Продолжаем проводить
категорирование объекта КИИ на примере организации сферы здравоохранения. На
предыдущем этапе мы выявили критические процессы организации. Теперь определяем
объекты КИИ и отправляем их на согласование (этап простой и очевидный, но постараюсь добавить несколько полезных моментов)
3. Определение объектов КИИ
Продолжаем начатое на прошлых
этапах (а можно и совместить 1-3) общение с руководителями подразделений. Спрашиваем
какие ИС или АСУ обрабатывают информацию, необходимую для обеспечения выявленных
критических процессов, и (или) осуществляют управление, контроль или мониторинг
критических процессов.
Отдельно в ИТ подразделении
получаем полный перечень ИС (он должен был готовится в рамках мероприятий по
ПДн) и АСУ, совместно с ИТ выкидываем из перечня ИС, не связанные с
критическими процессами (как правило, кадровые, бухгалтерские, отчетность,
банк-клиенты).
В результате, того, что данные об
ИС и АСУ получены не из одного источника, гарантируется его большая
адекватность и актуальность.
(UPDATE) При формировании перечня АСУ, обращайте внимание на определение АСУ, данное в 187-ФЗ. Возможно придется вычеркнуть некоторые АСУ не подходящие под определение. Например, если в составе его нет программных средств, или если это АСУ управляется не технологическим или производственным оборудованием.
(UPDATE) При формировании перечня АСУ, обращайте внимание на определение АСУ, данное в 187-ФЗ. Возможно придется вычеркнуть некоторые АСУ не подходящие под определение. Например, если в составе его нет программных средств, или если это АСУ управляется не технологическим или производственным оборудованием.
Далее к
перечню объектов КИИ необходимо добавить информационно-телекоммуникационные
сети. Тут нет особого смысла дробить на маленькие кусочки. Указываем одним
пунктом – корпоративная сеть организации. Внешние защищенные сети, такие как
Защищенная сеть Минздрава РФ, Защищенная сеть Минздрава КК, Защищенная сеть
ТФОМС – не указываем, так как не являемся владельцами данных сетей.
3.а. Получившийся, предварительный, но ещё не утвержденный, перечень
объектов КИИ отправляем вышестоящему гос. органу (Минздрав субъекта РФ). По-хорошему,
отраслевые регуляторы должны публиковать порядок согласования с ними перечней,
но пока такого не замечено. Поэтому просто пишем письмо
“В соответствии с требованиями пункта 15 Правил категорирования
объектов критической информационной инфраструктуры Российской Федерации,
утвержденных Постановлением Правительства РФ от 8 февраля 2018 г. № 127
направляем Вам на согласование предварительный перечень объектов критической
информационной инфраструктуры нашей организации.”
и прикладываем перечень объектов
КИИ.
3.б. Минздрав субъекта РФ, посмотрит не забыли ли вы указать
какую-то систему, которую указали коллеги до вас. По-хорошему, они могли бы
предложить убрать системы, которые точно не будут критическими. Но в ближайшее
время этого делать никто не будет, так как информации недостаточно. И уже
озвучиваются вопросы типа “вдруг мы вычеркнем систему, а потом произойдет
инцидент и окажется что не надо было её вычеркивать”.
4. Утверждение перечня объектов КИИ
После согласования перечня с
отраслевым регулятором, готовим формальный документ с перечнем объектов и
отдаем его руководителю на утверждение. Одновременно с ним нужно подготовить
письмо на начальника 2 управления ФСТЭК России (копию на руководителя
Управления ФСТЭК России по вашему федеральному округу), приложением к которому
необходимо приложить перечень объектов КИИ.
И хотя форма перечня объектов КИИ
формально не утверждена, но на семинарах, в письмах и заседаниях ФСТЭК России
приводит различные “рекомендованные форматы”
например, такой
или такой
Если обобщать, то в целом
получается такая форма перечня (примеры объектов КИИ)
Наименование организации
|
Сфера деятельности
|
Наименование объекта КИИ
|
Планируемый срок категорирования
|
Адрес и контакты организации
|
ККБ №0
|
Здравоохранение
|
ИС:
"Электронная очередь"
"СОЦ-Лаборатория"
"Льготные рецепты"
"М-Аптека"
МИС "Самсон"
"Медкомтех"
"03"
"Экспресс-здоровье"
"Скрининг новорожденных"
"Высокозатратные нозологии"
"Регистр больных сахарным диабетом"
АРМ ПЦ ЛЛО
СК ИПРА
АСУ:
Автоматизированная система оперативного управления диспетчерской
службой скорой медицинской помощи
АСУ пожаротушением
АСУ рентген аппаратами
АСУ томографом
АСУ лучевой терапия
ИТС:
Корпоративная сеть ККБ №0
|
1 января 2019 г.
|
Руководитель – Иванов И.И.
