категорирования объекта критической информационной инфраструктуры «Информационная система «Полное наименование системы»
Настоящий акт составлен комиссией, созданной на основании распоряжения Департамента информационных технологий города Москвы от 13. 09. 2018 № 64-16-309/18 «О создании комиссии по определению объектов критической информационной инфраструктуры и категорий значимости объектов критической информационной инфраструктуры» в целях принятия решений Департаментом информационных технологий города Москвы (далее – Департамент) об отнесении информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, принадлежащих на праве собственности, аренды или на ином законном основании городу Москве в лице Департамента, Департаменту (далее – ИСиР Департамента) к объектам критической информационной инфраструктуры, включению объектов критической информационной инфраструктуры в Перечень объектов критической информационной инфраструктуры Департамента (далее – Перечень объектов), с последующим установлением одной из категорий значимости объектов критической информационной инфраструктуры, либо решений об отсутствии оснований для их отнесения к объектам критической информационной инфраструктуры в соответствии с требованиями Федерального закона от 26. 07. 2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
Определение категории значимости информационной системы «Полное наименование системы» проводилось в соответствии с постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации».
Комиссия решила: отсутствует необходимость присвоения одной из категорий значимости объекту критической информационной инфраструктуры «информационная система «Полное наименование системы».
Сведения об объекте критической информационной инфраструктуры информационная система «Полное наименование системы», результаты анализа оценки в соответствии с перечнем показателей критериев значимости масштаб возможных последствий в случае возникновения компьютерных инцидентов и определения значения каждого из показателей критериев значимости, обоснование их неприменимости приведены в приложении.
Настоящий Акт составлен в единственном экземпляре.
Приложение к Акту категорирования объекта критической информационной инфраструктуры «Информационная система «Полное наименование системы»
Сведения об объекте критической информационной инфраструктуры «Информационная система «Полное наименование системы», результаты анализа оценки в соответствии с перечнем показателей критериев значимости масштаб возможных последствий в случае возникновения компьютерных инцидентов и определения значения каждого из показателей критериев значимости, обоснование их неприменимости
Заполняется в соответствии с Приложениями 3-5, 7 к данным Методическим рекомендациям.
Приложение 9
к Методическим рекомендациям
Форма сведений о результатах
категорирования ИСиР
Сведения о результатах присвоения объекту критической
информационной инфраструктуры «Информационная система «Полное наименование системы» одной из категорий
значимости либо об отсутствии необходимости
присвоения ему одной из таких категорий
1. Сведения об объекте критической информационной инфраструктуры
1. 1.
Наименование объекта (наименование информационной системы, автоматизированной системы управления или информационно-телекоммуникационной сети)
информационная система «Полное наименование системы»
1. 2.
Адреса размещения объекта, в том числе адреса обособленных подразделений (филиалов, представительств) субъекта критической информационной инфраструктуры, в которых размещаются сегменты распределенного объекта
1070** Москва, *** пер. 12
1. 3.
Сфера (область) деятельности, в которой функционирует объект, в соответствии с пунктом 8 статьи 2 Федерального закона от 26 июля 2017 г. N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»
Связь
1. 4.
Назначение объекта
Мониторинг параметров услуг связи
1. 5.
Тип объекта (информационная система, автоматизированная система управления, информационно-телекоммуникационная сеть)
Информационная система
1. 6.
Архитектура объекта (одноранговая сеть, клиент-серверная система, технология " тонкий клиент", сеть передачи данных, система диспетчерского управления и контроля, распределенная система управления, иная архитектура)
Одноранговая сеть
2. Сведения о субъекте критической информационной инфраструктуры
2. 1.
Наименование субъекта
Департамент информационных технологий города Москвы
2. 2.
Адрес местонахождения субъекта
107078, город Москва ул, Басманная Новая, 10-1
2. 3.
Должность, фамилия, имя, отчество (при наличии) руководителя субъекта
Министр Правительства Москвы, руководитель Департамента информационных технологий города Москвы
2. 4.
