КИИ. Категорирование объектов, часть 3
Продолжаем проводить
категорирование объекта КИИ на примере организации сферы здравоохранения. На
предыдущем этапе мы выявили критические процессы организации. Теперь определяем
объекты КИИ и отправляем их на согласование (этап простой и очевидный, но постараюсь добавить несколько полезных моментов)
3. Определение объектов КИИ
Продолжаем начатое на прошлых
этапах (а можно и совместить 1-3) общение с руководителями подразделений. Спрашиваем
какие ИС или АСУ обрабатывают информацию, необходимую для обеспечения выявленных
критических процессов, и (или) осуществляют управление, контроль или мониторинг
критических процессов.
Отдельно в ИТ подразделении
получаем полный перечень ИС (он должен был готовится в рамках мероприятий по
ПДн) и АСУ, совместно с ИТ выкидываем из перечня ИС, не связанные с
критическими процессами (как правило, кадровые, бухгалтерские, отчетность,
банк-клиенты).
В результате, того, что данные об
ИС и АСУ получены не из одного источника, гарантируется его большая
адекватность и актуальность.
(UPDATE) При формировании перечня АСУ, обращайте внимание на определение АСУ, данное в 187-ФЗ. Возможно придется вычеркнуть некоторые АСУ не подходящие под определение. Например, если в составе его нет программных средств, или если это АСУ управляется не технологическим или производственным оборудованием.
(UPDATE) При формировании перечня АСУ, обращайте внимание на определение АСУ, данное в 187-ФЗ. Возможно придется вычеркнуть некоторые АСУ не подходящие под определение. Например, если в составе его нет программных средств, или если это АСУ управляется не технологическим или производственным оборудованием.
Далее к
перечню объектов КИИ необходимо добавить информационно-телекоммуникационные
сети. Тут нет особого смысла дробить на маленькие кусочки. Указываем одним
пунктом – корпоративная сеть организации. Внешние защищенные сети, такие как
Защищенная сеть Минздрава РФ, Защищенная сеть Минздрава КК, Защищенная сеть
ТФОМС – не указываем, так как не являемся владельцами данных сетей.
3.а. Получившийся, предварительный, но ещё не утвержденный, перечень
объектов КИИ отправляем вышестоящему гос. органу (Минздрав субъекта РФ). По-хорошему,
отраслевые регуляторы должны публиковать порядок согласования с ними перечней,
но пока такого не замечено. Поэтому просто пишем письмо
“В соответствии с требованиями пункта 15 Правил категорирования
объектов критической информационной инфраструктуры Российской Федерации,
утвержденных Постановлением Правительства РФ от 8 февраля 2018 г. № 127
направляем Вам на согласование предварительный перечень объектов критической
информационной инфраструктуры нашей организации.”
и прикладываем перечень объектов
КИИ.
3.б. Минздрав субъекта РФ, посмотрит не забыли ли вы указать
какую-то систему, которую указали коллеги до вас. По-хорошему, они могли бы
предложить убрать системы, которые точно не будут критическими. Но в ближайшее
время этого делать никто не будет, так как информации недостаточно. И уже
озвучиваются вопросы типа “вдруг мы вычеркнем систему, а потом произойдет
инцидент и окажется что не надо было её вычеркивать”.
4. Утверждение перечня объектов КИИ
После согласования перечня с
отраслевым регулятором, готовим формальный документ с перечнем объектов и
отдаем его руководителю на утверждение. Одновременно с ним нужно подготовить
письмо на начальника 2 управления ФСТЭК России (копию на руководителя
Управления ФСТЭК России по вашему федеральному округу), приложением к которому
необходимо приложить перечень объектов КИИ.
И хотя форма перечня объектов КИИ
формально не утверждена, но на семинарах, в письмах и заседаниях ФСТЭК России
приводит различные “рекомендованные форматы”
например, такой
или такой
Если обобщать, то в целом
получается такая форма перечня (примеры объектов КИИ)
Наименование организации
|
Сфера деятельности
|
Наименование объекта КИИ
|
Планируемый срок категорирования
|
Адрес и контакты организации
|
ККБ №0
|
Здравоохранение
|
ИС:
"Электронная очередь"
"СОЦ-Лаборатория"
"Льготные рецепты"
"М-Аптека"
МИС "Самсон"
"Медкомтех"
"03"
"Экспресс-здоровье"
"Скрининг новорожденных"
"Высокозатратные нозологии"
"Регистр больных сахарным диабетом"
АРМ ПЦ ЛЛО
СК ИПРА
АСУ:
Автоматизированная система оперативного управления диспетчерской
службой скорой медицинской помощи
АСУ пожаротушением
АСУ рентген аппаратами
АСУ томографом
АСУ лучевой терапия
ИТС:
Корпоративная сеть ККБ №0
|
1 января 2019 г.
|
Руководитель – Иванов И.И.
