понедельник, 22 октября 2018 г.

Подсказки по выполнению 187-ФЗ. План действий



     Время, отведенное ФСТЭК и ФСБ на организацию выполнения требований 187-ФЗ истекает, решил сделать цикл заметок в помощь потенциальным субъектам КИИ.
      Важно: Данные материалы отражают мою личную позицию и требуют обязательного критического отношения при их рассмотрении. Любое конструктивное обсуждение, предложения и замечания приветствуется.


Часть.2 Планирование
                                                                                                                     Чтобы выполнить большой и важный труд,                                                                                                                    необходимы две вещи: ясный план и                                                                                                                                          ограниченное время.
                                                                                                                                                                     Элберт Хаббард



План мероприятий
по обеспечению безопасности объектов КИИ




№ п\п
Мероприятие
Уч-ки
Срок
Посл-ть
Основание
Результат
Прим-е
1
Создание Комиссии по учету и категорированию КИИ
1.1.
Разработка положения о Комиссии КИИ



Проект Положения о  комиссии КИИ
-
1.2.
Определение персонального состава Комиссии КИИ 



п.11 ПП РФ от 08.02.2018 №127[1]
Проекты приказов о назначении персонального состава комиссии по категорированию КИИ

1.3.
Утверждение Приказа о Комиссии КИИ и Положения 


после выполнения п.1.1 и 1.2
п.11 ПП РФ от 08.02.2018 №127
Создана Комиссии КИИ
-
2
Учет объектов КИИ
2.1.
Определение ИС/АСУ/ИКТС, которые на праве собственности, аренды или на ином законном основании принадлежат принадлежащих организации
Комиссия КИИ;


после выполнения п.1.3
п.14 ПП РФ от 08.02.2018 №127
Реестр ИС
-
2.2.
Определение сфер деятельности организации,
автоматизированными каждой ИС/АСУ/ИКТС, определенной по результатам выполнения п. 2.1
Комиссия КИИ;


после выполнения п.2.1
п.14 ПП РФ от 08.02.2018 №127
Перечень сфер деятельности
-
2.3.
Изучение и анализ сфер деятельности организации, определенных по результатам выполнения п.2.2, с целью определения процессов, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры.
Комиссия КИИ;


после выполнения п.2.2
п.14 ПП РФ от 08.02.2018 №127
Перечень процессов
-
2.4.
Изучение и анализ сфер деятельности организации, определенных по результатам выполнения п.2.3, с целью определения критичных процессов
Комиссия КИИ;


после выполнения п.2.3
п.14 ПП РФ от 08.02.2018 №127
Перечень критических процессов
-
2.5.
Формирование проектов Перечней объектов КИИ в организации
Комиссия КИИ;


после выполнения п.2.3
п.14 ПП РФ от 08.02.2018 №127
Проект Перечней объектов КИИ
-
2.6.
Рассмотрение проектов Перечней объектов КИИ на заседаниях Комиссий КИИ организации
Комиссия КИИ

после выполнения п.2.3

Откорректированные Перечни объектов КИИ
-
2.7.
Направление на согласование в ….. проектов Перечней объектов КИИ организации


после выполнения п.2.6
п.15 ПП РФ от 08.02.2018 №127
Перечни объектов КИИ согласованы с …..
Этап для подведомственных организаций
2.8.
Утверждение согласованных проектов Перечней объектов КИИ


после выполнения п.2.7
п.15 ПП РФ от 08.02.2018 №127
Утвержденный Перечень объектов КИИ, подлежащих категорированию
-
2.9.
Уведомление ФСТЭК России о Перечнях объектов КИИ


после выполнения п.2.8
п.15 ПП РФ от 08.02.2018 №127
Исходящее письмо во ФСТЭК России
Уведомление ФСТЭК России должно быть   осуществлено в течение 5 рабочих дней со дня утверждения перечня
3
Категорирование[2] объектов КИИ
3.1.
Определение категории значимости каждого объекта КИИ согласно утвержденным Перечням объектов КИИ
Комиссия КИИ


после выполнения п.2.8
п.14 ПП РФ от 08.02.2018 №127
Протокол оценки значимости объектов КИИ

3.2.
Создание акта присвоения категории значимости объекту КИИ
Комиссия КИИ;


после выполнения п.3.1
п.16 ПП РФ от 08.02.2018 №127
Проекты актов категорирования объектов КИИ

3.3.
Подготовка уведомления ФСТЭК России о результатах категорирования (присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий)
Комиссия КИИ;


после выполнения п.3.1
п.18 ПП РФ от 08.02.2018 №127
Проекты форм уведомления

3.4.
Утверждение актов 
Ген
директор

после выполнения п.3.2
п.16 ПП РФ от 08.02.2018 №127
Акты категорирования объектов КИИ

3.5.
Направление во ФСТЭК России уведомления о результатах категорирования объектов КИИ


после выполнения п.3.4
п.17 ПП РФ от 08.02.2018 №127
Исходящие письма в ФСТЭК России о результатах категорирования объектов КИИ
Уведомление ФСТЭК России должно быть   осуществлено в течение в течение 10 дней со дня утверждения акта.

