КИИ в здравоохранении. Как определить и что делать дальше!
КИИ в здравоохранении. Разбираемся как определить и что делать потом если все-таки угораздило. С примерами, шаблонами и экспресс-тестом.
В последнее время к нам поступает большое количество заявок от медицинских организаций на консультацию по теме безопасности КИИ в здравоохранении, а точнее о необходимости выполнения требований по категорированию критической информационной инфраструктуры в медицинских учреждениях (далее – КИИ) ФЗ №187 «О безопасности критической информационной инфраструктуры Российской Федерации», в связи с чем появилась необходимость написать поясняющую статью.
Хотелось бы отметить, что действие ФЗ № 187 распространяется только на организации, которые являются субъектом КИИ.
Согласно ФЗ 187 субъектами критической информационной инфраструктуры являются – государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.
То есть, для определения принадлежности к субъекту КИИ, необходимо определить тип организации, сферу деятельности, наличие информационных систем в этой сфере и на каком основании принадлежат эти ИС организации.
Для наглядности, рассмотрим процесс категорирования объектов кии в здравоохранении, а именно процесс оценки необходимости выполнения требований ФЗ № 187 на примере медицинского учреждения «Клиника»
Медицинское учреждение «Клиника» является юридическим лицом и имеет согласно ОКВЭД следующие виды деятельности: Основной вид деятельности: – 86.22 Специальная врачебная практика. Дополнительные виды деятельности: – 85.30 Обучение профессиональное; – 86.21 Общая врачебная практика.
Медицинские организации как правило являются юридическими лицами или государственными учреждениями. В рассматриваемом примере организация – юридическое лицо. Для государственного учреждения в сфере здравоохранения дальнейший анализ проводится аналогично.
Первоначально необходимо определить сферу деятельности. Основным видом деятельности организации является ОКВЭД 86.22 «Специальная врачебная практика», и дополнительным ОКВЭД 86.21 «Общая врачебная практика», которые входят в группу 86 «Деятельность в области здравоохранения», соответственно медицинское учреждение функционирует в сфере здравоохранения. Помимо сферы здравоохранения, в некоторых случаях, организация может функционировать в других сферах. В таком случае рассматриваются обе сферы.
Теперь необходимо определить, согласно ФЗ-187, принадлежат ли организации на праве собственности, аренды или на ином законном основании информационные системы, информационно-телекоммуникационные сети и/или автоматизированные системы, функционирующим в сфере здравоохранения, т.е. высокотехнологичное компьютеризированное оборудование (томографы, лаборатории, рентгены и т.п.).
Пройдите экспресс-тест и определите является ли ваше учреждение субъектом КИИ. Заполнив данную форму, вы узнаете стоит ли вам готовиться к работам по выполнению требований ФЗ-187, а также, мы пришлем вам шаблон акта, который понадобится вам вне зависимости от того является ли учреждение здравоохранения субъектом КИИ или нет.
Здесь возможны два варианта.
Здесь необходимо обратить внимание на определение права собственности. Принадлежит — числится на балансе, оборудование физически размещено в организации, информационные системы документально введены в эксплуатацию и т.п. Если имеющееся система используется, но не принадлежит Клинике (система вышестоящей организации, для которой Клиника просто пользователь, например, информационная система «Инфоклиника» – принадлежит МИАЦ, Федеральный Регистр сахарного диабета принадлежит ФГБУ Эндокринологический Научный Центр и т.п.), то такую систему рассматривать не нужно.
Если же по результатам анализа вы являетесь субъектом КИИ, то вам необходимо проводить работы по категорированию.
Отправьте нам запрос, и мы БЕСПЛАТНО проконсультируем вас по вопросам безопасности критической информационной инфраструктуры.
Вот перечень действий для организации, субъекта КИИ в здравоохранении, для выполнения требований ФЗ №187 «О безопасности КИИ в РФ»:
Специальное предложение для медицинских учреждений в области выполнения требований ФЗ-187 «О безопасности КИИ».
Категорирование объектов КИИ. Разработка полного комплекта документов для категорирования объектов КИИ в здравоохранении за 95 000 рублей.
В рамках данного предложением вы в течение 10 рабочих дней (с момента предоставления исходных данных в полном объеме) получите готовый комплект документов для предоставления в ФСТЭК который включает в себя:
КИИ в сфере здравоохранения. Кто относится и на основании чего.
