Категорирование критической информационной инфраструктуры – что это такое и зачем оно нужно

Федеральный закон № 187 в 2017 году ввел понятие критической информационной инфраструктуры (ранее – КСИИ, ключевая система информационной инфраструктуры). С тех пор появилось более 15 нормативно-правовых документов, регулирующих взаимодействие с КИИ, а необходимость их применения на практике вызывает все меньше вопросов.

Из всех требований к безопасности КИИ больше всего вопросов вызывает категорирование критической информационной инфраструктуры – именно ему в основном будет посвящена эта статья.

Критическая информационная инфраструктура, ее объекты и субъекты

Критическая информационная инфраструктура (КИИ) — совокупность информационных систем и/или телекоммуникационных сетей, критически важных для работы ключевых сфер жизнедеятельности государства и общества: здравоохранения, промышленности, связи, транспорта, энергетики, финансового сектора и городского хозяйства.

Объекты КИИ

ИС – ИНФОРМАЦИОННЫЕ СИСТЕМЫ – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

ИТС – ИНФОРМАЦИОННО-ТЕХНОЛОГИЧЕСКИЕ СИСТЕМЫ – технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.

АСУ ТП – АВТОМАТИЗИРОВАННАЯ СИСТЕМА УПРАВЛЕНИЯ ТЕХНОЛОГИЧЕСКИМ ПРОЦЕССОМ – комплекс программных и программно-аппаратных средств, предназначенных для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими оборудованием и процессами.

Субъекты КИИ

Это организации или компании, которым принадлежат ИС, ИТС, АСУ ТП в сферах, указанных ниже, а также компании, которые осуществляют взаимодействие с объектами КИИ (ИС, ИТС, АСУ ТП) в тех же отраслях:

• Здравоохранение
• Банковская и иные сферы финансового рынка
• Наука
• Транспорт
• Телекоммуникации
• Энергетика
• Ракетно-космическая промышленность
• Атомная промышленность
• Химическая промышленность
• Топливно-энергетический комплекс
• Оборонная промышленность
• Военно-промышленный комплекс
• Горнодобывающая промышленность

Как понять, является ли организация субъектом КИИ

Для того, чтобы определить принадлежность организации к cубъектам КИИ, нужно выполнить следующие шаги:

1. Провести инвентаризацию бизнес-процессов, выявить критические, а потом посмотреть, какие ОКИИ с ними связаны: в организации могут быть ИС, АСУ т.д., но они не обязательно участвуют в критических процессах;
2. Если ИС, ИТС, АСУ ТП в компании нет, она точно не является субъектом.
3. Далее нужно ответить на вопрос, работает ли организация в одной из 13 сфер КИИ. Если нет, она должна предоставлять свои ИС/ИТКС/АСУ другим организациям (иначе она не субъект КИИ);
4. Если да, нужно пройти инвентаризацию ИС/ИТКС/АСУ и, определив их назначение, ответить на вопрос “Функционируют ли они в 13 сферах КИИ?”.

Если все ответы положительные, организация является субъектом КИИ и должна подчиняться требованиям регуляторов.

Также нужно отметить, что ФСТЭК и другие органы не могут присваивать категории: полномочия идентифицировать себя как субъекта критической информационной инфраструктуры есть только у самого потенциального субъекта. На ФСТЭК возлагается контроль за исполнением законодательства в этой области.

Категорирование объектов КИИ (ОКИИ)

Что такое категория значимости и зачем она нужна

Категория значимости объекта КИИ – основная характеристика объекта КИИ, которая определяет, какие меры нужно предпринимать для защиты объектов критической информационной инфраструктуры (меры защиты прописаны в приказе ФСТЭК №239. соответствия ФЗ-187).

Практический смысл категорирования – в том, чтобы в мерах, прописанных в Приказе ФСТЭК №239, учесть все векторы угроз (поэтому нужно соответствовать этим мерам). Реализация этих мер ложится на субъект КИИ и может отличаться в зависимости от модели угроз, бизнес-процессов и информационной инфраструктуры организации.

