Что такое критическая информационная инфраструктура. Объясняем простыми словами
Сферу КИИ регулирует закон «О безопасности критической информационной инфраструктуры». Согласно ему, все критически важные структуры обязаны встроиться в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак, а также обезопасить свои системы от киберпреступников. Предполагается, что новые правила заработают с 1 января 2023 года для софта и с 2024 года — для оборудования. За несоответствие требований к безопасности критически важных объектов компаниям грозит административная и даже уголовная ответственность.
Пример употребления на «Секрете»
«В ГЛОНАСС добавили, что КОНСУЛ можно использовать для беспилотного и автомобильного транспорта, перемещения объектов в морских портах и на объектах критической информационной инфраструктуры».
(Из материала «Секрета» о попытке создания в России новой безопасной системы навигации.)
Нюансы
Несмотря на то что сети КИИ, как правило, закрыты и отделены от публичного сегмента Сети, их владельцы ошибочно считают, что такой изоляции достаточно для защиты от кибератак. Но это не так, показало исследование компании «Ростелеком-Солар». Согласно его результатам, каждая десятая критически важная IT-система в России оказалась заражена вредоносными программами. От хакерских атак не удалось защититься ни банкам, ни госорганам, ни оборонным и транспортным объектам.
Затраты российских предприятий на переход на отечественное программное обеспечение (ПО) оценили в 1 трлн рублей. Сейчас таких денег у бизнеса нет, поэтому Российский союз промышленников и предпринимателей (РСПП) попросил исключить из требования по обязательному импортозамещению софта хотя бы некритические объекты, включая банки.
Классификация критичности информационных систем
«Альфа-банк надежен, как танк,
А Гамма-банк надежен как банк!»
Когда в разговорах возникает фраза «банковская система», воображение рисует сверхнадёжную систему, построенную на самом дорогом оборудовании, кластеризованную на всех возможных уровнях и ограждённую от окружающего мира доступными и недоступными средствами защиты. Действительно, такие системы существуют. Но…
Если посмотреть вакансии разработчиков в банке, то вполне можно увидеть там среди требований знания Cassandra, MongoDB и других платформ, которые никак не внушают мыслей о 100% доступности. Да и такие СУБД как Oracle или Microsoft SQL Server где-то устанавливают на кластер из дорогих серверов, подключённых к самым надёжным и высокопроизводительным массивам, а где-то – на обычную виртуальную машину в ферме из самого что ни на есть commodity.
Причины очевидны – избыточные решения дороги. Но как найти компромисс между стоимостью платформы и её надёжностью?
Давным-давно, когда информационных систем на предприятии было немного, инфраструктура для каждой системы была произведением искусства. Со временем систем стало больше, поддерживать несколько сотен разных конфигураций оборудования и программного обеспечения стало накладно, и инфраструктурные подразделения пришли к стандартизации. Например, набор инфраструктурных решений для реляционной СУБД, которые могут использовать приложения, может выглядеть так:
Можно составить список «самых важных приложений, которые должны работать во что бы то ни стало». При этом возникает две проблемы:
Конфигурация оборудования для оставшихся приложений зависит от «веса» владельца системы. В результате какой-нибудь сервис электронных больничных листов работает на самом дорогом оборудовании, потому что это любимое детище главного бухгалтера, с которым никому не хочется ссориться. Налицо неразумная трата денег.
Некоторые приложения могут не войти в список «самых важных» потому, что про них не подумали. Например, все помнят про процессиниг банковских карт, но никто не помнит про проверку клиентов по «чёрным спискам», которая должна работать при каждой операции. В результате отказ такой системы становится неприятной неожиданностью и приводит к серьёзным проблемам.
Существует формальная методика, позволяющая сделать правильный выбор и защитить то, что нуждается в защите, не переплатив за то, за что можно не переплачивать.
Для начала вводится классификация приложений по уровню критичности. Как правило, этих уровней четыре. Называться они могут, например, так:
При оценке важно соблюдать два правила:
Систему оценивает бизнес, а не обслуживающее её подразделение IT. Критичность не должна определяться тем, насколько долго или трудоёмко обслуживание системы. Единственный критерий – убытки, которые понесёт бизнес от простоя системы.
