понедельник, 2 июля 2018 г.

КИИ. Категорирование объектов, часть 3


Продолжаем проводить категорирование объекта КИИ на примере организации сферы здравоохранения. На предыдущем этапе мы выявили критические процессы организации. Теперь определяем объекты КИИ и отправляем их на согласование (этап простой и очевидный, но постараюсь добавить несколько полезных моментов)

3. Определение объектов КИИ
Продолжаем начатое на прошлых этапах (а можно и совместить 1-3) общение с руководителями подразделений. Спрашиваем какие ИС или АСУ обрабатывают информацию, необходимую для обеспечения выявленных критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов.
Отдельно в ИТ подразделении получаем полный перечень ИС (он должен был готовится в рамках мероприятий по ПДн) и АСУ, совместно с ИТ выкидываем из перечня ИС, не связанные с критическими процессами (как правило, кадровые, бухгалтерские, отчетность, банк-клиенты).
В результате, того, что данные об ИС и АСУ получены не из одного источника, гарантируется его большая адекватность и актуальность.
(UPDATE) При формировании перечня АСУ, обращайте внимание на определение АСУ, данное в 187-ФЗ. Возможно придется вычеркнуть некоторые АСУ не подходящие под определение. Например, если в составе его нет программных средств, или если это АСУ управляется не технологическим или производственным оборудованием.    
Далее к перечню объектов КИИ необходимо добавить информационно-телекоммуникационные сети. Тут нет особого смысла дробить на маленькие кусочки. Указываем одним пунктом – корпоративная сеть организации. Внешние защищенные сети, такие как Защищенная сеть Минздрава РФ, Защищенная сеть Минздрава КК, Защищенная сеть ТФОМС – не указываем, так как не являемся владельцами данных сетей.

3.а. Получившийся, предварительный, но ещё не утвержденный, перечень объектов КИИ отправляем вышестоящему гос. органу (Минздрав субъекта РФ). По-хорошему, отраслевые регуляторы должны публиковать порядок согласования с ними перечней, но пока такого не замечено. Поэтому просто пишем письмо  
“В соответствии с требованиями пункта 15 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных Постановлением Правительства РФ от 8 февраля 2018 г. № 127 направляем Вам на согласование предварительный перечень объектов критической информационной инфраструктуры нашей организации.”
и прикладываем перечень объектов КИИ.

3.б. Минздрав субъекта РФ, посмотрит не забыли ли вы указать какую-то систему, которую указали коллеги до вас. По-хорошему, они могли бы предложить убрать системы, которые точно не будут критическими. Но в ближайшее время этого делать никто не будет, так как информации недостаточно. И уже озвучиваются вопросы типа “вдруг мы вычеркнем систему, а потом произойдет инцидент и окажется что не надо было её вычеркивать”.

4. Утверждение перечня объектов КИИ
После согласования перечня с отраслевым регулятором, готовим формальный документ с перечнем объектов и отдаем его руководителю на утверждение. Одновременно с ним нужно подготовить письмо на начальника 2 управления ФСТЭК России (копию на руководителя Управления ФСТЭК России по вашему федеральному округу), приложением к которому необходимо приложить перечень объектов КИИ.
И хотя форма перечня объектов КИИ формально не утверждена, но на семинарах, в письмах и заседаниях ФСТЭК России приводит различные “рекомендованные форматы”
например, такой



или такой


Если обобщать, то в целом получается такая форма перечня (примеры объектов КИИ)
Наименование организации
Сфера деятельности
Наименование объекта КИИ
Планируемый срок категорирования
Адрес и контакты организации
ККБ №0
Здравоохранение
ИС:
"Электронная очередь"
"СОЦ-Лаборатория"
"Льготные рецепты"
"М-Аптека"
МИС "Самсон"
"Медкомтех"
"03"
"Экспресс-здоровье"
"Скрининг новорожденных"
"Высокозатратные нозологии"
"Регистр больных сахарным диабетом"
АРМ ПЦ ЛЛО
СК ИПРА
АСУ:
Автоматизированная система оперативного управления диспетчерской службой скорой медицинской помощи
АСУ пожаротушением
АСУ рентген аппаратами
АСУ томографом
АСУ лучевой терапия
ИТС:
Корпоративная сеть ККБ №0
1 января 2019 г.
Руководитель – Иванов И.И.