Должность, фамилия, имя, отчество (при наличии) должностного лица, на которое возложены функции обеспечения безопасности значимых объектов, или в случае отсутствия такого должностного лица, наименование должности, фамилия, имя, отчество (при наличии) руководителя субъекта.
Начальник подразделения Z, ФИО
2. 5.
Структурное подразделение, ответственное за обеспечение безопасности значимых объектов, должность, фамилия, имя, отчество (при наличии) руководителя структурного подразделения, телефон, адрес электронной почты (при наличии) или должность, фамилия, имя, отчество (при наличии) специалиста, ответственного за обеспечение безопасности значимых объектов, телефон, адрес электронной почты (при наличии)
Подразделение Z, начальник ФИО, (495)********, *****@mos. ru
2. 6.
ИНН субъекта и КПП его обособленных подразделений (филиалов, представительств), в которых размещаются сегменты распределенного объекта
3. Сведения о взаимодействии объекта критической информационной инфраструктуры и сетей электросвязи
3. 1.
Категория сети электросвязи (общего пользования, выделенная, технологическая, присоединенная к сети связи общего пользования, специального назначения, другая сеть связи для передачи информации при помощи электромагнитных систем) или сведения об отсутствии взаимодействия объекта критической информационной инфраструктуры с сетями электросвязи
Выделенная
3. 2.
Наименование оператора связи и (или) провайдера хостинга
АО «ФФФ»
3. 3.
Цель взаимодействия с сетью электросвязи (передача (прием) информации, оказание услуг, управление, контроль за технологическим, производственным оборудованием (исполнительными устройствами), иная цель)
Контроль параметров услуг связи
3. 4.
Способ взаимодействия с сетью электросвязи с указанием типа доступа к сети электросвязи (проводной, беспроводной), протоколов взаимодействия
Проводной, протоколы стэка TCP/IP
4. Сведения о лице, эксплуатирующем объект критической информационной инфраструктуры
4. 1.
Наименование юридического лица или фамилия, имя, отчество (при наличии) индивидуального предпринимателя, эксплуатирующего объект
Государственное казенное учреждение «Мос…м»
4. 2.
Адрес местонахождения юридического лица или адрес места жительства индивидуального предпринимателя, эксплуатирующего объект
1070** Москва, *** пер. 12
4. 3.
Элемент (компонент) объекта, который эксплуатируется лицом (центр обработки данных, серверное оборудование, телекоммуникационное оборудование, технологическое, производственное оборудование (исполнительные устройства), иные элементы (компоненты)
ЦОД
4. 4.
ИНН лица, эксплуатирующего объект и КПП его обособленных подразделений (филиалов, представительств), в которых размещаются сегменты распределенного объекта
7710878***
5. Сведения о программных и программно-аппаратных средствах, используемых на объекте критической информационной инфраструктуры
5. 1.
Наименования программно-аппаратных средств (пользовательских компьютеров, серверов, телекоммуникационного оборудования, средств беспроводного доступа, иных средств) и их количество
АРМ «Наименование» - 50 шт.
5. 2.
Наименование общесистемного программного обеспечения (клиентских, серверных операционных систем, средств виртуализации (при наличии)
ОС «Наименование»
5. 3.
Наименования прикладных программ, обеспечивающих выполнение функций объекта по его назначению (за исключением прикладных программ, входящих в состав дистрибутивов операционных систем)
ПО «Мониторинг»
5. 4.
Применяемые средства защиты информации (в том числе встроенные в общесистемное, прикладное программное обеспечение) (наименования средств защиты информации, реквизиты сертификатов соответствия, иных документов, содержащих результаты оценки соответствия средств защиты информации или сведения о непроведении такой оценки) или сведения об отсутствии средств защиты информации
Антивирусное ПО «Наименование», сертификат соответствия…
6. Сведения об угрозах безопасности информации и категориях нарушителей в отношении объекта критической информационной инфраструктуры
6. 1.