4
Управление[3] инцидентами (УИ)
4.1.
Разработка Регламента УИ


параллельно с п.1
- ст. 9 187-ФЗ
- мера ИНЦ.0 приказа ФСТЭК России от 25.12.2017 №239[4]
Проект Регламента УИ
-
4.2.
Утверждение Регламента УИ


после выполнения п.4.1
ст. 9 187-ФЗ
Регламент УИ
-
4.3.
Определение персонального состава участников процесса УИ, а также их назначение нормативным актом по организации


после выполнения п.4.2 и п.2.8
ст. 9 187-ФЗ
Приказ о назначении участников процесса УИ
После утверждения перечня объектов КИИ, т.к. выявление инцидентов ИБ должно осуществляться в отношении всех объектов КИИ (вне зависимости от результатов категорирования)
4.4
Непрерывный мониторинг и выявление компьютерных инцидентов
Участники процесса УИ

после выполнения п.4.3 и п.5.2
ст. 9 187-ФЗ
приказ ФСБ от 24.07.2018 №367
Отчетность по компьютерным инцидентов
Создание подсистемы мониторинга и выявления компьютерных инцидентов осуществляется в рамках п. 5 настоящего Плана
4.5
Уведомление ФСБ России об компьютерных инцидентах ИБ, выявленных в отношении объектов КИИ не являющихся значимыми, по электронной почте
Участники процесса УИ


после выполнения п.4.3 и п.5.2
ст. 9 187-ФЗ
приказ ФСБ от 24.07.2018 №367
Исходящие письма в ФСБ России
Данный способ уведомления может осуществляться только для объектов КИИ, не являющихся значимыми, в том числе, без их подключения к ГосСОПКА. 
Подключение к ГосСОПКА осуществляется в добровольном порядке по решению субъекта КИИ.
4.6
Уведомление НКЦКИ об компьютерных инцидентах ИБ, выявленных в отношении значимых объектов КИИ с использованием ГосСОПКА
- Участники процесса УИ
На постоянной основе
после выполнения п.4.4 и п.5.4
ст. 9 187-ФЗ
приказ ФСБ от 24.07.2018 №367
Формы автоматизированного уведомления
Данный способ уведомления должен осуществляться в обязательном порядке для всех значимых объектов КИИ.
Выполнение субъектом КИИ обязанности уведомления вступило в законную силу с 01.01.2018 г., но может быть реализована только с момента внесения объекта КИИ в Реестр ФСТЭК.
Подключение системы безопасности значимых объектов КИИ к ГосСОПКА осуществляется в рамках п. 5 настоящего Плана.
4.7
Разработка Регламента взаимодействия при реагировании на компьютерные инциденты и принятии мер по ликвидации последствий компьютерных атак 
-
НКЦКИ

после выполнения п.3.2
п.8 Порядка[5] информирования ФСБ России о компьютерных инцидентах
Проект Регламента взаимодействия при реагировании на компьютерные инциденты и принятии мер по ликвидации последствий компьютерных атак
Регламент применяется только в отношении значимых объектов КИИ.

4.8
Согласование Регламента взаимодействия при реагировании на компьютерные инциденты и принятии мер по ликвидации последствий компьютерных с 8 Центром ФСБ России
 8 Центр ФСБ России


после выполнения п.4.7
п.8 Порядка информирования ФСБ России о компьютерных инцидентах
Согласованный проект Регламента взаимодействия при реагировании на компьютерные инциденты и принятии мер по ликвидации последствий компьютерных атак
-
4.9
Утверждение Регламента взаимодействия при реагировании на компьютерные инциденты и принятии мер по ликвидации последствий компьютерных атак
Ген
директор

после выполнения п.4.8

- Утвержденный Регламент взаимодействия при реагировании на компьютерные инциденты и принятии мер по ликвидации последствий компьютерных атак
- Приказ о назначении ответственного за взаимодействие с НКЦКИ
Регламент должен быть утвержден только при наличии у субъекта КИИ  значимых объектов КИИ
4.10
Разработка Плана реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак



после выполнения п.4.9
п.6 Порядка информирования ФСБ России о компьютерных инцидентах
Проект План реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак

4.11
Утверждение Плана реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак
Ген
директор

после выполнения п.4.10

- Утвержденный План реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак
- Приказ о назначении ответственных за выполнение Плана

4.12
Корректировка Плана реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак


после выполнения п.7.11
п.7 Порядка информирования ФСБ России о компьютерных инцидентах
Актуальный План реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак
Осуществляется по результатам проведения тренировок по реагированию на компьютерные атаки (п.7.13)
4.13
Информирование НКЦКИ о результатах мероприятий по реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак
Ответственный за взаимодействие с НКЦКИ

после выполнения п.3.4
п. 13 Порядка информирования ФСБ России о компьютерных инцидентах
Исходящие письма в НКЦКИ
Информирование должно быть осуществлено не позднее 48 часов с момента завершения мероприятий и только в отношении значимых объектов КИИ.

5
Создание и модернизация системы безопасности значимых объектов КИИ
5.1
Проектирование (разработка) систем безопасности значимых объектов КИИ


после выполнения п.3.1
- ст. 10 187-ФЗ;
- п.8 приказа ФСТЭК России от 21.12.2017 № 235[6];
- п.2 приказа ФСТЭК России от 25.12.2017 №235;
- приказ ФСТЭК России от 25.12.2017 №239
Документы техно-рабочего проекта по созданию систем безопасности
-
5.2
Внедрение систем безопасности значимых объектов КИИ

после выполнения п.5.1
- ст. 10 187-ФЗ;
- п.8 приказа ФСТЭК России от 21.12.2017 № 235
- п.12.7 приказа ФСТЭК России от 25.12.2017 №239
- Акты монтажа и настройки СЗИ;
- Программа предварительных испытаний;
- Акт и Протокол проведения предварительных испытаний;
- Акт ввода в опытную эксплуатацию;
Журнал проведения опытной эксплуатации;
- Эксплуатационная документация (в части обеспечения безопасности);
- Организационно-распорядительная документация по безопасности
-
5.3
Аттестация систем безопасности значимых объектов КИИ


после выполнения п.5.2
- п.10 приказа ФСТЭК России от 21.12.2017 № 235
- Программа и методика испытаний;
- Протокол проведения испытаний;
- Заключение;
- Аттестат соответствия;
Результаты анализа уязвимостей и принятия мер по их устранению;
- Акт ввода в промышленную безопасность
-
5.4
Подключение систем безопасности значимых объектов КИИ к ГосСОПКА


после выполнения п.3.1
ст. 9 187-ФЗ
- Акт подключения
- Согласие НКЦКИ на установку средств ГосСОПКА
- Приказ о назначении лиц, ответственных за эксплуатацию средств ГосСОПКА
- Проектная документация по установке средств ГосСОПКА (места размещения, схемы электроснабжения, пояснительная записка и т.д.)
- Эксплуатационная документация на средства ГосСОПКА
Субъект КИИ после приема в эксплуатацию средств информирует об этом НКЦКИ
5.5
Модернизация (совершенствование) систем безопасности значимых объектов КИИ


после выполнения п.5.3
п.37 приказа ФСТЭК России от 21.12.2017 № 235
- План модернизации
Осуществляется по результатам выполнения п. 7 настоящего Плана
6
Повышение уровня знаний работников предприятия по безопасности значимых объектов КИИ
6.1
Разработка Регламента повышений уровня знаний


параллельно с п.1
- п.15, 16 приказа ФСТЭК России от 21.12.2017 № 235;
- мера ИПО.0  приказа ФСТЭК России от 25.12.2017 №239
- Проект Регламента повышений уровня знаний
-
6.2
Утверждение Регламента повышений уровня знаний
Ген
директор

после выполнения п.6.1

- Утвержденный Регламент повышений уровня знаний
-
6.3
Определение персонального состава участников процесса
повышения уровня знаний


после выполнения п.6.2 и п.3.4
п.15, 16 приказа ФСТЭК России от 21.12.2017 № 235
- Приказ о назначении участников процесса повышения уровня знаний

6.4
Формирование Плана проведения мероприятий по повышению уровня знаний


после выполнения п.6.3
п.15, 16 приказа ФСТЭК России от 21.12.2017 № 235
- Проект Плана проведения мероприятий по повышению уровня знаний
-
6.5
Утверждение Плана проведения мероприятий по повышению уровня знаний
Ген
директор