Субъекты КИИ в сфере здравоохранения согласно Федерального закона №187-ФЗ «О безопасности критической информационной инфраструктуры РФ»
К субъектам КИИ в сфере здравоохранения, согласно Федерального закона №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», относятся государственные органы, государственные учреждения, российские юридические лица и индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы (ИС), информационно-телекоммуникационные сети, автоматизированные системы управления (АСУ), функционирующие в сфере здравоохранения.
А согласно Общероссийскому классификатору видов экономической деятельности к сфере здравоохранения относятся организации, имеющие ОКВЭД 86 – Деятельность в области здравоохранения. Под этот ОКВЭД подпадает довольно много организаций. Поэтому основной вопрос, на который стоит обратить внимание при проведении работ по КИИ в здравоохранении — имеются ли критические процессы, а также ИС и АСУ, обеспечивающие выполнение этих процессов.
Под критическими процессами, понимаются процессы, нарушение или прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка (далее – критические процессы).
После составления перечня критических процессов определяем ИС и АСУ, которые обрабатывают информацию, необходимую для обеспечения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов.
Согласно ГОСТ Р 51275-99 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения» под обработкой информации понимается совокупность операций сбора, накопления, ввода, вывода, приема, передачи, записи, хранения, регистрации, уничтожения, преобразования, отображения информации. То есть фактически любая ИС или АСУ, хоть как-то связанная с критическим процессом, является объектом КИИ. Пока все просто.
Информационная система как объект КИИ в сфере здравоохранения?
В соответствии с п.1 ст.91 Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» под информационными системами в сфере здравоохранения понимается:
Перечень государственных информационных систем в сфере здравоохранения указан на сайте министерства здравоохранения.
Согласно определению, данному в методических рекомендациях по обеспечению функциональных возможностей медицинских информационных систем медицинских организаций (МИС МО) (утв. Министерством здравоохранения РФ 1 февраля 2016 г.) медицинская информационная система медицинской организации обозначается как «интегрированная или комплексная информационная система, предназначенная для автоматизации лечебно-диагностического процесса и сопутствующей медицинской деятельности медицинской организации».
МИС МО предназначена для обеспечения:
В документе описаны подсистемы, обеспечивающие базовые функциональные возможности, набор которых зависит от типа медицинской организации. Для каждой подсистемы определены обязательные и рекомендуемые функции.
Среди функций имеется рекомендуемая функция интеграции с медицинским оборудованием. Это та функция, на основании которой система может стать АСУ.
При составлении перечня объектов нужно обратить внимание на определение АСУ. По 187-ФЗ автоматизированная система управления — это комплекс программных и программно-аппаратных средств, предназначенных для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими оборудованием и процессами. То есть должны быть программные средства, должно производиться управление оборудование (исполнительных устройств).
В проекте Приказа Министерства здравоохранения РФ “Об утверждении Требований к государственным информационным системам в сфере здравоохранения субъектов Российской Федерации, медицинским информационным системам медицинских организаций и информационным системам фармацевтических организаций” (подготовлен Минздравом России 31.07.2018) описаны требования и возможности государственных информационных систем в сфере здравоохранения субъектов Российской Федерации, медицинских информационных систем медицинских организаций и информационным системам фармацевтических организаций. В документе определены: цели создания и назначение информационных систем, требования к защите информации, требования к функциональным возможностям информационных систем.
Таким образом, не каждая информационная система является информационной системой в сфере здравоохранения, которые должны соответствовать определенным требованиям.
Иные информационные системы.
В п.6 ст.91 323-ФЗ определены иные информационные системы – системы, предназначенные для сбора, хранения, обработки и предоставления информации, касающейся деятельности медицинских организаций и предоставляемых ими услуг. При этом иные информационные системы не входят в состав информационных систем в сфере здравоохранения, но могут подключаться к информационным системам в сфере здравоохранения.
