понедельник, 2 июля 2018 г.

КИИ. Категорирование объектов, часть 3


Продолжаем проводить категорирование объекта КИИ на примере организации сферы здравоохранения. На предыдущем этапе мы выявили критические процессы организации. Теперь определяем объекты КИИ и отправляем их на согласование (этап простой и очевидный, но постараюсь добавить несколько полезных моментов)

3. Определение объектов КИИ
Продолжаем начатое на прошлых этапах (а можно и совместить 1-3) общение с руководителями подразделений. Спрашиваем какие ИС или АСУ обрабатывают информацию, необходимую для обеспечения выявленных критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов.
Отдельно в ИТ подразделении получаем полный перечень ИС (он должен был готовится в рамках мероприятий по ПДн) и АСУ, совместно с ИТ выкидываем из перечня ИС, не связанные с критическими процессами (как правило, кадровые, бухгалтерские, отчетность, банк-клиенты).
В результате, того, что данные об ИС и АСУ получены не из одного источника, гарантируется его большая адекватность и актуальность.
(UPDATE) При формировании перечня АСУ, обращайте внимание на определение АСУ, данное в 187-ФЗ. Возможно придется вычеркнуть некоторые АСУ не подходящие под определение. Например, если в составе его нет программных средств, или если это АСУ управляется не технологическим или производственным оборудованием.    
Далее к перечню объектов КИИ необходимо добавить информационно-телекоммуникационные сети. Тут нет особого смысла дробить на маленькие кусочки. Указываем одним пунктом – корпоративная сеть организации. Внешние защищенные сети, такие как Защищенная сеть Минздрава РФ, Защищенная сеть Минздрава КК, Защищенная сеть ТФОМС – не указываем, так как не являемся владельцами данных сетей.

3.а. Получившийся, предварительный, но ещё не утвержденный, перечень объектов КИИ отправляем вышестоящему гос. органу (Минздрав субъекта РФ). По-хорошему, отраслевые регуляторы должны публиковать порядок согласования с ними перечней, но пока такого не замечено. Поэтому просто пишем письмо  
“В соответствии с требованиями пункта 15 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных Постановлением Правительства РФ от 8 февраля 2018 г. № 127 направляем Вам на согласование предварительный перечень объектов критической информационной инфраструктуры нашей организации.”
и прикладываем перечень объектов КИИ.

3.б. Минздрав субъекта РФ, посмотрит не забыли ли вы указать какую-то систему, которую указали коллеги до вас. По-хорошему, они могли бы предложить убрать системы, которые точно не будут критическими. Но в ближайшее время этого делать никто не будет, так как информации недостаточно. И уже озвучиваются вопросы типа “вдруг мы вычеркнем систему, а потом произойдет инцидент и окажется что не надо было её вычеркивать”.

4. Утверждение перечня объектов КИИ
После согласования перечня с отраслевым регулятором, готовим формальный документ с перечнем объектов и отдаем его руководителю на утверждение. Одновременно с ним нужно подготовить письмо на начальника 2 управления ФСТЭК России (копию на руководителя Управления ФСТЭК России по вашему федеральному округу), приложением к которому необходимо приложить перечень объектов КИИ.
И хотя форма перечня объектов КИИ формально не утверждена, но на семинарах, в письмах и заседаниях ФСТЭК России приводит различные “рекомендованные форматы”
например, такой



или такой


Если обобщать, то в целом получается такая форма перечня (примеры объектов КИИ)
Наименование организации
Сфера деятельности
Наименование объекта КИИ
Планируемый срок категорирования
Адрес и контакты организации
ККБ №0
Здравоохранение
ИС:
"Электронная очередь"
"СОЦ-Лаборатория"
"Льготные рецепты"
"М-Аптека"
МИС "Самсон"
"Медкомтех"
"03"
"Экспресс-здоровье"
"Скрининг новорожденных"
"Высокозатратные нозологии"
"Регистр больных сахарным диабетом"
АРМ ПЦ ЛЛО
СК ИПРА
АСУ:
Автоматизированная система оперативного управления диспетчерской службой скорой медицинской помощи
АСУ пожаротушением
АСУ рентген аппаратами
АСУ томографом
АСУ лучевой терапия
ИТС:
Корпоративная сеть ККБ №0
1 января 2019 г.
Руководитель – Иванов И.И.