Формулировки вопросов, формирующих оценку, должны предусматривать возможность верификации ответов. Разумеется, критерии всё равно основаны на экспертной оценке, но эксперт, по крайней мере, может объяснить, почему он поставил именно такую оценку.
Что определяет уровень критичности?
Это не значит, что на вашем предприятии распределение систем по классам должно быть именно таким. Но в любом случае – если в класс Mission critical попало больше 15% эксплуатируемых систем, это повод серьёзно задуматься.
На вопрос «насколько нужна та или иная система», любой владелец ответит «очень». Следовательно, нужно задавать другой вопрос: а что случится, если система остановится? Класс критичности системы зависит от тяжести последствий остановки системы и скорости их наступления.
Давайте рассмотрим несколько банковских систем.
Расчётная система обеспечивает (сюрприз!) расчёты между клиентами – юридическими лицами. Если вдруг крупный корпоративный клиент не сможет сделать платёж контрагенту, то банк потеряет весьма существенную сумму, поэтому расчётная система, без сомнения, попадёт в высший класс критичности.
Возьмём карточный процессинг. Если сотня-другая клиентов не смогут расплатиться картой, потери банка будут невелики, но такой массовый отказ в обслуживании недопустим сам по себе.
Теперь возьмём систему, которая ведёт вклады. Если остановится эта система, то убытки банка вновь будут невелики, а отказ в обслуживании не будет столь массовым, как в случае процессинга. Но нужна ли нам передовица в газете с заголовком «Банк отказывается выдавать вклады»? Вопрос риторический.
Наконец, возьмём главную бухгалтерскую книгу. Если вдруг с ней что-то случится, то клиенты ничего не заметят, т. к. эта система в обслуживании клиентов вообще не участвует. Но стоит задержать сдачу баланса, как санкции Центробанка не заставят себя ждать.
Итак, негативные последствия от простоя системы можно разделить на 4 класса:
| 0 | 1 | 2 | 3 | 4 | |
|---|---|---|---|---|---|
| Экономические | нет | 1% плановой прибыли | |||
| Клиентские | нет | 1 клиент | >1% клиентов | >5% клиентов | >10% клиентов |
| Репутационные | нет | огласка маловероятна | огласка в локальных СМИ | огласка в региональных СМИ | огласка в федеральных СМИ |
| Юридические | нет | предупреждения регуляторов | штрафы регуляторов | гражданские иски | риск отзыва лицензии |
Разумеется, все цифры условны, все методики подсчёта основываются исключительно на экспертной оценке, а простор для споров, что считать «региональными СМИ» и как относиться к негативным статьям в популярных блогах, поистине безграничен. Но в крупной корпорации наверняка найдётся и юридический отдел, и PR-служба, которые с готовностью выскажут компетентное мнение.
Следующим шагом нужно выбрать временные интервалы, на которых мы будем оценивать убытки. Например, час, 4 часа, 8 часов, 24 часа. Эти интервалы произвольны и не имеют никакого отношения к SLA, заключённым на оцениваемые системы. Хотя в дальнейшем было бы правильно привязать типовые SLA именно к этим интервалам.
Теперь владелец каждой системы заполняет матрицу из 16 клеток. В таблице ниже числа даны для примера. Единственное, что принципиально важно, – оценка последствий для более длинного интервала не может быть меньше, чем оценка для более короткого интервала.
| до 1 часа | 1..4 часа | 4..8 часов | 8..24 часа | |
|---|---|---|---|---|
| Экономические | 1 | 1 | 3 | 3 |
| Клиентские | 1 | 2 | 2 | 3 |
| Репутационные | 0 | 0 | 1 | 2 |
| Юридические | 1 | 2 | 3 | 4 |
Чтобы из этой матрицы получить окончательную оценку, осталось выполнить три шага.