(861)2790001
г. Краснодар, ул. Красная 1.
|
Несмотря, на то, что в ПП 127 не
установлены сроки на утверждение перечня объектов КИИ, есть решение Коллегии
ФСТЭК России от 24.04.2018 №59, в котором озвучены сроки, которые в свою
очередь доносятся на заседаниях по защите информации во всех субъектах РФ.
Пример протокола такого заседания
можно посмотреть тут.
Срок на утверждение перечня
объектов КИИ – до 1 августа 2018 г.
Срок на проведение
категорирования объектов КИИ – до 1
января 2019 г.
Комментарии
Исходными данными для категорирования служат сведения о взаимодействии с другими объектами КИИ, так что, я думаю их надо тоже указать
Что думаете по этому поводу?
Но при категорировании наших систем, мы укажем с какими внешними системами они взаимодействуют. Этого достаточно.
Другое дело, что по результатам категорирования, значимые объекты КИИ должны получиться только в Минздраве/МИАЦ и крупных ЦРБ.
тут надо исходить из того, владеют ли они какими либо системами, или это сегменты одной большой сети (типо КМИС) и оператор этой сети Минздрав.
"Другое дело, что по результатам категорирования, значимые объекты КИИ должны получиться только в Минздраве/МИАЦ и крупных ЦРБ."
А объекты без категории (не значимые) нужно в последствии подключать к СОПКЕ?
Если вы гос. учреждение, до вас донесут эту информацию вышестоящий ОГВ.
Если коммерческая компания, и вам не присылали официальных писем - рассматривайте это как рекомендацию
Спасибо за внимание.
То что аппарат МРТ представляет программно-аппаратный комплекс - никаких сомнений нет. Но он должен быть предназначен для "для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими оборудованием и процессами;". То есть, сам по себе аппарат МРТ не может являться АСУ, но он может входить в состав АСУ в качестве "исполнительного оборудования". Это уже надо смотреть по вашей конкретной ситуации.
1)
если на этих клиентских АРМ у вас осуществляется обработка информации, необходимую для обеспечения критических процессов, исключительно в клиентском программном обеспечении внешней ИС (расположенной в МИАЦ) и локально не хранится какая либо промежуточная информация - тогда вы эту систему не указываете, так как не являетесь владельцем ИС
2)
если вы сначала собираете информацию на локальных или сетевых дисках (например, в Excel), и делаете это регулярно, а только после этого передаете информацию в МИАЦ, тогда у вас по всем признакам локальная ИС, которую указывать в перечне и категорировать (хотя по результатам категорирования она скорее окажется без категории)
Определение АСУ из 187-ФЗ такое, что медицинское оборудование не особо под него подходит.
Я бы относил к АСУ такие системы в которых мед. оборудование подключено к сети и есть выделенный АРМ или сервер для управления.
Тогда у нас будет исполнительные устройства + программно-аппаратный комплекс предназначенный для управления.
Есть МО, в которых такое встречается. Например, в новом МЦЦ Согаз в Геленджике заявлено что все оборудование подключено в единую сеть, к которой в том числе возможен удаленный доступ для телемедицины. https://sogaz-clinic23.ru/publications/news/spetsialnyy-reportazh-telekanala-rossiya-24-ob-mmts-sogaz-g-gelendzhik-/
В ЛПУ развернута МИС. Развернута на собственных серверах и работает на собственной сети. Имеется разработчик, который обслуживает эту МИС. Он предоставляет лицензию на эксплуатацию МИС (без нее МИС не будет работать). НО сама МИС по документам принадлежит Разработчику - это прописано в договоре - МИС собственность разработчика.
Но для ЛПУ МИС - это основной инструмент, наравне с сетью, на которой МИС функционирует. То есть если не работает МИС или упала сеть-ЛПУ стоит - не работают врачи, экономисты, статисты, не формируются счета, нет записи на прием, нет ведения ИЭМК и все остальное-все стало!.
Вопрос: то что сеть - собственность ЛПУ, тут понятно, ее в список объектов КИИ подавать, а вот МИС?! Она не в собственности у ЛПУ, а в пользовании, но это критический для ЛПУ элемент! Но в 187 ФЗ статья 2 пункт 8 написано строго -
"субъекты критической информационной инфраструктуры
государственные органы, государственные учреждения, российские
юридические лица и (или) индивидуальные предприниматели, которым на
праве собственности, аренды или на ином законном основании
принадлежат информационные системы, информационно-
телекоммуникационные сети, автоматизированные системы управления,
функционирующие в сфере здравоохранения, науки, транспорта, связи,
энергетики, банковской сфере и иных сферах финансового рынка,
топливно-энергетического комплекса, в области атомной энергии,
оборонной, ракетно-космической, горнодобывающей, металлургической и
химической промышленности, российские юридические лица и (или)
индивидуальные предприниматели, которые обеспечивают
взаимодействие указанных систем или сетей."