(861)2790001

г. Краснодар, ул. Красная 1.

Несмотря, на то, что в ПП 127 не установлены сроки на утверждение перечня объектов КИИ, есть решение Коллегии ФСТЭК России от 24.04.2018 №59, в котором озвучены сроки, которые в свою очередь доносятся на заседаниях по защите информации во всех субъектах РФ.

Пример протокола такого заседания можно посмотреть тут.
Срок на утверждение перечня объектов КИИ – до 1 августа 2018 г.
Срок на проведение категорирования объектов КИИ – до 1 января 2019 г.

34 комментария:

Сергей Симак комментирует...

"Внешние защищенные сети, такие как Защищенная сеть Минздрава РФ, Защищенная сеть Минздрава КК, Защищенная сеть ТФОМС – не указываем, так как не являемся владельцами данных сетей."

Исходными данными для категорирования служат сведения о взаимодействии с другими объектами КИИ, так что, я думаю их надо тоже указать

Сергей Симак комментирует...

В нашем регионе Минздрав в качестве субъектов КИИ выделил все больницы. В личной беседе с представителем ФСТЭК по этому вопросу было озвучено что правельней бы было выделить в качестве объекта КИИ КМИС, а в качестве субъекта-владельца сети Минздрав.

Что думаете по этому поводу?

Сергей Борисов комментирует...

Мы не имеем права указывать те системы, владельцами или операторами которых не являемся.
Но при категорировании наших систем, мы укажем с какими внешними системами они взаимодействуют. Этого достаточно.

Сергей Борисов комментирует...

Все больницы - субъекты КИИ и никакое решение Минздрава не сможет этого изменить.
Другое дело, что по результатам категорирования, значимые объекты КИИ должны получиться только в Минздраве/МИАЦ и крупных ЦРБ.

Сергей Симак комментирует...
Этот комментарий был удален автором.
Сергей Симак комментирует...

"Все больницы - субъекты КИИ и никакое решение Минздрава не сможет этого изменить."

тут надо исходить из того, владеют ли они какими либо системами, или это сегменты одной большой сети (типо КМИС) и оператор этой сети Минздрав.

"Другое дело, что по результатам категорирования, значимые объекты КИИ должны получиться только в Минздраве/МИАЦ и крупных ЦРБ."

А объекты без категории (не значимые) нужно в последствии подключать к СОПКЕ?

Unknown комментирует...

А вот еще, что интересно, отправлять в ФСТЭК нужно в электронном виде или только в бумажном варианте?

Сергей Симак комментирует...

Перечень ОКИИ необходимо направить на бумажном носителе (допускается приложение электронной копии на электронном носителе) с сопроводительным письмом

Сергей Борисов комментирует...

Ну по факту то больницы владеют системами. У них куча своих мелких ИС с информацией о здоровье.

Unknown комментирует...

Добрый день. Вопрос к Сергею Борисову. Как можно получить скан документа (я так понял Вы им располагаете) решения коллегии ФСТЭК за номером 59? Если можно на goblin1604@gmail.com, буду очень признателен.

С уважением Иван Евгеньевич

Сергей Борисов комментирует...

Скан получить нельзя.
Если вы гос. учреждение, до вас донесут эту информацию вышестоящий ОГВ.
Если коммерческая компания, и вам не присылали официальных писем - рассматривайте это как рекомендацию

Наталья комментирует...

Добрый день, Сергей! Ваш блог просто счастливая находка. Такой вопрос: центральная районная больница. Есть ИС с сервером с базой данных в МИАЦ, либо системы типа регистр диабета, регистр туберкулезных больных - т.е. у нас только доступ, базы у нас нет. Мы должны указывать такие системы в перечне КИИ? Спасибо.