Шаг первый – для каждого временного интервала выбираем максимальную оценку:
Шаг второй: по матрице транслируем полученные оценки в классы критичности:
| Баллы | до 1 часа | 1..4 часа | 4..8 часов | 8..24 часа |
|---|---|---|---|---|
| 4 | MC | MC | BC | BC |
| 3 | MC | BC | BC | BO |
| 2 | BO | BO | BO | OP |
| 1 | BO | BO | OP | OP |
Для данной системы получаем следующие оценки:
И, наконец, из всех полученных оценок выбираем максимальную – в данном случае оцениваемая система должна быть отнесена к классу Business critical.
Получив эти оценки, мы вполне можем обоснованно выбирать для каждой системы то или иное инфраструктурное решение.
Осталось несколько нюансов, без которых описанная методология была бы неполной.
Если система обеспечивает работоспособность другой системы, то её класс критичности не может быть ниже, чем класс зависимой системы. Например, Active Directory вообще никак не относится к бизнесу. Но если вдруг она встанет, то последствия для многих бизнес-приложений будут самые печальные, и поэтому AD однозначно относится к классу Mission critical.
Убытки, понесённые в результате простоя системы, не могут быть ниже, чем убытки, нанесённые прерыванием бизнес-процесса, который эта система обеспечивает. В свете этого правила очень интересно бывает оценить корпоративную систему электронной почты, ибо внезапно оказывается, что на неё завязан обмен критичной информацией.
Если в компании одну систему используют несколько блоков, и оценки этих блоков для системы отличаются, то следует использовать максимальную оценку. Мало того, даже критерии оценки могут быть разными. Так, например, оценка невозможности обслужить одного клиента может сильно отличаться в зависимости от того, что это за клиент – обычный «физик», VIP или крупный корпоративный клиент.
Снабдите свои системы ярлыками – и да будет ваша инфраструктура не менее надёжна, чем нужно, но и не дороже, чем можно!
БЕЗОПАСНОСТЬ КИИ: КОРОТКО О ГЛАВНОМ
Федеральный закон №-187 «О безопасности критической информационной инфраструктуры (КИИ) Российской
Федерации» который вступил в силу 01 января 2018 г. постепенно набирает обороты и пополняется новыми
подзаконными актами, которые часто не облегчают жизнь ИБ-специалисту. Давайте разберёмся в ситуации,
что ожидается и что необходимо предпринять.
КТО МЫ, КИИ ИЛИ НЕ КИИ?
Первым делом необходимо выяснить, подпадает ли организация под понятие «субъект КИИ» и сделать это можно посмотрев законодательство. Не нашли себя, выдохните, у вас немного меньше головной боли.
Какие критерии указывают что вы субъект КИИ?
Третий критерий – учредительные документы организаций, к ним относятся уставы, положения организаций (если речь идет о государственных органах), в которых может быть прописан вид деятельности указывающий на принадлежность к критичным отраслям.
«Пример из нашего опыта проведения работ по категорированию. Компания по основному виду экономической деятельности имела код ОКВЭД 46.73.6 «Торговля оптовая прочими строительными материалами и изделиями», на первый взгляд ни чего особенного, в перечень отраслей согласно ФЗ №-187 не попадает и можно «спать спокойно». Но при детальном изучении устава и лицензий на виды деятельности оказалось, что у компании есть лицензия на деятельность по перевозке грузов железнодорожным транспортом и собственный парк железнодорожного транспорта. Исходя из данных обстоятельств, предприятие относится к отрасли «транспорт» и следовательно, необходимо выполнять требования ФЗ №-187.»
Попали под один критерий из трёх? Поздравляем, вы субъект КИИ! Но нужно помнить, что каждый случай
разбирается индивидуально и эта тема отдельного обсуждения, посвященная категорированию объектов критической информационной инфраструктуры которую рассмотрим в следующих статьях.
Нормативно-правовой акт четко определяет, что « к субъектам критической информационной инфраструктуры относятся государственные органы и учреждения, а так же российские юридические лица и/или индивидуальные предприниматели которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления ».
Процесс определения принадлежности к субъекту КИИ не так прост, как может показаться на первый взгляд. Как мы говорили выше, есть много неочевидных факторов, которые могут влиять на результат, например, открытые дополнительные, не основные, виды деятельности по ОКВЭД или действующие лицензии, которые могут отнести вас субъекту критической информационной инфраструктуре. Мы рекомендуем провести более детальное погружение в вопрос определения принадлежности к субъекту КИИ.