Категория нарушителя (внешний или внутренний), краткая характеристика основных возможностей нарушителя по реализации угроз безопасности информации в части его оснащенности, знаний, мотивации или краткое обоснование невозможности нарушителем реализовать угрозы безопасности информации
Внешние и внутренние, оснащенные в том числе специализированными средствами, с достаточной мотивацией для реализации угроз безопасности информации.
Угрозы создания нештатных режимов работы.
Сетевые атаки.
Угрозы программно-математического воздействия.
6. 2.
Основные угрозы безопасности информации или обоснование их неактуальности
7. Возможные последствия в случае возникновения компьютерных инцидентов
7. 1.
Типы компьютерных инцидентов, которые могут произойти в результате реализации угроз безопасности информации, в том числе вследствие целенаправленных компьютерных атак (отказ в обслуживании, несанкционированный доступ, утечка данных (нарушение конфиденциальности), модификация (подмена) данных, нарушение функционирования технических средств, несанкционированное использование вычислительных ресурсов объекта), или обоснование невозможности наступления компьютерных инцидентов
Несанкционированный доступ к данным.
Утечка данных (нарушение конфиденциальности).
Модификация (подмена) данных.
Нарушение функционирования технических средств. Несанкционированное использование вычислительных ресурсов объекта
Реализация угроз может привести к прекращению или нарушению функционирования ИСиР.
8. Категория значимости, которая присвоена объекту критической информационной инфраструктуры
8. 1.
Категория значимости, которая присвоена объекту либо информация о неприсвоении объекту ни одной из таких категорий
Необходимость присвоения категории значимости отсутствует
8. 2.
Полученные значения по каждому из рассчитываемых показателей критериев значимости или информация о неприменимости показателя к объекту
Показатели не применимы
8. 3.
Обоснование полученных значений по каждому из показателей критериев значимости или обоснование неприменимости показателя к объекту
8. 3. 1
Причинение ущерба жизни и здоровью людей
ИС «Краткое наименование системы» система мониторинга оказания телекоммуникационных услуг, не влияющая на прекращение или нарушение функционирования ИС, влияющих на жизнь и здоровье людей
8. 3. 2
Прекращение или нарушение функционирования объектов обеспечения жизнедеятельности населения
ИС «Краткое наименование системы» система мониторинга оказания телекоммуникационных услуг, не влияющая на прекращение или нарушение функционирования ИС, обеспечивающих функционирование объектов обеспечения жизнедеятельности населения
8. 3. 3
Прекращение или нарушение функционирования объектов транспортной инфраструктуры
ИС «Краткое наименование системы» система мониторинга оказания телекоммуникационных услуг, не влияющая на прекращение или нарушение функционирования ИС, обеспечивающих функционирование объектов транспортной инфраструктуры
8. 3. 4
Прекращение или нарушение функционирования сети связи
ИС «Краткое наименование системы» система мониторинга, не влияющая на прекращение или нарушение функционирования контролируемой сети связи
8. 3. 5
Отсутствие доступа к государственной услуге
ИС «Краткое наименование системы» система мониторинга оказания телекоммуникационных услуг, не влияющая на доступность государственных услуг
8. 3. 6
Прекращение или нарушение функционирования государственного органа в части невыполнения возложенной на него функции (полномочия)
ИС «Краткое наименование системы» система мониторинга оказания телекоммуникационных услуг, не влияющая на прекращение или нарушение функционирования государственного органа
8. 3. 7
Нарушение условий международного договора РФ, срыв переговоров или подписания планируемого к заключению международного договора РФ, оцениваемые по уровню международного договора РФ
ИС «Краткое наименование системы» система мониторинга оказания телекоммуникационных услуг, не влияющая соблюдение условий международных договоров РФ
8. 3. 8
Возникновение ущерба субъекту критической информационной инфраструктуры, который является государственной корпорацией, государственным унитарным предприятием, государственной компанией, стратегическим акционерным обществом, стратегическим предприятием, оцениваемого в снижении уровня дохода (с учетом налога на добавленную стоимость, акцизов и иных обязательных платежей) по всем видам деятельности (процентов от годового объема доходов, усредненного за прошедший 5-летний период)
