четверг, 26 апреля 2018 г.

Возможные подходы к присвоению объектам КИИ категорий значимости



В последнее время на разных информационных площадках все чаще поднимается вопрос о том, как проводить категорирование объектов КИИ (ОКИИ). Ранее уже схематично изображал весь процесс категорирования ОКИИ. В этом же посте решил остановиться на основных по моему мнению возможных подходах к реализации ключевого этапа процесса категорирования – этапа присвоения ОКИИ категории значимости (КЗ).

Итак, какие видятся основные возможные подходы к присвоению КЗ:

1.       Рекомендуемый подход. Присвоение КЗ на основании масштаба возможных последствий в случае возникновения компьютерных инцидентов на ОКИИ, без учета существующих средств защиты  и компенсирующих мер, которые могут существенно снизить масштаб возможных последствий и как следствие – снизить КЗ или вообще привести к отсутствию необходимости присвоения КЗ. Это наиболее правильный и непротиворечивый с сточки зрения 127-ПП подход. Если у субъекта уже используются какие-то СЗИ или компенсирующие меры, которые могут снизить масштаб возможных последствий, они не учитываются при определении КЗ, но их можно будет учесть при формировании базового набора мер для определенной КЗ и дальнейшей его адаптации с учетом моделирования угроз. При этом субъекту можно с большой долей вероятности быть уверенным, что у ФСТЭК не будет вопросов по присвоению КЗ ни при согласовании результатов категорирования, ни при проверках.

2.       Нерекомендуемый (неживой) подход. Присвоение КЗ на основании масштаба возможных последствий, с учетом существующих на ОКИИ средств защиты (например, уже внедрен «джентельменский набор» СЗИ) или компенсирующих мер (например, вручную открывается калитка для прохода пассажиров на платформы на ЖД станции в случае атаки на систему управления турникетами). Данный подход имеет существенный недостаток, но при определенной трансформации (см.подход 3) тоже может использоваться. Что касается основного недостатка - в 127-ПП нет никаких указаний на то, что при определении масштаба возможных последствий могут учитываться существующие СЗИ или компенсирующие меры. Но если субъект все же решит их учесть на свой страх и риск, то в этом случае он каким-то образом должен доказать ФСТЭК, что применяемые им СЗИ или компенсирующие меры позволяют защититься от актуальных угроз и соответственно снизить масштаб возможных последствий и как итог присвоить более низкую КЗ или вообще обойтись без ее присвоения. В 127-ПП есть п.17, который определяет состав сведений о результатах категорирования, который субъект должен направить на согласование во ФСТЭК по результатам категорирования. В состав данных сведений в том числе входят:

a.       Сведения о программных и программно-аппаратных средствах, используемых на ОКИИ, в том числе о средствах, используемых для обеспечения безопасности ОКИИ

b.      Возможные последствия в случае возникновения компьютерных инцидентов на ОКИИ

c.       Сведения об угрозах безопасности информации и о категориях нарушителей.

d.      Организационные и технические меры, применяемые для обеспечения безопасности ОКИИ

При данном подходе субъект указывает в составе сведений о результатах категорирования угрозы, категории нарушителей и возможные последствия от реализации угроз, а также применяемые для нейтрализации угроз СЗИ и компенсирующие меры. В случае использования субъектом при категорировании данного подхода у ФСТЭК могут возникнуть к субъекту вопросы как на этапе согласования результатов категорирования, так и на этапе проведения проверок.

3.       Приемлемый (в теории) подход. Присвоение КЗ на основании масштаба возможных последствий с учетом существующих СЗИ и компенсирующих мер, которые могут существенно снизить масштаб возможных последствий и как следствие – снизить КЗ или вообще привести к отсутствию необходимости присвоения КЗ. Этот подход очень похож на предыдущий подход, но отличается от него очень важным нюансом – существующие СЗИ и/или компенсирующие меры включаются в состав ОКИИ. Т.е. упомянутая выше калитка включается в состав ОКИИ в качестве одного из режимов работы ОКИИ. Но с данным подходом нужно обращаться аккуратно и со здравым смыслом, т.к. та же калитка может не справиться, например, с большим потоком пассажиров в час-пик и может начаться давка, которой не было бы при работающих турникетах или ее кто-то может по какой-то причине закрыть, как это случилось во время недавней трагедии в кинотеатре в Кемерово. Данный подход не противоречит 127-ПП, но все же может вызвать вопросы у ФСТЭК при согласовании результатов категорирования или при проведении проверок. Поэтому в результаты категорирования, отправляемые на согласование во ФСТЭК, стоит включить соответствующее обоснование включения СЗИ или компенсирующих мер в состав ОКИИ.

