуг, не влияющая соблюдение условий международных договоров РФ | |
| Возникновение ущерба субъекту критической информационной инфраструктуры, который является государственной корпорацией, государственным унитарным предприятием, государственной компанией, стратегическим акционерным обществом, стратегическим предприятием, оцениваемого в снижении уровня дохода (с учетом налога на добавленную стоимость, акцизов и иных обязательных платежей) по всем видам деятельности (процентов от годового объема доходов, усредненного за прошедший 5-летний период) | Показатель и его значения не применимы к объекту | Не применимо для Департамента, как ОИВ субъекта Федерации | |
| Возникновение ущерба бюджетам Российской Федерации, оцениваемого в снижении выплат (отчислений) в бюджеты Российской Федерации, осуществляемых субъектом критической информационной инфраструктуры (процентов прогнозируемого годового дохода федерального бюджета, усредненного за планируемый 3-летний период) | Показатель и его значения не применимы к объекту | ИС «Краткое наименование системы» система мониторинга оказания телекоммуникационных услуг, не влияющая на выплаты в бюджет РФ | |
| Прекращение или нарушение проведения клиентами операций по банковским счетам и (или) без открытия банковского счета или операций, осуществляемых субъектом критической информационной инфраструктуры, являющимся в соответствии с законодательством Российской Федерации системно значимой кредитной организацией, оператором услуг платежной инфраструктуры системно и (или) социально значимых платежных систем или системно значимой инфраструктурной организацией финансового рынка, оцениваемые среднедневным (по отношению к числу календарных дней в году) количеством осуществляемых операций (млн. единиц) (расчет осуществляется по итогам года, а для создаваемых объектов - на основе прогнозных значений) | Показатель и его значения не применимы к объекту | ИС «Краткое наименование системы» не обеспечивает проведения клиентами операций по банковским счетам и (или) без открытия банковского счета или операций. ДИТ города Москвы не является в соответствии с законодательством Российской Федерации системно значимой кредитной организацией, оператором услуг платежной инфраструктуры системно и (или) социально значимых платежных систем или системно значимой инфраструктурной организацией финансового рынка | |
| Вредные воздействия на окружающую среду (ухудшение качества воды в поверхностных водоемах, обусловленное сбросами загрязняющих веществ, повышение уровня вредных загрязняющих веществ, в том числе радиоактивных веществ, в атмосфере, ухудшение состояния земель в результате выбросов или сбросов загрязняющих веществ или иные вредные воздействия) | Показатель и его значения не применимы к объекту | ИС «Краткое наименование системы» система мониторинга оказания телекоммуникационных услуг, не оказывающая какие-либо воздействия на окружающую среду. Управление объектами, способными оказать негативное воздействие на окружающую среду. | |
| Прекращение или нарушение функционирования (невыполнение установленных показателей) пункта управления (ситуационного центра), оцениваемые в уровне (значимости) пункта управления или ситуационного центра | Показатель и его значения не применимы к объекту | ИС «Краткое наименование системы» система мониторинга оказания телекоммуникационных услуг, не влияющая на прекращение или нарушение функционирования пунктов управления. | |
| Снижение показателей государственного оборонного заказа, выполняемого субъектом критической информационной инфраструктуры | Показатель и его значения не применимы к объекту | Не применимо для Департамента, как ОИВ субъекта Федерации | |
| Прекращение или нарушение функционирования (невыполнения установленных показателей) информационной системы в области обеспечения обороны страны, безопасности государства и правопорядка | Показатель и его значения не применимы к объекту | ИС «Краткое наименование системы» система мониторинга оказания телекоммуникационных услуг, не влияющая на прекращение или нарушение функционирования ИС в области обеспечения обороны страны, безопасности государства и правопорядка |
|
|
|
|
|
|
|
|
|
РАБОЧАЯ ГРУППА ПРИНЯЛА РЕШЕНИЕ:
1. ИС «Краткое наименование системы» функционирует в сфере «Связь». Основания отнесения информационной системы «Единая система мониторинга» к объектам критической информационной инфраструктуры в наличии.
2. Необходимость присвоения категории значимости ИС «Краткое наименование системы» отсутствует.
Результаты открытого голосования: «За» – 5 голосов, «Против» – 4 голоса, «Воздержалось» – 0 голосов.
Настоящее Заключение составлено в единственном экземпляре.
Приложение 4
к Методическим рекомендациям
Сведения о потенциальных нарушителях
|
|
|