Евгений Садков комментирует...

Здравствуйте Сергей, благодарю Вас за полезную информацию. Возник вопрос по АСУ. В определении, которое содержится в 187-ФЗ, указывается что это комплекс программных и программно-аппаратных средств. Так вот если в больнице есть один аппарат МРТ - это уже комплекс? И вообще каковы критерии отнесения объектов КИИ к АСУ?
Спасибо за внимание.

Комаров Валерий комментирует...

Вы не полностью читаете определение из 187-ФЗ -"автоматизированная система управления - комплекс программных и программно-аппаратных средств, предназначенных для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими оборудованием и процессами;".
То что аппарат МРТ представляет программно-аппаратный комплекс - никаких сомнений нет. Но он должен быть предназначен для "для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими оборудованием и процессами;". То есть, сам по себе аппарат МРТ не может являться АСУ, но он может входить в состав АСУ в качестве "исполнительного оборудования". Это уже надо смотреть по вашей конкретной ситуации.

Unknown комментирует...

Наталья задала интересный вопрос, прошу не оставлять его без ответа, т.к. актуально у многих. Поликлиники и т.п. учреждения здравоохранения имеют доступ к БД МИАЦ, туда заносят данные или просматривают записи. Нужно ли нам эти ИС МИАЦ заносить в свой перечень КИИ???

Сергей Борисов комментирует...

Наталья, рекомендация следующая:
1)
если на этих клиентских АРМ у вас осуществляется обработка информации, необходимую для обеспечения критических процессов, исключительно в клиентском программном обеспечении внешней ИС (расположенной в МИАЦ) и локально не хранится какая либо промежуточная информация - тогда вы эту систему не указываете, так как не являетесь владельцем ИС

2)
если вы сначала собираете информацию на локальных или сетевых дисках (например, в Excel), и делаете это регулярно, а только после этого передаете информацию в МИАЦ, тогда у вас по всем признакам локальная ИС, которую указывать в перечне и категорировать (хотя по результатам категорирования она скорее окажется без категории)

Сергей Борисов комментирует...

По поводу АСУ и аппаратов МРТ.
Определение АСУ из 187-ФЗ такое, что медицинское оборудование не особо под него подходит.
Я бы относил к АСУ такие системы в которых мед. оборудование подключено к сети и есть выделенный АРМ или сервер для управления.
Тогда у нас будет исполнительные устройства + программно-аппаратный комплекс предназначенный для управления.

Есть МО, в которых такое встречается. Например, в новом МЦЦ Согаз в Геленджике заявлено что все оборудование подключено в единую сеть, к которой в том числе возможен удаленный доступ для телемедицины. https://sogaz-clinic23.ru/publications/news/spetsialnyy-reportazh-telekanala-rossiya-24-ob-mmts-sogaz-g-gelendzhik-/

1 комментирует...

Добрый вечер Борис. Вопрос к Вам следующий.

В ЛПУ развернута МИС. Развернута на собственных серверах и работает на собственной сети. Имеется разработчик, который обслуживает эту МИС. Он предоставляет лицензию на эксплуатацию МИС (без нее МИС не будет работать). НО сама МИС по документам принадлежит Разработчику - это прописано в договоре - МИС собственность разработчика.

Но для ЛПУ МИС - это основной инструмент, наравне с сетью, на которой МИС функционирует. То есть если не работает МИС или упала сеть-ЛПУ стоит - не работают врачи, экономисты, статисты, не формируются счета, нет записи на прием, нет ведения ИЭМК и все остальное-все стало!.