Вывод: Лучше всего присваивать КЗ без учета имеющихся на ОКИИ СЗИ и компенсирующих мер, но если субъект готов обосновать перед ФСТЭК их включение в состав ОКИИ, то такой подход теоретически возможен.

P.S. Уверен, что по данным подходам могут быть разные мнения, да и самих подходов может быть гораздо больше. Интересно увидеть другие варианты и поучаствовать в дискуссии.

четверг, 12 апреля 2018 г.

Частное мнение ФСТЭК по актуальным вопросам законодательства о безопасности КИИ




Провели 10 апреля семинар, посвященный обсуждению требований законодательства о безопасности КИИ, а также подходов и технических решений, позволяющим их реализовать.

В рамках подготовки и проведения семинара в частном порядке удалось уточнить мнение представителей ФСТЭК и ФСБ по наиболее актуальным вопросам, собранным в Facebook и интересующим в настоящее время профессиональное сообщество. В таблице ниже публикую в неизменном виде вопросы, находящиеся в компетенции ФСТЭК, и ответы на них регулятора. Не стоит рассматривать их как официальную позицию регулятора, но можно использовать в качестве ориентира.

После утверждения документов ФСБ планируем провести семинар повторно, но уже в более публичном формате, с онлайн-трансляцией, после чего надеюсь можно будет со спокойной совестью опубликовать ответы и от представителей ФСБ.

Оставшиеся вопросы по КИИ к регуляторам предлагаю публиковать в комментариях, включим их в повестку следующего семинара.


