16 июня 2020
Категорирование объектов КИИ: примеры из практики
Несмотря на то, что Федеральный Закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» существует уже почти 3 года, порядок выполнения его требований до сих пор вызывает ряд вопросов.
В данной статье мы на примерах расскажем, какие ошибки могут быть допущены при проведении первого этапа категорирования, и к каким последствиям они могут привести.
Этап формирования перечня объектов КИИ (первый этап) является основополагающим, так как на основе данного перечня осуществляются все дальнейшие работы по выполнению требований Законодательства РФ о безопасности КИИ, а именно:
Важность грамотного формирования перечня объектов КИИ можно понять, рассмотрев примеры, представленные далее.
В данной статье мы на примерах расскажем, какие ошибки могут быть допущены при проведении первого этапа категорирования, и к каким последствиям они могут привести.
Этап формирования перечня объектов КИИ (первый этап) является основополагающим, так как на основе данного перечня осуществляются все дальнейшие работы по выполнению требований Законодательства РФ о безопасности КИИ, а именно:
- присваивание одной из трех категорий значимости (либо принятие решения об отсутствии у объекта категории значимости)
- проектирование системы защиты объектов
- внедрение системы защиты.
Важность грамотного формирования перечня объектов КИИ можно понять, рассмотрев примеры, представленные далее.
Пример 1. При составлении перечня объектов КИИ упущены из виду важные объекты, нарушение работоспособности которых может привести к существенным негативным последствиям.
Рассмотрим нефтеперерабатывающий завод, в инфраструктуре которого задействована автоматизированная система управления очистными сооружениями. В процессе формирования перечня объектов КИИ комиссия по категорированию не посчитала нужным включить данную систему в перечень, следовательно, категорирование и обеспечение защищенности данной системы не проводилось. Спустя полгода на систему была осуществлена компьютерная атака, в следствие которой эффективность очистки сточных вод значительно снизилась. Что в свою очередь привело к серьезным экологическим последствиям.
Из примера следует, что некорректное составление перечня объектов КИИ ведет к тому, что упущенные объекты не будут учитываться при построении системы защиты. Отсутствие защиты позволяет злоумышленникам воспользоваться уязвимостями объекта, а последствия действий злоумышленников могут быть самими плачевными: финансовые и репутационные потери для компании и административная и уголовная ответственность для отдельных ее сотрудников.
Пример 2. При составлении списка объектов КИИ сами объекты неправильно определены.
В инфраструктуре организации, которая является субъектом КИИ, присутствует «Информационная система X». Данная система является объектом КИИ и расположена в Офисе Y.
По определению объектами КИИ могут являться: информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры. Однако далеко не всегда члены комиссии по категорированию являются достаточно квалифицированными именно в области КИИ. В нашем случае члены комиссии по категорированию вместо «Информационная система X» добавили в перечень объектов КИИ помещение, которое на их взгляд являлось критичным для работы организации, назвали его «Офис Y», утвердили данный перечень и направили его в ФСТЭК. Очевидно, что, исходя из определения объектов КИИ, «Офис Y» никак не может присутствовать в данном перечне.
Так как ФСТЭК не обязан проверять и согласовывать поданные перечни субъектов КИИ, перечень с «Офисом Y» будет успешно принят регулятором. Рассмотрим, к чему это может привести.
В инфраструктуре организации, которая является субъектом КИИ, присутствует «Информационная система X». Данная система является объектом КИИ и расположена в Офисе Y.
По определению объектами КИИ могут являться: информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры. Однако далеко не всегда члены комиссии по категорированию являются достаточно квалифицированными именно в области КИИ. В нашем случае члены комиссии по категорированию вместо «Информационная система X» добавили в перечень объектов КИИ помещение, которое на их взгляд являлось критичным для работы организации, назвали его «Офис Y», утвердили данный перечень и направили его в ФСТЭК. Очевидно, что, исходя из определения объектов КИИ, «Офис Y» никак не может присутствовать в данном перечне.
Так как ФСТЭК не обязан проверять и согласовывать поданные перечни субъектов КИИ, перечень с «Офисом Y» будет успешно принят регулятором. Рассмотрим, к чему это может привести.
а) Затруднения на этапе категорирования.
В процессе категорирования для каждого объекта КИИ заполняется «Форма... о результатах присвоения объекту КИИ одной из категорий значимости…» для направления во ФСТЭК. В данной форме в п.1 «Сведения об объекте КИИ» есть такие поля, как:
Очевидно, что для объекта «Офис Y» невозможно определить ни тип, ни архитектуру, так как «Офис Y» по определению не может являться объектом КИИ. Следовательно, во ФСТЭК будет направлена некорректно заполненная форма.