после выполнения п.6.4
п.15, 16 приказа ФСТЭК России от 21.12.2017 № 235
- План проведения мероприятий по повышению уровня знаний
-
6.6
Проведение мероприятий по повышению уровня знаний
Участники процесса

после выполнения п.6.5
п.15, 16 приказа ФСТЭК России от 21.12.2017 № 235
- Протоколы и журналы учета мероприятий по повышению уровня знаний

7
Внутренний контроль значимых объектов КИИ
7.1.
Разработка Регламента аудита ИБ

параллельно с п.1
п.36 приказа ФСТЭК России от 21.12.2017 № 235
- Проект Регламента аудита ИБ
-
7.2
Утверждение Регламента аудита ИБ
Ген
директор

после выполнения п.7.1
п.36 приказа ФСТЭК России от 21.12.2017 № 235
- Регламент аудита ИБ
-
7.3
Определение персонального состава участников процесса аудита ИБ


после выполнения п.7.2 и п.3.4
п.36 приказа ФСТЭК России от 21.12.2017 № 235
- Приказ о назначении участников процесса аудита ИБ и комиссии

7.4
Формирование Программы проведения аудитов ИБ



после выполнения п.7.3
п.36 приказа ФСТЭК России от 21.12.2017 № 235
- Проект Программы проведения аудитов ИБ

7.5
Утверждение Программы проведения аудитов ИБ


после выполнения п.7.4
п.36 приказа ФСТЭК России от 21.12.2017 № 235
- Программа проведения аудитов ИБ
-
7.6
Проведение аудита ИБ


после выполнения п.7.5
п.36 приказа ФСТЭК России от 21.12.2017 № 235
- Планы проведения аудитов ИБ;
- Протоколы проведения аудитов ИБ;
Акты проведения аудитов ИБ

7.7
Формирование плана устранения выявленных несоответствий и уязвимостей


после выполнения п.7.6

- Планы корректирующих и превентивных мероприятий

7.8
Устранение выявленных несоответствий и уязвимостей


после выполнения п.7.7

- Протоколы и акты устранения

7.9
Разработка Плана тренировок по отработке мероприятий Плана реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак


после выполнения
п.4.12
п.7 Порядка информирования ФСБ России о компьютерных инцидентах
Проект Плана тренировок по отработке мероприятий

7.10
Утверждение Плана тренировок по отработке мероприятий
Ген директор

после выполнения
п.7.9

- План тренировок по отработке мероприятий
- Приказ о назначении ответственных за выполнение Плана
-
7.11
Проведение мероприятий Плана тренировок по отработке мероприятий


после выполнения
п.7.10
п.7 Порядка информирования ФСБ России о компьютерных инцидентах
Отчеты о результатах

7.12
Разработка предложений по корректировке Плана реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак


после выполнения
п.7.11
п.7 Порядка информирования ФСБ России о компьютерных инцидентах
Перечень предложений
-
8
Обеспечение бесперебойной эксплуатации значимых объектов КИИ
8.1
Разработка Плана мероприятий по обеспечению безопасности в случаи нештатных ситуаций


после выполнения п.3.1
- п.13.6 приказа ФСТЭК России от 25.12.2017 №239
Проект Плана мероприятий по обеспечению безопасности в случаи нештатных ситуаций
-
8.2
Утверждение Плана мероприятий по обеспечению безопасности в случаи нештатных ситуаций
Ген
директор

после выполнения п.8.1

- План мероприятий по обеспечению безопасности в случаи нештатных ситуаций
- Приказ о назначении ответственных за выполнение Плана
-
8.3
Разработка Порядка анализа возникших нештатных ситуаций


после выполнения п.3.1
- п.13.6 приказа ФСТЭК России от 25.12.2017 №239
Проект Порядка анализа возникших нештатных ситуаций
-
8.4
Утверждение Порядка анализа возникших нештатных ситуаций
Ген
директор

после выполнения п.8.4

Порядок анализа возникших нештатных ситуаций
-
8.5
Разработка Программы обучения и тренировки персонала на случай действий при нештатных ситуациях


после выполнения п.3.1
- п.13.6 приказа ФСТЭК России от 25.12.2017 №239
Проект Программы обучения и тренировки персонала на случай действий при нештатных ситуациях
-
8.6
Утверждение Программы обучения и тренировки персонала на случай действий при нештатных ситуациях
Ген директор

после выполнения п.8.6

Программа обучения и тренировки персонала на случай действий при нештатных ситуациях
-
8.7
Разработка Политики обеспечения действий в нештатных ситуациях


