Категорирование объектов КИИ операторов связи

Президент ассоциации Ростелесеть, объединяющей более 200 региональных операторов связи, публикует серию материалов о работе с критической информационной инфраструктурой (КИИ) для операторов связи. В первой статье он подробно расписал, что такое КИИ, что представляют собой субъект и объект КИИ, все ли операторы связи являются субъектами КИИ, что субъекты КИИ должны делать в случае, если у них есть объекты КИИ, а также в случае, если у них таких объектов нет, в каком порядке предпринимать все эти действия, кому, как и когда отчитываться. Сегодня мы публикуем вторую часть материала – о законодательном регулировании критической информационной инфраструктуры операторов связи.

Оператор связи – это субъект КИИ?

Вообще законодатель пошел простым путем, он ввел критерии, по которым можно быстро определить, является организация субъектом КИИ или нет. После чего субъект КИИ проводит организационные действия и определяет наличие у себя объектов КИИ. Другими словами, субъектами КИИ операторов связи обозначили сразу, а далее каждый утверждает отсутствие, наличие и число объектов КИИ, описывает их и обеспечивает выполнение мер для обнаружения, предупреждения и ликвидации последствий компьютерных атак. Надзорный орган проводит оценку действий и решений субъектов КИИ, контролирует и корректирует их работу. 

Существует два базовых понятия – это субъект и объект КИИ.

Субъект КИИ – это организация, то есть государственный орган, государственное учреждение, юридическое лицо или индивидуальный предприниматель, у которого присутствует объект КИИ.

Объект КИИ – это то, что может быть подвержено атаке. Как правило, это информационные системы и сети, а также системы управления.

Все начинается с создания комиссии, которая будет делать анализ информации и процессов компании, создавать приказы, положения и принимать решение о наличии и отсутствии объектов КИИ.

В предыдущей статье по КИИ мы разобрали, что такое критическая информационная инфраструктура, а также рассмотрели, как создать комиссию, которая будет делать анализ процессов компании и последующее категорирование объектов КИИ. Необходимо выпустить соответствующие приказы предприятия и сформировать положение о комиссии по категорированию объектов КИИ, где будут прописаны все принципы ее работы. 

На следующем этапе нужно категорировать объекты КИИ и составить следующие документы: 

• перечень объектов критической информационной инфраструктуры (наименование организации); 

• перечень актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры;

• акт обследования и категорирования объектов критической информационной инфраструктуры;

• заключение о наличии критических процессов у субъекта КИИ и оснований по отнесению информационных систем, информационно-телекоммуникационных систем, автоматизированных систем управления к объектам критической информационной инфраструктуры.

Давайте рассмотрим процедуру категорирования объектов КИИ, которые будет утверждать уполномоченная комиссия. При категорировании объектов КИИ мы опираемся на три документа:

• Федеральный закон от 26.07.2017 № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" (статья 7);

• Правила категорирования из постановления Правительства Российской Федерации от 08.02.2018 № 127; 

• Перечень показателей критериев значимости объектов КИИ, также из постановления Правительства Российской Федерации от 08.02.2018 № 127.

Что первично: перечень объектов КИИ или перечень процессов?

Даже если объект КИИ не обеспечивает критические процессы, он не перестает быть объектом КИИ. Следовательно, составление перечня объектов КИИ независимо от категорирования лежит вне рамок самой процедуры категорирования, а должно предшествовать ей и проводиться в процессе определения принадлежности организации к субъектам КИИ.

В рамках самой процедуры категорирования осуществляется выявление критических процессов, а затем из перечня объектов КИИ вычленяются объекты КИИ, подлежащие категорированию.

Наличие объектов КИИ еще не означает, что они являются значимыми.

Комиссия должна проанализировать и оценить возможные угрозы и масштабы потенциальных последствий в случае возникновения компьютерных инцидентов на данных объектах. Для этого она реализует план мероприятий, после которых составляет перечень актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры и акт обследования и категорирования объектов критической информационной инфраструктуры. 

План работы включает следующее:

• оценка архитектуры сетей связи в разрезе территории оказания услуг связи;

• изучение схемы работы колл-центра и администрирования сети связи;

• оценка последствий инцидентов в привязке к территории и числу абонентов;

 • возможные действия нарушителя, которые могут привести к негативным последствиям; 

• угрозы безопасности объектам КИИ;

• существующие меры безопасности, которые может реализовать оператор связи.

В качестве рекомендованных ФСТЭК типовых процессов у операторов связи можно выделить следующие: 

• операционные процессы (управление взаимоотношениями с клиентами, управление услугами и их эксплуатация, управление ресурсами и их эксплуатация, управление взаимоотношениями с партнерами); 

• стратегические, инфраструктурные и продуктовые процессы (управление маркетингом и предложением продукта, разработка услуг и управление ими, разработка ресурсов и управление ими, разработка цепочек поставок и управление ими);

• процессы управления организацией (планирование стратегии и развития организации, управление рисками организации, управление знаниями организации и исследованиями, управление финансами и активами, управление отношениями с заинтересованными сторонами и внешними связями, управление персоналом). 

