вторник, 24 сентября 2019 г.

Шпаргалки по КИИ для органов власти и госучреждений.




    В общем доступе находятся следующие метреки по выполнению 187-ФЗ, согласованные с ФСТЭК России и профильными министерствами:
- «Методические рекомендации по категорированию объектов критической информационной инфраструктуры, принадлежащих субъектам критической информационной инфраструктуры, функционирующим в сфере связи. ОГО «АДЭ» 2019» 
- «Методические рекомендации по определению и категорированию объектов критической информационной инфраструктуры топливно-энергетического комплекса. | Министерство энергетики» .

   Но для данных документов характерен один общий и существенный недостаток – в них указано, что «Настоящие методические рекомендации не распространяются на государственные органы Российской Федерации».
   В Москве для организации и координации деятельности органов исполнительной власти города Москвы и подведомственных им учреждений по выполнению 187-ФЗ был разработан Департаментом информационных технологий ряд методических документов. Эти документы активно использовались госорганами и госучреждениями в Москве с мая по август 2019 года для выполнения в установленный срок требования об утверждении перечней объектов КИИ, подлежащих категорированию к 01.09.2019 (ПП452). Документы доступны по ссылкам.

«Типовое положение о постоянно действующей комиссии по определению объектов критической информационной инфраструктуры и категорий значимости объектов критической информационной инфраструктуры» 


«Типовой план мероприятий по выполнению требований Федерального закона от 26 июля 2017 года № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» 



«Методические рекомендации по определению объектов КИИ и категорий значимости объектов КИИ»  

"Методические рекомендации по определению объектов КИИ и категорий значимости объектов КИИ в медицинских учреждениях Департамента здравоохранения города Москвы"

"Методические рекомендации по категорированию ОКИИ для учреждений здравоохранения Московской области"

P. S. Телеграм-группа для обсуждения заметки https://t.me/joinchat/C4fmQVPujsjY0WGQd8h-kw

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

42 комментария:

  1. По методическим рекомендациям.

    Я так и не понял, кто является владельцем ИС/ИТС/АСУ: г. Москва, органы исполнительной власти г. Москвы, подведомственные им организации (это на странице 9). Предположу, что если системой или сетью владеет г. Москва, то категорирование должно осуществляться не комиссией органа или подведа, но комиссией самого Правительсва Москвы. Исключение тогда, когда система или сеть принадлежит конкретно ОИВ или его подведу.

    Совсем не понял с постулатами о том, что некая рабочая группа (кто эти люди и как они коррелируют с комиссией по категорированию) определяет какая ИС/ИТС/АСУ является объектом КИИ (разве у субъекта КИИ могут быть сети или системы, которые не являются объектами КИИ? Не противоречит ли это 187-ФЗ?), проводит некое предварительное категорирование (что это, зачем оно?).
    Причем, документированию действий этой рабочей группы по незаконному определению объектов КИИ посвящено 3 приложения.

    Про критические процессы совсем непонятно, почему критерии отнесения того или иного процесса к критическому должны идти по нижней границе показателей критериев значимости? Например, на каком-то публичном мероприятии озвучивалась позиция, что непоступление в бюджет хотя бы 1 копейки - негативное последствие.

    Про положение о комиссии я уже когда-то излагаюл своё мнение. В целом, я считаю это избыточным, но не запрещённым.

    А вот план мероприятий мне очень понравился, вот им надо пользоваться и использовать, как шпаргалку.

    ОтветитьУдалить
  2. Алексей, спасибо за развернутый комментарий.
    Все ИС в Москве принадлежат городу Москве. Далее Правительство Москвы своими распоряжениями наделяет полномочиями собственника различные органы исполнительно власти, собственно правительство и состоит из руководителей этих ОИВ. А ОИВ своими распоряжениями может спустить дальше - в подведы. Собственностью города Москвы они от этого быть не перестанут. Комиссии должны бытьсозданы в каждом ОИВ и подведе Москвы.