Вопрос: то что сеть - собственность ЛПУ, тут понятно, ее в список объектов КИИ подавать, а вот МИС?! Она не в собственности у ЛПУ, а в пользовании, но это критический для ЛПУ элемент! Но в 187 ФЗ статья 2 пункт 8 написано строго -


"субъекты критической информационной инфраструктуры
государственные органы, государственные учреждения, российские
юридические лица и (или) индивидуальные предприниматели, которым на
праве собственности, аренды или на ином законном основании
принадлежат информационные системы, информационно-
телекоммуникационные сети, автоматизированные системы управления,
функционирующие в сфере здравоохранения, науки, транспорта, связи,
энергетики, банковской сфере и иных сферах финансового рынка,
топливно-энергетического комплекса, в области атомной энергии,
оборонной, ракетно-космической, горнодобывающей, металлургической и
химической промышленности, российские юридические лица и (или)
индивидуальные предприниматели, которые обеспечивают
взаимодействие указанных систем или сетей."

МИС ЛПУ не владеет, но на законных основаниях использует в своих целях на своих оборудованиях и с использованием своей сети. Какого либо доступа (безконтрольного) разработчик к МИС не имеет. Он выпускает изменения в МИС (в соответствии с нормативными актами региона и требованиями ЛПУ) и передает их в ЛПУ, а само ЛПУ производит установку и изменения!

Добавлять ли в данном случае в перечень объектов МИС, и как это аргументировать?

Заранее спасибо за ответ, с уважением Иван

1 комментирует...

Внесу поправочку - в лицензионном договоре написано, что право на МИС принадлежит разработчику, а у ЛПУ есть право на использование (запуск программы в конфигурации определенной разработчиком)

Сергей Борисов комментирует...

1: Не Борис а Сергей?

То о чем вы пишите, это стандартный лицензионный договор на ПО. Сейчас на всё серийное ПО такие же условия прописываются.

Но Информационная система (не равно) ПО.
Информационная система - это совокупность. Информация + информационные технологии + технические средства. Вы являетесь владельцем информации. Ваши технические средства. Ваши технологии обработки. Это ваша ИС.

Пока у вас есть право на использование всех компонентов ИС - вы ведете обработку законно.
Если у вас истечет право использования каких то компонентов, то вы будете вести обработку незаконно, но всё равно это ваша ИС.

Сергей Борисов комментирует...

И есть ещё такой формальный вариант из 149-ФЗ.
"2. Если иное не установлено федеральными законами, оператором информационной системы является собственник используемых для обработки содержащейся в базах данных информации технических средств, который правомерно пользуется такими базами данных, или
лицо, с которым этот собственник заключил договор об эксплуатации информационной системы."

1) Технических средств! не ПО.
2) правомерно пользуется базами данных информации - "обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам"

Вы (а не разработчик МИС) внесли информацию в систему, либо на основании договора оказания мед. услуг, получили право обрабатывать и обязанность защищать информацию. Ваши технические средства. Следовательно вы оператор ИС.

1 комментирует...

Извиняюсь, за ошибку! Тысячу извинений! Писал не только Вам но и другому блогеру. Было поздно, поэтому ошибся.

Спасибо за разъяснения!

Тимофей Коновалов комментирует...

Срок на утверждение перечня объектов КИИ – до 1 августа 2018 г.
Срок на проведение категорирования объектов КИИ – до 1 января 2019 г.

В итоговом принятом варианте ПП 127 остался только второй срок. Таким образом, несмотря на то, что обязанность по категорированию объектов КИИ установлена самим федеральным законом от 26.07.2017 № 187-ФЗ «О безопасности КИИ РФ», формально конкретный срок для утверждения перечня сейчас законодательно не утверждён?

Сергей Борисов комментирует...

Тимофей: вы похоже и сами в курсе что дата к которой нужно подготовить перечень объектов КИИ не установлена в ПП-127 или 187-ФЗ

Есть такая трактовка: в случае, когда в нормативном акте установлены обязанности и не установлена отсрочка или дата к которой нужно выполнить мероприятие, то обязанность выполнения возникает сразу после вступления в силу нормативного акта.

Кроме того, не забывайте, что определение перечня объектов КИИ - это не разовое действие. В первой статье я показывал цикл. У нас может появится новая система. Может оказаться что ранее какую то систему мы не относили к объектам КИИ, а теперь отнесли (изменилась критичность процесса).