ЧТО ДЕЛАТЬ ЕСЛИ ВЫ СУБЪЕКТ КИИ?
С субъектом и объектом КИИ разобрались. Что необходимо сделать вам, как субъекту КИИ, дальше?
Первый этап. Необходимо создать внутреннюю комиссию по категорированию и определить состав участников из наиболее компетентных специалистов по вашим бизнес-процессам. Почему делается акцент на бизнес-процессы и уровни компетенции участников? Только «владелец» бизнес-процесса знает все нюансы, которые могут привести к их нарушению и последующим негативным последствиям. Этот владелец или компетентное уполномоченное лицо должен быть в составе комиссии для присвоения правильной категории значимости процессу.
Второй этап. На этом этапе собираются исходные данные, проводится предпроектное обследование и на основании полученных данных, комиссия принимает решение о наличии перечня объектов КИИ, подлежащих категорированию и присваивает категорию значимости. Согласно Постановлению Правительства РФ от 08.02.2018 N 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» категорий значимости три, 1-я самая высокая.
ЧТО БУДЕТ ЕСЛИ ЭТОГО НЕ ДЕЛАТЬ?
И еще немного о мерах наказания, которые были введены за не соблюдение требований по обеспечению безопасности критической информационной структуры. Согласно Федеральному закону от 26.07.2017 № 194-ФЗ «О внесении изменений в УК РФ и УПК РФ в связи с принятием ФЗ «О безопасности КИИ РФ» максимальная мера наказания, за нарушения норм безопасности КИИ, составляет лишение свободы до 10 лет. Пожалуй, весомый аргумент!
Критические информационные системы что это
В этой статье я расскажу что такое критическая информационная инфраструктура простыми словами. Подробно объясню что такое критическая информационная инфраструктура (КИИ), как категорировать КИИ. Также рассмотрю вопрос, является ли медицинская информационная система (МИС) объектом критической информационной инфраструктуры.
Основной документ, который регулирует отношения в области безопасности КИИ — это Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 №187-ФЗ.
В этом законе есть несколько определений которые нужно знать и понимать (людям работающим в сфере информационной безопасности).
Критическая информационная инфраструктура — объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов.
Объекты критической информационной инфраструктуры — информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.
Как это понимать? Есть организация, у которой имеется информационная система. Эта информационная система:
Появляется вопрос. А как понять является ли наша информационная система объектом критической информационной инфраструктуры или нет?
Это очень интересный вопрос с которым мне пришлось столкнуться. Для примера возьмем воображаемые системы: МИС «Медицина» (медицинская информационная система) и ИС «Реактор» (информационная система управления ядерным реактором). И подумаем являются ли они объектами КИИ.
Итак, для того что бы понять является ли информационная система объектом критической информационной инфраструктуры нам нужно определить ее категорию.
Категорирование объектов критической информационной инфраструктуры
Категорирование объектов критической информационной инфраструктуры проводится в соответствии с пунктом 2 статьи 7 ФЗ №187-ФЗ от 26.07.2017:
1) социальной значимости, выражающейся в оценке возможного ущерба, причиняемого жизни или здоровью людей, возможности прекращения или нарушения функционирования объектов обеспечения жизнедеятельности населения, транспортной инфраструктуры, сетей связи, а также максимальном времени отсутствия доступа к государственной услуге для получателей такой услуги;
2) политической значимости, выражающейся в оценке возможного причинения ущерба интересам Российской Федерации в вопросах внутренней и внешней политики;
3) экономической значимости, выражающейся в оценке возможного причинения прямого и косвенного ущерба субъектам критической информационной инфраструктуры и (или) бюджетам Российской Федерации;
4) экологической значимости, выражающейся в оценке уровня воздействия на окружающую среду;
5) значимости объекта критической информационной инфраструктуры для обеспечения обороны страны, безопасности государства и правопорядка.
В этом постановлении подробно расписаны критерии категорирования информационных систем. Останавливаться на тексте документа я не буду, перейдем к таблице «перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значения».