    ОтветитьУдалить
  3. 2. я не понял утверждения "по незаконному определению объектов КИИ". В законодательстве вообще нет процедуры определения ОКИИ. Какой путь тогда законный?
    Задача РГ - подготовить исходные материалы для заседания комиссии. РГ делает заключение по каждой ИС, а комиссия уже оформляет акт по ней. Окончательное решение за комиссией.

    ОтветитьУдалить
  4. РГ созданы по управленческим причинам, в других ОИВ они не создавались. Специфика ДИТа.

    ОтветитьУдалить
  5. 3. "Про критические процессы совсем непонятно, почему критерии отнесения того или иного процесса к критическому должны идти по нижней границе показателей критериев значимости? Например, на каком-то публичном мероприятии озвучивалась позиция, что непоступление в бюджет хотя бы 1 копейки - негативное последствие." некое публичное мероприятие -это конечно серьезный аргумент, рекомендую посмотреть методику для ТЭК (ссылка есть в заметке), там прямо рекомендуется при определении критических процессов руководствоваться показателями категорий значимости. С ФСТЭК она согласована.

    ОтветитьУдалить
  6. А про комиссию вы скорее всего не поняли важного нюанса. Это не комиссии по категорированию,их создали организации-не субъекты КИИ. По этому без положения о работе комиссии никак. Чем ей руководствоваться в работе? пп127? а с чего бы, если пп127 исключительно работу субъекта КИИ регулирует

    ОтветитьУдалить
    Ответы
    1. Здесь я воздержусь от комментариев, так как свое мнение излагал ещё ранее под другой заметкой. Считаю, что это дело каждого субъекта, так как не запрещено, но и прямо не требуется.

      Удалить
    2. Алексей, эта комиссия созданы не субъектом КИИ. Они и называются комиссиями по определению ОКИИ и их категорированию. Им просто нечем в своей работе руководствоваться,пока они решение не примут о том, что организация - субъект КИИ. Вот после этого только и можно спорить об избыточности положения о комиссии при наличии ПП127.

      Удалить
  7. Я предполагаю, что документ конкретно ориентирован. И, мне представляется, вполне нормальной практика по выработке единого подхода к категорированию по разным параметрам, например, по отрасли или по подведомственности.

    Под своим накоплением о незаконном определении объектов КИИ я понимаю деятельность по голосованию о том, какая система- объект КИИ, так как это не предусматривается ПП-127, а из терминологии 187-ФЗ вообще можно заключить, что у субъекта все системы - объекты КИИ. Да, я знаю, что там прямо не сказано, что именно все, но очень на это похоже.

    По поводу критических процессов мне не нравится и методика ТЭК, и методика для операторов связи. Но подумайте сами, разовьем мысль. В перечень ОКИИ, подлежащих категорированию, включаем только те ОКИИ, которые обеспечивают или обрабатывают критические процессы. Если мы полагаем, что критический процесс - это тот процесс, который можно измерить нижней границей приведённой в значениях показателей критериев значимости, то получается ситуация, при которой при категорировании вообще не будет не значимых объектов. Уверен, что такое положение дел вполне устраивает регулятора, так как представители регулятора высказывали озабоченность тем, что категории занижаются. Поэтому я не удивлён, что вышеозвученные методики согласованы с ФСТЭК.

    ОтветитьУдалить
    Ответы
    1. В ПП127 нет никакого упоминания о способе принятия решения комиссией. Здесь решили через голосование. Я не вижу нарушения закона. Комиссия есть, решение принято и оформлено.

      Удалить
    2. И обсуждаемая методика официально направлялась в ФСТЭК до размещения на портале. Замечаний не поступило.