В зависимости от масштаба оператора связи, перечня оказываемых услуг, используемых информационных систем число и состав таких процессов могут существенно отличаться.

Какие критерии определяют категорию значимости объектов КИИ? 

Принимая во внимание, что операторы связи оказывают услуги пользователям на территории России, а также потенциально государственным органам власти, далее мы возьмем перечень показателей критериев значимости объектов КИИ (постановление Правительства Российской Федерации от 08.02.2018 № 127), которые может рассматривать оператор связи.

 
 

Для всех операторов связи в качестве основного вида негативного последствия можно выделить прекращение или нарушение функционирования сети связи, которое оценивается по территории, на которой возможно прекращение либо нарушение функционирования сети связи. 

Операторам связи, которые оказывают услуги связи для государственных органов власти, необходимо рассмотреть такие негативные воздействия как возникновение ущерба бюджетам РФ (федерального бюджета, бюджета субъекта РФ, бюджетов государственных внебюджетных фондов) и прекращение или нарушение функционирования государственного органа в части невыполнения возложенной на него функции. 

картинку можно увеличить по клику
 

Ранее мы уже говорили, что к объектам КИИ относятся ИС, ИТКС, АСУ.

  1. Информационные системы (ИС). Совокупность информации в базах данных и средства, которые ее обрабатывают. 
  2. Информационно-телекоммуникационные сети (ИТКС). Системы, осуществляющие передачу информации по линиям связи.
  3. Автоматизированные системы управления (АСУ). Комплекс средств автоматизации и информационных технологий для реализации производственных функций.

Относятся ли сети связи к объекту КИИ?

Важно, что сети электросвязи, то есть средства и линии связи, предназначенные для оказания услуг связи, не являются объектами КИИ, согласно терминологии Федерального закона от 07.07.2003 № 126-ФЗ "О связи" и национального стандарта Российской Федерации "Связь федеральная. Термины и определения". В качестве причины возникновения негативных последствий рассматриваются только компьютерные инциденты вследствие компьютерных атак. К негативным последствия не относятся результаты техногенных аварий, природных явлений, а также обрыв линий связи или воздействия третьих лиц.

Сама сеть связи не объект КИИ, но размер, структура, сегментирование данной сети определяют масштаб негативного последствия, который может быть реализован злоумышленником на информационных системах этой сети, в том числе в разрезе территории и охвата абонентов.

Какие типовые объекты можно выделить у оператора связи?

После нескольких конференций с юристами ассоциации Ростелесеть мы подготовили следующие типовые объекты КИИ, которые, как правило, есть у большинства операторов связи. Данный список служит лишь примером и может существенно отличаться в зависимости от применяемых информационных систем и систем управления.

• Управление взаимоотношениями с клиентами – билинг, CRM, 1С.

• Управление и эксплуатация услуг – системы мониторинга, управления и администрирования узлом телематических служб, головной станцией кабельного телевидения, ATC IP телефонии, системой условного доступа (DRM), системой фильтрации трафика.

• Управление и эксплуатация ресурсов – системы мониторинга работоспособности оборудования и телеканалов.

• Управление взаимоотношениями с поставщиками/партнерами – информационные системы тендерных закупок, взаимоотношений с провайдерами верхнего уровня, система ЭДО, кадровый учет.

• Разработка и управление услугами – сайт, платежные системы, личный кабинет, приложения, системы самообслуживания абонентов. 

• Планирование стратегии и развития организации – внутрикорпоративный документооборот.

• Управление финансами и активами – билинг, CRM, 1С.

• Информационно-телекоммуникационная сеть – выделенная сеть предприятия для управления и мониторинга сетей электросвязи, локальная вычислительная сеть (ЛВС).

Комиссия по каждому объекту КИИ первоначально определяет, является ли он значимым. Если объект КИИ значимый, комиссия присваивает ему одну из трех категорий значимости. 

Самая высокая категория – первая, она содержит наибольшие требования к субъекту КИИ, самая низкая – третья. Категория значимости присваивается объекту КИИ по наивысшему значению одного из этих показателей, и большинству нужно будет ответить на три вопроса.

  1. В лицензии прописана территория всего муниципального образования, проект выполнен на весь город? 
  2. Проект сети связи выполнен более чем на 50 тыс. абонентов или более 1 млн абонентов?
  3. Существуют контракты с государственными органами власти? 

Максимальный срок категорирования не должен превышать 1 год со дня утверждения субъектом критической информационной инфраструктуры перечня объектов.

После этого в течение 10 рабочих дней со дня утверждения акта его направляют во ФСТЭК со сведениями о результатах присвоения объекту КИИ одной из категорий либо обоснованием отсутствия необходимости присвоения ему категории.

В следующей статье мы опишем требования к объектам КИИ и то, какие меры необходимо принять оператору связи, чтобы соответствовать потенциальным угрозам.

картинку можно увеличить по клику