четверг, 31 мая 2018 г.

КИИ. Категорирование объектов, часть 2


Продолжаем проводить категорирование объектов КИИ на примере организации сферы здравоохранения. На предыдущем этапе мы начали определять процессы субъекта КИИ.

Небольшое отступление чтобы объяснить при чем тут процессы:
·         в итоге категорирования мы должны определить попадают ли возможные последствия от компьютерных инцидентов на объекте КИИ (ИС, АСУ, телеком сети) в категории значимости

·         очевидно, что если объект КИИ автоматизирует или предоставляет информацию для обеспечения определенного процесса организации, то ущерб от инцидента на объекте не может превышать максимального ущерба от нарушения всего процесса, включающего как автоматизированную, так и неавтоматизированную деятельность
(например, если от полного прекращения деятельности службы скорой помощи, медицинская помощь не будет оказана 1000 человек, по статистике 10% из которых=100 приведут к ущербу здоровью, то от нарушения деятельности АСУ диспетчерской службы скорой помощи, деятельность полностью не прекратится, но будет оказываться менее эффективно - только 100 человек не получат её, 10% из которых =10)    

·         правительство РФ решило более эффективным будет сначала выявить критические процессы и отбросить лишние, чтобы не тратить в дальнейшем время на системы с ними связанные

·         поэтому в первую очередь надо выявить критические процессы


2. Выявление критических процессов
Продолжаем общаться с руководителями подразделений. Нам нужно выяснить у них возможные последствия от нарушения или прекращения процесса организации. Последствия рассматриваем в разрезе показателей критериев, утвержденных постановлением правительства №127. Если вы уверены, что ряд показателей заведомо не применимы к процессам вашей организации, то можно их отбросить, чтобы не тратить на них время в пустую. Например, для мед. организаций я бы оставил такие показатели для рассмотрения (UPDATE):



Далее очевидно, что ущерб от нарушения или прекращения процесса субъекта КИИ зависит от промежутка времени на котором он будет нарушен. Если это доли секунды, то такого прекращения никто и не заметит. После какой-то границы ущерб может начать появляться и будет расти с ростом времени, на которое будет нарушен процесс. Но в долгосрочной перспективе возможно ущерб уже перестанет увеличиваться – всех пациентов перевезут в другую организацию, новых граждан будут перенаправлять в другие организации и т.п.

Оптимальным вариантом с моей точки зрения представляется необходимость получить следующую информацию:
·         сможет ли ущерб он нарушения процесса на сколь угодно долгое время достичь показателя значимости КИИ? Если нет, то мы можем смело отбросить его из числа критических. (например, если мы поняли, что сколько бы система не была отключена или работала неправильно – день, месяц, год, это не приведет к ущербу здоровью граждан)
·         если в принципе может достичь показателей значимости, то в каких промежутках попадает в какую категорию (например, если деятельность будет нарушена на 1-10 дней – то потенциальный ущерб попадет в 3 категорию, если на 10-30 то во 2 категорию). Далее нам пригодятся эти значения
·         если руководителю подразделения сходу трудно оценить ущерб по экономическим показателям, даем им подсказки, подкатегории ущерба:
o   упущенная выгода
o   штрафы, пени, неустойки и т.п.
o   дополнительные затраты на персонал
o   дополнительные затраты на оборудование, материалы, энергию и т.п.
o   судебные издержки
o   дополнительные представительские расходы

(UPDATE) При общении с юридическим подразделением, хорошо бы выяснить, имеется ли решение органа власти об отнесении вашей организации к объектам обеспечения жизнедеятельности / жизнеобеспечения населения.

В результате этого мы получим небольшой перечень критических процессов организации, к которым необходимо уделить наше дальнейшее внимание. Пример критических процессов, который может быть получен для мед. организации:
·         оказание медицинских услуг и медицинской помощи
·         проведение исследований, клинических испытаний, осмотров
·         фармацевтическая деятельность
·         деятельность по обороту наркотических средств и психотропных веществ
·         деятельности связанная с использованием источников ионизирующего излучения (рентген, томография, лучевая терапия)
·         сбор, хранение и реализация донорской крови
·         услуги длительного пребывания пациентов / госпитализации / стационар
·         осуществление автотранспортных услуг (медицинская транспортировка скорой помощи)
·         обслуживание инженерных систем (пожарная сигнализация, электропитание)


PS: продолжение следует.


четверг, 24 мая 2018 г.

КИИ. Категорирование объектов, часть 1


Давайте будем проводить категорирование объекта КИИ на примере организации сферы здравоохранения.

Будем руководствоваться следующими НПА:
·        Федеральный закон от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации"
·        Постановление Правительства РФ от 8 февраля 2018 г. № 127 “Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений”
·        Приказ ФСТЭК России ОТ 06.12.2017 N 227 "Об утверждении порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации"
·        Приказ ФСТЭК России от 22.12.2017 N 236 "Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий"

Общая схема категорирования примерно следующая:



Давайте подробнее разберем начальные этапы.