      Удалить
    3. Ну, во-первых, у Вас голосование проводит не комиссия, а рабочая группа, которая, как было указано выше, является исключительной особенностью ДИТа, а, во-вторых, я говорю не о том, как принимается решение о том, что та или иная система или сеть является объектом КИИ, а о том, что этот процесс вообще не требует какого-либо голосования, так как, исходя из формального определения понятия "объект КИИ", чтобы некоей системе или сети быть объектом достаточно просто принадлежать субъекту КИИ. Поэтому описанное голосование, и, в большей степени, такое подробное бюрократическое описание этого процесса, не имеет никакого смысла, да и ещё имеет лишнюю документально-оформительскую нагрузку.

      Удалить
  8. Вообще то, я про голосование членов комиссии писал.

    ОтветитьУдалить
  9. И опять же, по формально у признаку из 187-фз, с начало надо найти объект кии, что бы организация формально стала субъектом КИИ. Как предлагаете организовать и обеспечить этот процесс?

    ОтветитьУдалить
    Ответы
    1. Категорически не согласен! Чтобы организация стала субъектом КИИ у неё не надо искать объекты КИИ, у организации надо искать ИС/ИТС/АСУ из 13 сфер, а это ещё не объекты КИИ. Когда организация стала субъектом КИИ, то ИС/ИТС/АСУ из 13 сфер организации и иные ИС/ИТС/АСУ становятся объектами КИИ.
      Понятие субъект КИИ не раскрывается через понятие объект КИИ.
      Понятие субьект КИИ первично по отношению к понятию объект КИИ.
      Понятие объект КИИ раскрывается через понятие субьект КИИ, но, как было обозначено выше, не наоборот.

      В своей статье "Проблемные вопросы процедуры категорирования объектов КИИ", опубликованной в июльском номере журнала Информационная безопасность, Вы обозначаете проблему: "избыточность и сложность процедур, требуемых для выполнения ПП 127", но именно это голосование, и такое его подробное оформление и представляется избыточным.

      Удалить
    2. Как вы предлагаете выстроить процесс поиска ИС/ИТС/АСУ из 13 сфер КИИ в организации? Кто это делает, чем руководствуется в работе и т.д.?

      Удалить
  10. Руководитель организации каким-либо образом узнает о необходимости исполнения 187-ФЗ. Вызывает юриста, мол обязаны или нет выполнять. Юрист читает, анализирует и говорит, что обязаны, если организация является субъектом. Руководитель уточняет у юриста, что это значит. Юрист объясняет понятие термина субъект КИИ. Руководитель организации анализирует услышанное и даёт распоряжение провести инвентаризацию эксплуатируемых в организации систем и сетей и предоставить ему отчёт, который должен содержать перечень всех экплуатирумых сетей и систем, с указанием того, какие принадлежат организации. После получения этих сведений руководитель собирает собрание, совещание, на котором присутствует юрист и руководители подразделений, непосредственно эксплуатирующих и/или ответственных за эксплуатацию. И начинается обсуждение.
    Система 1С, с помощью которой рассчитывается ЗП работников подпадает под одну из 13 сфер? Вопрос с бухгалтерии и юристу, ответ: да/нет. Система Консультант, обеспечивающая деятельность юриста, подпадает под одну из 13 сфер? Вопрос юристу, ответ: да/нет? Система учёта выезда маршрутных транспортных средств подпадает под одну из 13 сфер? Вопрос профильному начальнику, ответ: да/нет? Эта система принадлежит нам, ответ: да/нет? И так далее. Результаты собрания, совещания оформляются соответствующим решением, что организация имеет/ не имеет систем из 13 сфер, вывод.
    Если вывод был положительным, то организация приступает к выполнению 187-ФЗ.

    Как Вы заметили, безопасник к вышеописанному действу никак не привлекается, определение того, является ли организация субъектом КИИ осуществляется не исходя из наличия у неё объектов КИИ, но исходя из формального соответствия организации определения субьект КИИ, т.е. при наличии соответствующей системы или сети, так как по 187-ФЗ пока организация не субьект КИИ, то у неё в принципе не может быть объектов КИИ.