В Правилах взаимодействия иных информационных систем, предназначенных для сбора, хранения, обработки и предоставления информации, касающейся деятельности медицинских организаций и предоставляемых ими услуг, с информационными системами в сфере здравоохранения и медицинскими организациями, утвержденных постановлением Правительства РФ от 12 апреля 2018 г. №447 (далее – Правила), определено что иная информационная система обеспечивает реализацию хотя бы одной из следующих функций:
В п.19. Правил указано, что Министерство здравоохранения Российской Федерации осуществляет ведение перечня иных информационных систем и обеспечивает размещение сведений из указанного перечня на своем официальном сайте в информационно-телекоммуникационной сети “Интернет”. Однако, такой перечень найти не удалось, только перечень ГИС (государственные информационные системы).
Рекомендуем ознакомиться с этим материалом:
Телемедицина.
Одной из функций иной информационной системы указано оказание медицинской помощи с применением телемедицинских технологий.
Телемедицинские технологии определены ст.36.2 Федерального закона от 21.11.2011 N 323-ФЗ “Об основах охраны здоровья граждан в Российской Федерации” (далее – ФЗ323) и Порядке организации и оказания медицинской помощи с применением телемедицинских технологий, утвержденном приказом Министерства здравоохранения Российской Федерации от 30 ноября 2017 г. № 965н (далее – Порядок).
В этих документах указано, что телемедицинские технологии используются для консультации в целях профилактики, сбора жалоб, наблюдения за состоянием пациента. Также врач может принять решение о необходимости проведения очного приема: при этом наблюдение за состоянием здоровья пациента возможно только после очного приема.
Документирование информации об оказании медицинской помощи пациенту с применением телемедицинских технологий, включая внесение сведений в его медицинскую документацию, осуществляется с использованием усиленной квалифицированной электронной подписи медицинского работника.
На практике (из договора оказания медицинских услуг с подобной организацией) по результатам консультации составляется письменное заключение для пациента. Письменное заключение не является диагнозом и носит рекомендательный характер. Также дается информация о специалистах, к которым следует обратиться для постановки/подтверждения/уточнения диагноза, о рекомендуемых методах диагностики, лечения, связанных с ними рисках, их последствиях и ожидаемых результатах и предоставляет иную подобную информацию.
Что в итоге?
Ситуация с определением объектов КИИ в сфере здравоохранения выглядит довольно запутанной. С одной стороны, есть определенные типы информационных систем в сфере здравоохранения и требования к ним, с другой стороны, имеются иные информационные системы, функции которых схожи. И к тому же оба типа систем обеспечивают одни процессы. Поэтому рекомендуем быть внимательным при составлении перечня объектов КИИ.
Объектами критической информационной инфраструктуры являются информационные системы и сети, используемые в тринадцати сферах, в том числе — в сфере здравоохранения. Так как понятие «информационная система» определено очень расплывчато, с некоторой натяжкой объектом КИИ можно назвать и отдельно взятый аппарат УЗИ или компьютерный томограф. Если атака на такой объект может привести к последствиям, перечисленным в приложении к 127му постановлению Правительства (например — если в результате атаки может быть причинен ущерб жизни и здоровью людей), объект категорироется как значимый и должен защищаться в соответствии с требованиями ФСТЭК. Соответственно, при категорировании нужно определить актуальные для этого объекта угрозы и их последствия.
Некоторые интеграторы поступают предельно цинично. Аппарат УЗИ — фактически обычный виндовый компьютер с необычной периферией. Открываем перечень угроз и начинаем выбирать из него угрозы, актуальные для такого компьютера, например:
Иp этого делается вывод, что атакующий способен получить полный контроль над аппаратом, подменять изображение, выдаваемое на экран и скриншоты, которые врач делает в процессе работы. Из этого делается вывод, что атакующий способен исказить информацию, которая нужна врачу для постановки диагноза, а значит потенциально способен заставить врача принять неверное решение и причинить тем самым вред здоровью пациента. Бинго, аппарат УЗИ становится значимым объектом наивысшей категории значимости.
Это хороший пример того, как нельзя моделировать угрозы. Исполнитель не разбирается в вопросах лечения («что произойдет, если нарушитель взломает аппарат УЗИ»), и поэтому подменяет предмет исследования другим, в котором разбирается («как можно взломать аппарат УЗИ»). При добросовестном же категорировании предметом исследования должен быть именно процесс лечения, и делать это должен не безопасник, а врач-лечебник или врач УЗИ-диагностики. Тогда и результат категорирования будет совсем другим.