после выполнения п.3.1
мера ДНС.0  приказа ФСТЭК России от 25.12.2017 №239
Проект Политики обеспечения действий в нештатных ситуациях
-
8.8
Утверждение Политики обеспечения действий в нештатных ситуациях
Ген
директор

после выполнения п.8.8

Политика обеспечения действий в нештатных ситуациях
-






[1] Постановление Правительства РФ от 08.02.2018 №127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений"
[2] п.15 ПП РФ от 08.02.2018 №127: максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом КИИ перечня объектов КИИ
[3] Осуществляется как в отношении значимых объектов КИИ, так и в отношении объектов КИИ не являющимися таковым
[4] Приказ ФСТЭК России от 25.12.2017 №239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»
[5] Опубликованный проект приказа ФСБ России «Об утверждении порядка информирования федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, о компьютерных инцидентах, реагировании на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов КИИ»
[6] Приказ ФСТЭК России от 21.12.2017 № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования»

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.


** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

8 комментариев:

  1. Мне кажется, что в предложенном Плане мероприятий не прослеживается связи между критическими процессами и формированием Перечня объектов КИИ, подлежащих категорированию. Кстати да, по тексту Плана речь идет о «Перечне объектов КИИ», а не о Перечне объектов КИИ, подлежащих категорированию, а ведь именно такой перечень (Перечень объектов КИИ, подлежащих категорированию) требует подготовить ПП-127. Конечно, в тексте ПП-127 об этом написано сумбурно, но практика показывает, что субъекты КИИ идут по следующему пути: все их ИС/ИТС/АСУ становятся ОКИИ; субъект КИИ (разумеется, за всех говорить не буду, но, скажем так, я знаю несколько субъектов КИИ, которые идут именно этим путем) «для себя» формирует перечень объектов КИИ, состоящий из этих ИС/ИТС/АСУ; комиссия проводит анализ, какой из ОКИИ обеспечивает, обрабатывает, управляет критическим процессом; ОКИИ, обеспечивающий, обрабатывающий критический процесс попадет в Перечень объектов КИИ, подлежащих категорированию. Ну и если присмотреться, то области негативных последствий, который можно встретить в определении критического процесса, чудным образом совпадают с группами показателей критериев значимости, из чего следует, что объект КИИ, который не имеет никакого отношения к критическим процессам явно невозможно прогнать через категорирование.

    Мне кажется, что процесс определения категории значимости в предложенном Плане описан как-то сухо, хотя это чуть ли не все то основное и фундаментальное, что надо будет проделать комиссии по категорированию, и от чего будет зависеть судьба субъекта КИИ.

    Это умышленно или ошибка, что в разделе 4 предложенного Плана понятие инцидент информационной безопасности чудным образом перепрыгивает на понятие компьютерный инцидент? Причем, понятие инцидент ИБ используется там, где идет отсылка к 187-ФЗ, хотя этот ФЗ таким понятием не оперирует.
    Ну понятное дело, что первое понятие раскрывается в ГОСТ Р ИСО/МЭК ТО 18044-2007 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности, а второе в 187-ФЗ.

    ОтветитьУдалить
  2. Компьютерный инцидент прописан в приказах ФСБ, например в 367 в п.5. Проблема отсутствия единой терминологии существенна и очень, но придётся работать с реализованым вариантом

    ОтветитьУдалить
    Ответы
    1. Я к тому, что, возможно, вообще надо по тексту Плана оперировать только понятием компьютерный инцидент?

      Удалить
  3. П. 22 приказа 239 ФСТЭК требует реализовать орг и техмеры реагирования на инциденты ИБ

    ОтветитьУдалить
    Ответы
    1. Ну Вы то в своем Плане в том разделе, о котором я говорю, всего единожды обращаетесь к 239 приказу, а понятие инцидент ИБ используете в связке с 187-ФЗ и 367 приказом ФСБ, которые оперируют именно КИ ;)

      Удалить
    2. Исправил. Спасибо за внимательное чтение и активную позицию.

      Удалить
  4. По поводу сухости раздела по категорированию объектов. Я предложил шаблон Плана, каждый под свою конкретную организацию может нарастить соответствующие разделы. У всех разная специфика, разная компетенция. И думаю, что этот План будет разрабатывать организация, которая уже неформально определилась с судьбой субъекта КИИ и примерно представляет какое решение о категориях значимости примет.

    ОтветитьУдалить
  5. Валерий, спасибо за Ваш труд! Думаю, что многим этот план пригодится, хотя бы для галочки перед проверяющими органами.

    ОтветитьУдалить