КИИ. Системы “распределенные” по нескольким участникам


Есть объекты КИИ (ИС, АСУ или ИТС) для которых пользователи, оператор или владелец – это разные организации. Такие объекты в рамках данной статьи буду называть Распределенными системами. Разнообразны варианты Распределённых систем, давайте посмотрим на примеры некоторых из них:
·         ЕГИСЗ: владелец - Минзрав РФ, основной оператор – Минздрав РФ, но привлекаются также иные организации, пользователи – медицинские организации
·         Региональные МИС: владельцы и операторы региональных сегментов – региональные Минздравы, МИАЦ, ЦИТ, комитеты по информатизации или иные операторы, пользователи – медицинские организации
·         Госзакупки: владелец – Федеральное казначейство, пользователи – гос. органы и учреждение, в том числе сферы здравоохранения (для закупки лекарственных средств)  
·         ДБО: владелец – банк, пользователи – клиенты банка
·         Диспетчерские системы, например в сфере энергетики: владелец – РДУ; пользователи – энергетические компании
·         Какое-то облачное приложение: владелец и пользователь – организация 1, оператор облачного серверов / оператор приложения – организация 2

Так вот, оказалось, что для Распределенных систем нельзя установить простые правила: кто должен включать такие системы в Перечень объектов КИИ? кто должен проводить категорирование? кто моделировать угрозы и создавать систему безопасности?

ФСТЭК попытались решить просто, но даже в рамках одного мероприятия SOC Forum, получилось что на докладе по практике категорирования КИИ говорят одно, а на диалоге с Регулятором вынуждены отвечать прямо противоположное. На встрече с блогерами говорили одно, а после рассмотрения частных примеров получается прямо противоположное.

Раз простые правила не подходят, давайте попробуем сформулировать хотя бы подходы к сложным правилам. Но для начала разберемся почему вообще возникла идея что для пользователей или операторов Распределенных систем возникают какие-то обязанности в части категорирования и обеспечения безопасности объектов КИИ? Смотрим на определение субъекта КИИ из 2 статьи 187-ФЗ и пункта 2 ПП РФ №127:



И на правильную трактовку “законного основания” и видим, что сюда попадают как пользователи как и операторы.

Такой подход позволяет ФСТЭК обеспечить, что в реестр значимых объектов КИИ попадут все нужные объекты, даже если их владельцы или операторы не попадают в сферу КИИ. С другой стороны, пользовали могут вообще ничего не знать о Распределенной системе, для них она может быть черным ящиком. При рассмотрении многих конкретных примеров, оказывается что системы пользователей не надо включать в Перечень.

А теперь рекомендованный подход:
1.       Вы являетесь субъектом КИИ, в вашей организации выявлен Критический процесс из сферы КИИ, Распределенная система обрабатывает информацию такого процесса, а вы не являетесь владельцем Распределенной системы

2.       Распределенная система выполнены ВСЕ следующие условия:
·         в вашем ведении отсутствуют серверные компоненты
в случае если на вашей стороне достаточно сложный сегмент, владелец или оператор системы не всегда смогут оценить возможный ущерб, поэтому оценка с вашей стороны может быть полезной
·         для работы вашей организации не используется эта Распределенная система (например данные предоставляются для отчетности вышестоящей организации) или вы самостоятельно не определяете для чего используется Распределенная система (то, что вы делаете в системе строго регламентировано инструкциями, порядками и другими НПА)
если вы самостоятельно придумали как вы будете использовать данную систему, то кроме вас никто не сможет правильно оценить возможный ущерб от инцидента с данной системой
·         ваша организация не единственный пользователь Распределенной системы
если вы единственный пользователь системы - то скорее всего кроме вас никто не сможет правильно оценить возможный ущерб от инцидента с данной системой
·         вы точно знаете, что владелец ИС – занимается деятельности в сферах КИИ, а соответственно является субъектом КИИ
если владелец и оператор не являются субъектами КИИ, они не будут проводить категорирование объектов КИИ и соответственно данная ИС, возможно значимый объект КИИ, будет упущена и останется не защищенной
3.       Тогда можно не включать эту Распределённую систему в Перечень объектов КИИ
иначе
3.       В рабочем порядке спросить otd25 ФСТЭК России, стоит ли включать данную систему в ваш Перечень объектов КИИ указав все подробности
4.       Если Распределенная система не была включена в ваш перечень объектов КИИ, значит у неё гарантировано есть иной владелец, и он проводит категорирование данной системы. Вы можете ждать от него требований по обеспечению безопасности или самостоятельно запросить была ли отнесена данная система к значимым объектам КИИ и предъявляются ли какие то требования к вам как к пользователю.   

В дальнейшем, на сколько мне известно, проблема с "Распределенными" системами будет прорабатываться более детально и в новой версии ПП 127 можно ожидать каких-то уточнений по этой части


Комментарии

Отправить комментарий

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Изображение
Как показывает практика, немногие организации помнят и руководствуются приказом ФАПСИ (правопреемником которой является ФСБ России) от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну ". А ведь Инструкция является обязательной при использовании сертифицированных СКЗИ для обеспечения безопасности информации ограниченного доступа (подлежащей защите в соответствии с законодательством РФ).     А это ПДн, все виды тайн, ГИСы, НПСы, будущие КИИ. С 2008 по 2012 год для ПДн действовало послабление в виде “Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обесп
Далее...

КИИ. ОКВЭД vs 187-ФЗ

Все ещё одним из наиболее часто задаваемых вопросов про КИИ является: попадаем ли мы в сферы 187-ФЗ?   Например, если мы школа или учреждение соц. защиты. Чтобы ответить на этот вопрос в первую очередь рекомендуется посмотреть на коды ОКВЭД вашей организации и сравнить с кодами ОКВЭД в которые попадают сферы и отрасли из 187-ФЗ. Если по каким -то причинам вам это было сложно сделать, то специально в честь наступающего праздника я сделал это за Вас. Пользуйтесь :     Также табличка может быть полезна регуляторам чтобы оценить объем организаций подпадающих под законодательство 187-ФЗ.
Далее...

Модель угроз безопасности клиента финансовой организации

Изображение
  Уже более 2 месяцев как вступил в силу методический документ ФСТЭК по моделированию угроз, а ни одного публичного примера модели угроз информационной безопасности сообществом не было опубликовано. Как мы обсуждали на межблогерском вебинаре по моделированию угроз ИБ , такой пример мог бы сильно помочь ответственным лицам, обязанным руководствоваться данной методикой. Пример модели угроз обещал сделать Алексей Лукацкий, но пока у него получилась серия публикаций про проблемы моделирования и примера ещё нет. В УЦСБ в рамках услуг по моделированию угроз, коллеги уже провели необходимую аналитику и подготовили внутренние средства автоматизации для разработки МУ, что уже говорит о возможности моделирования угроз по новой Методике.  К последнему межблогерскому вебинару по безопасности клиентов финансовых организаций я решил проверить насколько адекватной получится модель угроз для типового сегмента клиента ФО (а для данной статьи ещё и обновил графическое оформление). Давайте посмот
Далее...