Вопрос
Частное мнение ФСТЭК
1
В отчете о результатах категорирования, который субъект КИИ должен передать ФСТЭК в течении 5 дней, содержится информация о действующих средствах защиты КИИ. Это есть Гостайна для субъекта КИИ?
Отнесение мер кии к ГТ будет по совокупности (за отрасль) или если объект сам обрабатывает ГТ. Это определят ведомственные перечни
2
В какой срок субъектом должны быть реализованы меры по защите значимых объектов КИИ? Привязан ли этот срок к сроку занесения ФСТЭК результатов категорирования в Реестр ЗОКИИ или к моменту утверждения акта категорирования?
Срок реализации мер - в разумные сроки. Прививки нет 
3
Является ли оператор связи, обслуживающий и поддерживающий информационную систему субъекта КИИ, сам таким субъектом? Или только его инфосистема является объектом КИИ?
По определению скорее всего нет, но нужно разбираться в конкретном случае
4
Нужна ли лицензия на гостайну для предоставления услуг субъекту КИИ по защите его объектов КИИ или достаточно лицензии ТЗКИ?
Лицензия нужна, если объект КИИ отнесён к ГТ
5
В каком формате (с указанием каких атрибутов) необходимо отправлять во ФСТЭК перечень объектов КИИ, подлежащих категорированию? 127-ПП и соответствующий приказ ФСТЭК говорят о формате передачи информации о результатах категорирования, но ничего не говорят о формате передачи перечня.
Формат перечня не определён (в любом)
6
Должно ли как-то учитываться и, если да, то как увеличение масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах КИИ при единовременном возникновении инцидентов на нескольких объектах одного субъекта КИИ?
В частности, этот вопрос важен в случаях, когда у субъекта будут выявлены критические процессы, но дальнейшая оценка масштаба возможных последствий для отдельных объектов КИИ будет недотягивать до значений, установленных для какой-либо категории. В результате, им не будет присвоена ни одна из категорий значимости
По законодательств рассматривается каждый объект в отдельности
7
Если в составе одного юр. лица есть несколько обособленных подразделений (филиалов), каждое их которых которые осуществляют часть видов деятельности юридического лица:
- Допустимо ли назначение нескольких комиссий по категорированию: одна в аппарате управления, отдельные - на уровне каждого филиала? При этом будут соблюдены требования к составу комиссии, установленные п. 11 ПП-127. Комиссия каждого филиала будет определять процессы в рамках осуществления видов деятельности соответствующего филиала, выявлять критические процессы, определять объекты и т.д. Для процессов, которые выходят за рамки видов деятельности отдельно взятых филиалов и/или охватывают все или часть филиалов одновременно, соответствующие мероприятия будут реализовываться комиссией на уровне аппарата управления.
- Если допустимо несколько комиссий, допустимо ли оформить перечень объектов КИИ, акты категорирования и формы направления сведений во ФСТЭК РФ в каждом обособленном подразделении и подавать документы в соответствующие обособленному подразделению территориальные подразделения ФСТЭК России?
Комиссия может быть создана в каждом подразделении. Но перечни и результаты направляются только субъектом кии, а значит центральным подразделением
8
Если в составе группы компаний есть несколько юр. лиц, каждое их которых является субъектом КИИ (каждому на праве собственности и/или аренды принадлежат ИС и/или АСУ, функционирующие в одной из установленных сфер).
В ряде случаев отдельные ИС и АСУ принадлежат на праве собственности одному юр. лицу группы компаний и переданы в аренду по договору эксплуатации иному юр. лицу группы. Таким образом, с точки зрения определений ФЗ-187, оба юр. лица являются субъектами КИИ в отношении одних ИС/АСУ.
Устанавливаются ли какие-либо требования/ограничения в отношении того, какое из юридических лиц в данном случае должно включать указанные ИС и АСУ в перечень объектов КИИ, проводить процедуры категорирования, оформлять формы направления сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий? Или допустимо урегулировать это по согласованию сторон в рамках группы компаний?
Категорированием занимается лицо-владелец объекта (это есть в 127-ПП) 
9
Подпадает ли под действие 187-ФЗ (в качестве субъекта КИИ) госорганизация, которая не подходит ни под одну из 12 сфер, указанных в законе?
Попадают только те , которые имеют системы в 12 определённых сферах
10
Какие нужны лицензии для следующих видов деятельности : 1) разработка АСУ ТП и её элементов , plc , автоматики и т.д 2) установка и гарантийное обслуживание собственного оборудования и систем АСУ ТП у Заказчика ( заказчики субъекты КИИ 1,2,3 категории).
2. Как ознакомиться с перечнем если нет своего РСО, на базе чего должно быть принято решение о оформлении лицензии по ГТ( компания занимается разработкой, производством и внедрением АСУ) 3. Какие формы (по ГТ) нужно будет оформлять максимально (необходимо знать что бы уже сейчас сформулировать требования для набора сотрудников) ? 4. Когда будут унифицированные общие требования - ПЗ или общее ЗБ на классы оборудования в энергетике.
Лицензии нужны только для оказания услуг по ТЗИ для объектов кии (здесь ничего не изменилось). В части ознакомления с перечнем по ГТ: см п.1 ГТ будет далеко не у всех
11
В пп-127 в п.17 говорится о том, что в составе сведений о результатах категорирования субъект должен в том числе направлять во ФСТЭК "информацию об организационых и технических мерах, применяемых для обеспечения безопасности объекта КИИ", т.е. о мерах защиты, применяемых на момент категорирования, когда система защиты по 235-му и 239-му приказах ФСТЭК еще не создана. А после создания системы защиты сведения о мерах защиты в рамках созданной системы защиты ЗОКИИ передавать во ФСТЭК законодательство субъекта не обязывает. Хотя по логике должно быть наоборот. Хотелось бы услышать мнение регулятора по этому поводу.
По п. 17 передаются сведения о мерах, принятых на момент категорирования. Далее субъект обязан выполнить требования законодательства. А правильность и полнота будут проверены в рамках госконтроля
12