Что бы принять решение о том, является ли наша информационная система объектом КИИ проведем категорирование на основе постановления и посмотрим какие будет результаты.
То есть, если у нас есть информационная система нам нужно присвоить ей одну из трех категорий или принять решение об отсутствии у объекта категории значимости.
Так же важно понять, является ли информационная система объектом КИИ или нет. Дело в том, что если информационная система не является объектом КИИ, то сложно будет присвоить ей категорию и организовать защиту информации в соответствии с присвоенной категорией.
Категорирование медицинской информационной системы
Итак, пойдем по таблице указанной в постановлении от 8 февраля 2018 г. №127. Крайний правый столбец будет содержать данные о нашей МИС.
Давайте опишем наши информационные системы.
Пусть медицинская информационная система это система содержащая персональные данные пациентов, по сути там содержится та же информация, что и в бумажной карточке, а именно:
Информационная система «Реактор» будет содержать информацию ограниченного доступа с грифом «секретно». По сути информационная система будет управлять реактором. И мы представляем последствия полного выхода управляющей информационной системы из строя.
| Показатель | Значение показателя | МИС «Медицина» | ИС «Реактор» | ||
| III категория | II категория | I категория | |||
| I. Социальная значимость | |||||
| 1. Причинение ущерба жизни и здоровью людей (человек) | более или равно 1, но менее или равно 50 | более 50, но менее или равно 500 | более 500 | — | I категория |
| 2. Прекращение или нарушение функционирования объектов обеспечения жизнедеятельности населения, в том числе объектов водоснабжения и канализации, очистки сточных вод, тепло- и электроснабжения, гидротехнических сооружений, оцениваемые: | |||||
| а) на территории, на которой возможно нарушение обеспечения жизнедеятельности населения; | вся территория одного муниципального образования или одной внутригородской территории города федерального значения | выход за пределы территории одного муниципального образования или одной внутригородской территории города федерального значения, но не за пределы территории одного субъекта Российской Федерации или территории города федерального значения | выход за пределы территории одного субъекта Российской Федерации или территории города федерального значения | — | I категория |
| б) по количеству людей, условия жизнедеятельности которых могут быть нарушены (тыс. человек) | более или равно 50, но менее 1000 | более или равно 1000, но менее 5000 | более или равно 5000 | — | III категория |
| 3. Прекращение или нарушение функционирования объектов транспортной инфраструктуры, оцениваемые: | |||||
| а) на территории, на которой возможно нарушение транспортного сообщения или предоставления транспортных услуг; | вся территория одного муниципального образования или одной внутригородской территории города федерального значения | выход за пределы территории одного муниципального образования или одной внутригородской территории города федерального значения, но не за пределы территории одного субъекта Российской Федерации или территории города федерального значения | выход за пределы территории одного субъекта Российской Федерации или территории города федерального значения | — | I |
| б) по количеству людей, для которых могут быть недоступны транспортные услуги (тыс. человек) | более или равно 50, но менее 1000 | более или равно 1000, но менее 5000 | более или равно 5000 | — | III категория |
| 4. Прекращение или нарушение функционирования сети связи, оцениваемые: | |||||
| а) на территории, на которой возможно прекращение или нарушение функционирования сети связи; | вся территория одного муниципального образования или одной внутригородской территории города федерального значения | выход за пределы территории одного муниципального образования или одной внутригородской территории города федерального значения, но не за пределы территории одного субъекта Российской Федерации или территории города федерального значения | выход за пределы территории одного субъекта Российской Федерации или территории города федерального значения | — | I категория |
| б) по количеству людей, для которых могут быть недоступны услуги связи (тыс. человек) | более или равно 50, но менее 1000 | более или равно 1000, но менее 5000 | более или равно 5000 | — | III категория |
| 5 Отсутствие доступа к государственной услуге, оцениваемое в максимальном допустимом времени, в течение которого государственная услуга может быть недоступна для получателей такой услуги (часов) | менее или равно 24, но более 12 | менее или равно 12, но более 6 | менее 6 | — | I категория |