Не применимо для Департамента, как ОИВ субъекта Федерации
8. 3. 9
Возникновение ущерба бюджетам Российской Федерации, оцениваемого в снижении выплат (отчислений) в бюджеты Российской Федерации, осуществляемых субъектом критической информационной инфраструктуры (процентов прогнозируемого годового дохода федерального бюджета, усредненного за планируемый 3-летний период)
ИС «Краткое наименование системы» система мониторинга оказания телекоммуникационных услуг, не влияющая на выплаты в бюджет РФ
8. 3. 10
Прекращение или нарушение проведения клиентами операций по банковским счетам и (или) без открытия банковского счета или операций, осуществляемых субъектом критической информационной инфраструктуры, являющимся в соответствии с законодательством Российской Федерации системно значимой кредитной организацией, оператором услуг платежной инфраструктуры системно и (или) социально значимых платежных систем или системно значимой инфраструктурной организацией финансового рынка, оцениваемые среднедневным (по отношению к числу календарных дней в году) количеством осуществляемых операций (млн. единиц) (расчет осуществляется по итогам года, а для создаваемых объектов - на основе прогнозных значений)
ИС «Краткое наименование системы» не обеспечивает проведения клиентами операций по банковским счетам и (или) без открытия банковского счета или операций. ДИТ города Москвы не является в соответствии с законодательством Российской Федерации системно значимой кредитной организацией, оператором услуг платежной инфраструктуры системно и (или) социально значимых платежных систем или системно значимой инфраструктурной организацией финансового рынка
8. 3. 11
Вредные воздействия на окружающую среду (ухудшение качества воды в поверхностных водоемах, обусловленное сбросами загрязняющих веществ, повышение уровня вредных загрязняющих веществ, в том числе радиоактивных веществ, в атмосфере, ухудшение состояния земель в результате выбросов или сбросов загрязняющих веществ или иные вредные воздействия)
ИС «Краткое наименование системы» система мониторинга оказания телекоммуникационных услуг, не оказывающая какие-либо воздействия на окружающую среду. Управление объектами, способными оказать негативное воздействие на окружающую среду.
8. 3. 12
Прекращение или нарушение функционирования (невыполнение установленных показателей) пункта управления (ситуационного центра), оцениваемые в уровне (значимости) пункта управления или ситуационного центра
ИС «Краткое наименование системы» система мониторинга оказания телекоммуникационных услуг, не влияющая на прекращение или нарушение функционирования пунктов управления.
8. 3. 13
Снижение показателей государственного оборонного заказа, выполняемого субъектом критической информационной инфраструктуры
Не применимо для Департамента, как ОИВ субъекта Федерации
8. 3. 14
Прекращение или нарушение функционирования (невыполнения установленных показателей) информационной системы в области обеспечения обороны страны, безопасности государства и правопорядка
ИС «Краткое наименование системы» система мониторинга оказания телекоммуникационных услуг, не влияющая на прекращение или нарушение функционирования ИС в области обеспечения обороны страны, безопасности государства и правопорядка
9. Организационные и технические меры, применяемые для обеспечения безопасности значимого объекта критической информационной инфраструктуры
9. 1.
Организационные меры (установление контролируемой зоны, контроль физического доступа к объекту, разработка документов (регламентов, инструкций, руководств) по обеспечению безопасности объекта)
Установлена контролируемая зона.
Обеспечен контроль физического доступа к объекту.
Утвержден комплект документов по обеспечению безопасности объекта, соответствующий требованиям 17 приказа ФСТЭК России к ГИС класса К3.
Объект КИИ не является значимым – обязательных мер не установлено.
9. 2.
Технические меры по идентификации и аутентификации, управлению доступом, ограничению программной среды, антивирусной защите и иные в соответствии с требованиями по обеспечению безопасности значимых объектов
Антивирусная защита (АВЗ)
Объект КИИ не является значимым – обязательных мер не установлено.
[1] Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации
[VG1]Почему тогда электросеть не включена в объект КИИ?
[VG2]Без сравнения?
[VG3]Интересно, что ничего не сказано про количество и качество экспертов и способов согласования их оценок