(861)2790001

г. Краснодар, ул. Красная 1.

Несмотря, на то, что в ПП 127 не установлены сроки на утверждение перечня объектов КИИ, есть решение Коллегии ФСТЭК России от 24.04.2018 №59, в котором озвучены сроки, которые в свою очередь доносятся на заседаниях по защите информации во всех субъектах РФ.

Пример протокола такого заседания можно посмотреть тут.
Срок на утверждение перечня объектов КИИ – до 1 августа 2018 г.
Срок на проведение категорирования объектов КИИ – до 1 января 2019 г.

13 комментариев:

Сергей Симак комментирует...

"Внешние защищенные сети, такие как Защищенная сеть Минздрава РФ, Защищенная сеть Минздрава КК, Защищенная сеть ТФОМС – не указываем, так как не являемся владельцами данных сетей."

Исходными данными для категорирования служат сведения о взаимодействии с другими объектами КИИ, так что, я думаю их надо тоже указать

Сергей Симак комментирует...

В нашем регионе Минздрав в качестве субъектов КИИ выделил все больницы. В личной беседе с представителем ФСТЭК по этому вопросу было озвучено что правельней бы было выделить в качестве объекта КИИ КМИС, а в качестве субъекта-владельца сети Минздрав.

Что думаете по этому поводу?

Сергей Борисов комментирует...

Мы не имеем права указывать те системы, владельцами или операторами которых не являемся.
Но при категорировании наших систем, мы укажем с какими внешними системами они взаимодействуют. Этого достаточно.

Сергей Борисов комментирует...

Все больницы - субъекты КИИ и никакое решение Минздрава не сможет этого изменить.
Другое дело, что по результатам категорирования, значимые объекты КИИ должны получиться только в Минздраве/МИАЦ и крупных ЦРБ.

Сергей Симак комментирует...
Этот комментарий был удален автором.
Сергей Симак комментирует...

"Все больницы - субъекты КИИ и никакое решение Минздрава не сможет этого изменить."

тут надо исходить из того, владеют ли они какими либо системами, или это сегменты одной большой сети (типо КМИС) и оператор этой сети Минздрав.

"Другое дело, что по результатам категорирования, значимые объекты КИИ должны получиться только в Минздраве/МИАЦ и крупных ЦРБ."

А объекты без категории (не значимые) нужно в последствии подключать к СОПКЕ?

Unknown комментирует...

А вот еще, что интересно, отправлять в ФСТЭК нужно в электронном виде или только в бумажном варианте?

Сергей Симак комментирует...

Перечень ОКИИ необходимо направить на бумажном носителе (допускается приложение электронной копии на электронном носителе) с сопроводительным письмом

Сергей Борисов комментирует...

Ну по факту то больницы владеют системами. У них куча своих мелких ИС с информацией о здоровье.

Unknown комментирует...

Добрый день. Вопрос к Сергею Борисову. Как можно получить скан документа (я так понял Вы им располагаете) решения коллегии ФСТЭК за номером 59? Если можно на goblin1604@gmail.com, буду очень признателен.

С уважением Иван Евгеньевич

Сергей Борисов комментирует...

Скан получить нельзя.
Если вы гос. учреждение, до вас донесут эту информацию вышестоящий ОГВ.
Если коммерческая компания, и вам не присылали официальных писем - рассматривайте это как рекомендацию

Наталья комментирует...

Добрый день, Сергей! Ваш блог просто счастливая находка. Такой вопрос: центральная районная больница. Есть ИС с сервером с базой данных в МИАЦ, либо системы типа регистр диабета, регистр туберкулезных больных - т.е. у нас только доступ, базы у нас нет. Мы должны указывать такие системы в перечне КИИ? Спасибо.

Евгений Садков комментирует...

Здравствуйте Сергей, благодарю Вас за полезную информацию. Возник вопрос по АСУ. В определении, которое содержится в 187-ФЗ, указывается что это комплекс программных и программно-аппаратных средств. Так вот если в больнице есть один аппарат МРТ - это уже комплекс? И вообще каковы критерии отнесения объектов КИИ к АСУ?
Спасибо за внимание.