    ОтветитьУдалить
  11. В теперь представьте этот процесс для организации, в которой больше 1000 ИС, с совершенно непонятным юридическим определением собственника.

    ОтветитьУдалить
  12. А что это меняет? Все равно объекты КИИ не появятся раньше, чем организация станет субъектом КИИ. Так как понятие субъект КИИ никаким образом не определяется через понятие объект КИИ, а понятие объект КИИ вторично по отношению к понятию субъект КИИ. Пока организации не стала субъектом КИИ ни одна из ее систем не является объектом КИИ.

    ОтветитьУдалить
  13. Мы ведь об управленческих решениях. Мой метод вы признаете избыточный, предложили свой. На мой взгляд, он не сработает в условиях, когда огромное количество ис для анализа. Не про нормативку речь.

    ОтветитьУдалить
    Ответы
    1. Мне представляется избыточным голосование за то, что какая-то система является объектом КИИ, так как это противоречит 187-ФЗ, в котором указано, что объект КИИ - это система или сеть субъекта КИИ. Никаких голосований не надо, если система и сеть принадлежит субъекту, то она, по формальному признаку, - объект КИИ. Поэтому я и говорю, что голосование избыточно, а уделять этому голосованию 3 приложения на более чем 10 листов вообще переизбыточно.

      Удалить
  14. Жаль, но понимания между нами нет.
    Вы видели презентацию от солара-ростелика про трудозатраты при категорировании одной из организации минэнерго?

    ОтветитьУдалить
  15. На ТБ-форуме? Где после презентации последовал вопрос о том, несколько вообще законно привлечение для категорирования сторонних организаций? И ведь в изначальном составе комиссии по категорированию вообще не было безопасника, а здесь полностью весь процесс категорирования передаётся организации-интегратору в области ИБ. Ну и надо понимать, что интегратор может где-то и приврать (для рекламы), чтобы обосновать необходимость своего привлечения.
    Вообще придерживаюсь мнения, что категорирование должна проводить организация-субъект сама.

    ОтветитьУдалить
  16. Мы проводили сами, пришлось привлечь 86 специалистов, общее время заседаний превысило 150 часов суммарно. И это просто для отнесения ис к ОКИИ. Без определения категорий. Голосование заняло не более часа суммарно.

    ОтветитьУдалить
    Ответы
    1. А как отнесётся к этому голосованию следствие или суд? Ведь им важно формальное соответствие системы термину объект КИИ, но не голосования субъекта КИИ. Это я о возможном применении ст. 274.1 УК.

      Удалить
    2. Следствие интересует исключительно состав преступления, описанный в УК РФ.
      Вы можете сказать, в чем состоит преступление? Или какой пункт какого закона я нарушаю путем голосования?

      Удалить
    3. Вот именно, что состав преступления, в котором присутствует объект КИИ. Намечается коллизия, что по мнению следствия объектами КИИ могут быть одни системы или сети, а по мнению рабочей группы, проходившей голосование, - другие. И эта коллизия может образоваться из-за того, что по Вашему мнению, чтобы система или сеть стала объектом КИИ за это надо проголосовать, а по букве Закона для этого достаточно соответствовать определению из 187-ФЗ.

      Удалить
    4. Подмена понятий. Голосование - это форма принятия решения руководителя. С точки зрения закона вообще ничего не меняется. Руководитель может ошибиться хоть при вашей форме, хоть при моей. Когда 187-фз принимался, то основным предложением было-на делить фстэк полномочиями по определению категорий значимости. А фстэк очень интенсивно от такой перспективы отбивался. И теперь имеем, что организация сама решает и никто не имеет полномочий ей что либо указывать.

      Удалить
    5. Мне кажется, что мы по-разному смотрим на то, что является объектом КИИ. Что Вы подразумеваете под объектами КИИ?

      Удалить
    6. Да, у нас разные позиции по ОКИИ. Но на процессы в организации это не влияет. Все равно осуществляется выявление ис/асу/иткс, принадлежащая организации и выявление сфер их функционирования.

