понедельник, 4 июня 2018 г.

И снова про "процессы" в КИИ

      

     При обсуждении предложенного мной алгоритма категорирования для субъекта КИИ https://valerykomarov.blogspot.com/2018/05/blog-post_30.html в Фейсбуке, возникла очень острая дискуссия. Мои оппоненты выдвинули два тезиса:
1. Определять обьекты необходимо "от процессов",а не от инвентаризации ИС.
2. Не все ИС требуют категорирования, а только  те, "которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов".

     Если по крупному, то спор идет из-за разного подхода ФСТЭК (авторы ПП127) и ФСБ (авторы 187-ФЗ) к защите критической информационной инфраструктуры страны. Но ПП127 подзаконный акт и находится в подчиненном положении к 187-ФЗ. И все сомнения трактуются в пользу определений закона, а не постановлений правительства.
     Начнем с главного, с полномочий Правительства РФ по 187-ФЗ:
Статья 6. Полномочия Президента Российской Федерации и органов государственной власти Российской Федерации в области обеспечения безопасности критической информационной инфраструктуры

2. Правительство Российской Федерации устанавливает:1) показатели критериев значимости объектов критической информационной инфраструктуры и их значения, а также порядок и сроки осуществления их категорирования;
Статья 7. Категорирование объектов критической информационной инфраструктуры4. Субъекты критической информационной инфраструктуры в соответствии с критериями значимости и показателями их значений, а также порядком осуществления категорирования присваивают одну из категорий значимости принадлежащим им на праве собственности, аренды или ином законном основании объектам критической информационной инфраструктуры. Если объект критической информационной инфраструктуры не соответствует критериям значимости, показателям этих критериев и их значениям, ему не присваивается ни одна из таких категорий.
    Итог: Правительство РФ не имеет законных оснований уточнять или определять "объект КИИ". Более того, 187-ФЗ прямо указывает единственный критерий "принадлежащим им на праве собственности, аренды или ином законном основании объектам критической информационной инфраструктуры", который учитывается при категорировании- собственность.
     Тем более таких полномочий нет у ФСТЭК. И регулятором они являются только в части:
8. В случае, если федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, выявлены нарушения порядка осуществления категорирования и (или) объекту критической информационной инфраструктуры, принадлежащему на праве собственности, аренды или ином законном основании субъекту критической информационной инфраструктуры, неправильно присвоена одна из категорий значимости и (или) необоснованно не присвоена ни одна из таких категорий и (или) субъектом критической информационной инфраструктуры представлены неполные и (или) недостоверные сведения о результатах присвоения такому объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, в десятидневный срок со дня поступления представленных сведений возвращает их в письменном виде субъекту критической информационной инфраструктуры с мотивированным обоснованием причин возврата.

     Про процессы я уже писал ранее:

     Итог: Процессы определяет только субъект КИИ. Для того, что бы организация поняла является ли она субъектом КИИ, ей необходимо выявить у себя объекты КИИ (такова логика 187-ФЗ). Поэтому, сначала инвентаризация ИС и определение сфер деятельности,в которых они функционируют. И только потом - решение о выполнение ПП127, в том числе и определение процессов. Но не наоборот. Сначала 187-ФЗ и только потом - ПП127.

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

10 комментариев:

  1. Полностью поддержива. Это надо золотыми буквами выбить.

    ОтветитьУдалить
  2. А как Вы считаете, ИСПДн на атомной электростанции в какой сфере функционирует? И относить её к объектам КИИ или нет? А ИСПДн института транспорта? Она в сфере науки или в сфере транспорта функционирует? Она - объект КИИ?

    ОтветитьУдалить
  3. Обработка персональных данных мне ничего не говорит о сфере функционирования самой ИС. Если, это ИСПДн для обеспечения пропускного режима, контроля учета доз, электронного документооборота, бухгалтерии, то относить. По институту транспорта возможны разные варианты: в основном будут к науке относится, но ИСПДН по автопарку (оформление путевых листов и т.д.) может и в сферу транспорта попасть, а ИСПДн с результатами медицинских обследований перед рейсом и в здравоохранение.

    ОтветитьУдалить
  4. Этот комментарий был удален автором.