(861)2790001
г. Краснодар, ул. Красная 1.
|
Несмотря, на то, что в ПП 127 не
установлены сроки на утверждение перечня объектов КИИ, есть решение Коллегии
ФСТЭК России от 24.04.2018 №59, в котором озвучены сроки, которые в свою
очередь доносятся на заседаниях по защите информации во всех субъектах РФ.
Пример протокола такого заседания
можно посмотреть тут.
Срок на утверждение перечня
объектов КИИ – до 1 августа 2018 г.
Срок на проведение
категорирования объектов КИИ – до 1
января 2019 г.
33 комментария:
"Внешние защищенные сети, такие как Защищенная сеть Минздрава РФ, Защищенная сеть Минздрава КК, Защищенная сеть ТФОМС – не указываем, так как не являемся владельцами данных сетей."
Исходными данными для категорирования служат сведения о взаимодействии с другими объектами КИИ, так что, я думаю их надо тоже указать
В нашем регионе Минздрав в качестве субъектов КИИ выделил все больницы. В личной беседе с представителем ФСТЭК по этому вопросу было озвучено что правельней бы было выделить в качестве объекта КИИ КМИС, а в качестве субъекта-владельца сети Минздрав.
Что думаете по этому поводу?
Мы не имеем права указывать те системы, владельцами или операторами которых не являемся.
Но при категорировании наших систем, мы укажем с какими внешними системами они взаимодействуют. Этого достаточно.
Все больницы - субъекты КИИ и никакое решение Минздрава не сможет этого изменить.
Другое дело, что по результатам категорирования, значимые объекты КИИ должны получиться только в Минздраве/МИАЦ и крупных ЦРБ.
"Все больницы - субъекты КИИ и никакое решение Минздрава не сможет этого изменить."
тут надо исходить из того, владеют ли они какими либо системами, или это сегменты одной большой сети (типо КМИС) и оператор этой сети Минздрав.
"Другое дело, что по результатам категорирования, значимые объекты КИИ должны получиться только в Минздраве/МИАЦ и крупных ЦРБ."
А объекты без категории (не значимые) нужно в последствии подключать к СОПКЕ?
А вот еще, что интересно, отправлять в ФСТЭК нужно в электронном виде или только в бумажном варианте?
Перечень ОКИИ необходимо направить на бумажном носителе (допускается приложение электронной копии на электронном носителе) с сопроводительным письмом
Ну по факту то больницы владеют системами. У них куча своих мелких ИС с информацией о здоровье.
Добрый день. Вопрос к Сергею Борисову. Как можно получить скан документа (я так понял Вы им располагаете) решения коллегии ФСТЭК за номером 59? Если можно на goblin1604@gmail.com, буду очень признателен.
С уважением Иван Евгеньевич
Скан получить нельзя.
Если вы гос. учреждение, до вас донесут эту информацию вышестоящий ОГВ.
Если коммерческая компания, и вам не присылали официальных писем - рассматривайте это как рекомендацию
Добрый день, Сергей! Ваш блог просто счастливая находка. Такой вопрос: центральная районная больница. Есть ИС с сервером с базой данных в МИАЦ, либо системы типа регистр диабета, регистр туберкулезных больных - т.е. у нас только доступ, базы у нас нет. Мы должны указывать такие системы в перечне КИИ? Спасибо.
Здравствуйте Сергей, благодарю Вас за полезную информацию. Возник вопрос по АСУ. В определении, которое содержится в 187-ФЗ, указывается что это комплекс программных и программно-аппаратных средств. Так вот если в больнице есть один аппарат МРТ - это уже комплекс? И вообще каковы критерии отнесения объектов КИИ к АСУ?
Спасибо за внимание.
Вы не полностью читаете определение из 187-ФЗ -"автоматизированная система управления - комплекс программных и программно-аппаратных средств, предназначенных для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими оборудованием и процессами;".
То что аппарат МРТ представляет программно-аппаратный комплекс - никаких сомнений нет. Но он должен быть предназначен для "для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими оборудованием и процессами;". То есть, сам по себе аппарат МРТ не может являться АСУ, но он может входить в состав АСУ в качестве "исполнительного оборудования". Это уже надо смотреть по вашей конкретной ситуации.
Наталья задала интересный вопрос, прошу не оставлять его без ответа, т.к. актуально у многих. Поликлиники и т.п. учреждения здравоохранения имеют доступ к БД МИАЦ, туда заносят данные или просматривают записи. Нужно ли нам эти ИС МИАЦ заносить в свой перечень КИИ???