Александр Владимирович комментирует...

Доброе утро.

Сергей, по поводу "Но Информационная система (не равно) ПО.
Информационная система - это совокупность. Информация + информационные технологии + технические средства. Вы являетесь владельцем информации. Ваши технические средства. Ваши технологии обработки. Это ваша ИС."
Насколько я понял разъяснения Елены Торбенко ФСТЭК (минуты 2:30 - 3:15 из видео), то если вся эта совокупность является собственностью одной организации, а используется другой ("хозяйствующей") организацией - то категорирование проводит собственник ИС, на основании информации, предоставленной "хозяйствующей" организацией ...
Как Вы считаете?

С уважением, Александр

Сергей Борисов комментирует...

Александр Владимирович, с считаю что случай описанный Еленой Торбенко это та ситуация, где оператор назначен официальным документом или договором. http://government.ru/docs/31565/

В таком случае владелец ИС знает что он владелец ИС и действительно обязан или сам провести категорирование или обязать оператора провести категорирование ИС.

Unknown комментирует...

Доброго времени суток!

Подскажите, нам ждать еще статей на эту тему?

Unknown комментирует...

"Одновременно с ним нужно подготовить письмо на начальника 2 управления ФСТЭК России (копию на руководителя Управления ФСТЭК России по вашему федеральному округу), приложением к которому необходимо приложить перечень объектов КИИ."

А откуда информация на кого именно отправлять перечень? Сопроводительное письмо допускается в произвольной форме?

Сергей Борисов комментирует...

Ещё статьи обязательно будут. Только далее уже более тяжелая информация

Про то, на кого отправлять: из презентаций и рекомендаций региональных управлений ФСТЭК, из писем ОГВ.
Формы сопроводительных писем не определены. Используйте стандартные правила деловой переписки с Гос. указывайте исполнителя и его контакты, чтобы с вами могли оперативно связаться. Не стесняйтесь позвонить в местный ФСТЭК перед отправкой письма.

666xXx666 ! комментирует...

Добрый день! А почему бухгалтерские, кадровые и т.п. ИС отбрасываем сразу, ведь практически на любом предприятии есть процессы с экономической значимостью, в которых используются эти ИС? Или эти процессы не являются критическими?

Сергей Борисов комментирует...

Смотрите часть 2 в цикле статей. Сразу мы ничего не отбрасывали.
Но
Сначала проводим оценку критичности процессов компании -> процессы которые оказались не критическими - отбрасываем. Я делал экспертную оценку для некой медицинской организации - там процессы бухгалтерии не попали в критические с точки зрения критериев оценки объектов КИИ. Возможно в вашем случае будет по-другому

Unknown комментирует...

Посмотрел форму категорирования (наименование ниже), у меня создается впечатление, что объектами являются не программы и АСУ, а деятельность учреждения (в моем случае медицина), т.е. в качестве объекта следует рассматривать совокупность ИС. Получаем 3 объекта: ИС, АСУ и внешние сети. Если по каждой программе такой объем бумаг делать, то это точно приведет к ущербу для бюджета РФ :)

Форма: Сведения о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий (Приказ ФСТЭК России от 22.12.2017 N 236)

Сергей Борисов комментирует...

Дробить на маленькие кусочки или объединять - это на усмотрение организации.
Но надо во всех документах придерживаться принятого определения и обозначения. Например назвали вы совокупность ваших ИСПДн как ИСПДн "ККБ1" (по названию организации). И далее во всех документах и описаниях используете такое обозначение. Это вполне допустимо.

Только не "внешние сети", а "локальные сети ККБ1", так как организация проводит категорирование только тех объектов, владельцем которых является

Дмитрий Бужор комментирует...

Добрый день!
Вопрос Сергею Борисову.
Сергей, подскажите, какие объекты КИИ можно включить в перечень (сфера деятельности здравоохранение, онкологический диспансер)
Спасибо!