МИС ЛПУ не владеет, но на законных основаниях использует в своих целях на своих оборудованиях и с использованием своей сети. Какого либо доступа (безконтрольного) разработчик к МИС не имеет. Он выпускает изменения в МИС (в соответствии с нормативными актами региона и требованиями ЛПУ) и передает их в ЛПУ, а само ЛПУ производит установку и изменения!
Добавлять ли в данном случае в перечень объектов МИС, и как это аргументировать?
Заранее спасибо за ответ, с уважением Иван
То о чем вы пишите, это стандартный лицензионный договор на ПО. Сейчас на всё серийное ПО такие же условия прописываются.
Но Информационная система (не равно) ПО.
Информационная система - это совокупность. Информация + информационные технологии + технические средства. Вы являетесь владельцем информации. Ваши технические средства. Ваши технологии обработки. Это ваша ИС.
Пока у вас есть право на использование всех компонентов ИС - вы ведете обработку законно.
Если у вас истечет право использования каких то компонентов, то вы будете вести обработку незаконно, но всё равно это ваша ИС.
"2. Если иное не установлено федеральными законами, оператором информационной системы является собственник используемых для обработки содержащейся в базах данных информации технических средств, который правомерно пользуется такими базами данных, или
лицо, с которым этот собственник заключил договор об эксплуатации информационной системы."
1) Технических средств! не ПО.
2) правомерно пользуется базами данных информации - "обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам"
Вы (а не разработчик МИС) внесли информацию в систему, либо на основании договора оказания мед. услуг, получили право обрабатывать и обязанность защищать информацию. Ваши технические средства. Следовательно вы оператор ИС.
Спасибо за разъяснения!
Срок на проведение категорирования объектов КИИ – до 1 января 2019 г.
В итоговом принятом варианте ПП 127 остался только второй срок. Таким образом, несмотря на то, что обязанность по категорированию объектов КИИ установлена самим федеральным законом от 26.07.2017 № 187-ФЗ «О безопасности КИИ РФ», формально конкретный срок для утверждения перечня сейчас законодательно не утверждён?
Есть такая трактовка: в случае, когда в нормативном акте установлены обязанности и не установлена отсрочка или дата к которой нужно выполнить мероприятие, то обязанность выполнения возникает сразу после вступления в силу нормативного акта.
Кроме того, не забывайте, что определение перечня объектов КИИ - это не разовое действие. В первой статье я показывал цикл. У нас может появится новая система. Может оказаться что ранее какую то систему мы не относили к объектам КИИ, а теперь отнесли (изменилась критичность процесса).
Сергей, по поводу "Но Информационная система (не равно) ПО.
Информационная система - это совокупность. Информация + информационные технологии + технические средства. Вы являетесь владельцем информации. Ваши технические средства. Ваши технологии обработки. Это ваша ИС."
Насколько я понял разъяснения Елены Торбенко ФСТЭК (минуты 2:30 - 3:15 из видео), то если вся эта совокупность является собственностью одной организации, а используется другой ("хозяйствующей") организацией - то категорирование проводит собственник ИС, на основании информации, предоставленной "хозяйствующей" организацией ...
Как Вы считаете?
С уважением, Александр
В таком случае владелец ИС знает что он владелец ИС и действительно обязан или сам провести категорирование или обязать оператора провести категорирование ИС.
Подскажите, нам ждать еще статей на эту тему?
А откуда информация на кого именно отправлять перечень? Сопроводительное письмо допускается в произвольной форме?
Про то, на кого отправлять: из презентаций и рекомендаций региональных управлений ФСТЭК, из писем ОГВ.
Формы сопроводительных писем не определены. Используйте стандартные правила деловой переписки с Гос. указывайте исполнителя и его контакты, чтобы с вами могли оперативно связаться. Не стесняйтесь позвонить в местный ФСТЭК перед отправкой письма.
Но
Сначала проводим оценку критичности процессов компании -> процессы которые оказались не критическими - отбрасываем. Я делал экспертную оценку для некой медицинской организации - там процессы бухгалтерии не попали в критические с точки зрения критериев оценки объектов КИИ. Возможно в вашем случае будет по-другому
Форма: Сведения о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий (Приказ ФСТЭК России от 22.12.2017 N 236)
Но надо во всех документах придерживаться принятого определения и обозначения. Например назвали вы совокупность ваших ИСПДн как ИСПДн "ККБ1" (по названию организации). И далее во всех документах и описаниях используете такое обозначение. Это вполне допустимо.
Только не "внешние сети", а "локальные сети ККБ1", так как организация проводит категорирование только тех объектов, владельцем которых является
Вопрос Сергею Борисову.
Сергей, подскажите, какие объекты КИИ можно включить в перечень (сфера деятельности здравоохранение, онкологический диспансер)
Спасибо!