| II. Политическая значимость | |||||
| 6. Прекращение или нарушение функционирования государственного органа в части невыполнения возложенной на него функции (полномочия) | прекращение или нарушение функционирования органа государственной власти субъекта Российской Федерации или города федерального значения | прекращение или нарушение функционирования федерального органа государственной власти | прекращение или нарушение функционирования Администрации Президента Российской Федерации, Правительства Российской Федерации, Федерального Собрания Российской Федерации, Совета Безопасности Российской Федерации, Верховного Суда Российской Федерации, Конституционного Суда Российской Федерации | — | III категория |
| 7. Нарушение условий международного договора Российской Федерации, срыв переговоров или подписания планируемого к заключению международного договора Российской Федерации, оцениваемые по уровню международного договора Российской Федерации | нарушение условий договора межведомственного характера (срыв переговоров или подписания) | нарушение условий межправительственного договора (срыв переговоров или подписания) | нарушение условий межгосударственного договора (срыв переговоров или подписания) | — | III категория |
| III. Экономическая значимость | |||||
| 8. Возникновение ущерба субъекту критической информационной инфраструктуры, который является государственной корпорацией, государственным унитарным предприятием, муниципальным унитарным предприятием, государственной компанией, организацией с участием государства и (или) стратегическим акционерным обществом, стратегическим предприятием, оцениваемого в снижении уровня дохода (с учетом налога на добавленную стоимость, акцизов и иных обязательных платежей) по всем видам деятельности (процентов прогнозируемого объема годового дохода по всем видам деятельности) | более 5, но менее или равно 10 | более 10, но менее или равно 15 | более 15 | — | I категория |
| 9. Возникновение ущерба бюджетам Российской Федерации, оцениваемого: | |||||
| а) в снижении доходов федерального бюджета, (процентов прогнозируемого годового дохода бюджета); | более 0,001, но менее или равно 0,05 | более 0,005, но менее или равно 0,1 | более 0,1 | — | III категория |
| б) в снижении доходов бюджета субъекта Российской Федерации (процентов прогнозируемого годового дохода бюджета); | более 0,001, но менее или равно 0,05 | более 0,05, но менее или равно 0,1 | более 0,1 | — | III категория |
| в) в снижении доходов бюджетов государственных внебюджетных фондов (процентов прогнозируемого годового дохода бюджета) | более 0,01, но менее или равно 0,5 | более 0,5, но менее или равно 1 | более 1 | — | III категория |
| 10. Прекращение или нарушение проведения клиентами операций по банковским счетам и (или) без открытия банковского счета или операций, осуществляемых субъектом критической информационной инфраструктуры, являющимся в соответствии с законодательством Российской Федерации системно значимой кредитной организацией, оператором услуг платежной инфраструктуры системно и (или) социально значимых платежных систем или системно значимой инфраструктурной организацией финансового рынка, оцениваемое среднедневным (по отношению к числу календарных дней в году) количеством осуществляемых операций, (млн. единиц) (расчет осуществляется по итогам года, а для создаваемых объектов — на основе прогнозных значений) | более 3, но менее или равно 70 | более 70, но менее или равно 120 | более 120 | — | III категория |
| IV. Экономическая значимость | |||||
| 11. Вредные воздействия на окружающую среду (ухудшение качества воды в поверхностных водоемах, обусловленное сбросами загрязняющих веществ, повышение уровня вредных загрязняющих веществ, в том числе радиоактивных веществ, в атмосферу, ухудшение состояния земель в результате выбросов или сбросов загрязняющих веществ или иные вредные воздействия), оцениваемые: | |||||
| а) на территории, на которой окружающая среда может подвергнуться вредным воздействиям; | вся территория одного муниципального образования или одной внутригородской территории города федерального значения | выход за пределы территории одного муниципального образования или одной внутригородской территории города федерального значения, но не за пределы территории одного субъекта Российской Федерации или территории города федерального значения | выход за пределы территории одного субъекта Российской Федерации или территории города федерального значения | — | I категория |