В соответствии с 187-ФЗ регулятору дается 30 календарных дней на проверку правильности полученных сведений. В случае выявления ошибок, ФСТЭК возвращает субъекту данные документы с мотивированным обоснованием причин возврата. После получения ответа от ФСТЭК организация-субъект КИИ обязана в течение 10 календарных дней устранить отмеченные недостатки и повторно направить сведения регулятору.
Возвращаясь к нашему примеру с «Офисом Y», становится понятно, что ФСТЭК не примет подобные сведения об «Офисе Y», вернет пакет документов субъекту КИИ и обяжет исправить несоответствия в течение 10 дней. Это очень маленький срок, учитывая, что за это время необходимо будет снова проанализировать текущие информационные системы на предмет их задействованности в критических процессах, провести их категорирование и отправить соответствующие сведения во ФСТЭК.
В процессе категорирования для каждого объекта КИИ заполняется «Форма... о результатах присвоения объекту КИИ одной из категорий значимости…» для направления во ФСТЭК. В данной форме в п.1 «Сведения об объекте КИИ» есть такие поля, как:
- «1.5. Тип объекта (информационная система, автоматизированная система управления, информационно-телекоммуникационная сеть)»
- «1.6. Архитектура объекта (одноранговая сеть, клиент-серверная система, технология "тонкий клиент", сеть передачи данных, система диспетчерского управления и контроля, распределенная система управления, иная архитектура)».
Очевидно, что для объекта «Офис Y» невозможно определить ни тип, ни архитектуру, так как «Офис Y» по определению не может являться объектом КИИ. Следовательно, во ФСТЭК будет направлена некорректно заполненная форма.
В соответствии с 187-ФЗ регулятору дается 30 календарных дней на проверку правильности полученных сведений. В случае выявления ошибок, ФСТЭК возвращает субъекту данные документы с мотивированным обоснованием причин возврата. После получения ответа от ФСТЭК организация-субъект КИИ обязана в течение 10 календарных дней устранить отмеченные недостатки и повторно направить сведения регулятору.
Возвращаясь к нашему примеру с «Офисом Y», становится понятно, что ФСТЭК не примет подобные сведения об «Офисе Y», вернет пакет документов субъекту КИИ и обяжет исправить несоответствия в течение 10 дней. Это очень маленький срок, учитывая, что за это время необходимо будет снова проанализировать текущие информационные системы на предмет их задействованности в критических процессах, провести их категорирование и отправить соответствующие сведения во ФСТЭК.
б) Затруднения на этапах проектирования и построения системы защиты.
Исходя из нашей практики выполнения работ по КИИ, в силу большой загрузки ФСТЭК может не уложиться в 30-дневный срок и прислать ответ намного позже. Предположим, что организация решила не дожидаться ответа и приступила к следующему этапу работ по КИИ – проектированию и построению системы защиты объектов КИИ. Также допустим, что в процессе категорирования выяснилось, что «Офис Y» обладает категорией значимости и для него необходимо проектировать защиту. В большинстве случаев защита всего офиса с расположенными в нем активами будет избыточной, в то время как рассматриваемая информационная система окажется недостаточно защищенной. Следовательно, проведенные ранее работы по проектированию/внедрению системы защиты «Офиса Y» окажутся неэффективными c точки зрения обеспечения безопасности КИИ. А после получения ответа от ФСТЭК организация будет вынуждена потратить дополнительные ресурсы на корректное построение системы защиты значимого объекта КИИ – «Информационной системы Х».
Таким образом, первый этап работ по выполнению требований законодательства о безопасности объектов КИИ – формирование перечня объектов КИИ – мы бы назвали основополагающим и требующим особого внимания и компетенции специалиста в области защиты информации. Неочевидные ошибки на данном этапе могут обойтись компании репутационными и финансовыми потерями.
Исходя из нашей практики выполнения работ по КИИ, в силу большой загрузки ФСТЭК может не уложиться в 30-дневный срок и прислать ответ намного позже. Предположим, что организация решила не дожидаться ответа и приступила к следующему этапу работ по КИИ – проектированию и построению системы защиты объектов КИИ. Также допустим, что в процессе категорирования выяснилось, что «Офис Y» обладает категорией значимости и для него необходимо проектировать защиту. В большинстве случаев защита всего офиса с расположенными в нем активами будет избыточной, в то время как рассматриваемая информационная система окажется недостаточно защищенной. Следовательно, проведенные ранее работы по проектированию/внедрению системы защиты «Офиса Y» окажутся неэффективными c точки зрения обеспечения безопасности КИИ. А после получения ответа от ФСТЭК организация будет вынуждена потратить дополнительные ресурсы на корректное построение системы защиты значимого объекта КИИ – «Информационной системы Х».
Таким образом, первый этап работ по выполнению требований законодательства о безопасности объектов КИИ – формирование перечня объектов КИИ – мы бы назвали основополагающим и требующим особого внимания и компетенции специалиста в области защиты информации. Неочевидные ошибки на данном этапе могут обойтись компании репутационными и финансовыми потерями.