Наталья, рекомендация следующая:
1)
если на этих клиентских АРМ у вас осуществляется обработка информации, необходимую для обеспечения критических процессов, исключительно в клиентском программном обеспечении внешней ИС (расположенной в МИАЦ) и локально не хранится какая либо промежуточная информация - тогда вы эту систему не указываете, так как не являетесь владельцем ИС
2)
если вы сначала собираете информацию на локальных или сетевых дисках (например, в Excel), и делаете это регулярно, а только после этого передаете информацию в МИАЦ, тогда у вас по всем признакам локальная ИС, которую указывать в перечне и категорировать (хотя по результатам категорирования она скорее окажется без категории)
По поводу АСУ и аппаратов МРТ.
Определение АСУ из 187-ФЗ такое, что медицинское оборудование не особо под него подходит.
Я бы относил к АСУ такие системы в которых мед. оборудование подключено к сети и есть выделенный АРМ или сервер для управления.
Тогда у нас будет исполнительные устройства + программно-аппаратный комплекс предназначенный для управления.
Есть МО, в которых такое встречается. Например, в новом МЦЦ Согаз в Геленджике заявлено что все оборудование подключено в единую сеть, к которой в том числе возможен удаленный доступ для телемедицины. https://sogaz-clinic23.ru/publications/news/spetsialnyy-reportazh-telekanala-rossiya-24-ob-mmts-sogaz-g-gelendzhik-/
Добрый вечер Борис. Вопрос к Вам следующий.
В ЛПУ развернута МИС. Развернута на собственных серверах и работает на собственной сети. Имеется разработчик, который обслуживает эту МИС. Он предоставляет лицензию на эксплуатацию МИС (без нее МИС не будет работать). НО сама МИС по документам принадлежит Разработчику - это прописано в договоре - МИС собственность разработчика.
Но для ЛПУ МИС - это основной инструмент, наравне с сетью, на которой МИС функционирует. То есть если не работает МИС или упала сеть-ЛПУ стоит - не работают врачи, экономисты, статисты, не формируются счета, нет записи на прием, нет ведения ИЭМК и все остальное-все стало!.
Вопрос: то что сеть - собственность ЛПУ, тут понятно, ее в список объектов КИИ подавать, а вот МИС?! Она не в собственности у ЛПУ, а в пользовании, но это критический для ЛПУ элемент! Но в 187 ФЗ статья 2 пункт 8 написано строго -
"субъекты критической информационной инфраструктуры
государственные органы, государственные учреждения, российские
юридические лица и (или) индивидуальные предприниматели, которым на
праве собственности, аренды или на ином законном основании
принадлежат информационные системы, информационно-
телекоммуникационные сети, автоматизированные системы управления,
функционирующие в сфере здравоохранения, науки, транспорта, связи,
энергетики, банковской сфере и иных сферах финансового рынка,
топливно-энергетического комплекса, в области атомной энергии,
оборонной, ракетно-космической, горнодобывающей, металлургической и
химической промышленности, российские юридические лица и (или)
индивидуальные предприниматели, которые обеспечивают
взаимодействие указанных систем или сетей."
МИС ЛПУ не владеет, но на законных основаниях использует в своих целях на своих оборудованиях и с использованием своей сети. Какого либо доступа (безконтрольного) разработчик к МИС не имеет. Он выпускает изменения в МИС (в соответствии с нормативными актами региона и требованиями ЛПУ) и передает их в ЛПУ, а само ЛПУ производит установку и изменения!
Добавлять ли в данном случае в перечень объектов МИС, и как это аргументировать?
Заранее спасибо за ответ, с уважением Иван
Внесу поправочку - в лицензионном договоре написано, что право на МИС принадлежит разработчику, а у ЛПУ есть право на использование (запуск программы в конфигурации определенной разработчиком)
1: Не Борис а Сергей?
То о чем вы пишите, это стандартный лицензионный договор на ПО. Сейчас на всё серийное ПО такие же условия прописываются.
Но Информационная система (не равно) ПО.
Информационная система - это совокупность. Информация + информационные технологии + технические средства. Вы являетесь владельцем информации. Ваши технические средства. Ваши технологии обработки. Это ваша ИС.
Пока у вас есть право на использование всех компонентов ИС - вы ведете обработку законно.
Если у вас истечет право использования каких то компонентов, то вы будете вести обработку незаконно, но всё равно это ваша ИС.
И есть ещё такой формальный вариант из 149-ФЗ.
"2. Если иное не установлено федеральными законами, оператором информационной системы является собственник используемых для обработки содержащейся в базах данных информации технических средств, который правомерно пользуется такими базами данных, или
лицо, с которым этот собственник заключил договор об эксплуатации информационной системы."
1) Технических средств! не ПО.
2) правомерно пользуется базами данных информации - "обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам"
Вы (а не разработчик МИС) внесли информацию в систему, либо на основании договора оказания мед. услуг, получили право обрабатывать и обязанность защищать информацию. Ваши технические средства. Следовательно вы оператор ИС.