| б) по количеству людей, которые могут быть подвержены вредным воздействиям (тыс. человек) | более или равно 50, но менее 1000 | более или равно 1000, но менее 5000 | более или равно 5000 | — | III категория |
| V. Значимость для обеспечения обороны страны, безопасности государства и правопорядка | |||||
| 12. Прекращение или нарушение (невыполнение установленных показателей) функционирования пункта управления (ситуационного центра), оцениваемое в уровне (значимости) пункта управления или ситуационного центра | прекращение или нарушение функционирования пункта управления или ситуационного центра органа государственной власти субъекта Российской Федерации или города федерального значения | прекращение или нарушение функционирования пункта управления или ситуационного центра федерального органа государственной власти или государственной корпорации | прекращение или нарушение функционирования пункта управления государством или ситуационного центра Администрации Президента Российской Федерации, Правительства Российской Федерации, Федерального Собрания Российской Федерации, Совета Безопасности Российской Федерации, Верховного Суда Российской Федерации, Конституционного Суда Российской Федерации | — | III категория |
| 13. Снижение показателей государственного оборонного заказа, выполняемого субъектом критической информационной инфраструктуры, оцениваемое: | |||||
| а) в снижении объемов продукции (работ, услуг) в заданный период времени (процентов заданного объема продукции); | более 5, но менее или равно 10 | более 10, но менее или равно 15 | более 15 | — | — |
| б) в увеличении времени выпуска продукции (работ, услуг) с заданным объемом (процентов установленного времени выпуска продукции) | более 3, но менее или равно 10 | более 10, но менее или равно 40 | более 40 | — | I категория |
| 14. Прекращение или нарушение функционирования (невыполнения установленных показателей) информационной системы в области обеспечения обороны страны, безопасности государства и правопорядка, оцениваемое в максимально допустимом времени, в течение которого информационная система может быть недоступна пользователю (часов) | менее или равно 4, но более 2 | менее или равно 2, но более 1 | более 1 | — | — |
Как видно из таблицы медицинская информационная система «Медицина» не является объектом КИИ, это информационная система содержащая персональные данные и информационная безопасность системы должна выстраиваться исходя их этого факта.
А вот «Реактор» является объектом КИИ, но что бы определить реальную категорию нужны эксперты, так как я не могу с точностью сказать, например, по пункту «Возникновение ущерба бюджетам Российской Федерации, оцениваемого». Так как я не обладаю информацией о бюджете РФ и о размерах отчислений организации в бюджет.
Поэтому категорирование объектов КИИ дело довольно сложное и в большинстве случаев стоит прибегнуть к помощи сторонних организаций имеющих соответствующие лицензии ну и конечно же опыт.
Информационная безопасность объектов КИИ
После проведения категорирования, отталкиваясь от результатов вырабатываются требования к защищенности объекта.
Далее выстраивается система защиты объекта, обычно завершающим этапом является подключение к ГосСОПКА.
Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации. Официальный сайт.
Ответственность и наказания
Штрафы и различного рода, ответственность, присматривается не столько за саму критическую информационную инфраструктуру, сколько за нарушение федерального закона №187.
Штрафы
| Вид нарушения | Должностные лица | Юридические лица |
|---|---|---|
| Нарушение требований к созданию системы безопасности КИИ и обеспечению ее функционирования | от 10.000 до 50.000 руб. | от 50.000 до 100.000 руб. |
| Нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятию мер по ликвидации последствий компьютерных атак, проведенных в отношении КИИ | от 10.000 до 50.000 руб. | от 100.000 до 500.000 руб. |
| от 20.000 до 50.000 руб. | от 100.000 до 500.000 руб. | |
| Нарушение сроков предоставления сведений о результатах категорирования объектов КИИ или об отсутствии их категорирования во ФСТЭК | от 10.000 до 50.000 руб. | от 50.000 до 100.000 руб. |
| Нарушение сроков или порядка предоставления информации в ГосСОПКУ | от 10.000 до 50.000 руб. | от 100.000 до 500.000 руб. |
Как видите, критическая информационная инфраструктура — важная составляющая которую необходимо защищать.
Обучаю HTML, CSS, PHP. Создаю и продвигаю сайты, скрипты и программы. Занимаюсь информационной безопасностью. Рассмотрю различные виды сотрудничества.