      Удалить
    7. Согласен, но только с уточнением, что это необходимо для подтверждения формальному соответствию определению субьект КИИ, а для ОКИИ сфера функционирования не играет никакой роли.

      Удалить
    8. Это необходимо просто для принятия решения о необходимости выполнения 187-фз. Дальше наши взгляды уже существенно различаются. Смысла спорить по ним не вижу.

      Удалить
  17. Алексей, ваш гендир имеет возможность потратить столько времени, что бы просто выслушать своих спецов и принять решение о необходимости выполнять 187? Мы ведь ещё не стали субъектом кии и не выполняем пп127, а просто определяем собственника и сферу функционирования ис

    ОтветитьУдалить
  18. Вы потратили много времени на голосование за отнесение ИС к ОКИИ, хотя это, как я говорил выше, совершенно не требуется, так как, исходя из буквы 187-ФЗ, следует, что ИС субъекта - это ОКИИ. Мы никаких голосований не проводили. Комиссией были сформированы общий перечень эксплуатируемых ИС, далее из этого перечня выделили только те, которые принадлежат нам. Также подумали над тем, какие критические процессы есть в нашей организации. Это было одно заседание. Далее членам комиссии было надо поручение выделить из систем, что находятся в собственности, те, которые обрабатывают критические процессы. Члены комиссии проделали это самостоятельно и на следующее заседание комиссии вынесли свои предложения, которые рассмотрели уже совместно. По итогам заседания был сформирован Перечень ИС, обрабатывающих критические процессы. На основе этого перечня было решено сформировать Перечень ОКИИ, подлежащих категорированию.
    О том, субъект мы или нет, принимал решение Гендиректор, поэтому здесь нам было проще так, как команда была такая, что нам надо выполнить требования 187-ФЗ, срок такой-то.

    ОтветитьУдалить
    Ответы
    1. Я потратил 1 (ОДИН) час из 150 на голосование. 149 часов на заслушивание информации от специалистов, владеющих необходимой информацией по изучаемым ИС.
      В ДИТ решение аналогично принимал руководитель департамента. И срок нам так же был жестко спущен сверху, через постановление Правительства РФ.

      Удалить
  19. Алексей, я вполне согласен с вашим методом выстраивания процессов по КИИ. Но он работоспособен до определенного уровня и масштаба организации. Методы, предложенные ДИТ Москвы, были одобрены ФСБ и ФСТЭК для применения по всей Москве. Их законность подтвердило правое управление (юристы).

    ОтветитьУдалить
  20. Уже одобрены? Ранее Вы говорили, что никаких ответов от регуляторов не было.

    Я вообще придерживаюсь мнения, что стандартизировать процесс категорирования либо очень сложно, либо вообще невозможно. Но это можно сделать локально по сферам деятельности. Методики для операторов связи и для ТЭК хоть и согласованы с регуляторами, но также не совершенны, однако это лучше, чем ничего. Я не говорю, что методика ДИТ полный хлам,неподлежащий применению. Я говорю о недостатках, которые на мой взгляд требуют доработки. Отдельные недостатки я обозначил,как противоречащие 187-ФЗ - голосование за отнесение к объекту КИИ.

    ОтветитьУдалить
    Ответы
    1. Я про распространение опыта ДИТ на другие организации Москвы

      Удалить
  21. Алексей, 7 ноября будет мой доклад в секции "Безопасность" CNews-форуме, в котором будет отражен опыт обеспечения безопасности городских ОКИИ в Москве. Если есть возможность, приходите. Обсудим реализованные решения.

    ОтветитьУдалить
  22. Площадка с шпаргалками для субъектов КИИ https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-samoidentifikaciia-subekta-kii-5e1cc391118d7f00adfc579a

    ОтветитьУдалить
  23. Добавил методику Минздрава Московской области

    ОтветитьУдалить