Всего есть 3 категории: первая, вторая, третья (в порядке убывания важности). При отсутствии признаков КИИ или несоответствии критериям значимости категория не присваивается. Последнее также должно быть документировано: сведения о результатах присвоения ОКИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий (согласно форме из 236 приказа ФСТЭК) отправляются регулятору.

Повторная оценка (категория пересматривается или подтверждается) должна проходить не реже, чем 1 раз в 5 лет.

Если у субъекта нет ОКИИ (такое возможно), направлять информацию в контролирующие органы не обязательно. При этом на случай проверок можно составить и хранить акт об отсутствии ОКИИ.

Критерии и принципы категорирования

При присвоении категории оцениваются следующие факторы:

• Социальная значимость – здесь оценивается количество людей, которые могут пострадать в случае инцидента;
• Политическая значимость (функционирование гос. органов и международных договоров);
• Экономическая значимость (ущерб государственным субъектам КИИ, бюджетам РФ, системно значимым платежным системам);
• Экологическая значимость (ущерб окружающей среде по количеству пострадавших или территории);
• Значимость для обеспечения безопасности государства и правопорядка (органы управления РФ, информационные системы в области безопасности, оборонные заказы).

Что подлежит категорированию

Категорированию подлежат все объекты (не субъекты) критической информационной инфраструктуры, то есть ИС, ИТС, АСУ, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и/или иные процессы в рамках осуществления видов деятельности субъектов КИИ.

Как проходит процедура категорирования

Правила категорирования, показатели критериев значимости, а также порядок и сроки проведения соответствующих работ установлены в ПП (постановление правительства) №127, уточнены в ПП №452. По ним процедура категорирования включает в себя:

• Создание комиссии по категорированию руководителем организации или уполномоченным лицом;
• Определение перечня объектов КИИ для категорирования (на это отведено 5 дней);
• Непосредственно категорирование (на это отводится 1 год);
• Составляется акт категорирования ОКИИ;
• В течение 10 дней после сведения о результатах направляются во ФСТЭК.

ФСТЭК совместно с другими структурами выпускает методические рекомендации по категорированию в конкретных отраслях, например, здравоохранении или энергетике.

Присвоенная категория может пересматриваться, если ФСТЭК выявит нарушение в процессе категорирования или в форме по 236 приказу. Категория должна пересматриваться в случае изменений в структуре организации, изменений в инфраструктуре или критических бизнес-процессах, или когда ЗО (значимый объект) КИИ перестает соответствовать критериям, а также в случае изменений в ПП №127.

Чего ожидать от регуляции КИИ в будущем

Указ Президента Российской Федерации № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» вышел 01.05.2022, и там уже прописаны требования по импортозамещению, однако тогда сроки сместили. В январе 2025 планируется законопроект, полностью запрещающий использование иностранное ПО на значимых объектах КИИ. Также он дает кабинету министров полномочия определять типы ИС, которые нужно будет относить к значимым ОКИИ.

Какие еще требования предъявляются к безопасности КИИ

Помимо мер защиты ОКИИ, предусмотренных в ФЗ и ПП, есть отдельный блок требований, посвященный компьютерным атакам и инцидентам. Для объединения усилий по защите от кибератак существует НКЦКИ (Национальный координационный центр по компьютерным инцидентам) Организации должны подключаться к ведомственным ГосСОПКА или создавать собственные корпоративные центры ГосСОПКА, обмениваться информацией об инцидентах.

Требования к средствам обнаружения и противодействия атакам также прописаны (постановления ФСБ №196, 281) – как и ко средствам мониторинга (ПФСБ №213). То, как устанавливать причины, устранять последствия компьютерных атак и инцидентов, прописано в методических рекомендациях.

Также субъект КИИ может попадать под требования 152-ФЗ или Положений Банка России, что также возлагает на него обязанность соответствовать требованиям со стороны информационной безопасности.