ОКИИ это любые ИС/АСУ/ИТС субъекта или только те, которые относятся к критическим процессам в рамках основной деятельности субъекта? Категорировать нужно все окии или только относящиеся к критическим процессам в рамках основной деятельности? Если есть окии, которые не требуется категорировать, то к чему их относить - к незначимым окии или к какой-то отдельной группе окии?
Категорируются только те ОКИИ, которые обеспечивают основные виды деятельности субъекта
13
В статье 2 закона 187 ФЗ в п. 8 перечислены виды деятельности организаций, относящихся к субъектам КИИ, а также "российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей". Вопрос - относятся ли к субъектам КИИ различные интеграторы, которые обеспечивают сопровождение ИБ ИС в рамках договора с этими субъектами КИИ? Что вообще понимается под формулировкой "взаимодействие указанных систем или сетей"?
В ст.2 говорится о владельцах ОКИИ. Интеграторы ими не являются (как правило).
14
Статус объектов КСИИ? Им продолжать выполнять требования методических документов ФСТЭК в области обеспечения безопасности КСИИ или только новые по КИИ?
Понятие КСИИ упразднено
15
Планирует ли ФСТЭК официально прекращать действие утвержденных методических документов ФСТЭК в области обеспечения безопасности КСИИ?
Да. Материалы об отмене готовятся 
16
Что с областью применения "ГОСТ Р 52069.0-2013. Национальный стандарт Российской Федерации. Защита информации. Система стандартов. Основные положения" (утв. и введен в действие Приказом Росстандарта от 28.02.2013 N 3-ст)? Возможно ли его применение для КИИ?
Необходимая работа по устранению нестыковок ведётся 
17
Если значимый объект КИИ является ГИС, то необходимо ли направлять на согласование во ФСТЭК Модель угроз безопасности информации и (или) техническое задание на создание системы безопасности значимого объекта КИИ?
Да
18
Почему мера ИНЦ.6 «Хранение и защита информации о компьютерных инцидентах» только для 1 категории является базовой?
Защита информации о событиях ИБ критичней чем информация об ИНЦИДЕНТАХ ИБ?
Меры приняты исходя из практики их применения в иных системах
19
Для 1 категории внешний аудит обязательно проводить ежегодно? Внутренний ему просто не нужен становится? Подтверждать наличием договора  с лицензиатом?
Меры приняты исходя из практики их применения в иных системах
20
Требуется ли повышать категорию КИИ, если значимым объектом является ГИС более высокого класса? (п.24 Приказа 239)
Категория не повышается, но меры защиты применяются по максимальному варианту
21
Допускается ли использование субъектом инструкций по эксплуатации не от разработчика/производителя? (п.30 Приказа 239)
Да
22
Каким образом подтверждается наличие техподдержки для ПО собственной разработки? (п.31 Приказа 239)
Внутренними документами
23
Кто является субъектом КИИ для ИС субъектов РФ?
Все принадлежит региону, а конкретные ОИВ выполняют функции (заказчика создания, эксплуатации и т.д.) согласно Постановлениям Правительства субъекта РФ. Ни один из ОИВ не
имеет прав собственности.
Владелец ИС по документам (это вопрос к бухгалтерии и хозяйственной службе)
24
Субъекты КИИ имеют право:
получать от ФОИВ, уполномоченного в области обеспечения безопасности КИИ РФ, информацию, в том числе об угрозах безопасности обрабатываемой значимыми объектами информации и уязвимости ПО, оборудования и технологий, используемых на таких объектах.
Как субъект может воспользоваться данным правом?
Каким документом регламентируется передача ПО, используемого на объекте КИИ, в ФСТЭК на предмет выявления уязвимостей? Кому и  в какие сроки субъект может предать ПО для анализа?
Обратившись в ФОИВ
25
Когда внесут изменения в 17,21 и 31 приказ по мерам защиты?
До конца 2-го квартала 2018 года. Проект уже разработан 
26
Для определения угроз безопасности информации и разработки модели угроз безопасности информации применяются методические документы, разработанные и утвержденные ФСТЭК России.
Когда субъекты КИИ смогут воспользоваться данными методическими документами?
Методические документы по угрозам для АСУ ТП и ИС уже существуют
27
Анализ угроз безопасности информации должен включать:
 в) определение возможных способов (сценариев) реализации (возникновения) угроз безопасности информации;
Какая степень детализации описания сценария? По какой форме оформлять?
Описание: источник-способ реализации-последствия
28
Когда и каким способом будут исправлены «Значения показателей» в ПП 127 для п.6, п. 9, п. 14?
Это вопрос к правительству РФ
29
Что за «государственным органом или российским юридическим лицом, выполняющим функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере в части подведомственных им субъектов критической информационной инфраструктуры»?  Ответ желательно предоставить в виде таблицы соответствия «сфера деятельности из 187 – согласующий орган».
Для горнорудной, науки несколько министерств осуществляют нормативно-правовое регулирование. Среди госкорпораций у Ростеха не прописаны полномочия по нормативно-правовому регулированию.
Указанное согласование осуществляется только для подведомственных организаций (пример - ФГУПы).
30
Что такое «тип объекта защиты значимого объекта»?
п.11г Приказа 239
г) перечень типов объектов защиты значимого объекта;
Это объекты защиты 
31
Какой срок отведен для реализации Требований Приказа 239 для значимых объектов, уже находящихся в эксплуатации ?
Разумные сроки (но прокуратура трактует это как уже здесь и сейчас)
32
Допускается ли связка «аттестат на соответствие на требования 17 приказа+ Акт приемки (вывод) внутренней комиссии о соответствии требованиям 239 приказа» для значимого объекта, который является ГИС? Или обязательно должен быть аттестат на соответствие 17 и 239 приказа?
Да
33
Когда будет выпущен методический документ, разъясняющий меры защиты из Приказа 239 (аналог «Методического документе ФСТЭК России «Меры защиты информации в ГИС»
До конца 2-го квартала 2018 года
34
Относятся ли средства защиты информации, технические средства обеспечения безопасности (скуд, видео и т.д) к составу значимого объекта КИИ? Применима ли к ним 274.1 УК?
Да
35
Относятся ли ЦОД к объектам КИИ, если их ресурсы по договору предоставляются для использования другим субъектам КИИ?
Надо смотреть на предоставляемые услуги 
36
Являются ли субъектами КИИ «облачные провайдеры»?
Скорее всего нет (это не определено законодательством) 
37
Субъекты в сфере ТЭК продолжают выполнять требования для КВО (по 256-ФЗ) и для КИИ?
Да