четверг, 31 мая 2018 г.

КИИ. Категорирование объектов, часть 2


Продолжаем проводить категорирование объектов КИИ на примере организации сферы здравоохранения. На предыдущем этапе мы начали определять процессы субъекта КИИ.

Небольшое отступление чтобы объяснить при чем тут процессы:
·         в итоге категорирования мы должны определить попадают ли возможные последствия от компьютерных инцидентов на объекте КИИ (ИС, АСУ, телеком сети) в категории значимости

·         очевидно, что если объект КИИ автоматизирует или предоставляет информацию для обеспечения определенного процесса организации, то ущерб от инцидента на объекте не может превышать максимального ущерба от нарушения всего процесса, включающего как автоматизированную, так и неавтоматизированную деятельность
(например, если от полного прекращения деятельности службы скорой помощи, медицинская помощь не будет оказана 1000 человек, по статистике 10% из которых=100 приведут к ущербу здоровью, то от нарушения деятельности АСУ диспетчерской службы скорой помощи, деятельность полностью не прекратится, но будет оказываться менее эффективно - только 100 человек не получат её, 10% из которых =10)    

·         правительство РФ решило более эффективным будет сначала выявить критические процессы и отбросить лишние, чтобы не тратить в дальнейшем время на системы с ними связанные

·         поэтому в первую очередь надо выявить критические процессы


2. Выявление критических процессов
Продолжаем общаться с руководителями подразделений. Нам нужно выяснить у них возможные последствия от нарушения или прекращения процесса организации. Последствия рассматриваем в разрезе показателей критериев, утвержденных постановлением правительства №127. Если вы уверены, что ряд показателей заведомо не применимы к процессам вашей организации, то можно их отбросить, чтобы не тратить на них время в пустую. Например, для мед. организаций я бы оставил такие показатели для рассмотрения (UPDATE):



Далее очевидно, что ущерб от нарушения или прекращения процесса субъекта КИИ зависит от промежутка времени на котором он будет нарушен. Если это доли секунды, то такого прекращения никто и не заметит. После какой-то границы ущерб может начать появляться и будет расти с ростом времени, на которое будет нарушен процесс. Но в долгосрочной перспективе возможно ущерб уже перестанет увеличиваться – всех пациентов перевезут в другую организацию, новых граждан будут перенаправлять в другие организации и т.п.

Оптимальным вариантом с моей точки зрения представляется необходимость получить следующую информацию:
·         сможет ли ущерб он нарушения процесса на сколь угодно долгое время достичь показателя значимости КИИ? Если нет, то мы можем смело отбросить его из числа критических. (например, если мы поняли, что сколько бы система не была отключена или работала неправильно – день, месяц, год, это не приведет к ущербу здоровью граждан)
·         если в принципе может достичь показателей значимости, то в каких промежутках попадает в какую категорию (например, если деятельность будет нарушена на 1-10 дней – то потенциальный ущерб попадет в 3 категорию, если на 10-30 то во 2 категорию). Далее нам пригодятся эти значения
·         если руководителю подразделения сходу трудно оценить ущерб по экономическим показателям, даем им подсказки, подкатегории ущерба:
o   упущенная выгода
o   штрафы, пени, неустойки и т.п.
o   дополнительные затраты на персонал
o   дополнительные затраты на оборудование, материалы, энергию и т.п.
o   судебные издержки
o   дополнительные представительские расходы

(UPDATE) При общении с юридическим подразделением, хорошо бы выяснить, имеется ли решение органа власти об отнесении вашей организации к объектам обеспечения жизнедеятельности / жизнеобеспечения населения.

В результате этого мы получим небольшой перечень критических процессов организации, к которым необходимо уделить наше дальнейшее внимание. Пример критических процессов, который может быть получен для мед. организации:
·         оказание медицинских услуг и медицинской помощи
·         проведение исследований, клинических испытаний, осмотров
·         фармацевтическая деятельность
·         деятельность по обороту наркотических средств и психотропных веществ
·         деятельности связанная с использованием источников ионизирующего излучения (рентген, томография, лучевая терапия)
·         сбор, хранение и реализация донорской крови
·         услуги длительного пребывания пациентов / госпитализации / стационар
·         осуществление автотранспортных услуг (медицинская транспортировка скорой помощи)
·         обслуживание инженерных систем (пожарная сигнализация, электропитание)


PS: продолжение следует.


3 комментария:

Unknown комментирует...

Хороший блог. Все понятно расписано. Очень полезно для людей, на которых возложены обязанности ИБ помимо его основных обязанностей)Жду не дождусь 3 части.

Сергей Борисов комментирует...

Спасибо за ваш отзыв. Постараюсь выпустить в ближайшее время

Юрий Карандей комментирует...

Очень актуальный блог в свете постановления Правительства №127. Жду выхода 3 части...