Извиняюсь, за ошибку! Тысячу извинений! Писал не только Вам но и другому блогеру. Было поздно, поэтому ошибся.
Спасибо за разъяснения!
Срок на утверждение перечня объектов КИИ – до 1 августа 2018 г.
Срок на проведение категорирования объектов КИИ – до 1 января 2019 г.
В итоговом принятом варианте ПП 127 остался только второй срок. Таким образом, несмотря на то, что обязанность по категорированию объектов КИИ установлена самим федеральным законом от 26.07.2017 № 187-ФЗ «О безопасности КИИ РФ», формально конкретный срок для утверждения перечня сейчас законодательно не утверждён?
Тимофей: вы похоже и сами в курсе что дата к которой нужно подготовить перечень объектов КИИ не установлена в ПП-127 или 187-ФЗ
Есть такая трактовка: в случае, когда в нормативном акте установлены обязанности и не установлена отсрочка или дата к которой нужно выполнить мероприятие, то обязанность выполнения возникает сразу после вступления в силу нормативного акта.
Кроме того, не забывайте, что определение перечня объектов КИИ - это не разовое действие. В первой статье я показывал цикл. У нас может появится новая система. Может оказаться что ранее какую то систему мы не относили к объектам КИИ, а теперь отнесли (изменилась критичность процесса).
Доброе утро.
Сергей, по поводу "Но Информационная система (не равно) ПО.
Информационная система - это совокупность. Информация + информационные технологии + технические средства. Вы являетесь владельцем информации. Ваши технические средства. Ваши технологии обработки. Это ваша ИС."
Насколько я понял разъяснения Елены Торбенко ФСТЭК (минуты 2:30 - 3:15 из видео), то если вся эта совокупность является собственностью одной организации, а используется другой ("хозяйствующей") организацией - то категорирование проводит собственник ИС, на основании информации, предоставленной "хозяйствующей" организацией ...
Как Вы считаете?
С уважением, Александр
Александр Владимирович, с считаю что случай описанный Еленой Торбенко это та ситуация, где оператор назначен официальным документом или договором. http://government.ru/docs/31565/
В таком случае владелец ИС знает что он владелец ИС и действительно обязан или сам провести категорирование или обязать оператора провести категорирование ИС.
Доброго времени суток!
Подскажите, нам ждать еще статей на эту тему?
"Одновременно с ним нужно подготовить письмо на начальника 2 управления ФСТЭК России (копию на руководителя Управления ФСТЭК России по вашему федеральному округу), приложением к которому необходимо приложить перечень объектов КИИ."
А откуда информация на кого именно отправлять перечень? Сопроводительное письмо допускается в произвольной форме?
Ещё статьи обязательно будут. Только далее уже более тяжелая информация
Про то, на кого отправлять: из презентаций и рекомендаций региональных управлений ФСТЭК, из писем ОГВ.
Формы сопроводительных писем не определены. Используйте стандартные правила деловой переписки с Гос. указывайте исполнителя и его контакты, чтобы с вами могли оперативно связаться. Не стесняйтесь позвонить в местный ФСТЭК перед отправкой письма.
Добрый день! А почему бухгалтерские, кадровые и т.п. ИС отбрасываем сразу, ведь практически на любом предприятии есть процессы с экономической значимостью, в которых используются эти ИС? Или эти процессы не являются критическими?
Смотрите часть 2 в цикле статей. Сразу мы ничего не отбрасывали.
Но
Сначала проводим оценку критичности процессов компании -> процессы которые оказались не критическими - отбрасываем. Я делал экспертную оценку для некой медицинской организации - там процессы бухгалтерии не попали в критические с точки зрения критериев оценки объектов КИИ. Возможно в вашем случае будет по-другому
Посмотрел форму категорирования (наименование ниже), у меня создается впечатление, что объектами являются не программы и АСУ, а деятельность учреждения (в моем случае медицина), т.е. в качестве объекта следует рассматривать совокупность ИС. Получаем 3 объекта: ИС, АСУ и внешние сети. Если по каждой программе такой объем бумаг делать, то это точно приведет к ущербу для бюджета РФ :)
Форма: Сведения о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий (Приказ ФСТЭК России от 22.12.2017 N 236)
Дробить на маленькие кусочки или объединять - это на усмотрение организации.
Но надо во всех документах придерживаться принятого определения и обозначения. Например назвали вы совокупность ваших ИСПДн как ИСПДн "ККБ1" (по названию организации). И далее во всех документах и описаниях используете такое обозначение. Это вполне допустимо.
Только не "внешние сети", а "локальные сети ККБ1", так как организация проводит категорирование только тех объектов, владельцем которых является
Отправить комментарий