0. Формирование комиссии.
Очевидно, что чем больше специалистов мы включим в комиссию, тем на больший срок затянется наше категорирование. С другой стороны без специалистов по основным видам деятельности безопаснику будет сложно определить критические процессы и оценить последствия их нарушения.
В случае медицинской организации включить главного врача и его заместителей по мед. деятельности, ответственного за ИБ, ответственного за ГОиЧС. Также можно попробовать договориться с местным Минздравом, МИАЦ (это обеспечит быстрое согласование перечня объектов), а также с организацией оказывающих вашей организации услуги в области ИБ, о включении их сотрудников. Договорится можно в устной форме, но потом лучше отправить официальное письмо данным организациям с просьбой предоставить эксперта для участия в категорировании объектов КИИ.
Создание комиссии необходимо документировать. Вероятнее всего это будет приказ о создании комиссии для категорирования объектов КИИ в такой то организации. Там могут быть определены конкретные этапы и сроки, но не обязательно. Полный цикл категорирования, скорее всего, займет значительное время, поэтому лучше сразу определить, как будут фиксироваться промежуточные решения комиссии: протокол, акт...

1. Определение процессов
В идеальном случае, в вашей организации уже документированы основные процессы. Либо Вы, как правильный ИБ специалист, определили их в начале своей работы в организации. Если нет, самое время наверстать упущенное:
·        изучаем учредительные документы организации – определяем функции (полномочия) или виды деятельности организации
·        вооружаемся блокнотом или электронными анкетами и идем общаться с руководителями всех подразделений –  какие процессы, существуют процессы в рамках функций или видов деятельности организации?

На примере медицинской организации получаем примерно следующий перечень процессов. При этом учитываем, что дробление на подпроцессы – увеличивает трудоемкость дальнейшего анализа, но в ряде случаев позволяет оптимизировать результаты категорирования (сделать их более точными).  



PS: продолжение следует.  


вторник, 15 мая 2018 г.

КИИ. Какие ГОСы попадают сферу КИИ?


Срок на категорирование объектов критической информационной инфраструктуры РФ скоро заканчивается ; )  а многие организации только сейчас начинают планировать мероприятия в этой части. Если с коммерческими компаниями вопрос попадания или не попадания их в сферу действия ФЗ о безопасности КИИ решается достаточно просто, то с государственными органами и учреждениями ситуация сложнее.
В ряде регионов от регуляторов проводилась рассылка на все гос. органы с требованием провести категорирование объектов КИИ. Но по факту им надо было сначала определится с попаданием с сферу КИИ, а потом уже проводить или не проводить категорирование.
Вспомним рекомендации ФСТЭК в этой части:



1.       ОКВЭД. Давайте посмотрим несколько примеров.
·         Минздрав: 84.11.21 - Деятельность органов государственной власти субъектов Российской Федерации (республик, краев, областей), кроме судебной власти, представительств исполнительных органов государственной власти субъектов Российской Федерации при Президенте Российской Федерации
·         Минтруда: 84.11.21 - Деятельность органов государственной власти субъектов Российской Федерации (республик, краев, областей), кроме судебной власти, представительств исполнительных органов государственной власти субъектов Российской Федерации при Президенте Российской Федерации
·         Минтранс: 84.11.21 - Деятельность органов государственной власти субъектов Российской Федерации (республик, краев, областей), кроме судебной власти, представительств исполнительных органов государственной власти субъектов Российской Федерации при Президенте Российской Федерации
·         Медицинская организация: 86.10 - Деятельность больничных организаций - здравоохранение. Плюс в доп. Видах деятельности есть 49 – транспорт
·         Университет: 85.22 - Образование высшее, но среди доп. Видов деятельности присутствует 72.19, 72.20 – наука
Получается, что гос. учреждения – попадают в сферу ФЗ о безопасности КИИ по ОКВЭД, а гос. органы – остаются в стороне.
Хорошо, что у гос. органов есть дополнительный классификатор ОКОГУ, именно по нему можно определить в какой сфере действует гос. орган субъекта РФ:

Но и тут не все однозначно. Например, Министерство ТЭК и ЖКХ попадает по ОКОГУ только в ЖКХ.
И что с администрациями муниципальных образований? По ОКОГУ они идут отдельным пунктом.
2.       Также гос. органы (в отличие от их подведомственных учреждений) не получают лицензии на свою деятельность – по данному фактору мы тоже не сможем их отнести к сфере КИИ.

3.       Смотрим в учредительные документы.
Зачастую самая важная часть в начале документа: “Министерство … является органом … проводящим/реализующим политику в сфере ТЭК, …”   - в сферу КИИ
С муниципальными образованиями сложнее. Приходится смотреть поглубже: “Администрация в области … транспорта и связи осуществляет следующие полномочия:” “Полномочия администрации в области охраны здоровья граждан, развития …” – в сферу КИИ

Аналогичные действия необходимо выполнить и остальным типам организаций. А в следующей части мы приступим к категорированию.