    ОтветитьУдалить
  5. Этот комментарий был удален автором.

    ОтветитьУдалить
  6. Добрый день Валерий. Вопрос к Вам следующий.

    В ЛПУ развернута МИС. Развернута на собственных серверах и работает на собственной сети. Имеется разработчик, который обслуживает эту МИС. Он предоставляет лицензию на эксплуатацию МИС (без нее МИС не будет работать). НО сама МИС по документам принадлежит Разработчику - это прописано в договоре - МИС собственность разработчика.

    Но для ЛПУ МИС - это основной инструмент, наравне с сетью, на которой МИС функционирует. То есть если не работает МИС или упала сеть-ЛПУ стоит - не работают врачи, экономисты, статисты, не формируются счета, нет записи на прием, нет ведения ИЭМК и все остальное-все стало!.

    Вопрос: то что сеть - собственность ЛПУ, тут понятно, ее в список объектов КИИ подавать, а вот МИС?! Она не в собственности у ЛПУ, а в пользовании, но это критический для ЛПУ элемент! Но в 187 ФЗ статья 2 пункт 8 написано строго -


    "субъекты критической информационной инфраструктуры
    государственные органы, государственные учреждения, российские
    юридические лица и (или) индивидуальные предприниматели, которым на
    праве собственности, аренды или на ином законном основании
    принадлежат информационные системы, информационно-
    телекоммуникационные сети, автоматизированные системы управления,
    функционирующие в сфере здравоохранения, науки, транспорта, связи,
    энергетики, банковской сфере и иных сферах финансового рынка,
    топливно-энергетического комплекса, в области атомной энергии,
    оборонной, ракетно-космической, горнодобывающей, металлургической и
    химической промышленности, российские юридические лица и (или)
    индивидуальные предприниматели, которые обеспечивают
    взаимодействие указанных систем или сетей."

    МИС ЛПУ не владеет, но на законных основаниях использует в своих целях на своих оборудованиях и с использованием своей сети. Какого либо доступа (безконтрольного) разработчик к МИС не имеет. Он выпускает изменения в МИС (в соответствии с нормативными актами региона и требованиями ЛПУ) и передает их в ЛПУ, а само ЛПУ производит установку и изменения!

    Добавлять ли в данном случае в перечень объектов МИС, и как это аргументировать?

    в лицензионном договоре написано, что право на МИС принадлежит разработчику, а у ЛПУ есть право на использование (запуск программы в конфигурации определенной разработчиком)

    Заранее спасибо за ответ, с уважением Иван

    ОтветитьУдалить
    Ответы
    1. Соглашусь с ответом Сергея Борисова. У вас есть полноценная ИС, в которой используется лицензированное ПО.

      Удалить
  7. Добрый уважаемый Валерий.

    Возник вопрос следующего характера.

    В ЛПУ имеется собственная МИС (медицинская информационная система), которая функционирует в лпу и для лпу является важным, точнее критическим объектом. Мы ее подаем в список объектов кии. Но так же в лпу есть собственная, замечу именно собственная, ЛВС, на которой функционирует МИС. МИС клиент-серверная. Основная часть на сервере, остальное-подключаемые клиенты. Вопрос, подавать ли отдельно в список объектов кии сеть?! Или подавать в совокупности с МИС?!

    Если брать 149ФЗ, то
    3) информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;
    4) информационно-телекоммуникационная сеть - технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники;

    МИС - это сервер и развернутая бд, а клиенты - это АРМ.
    То есть имеется ИС- 3 и сеть с клиентами - 4

    187ФЗ статья 2

    7) объекты критической информационной инфраструктуры - информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры;

    Получается подаем и МИС и ИТС?!

    Правильно ли я понимаю?

    Заранее спасибо за разъяснения, с уважением Иван

    ОтветитьУдалить
    Ответы
    1. 187-ФЗ сформулирован так, что у субъекта КИИ все ИС являются объектами КИИ. Все зависит от того, что у вас в организации по бумагам на ДВС оформлено и как она на балансе стоит. Думаю, что проще подходить по аналогии с ГИС/ИСПДн. Если бы вы проводили аттестацию МИС по 17/21 приказам ФСТЭК,то ЛВС бы попадала в техпаспорт МИС.

      Удалить