Начнем с того, что в соответствии с порядком категорирования объектов КИИ исследуется процесс, нарушение которого моет привести к неприемлемым последствиям. Если мы изучаем вопрос о возможности причинения вреда здоровью пациента в результате неверного лечения, то и изучать нужно весь лечебный процесс, а не отдельный его кусочек. Как правило, УЗИ — лишь один из видов исследования, назначаемых больному в лечебном процессе, и неверные результаты, полученные на аппарате УЗИ, необязательно приведут к врачебной ошибке.
Но предположим, что УЗИ является единственным исследованием, на основании которого ставится диагноз и назначается лечение. Можно ли так атаковать аппарат УЗИ, чтобы заставить лечащего врача ошибиться, навязав ему ложную информацию? OK, упростим задачу нарушителя, приняв в качестве аксиомы, что он:
«Ну вот мы и здесь. И что дальше?». Теоретически нарушитель может модифицировать изображение, которое получается при обработке сигнала, поступающего с датчика, например — в процессе его вывода на экран или записи видео на внутренний накопитель аппарата. Дело за малым, осталось суметь этой возможностью воспользоваться. Итак, врач подносит к тушке пациента датчик, и мы видим первый кадр перехваченного изображения (только без циферок — их пририсовали авторы учебника по УЗИ-диагностике).
А дальше проведем мысленный эксперимент:
УЗИ-диагностика — это исследование в режиме реального времени. Врач знает, какой именно орган он исследует и что именно он должен рассмотреть. Он подносит датчик к нужному месту на теле пациента и знает, что он ожидает увидеть на экране. Он произвольно перемещает датчик в окрестностях исследуемой точки, пока не увидит на изображении то, что ожидает увидеть. Увидев, он описывает увиденное словами в протоколе исследования, переходит к исследованию следующего участка, который нужно рассмотреть и описать, и процедура повторяется. Результатом исследования является написанный врачом протокол. В ходе исследования можно делать скриншоты и запись видео, но стандарты проведения исследования этого не требуют. Лечащие врачи используют только протоколы исследования.
Нарушитель не знает, какой именно орган собирается исследовать врач. Он не знает, как будет перемещаться датчик по телу пациента и какой именно фрагмент изображения «зацепит» внимание врача. Ну и модифицировать изображение в режиме реального времени да еще и так, чтобы картинка измененная выглядела правдоподобно — это из области чудес. Если бы нарушитель мог получить готовое видео исследования — другое дело, можно было бы индивидуально для такого видео подготовить качественную модификацию. Но к моменту, когда будет сформирован видеофайл, основные результаты исследования уже будут получены и описаны, и не заметить фальсификацию будет невозможно.
И что мы видим в результате анализа угроз? Что атака на аппарат УЗИ возможно, но к негативным последствиям лдя жизни и здоровья пациента она привести не может. А раз так, то и значимым объектом КИИ аппарат УЗИ не является. А мораль этой истории проста: категорировать объекты КИИ должны специалисты. И специалистами в этом процессе — ни разу не безопасники.
Категорирование объектов критической информационной инфраструктуры (КИИ). Практические примеры
Автор статьи:
Царев Евгений Олегович
Прежде чем приступить к категорированию объектов КИИ, нужно определиться с основными понятиями, которые разъясняются в Федеральном законе от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»:
Критическая информационная инфраструктура — объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов.
Объекты критической информационной инфраструктуры — информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.
Субъекты критической информационной инфраструктуры — государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы (ИС), информационно-телекоммуникационные сети (ИТС), автоматизированные системы управления (АСУ), функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.
Значимый объект критической информационной инфраструктуры — объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры.
Компьютерный инцидент — факт нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки.
Исходя из этих определений, появляется ясность, что такое КИИ, что является «объектом КИИ», а что «субъектом», и в каких именно отраслях функционируют объекты и субъекты КИИ.
Все ИС, ИТС и АСУ субъекта КИИ — это объекты КИИ.
ИС – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
ИТС – технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.
АСУ – комплекс программных и программно-аппаратных средств, предназначенных для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими оборудованием и процессами.
Какие же объекты КИИ подлежат категорированию? На этот вопрос есть ответ в Постановлении Правительства РФ от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» (ПП №127). В данном постановлении четко определено:
«Категорированию подлежат объекты критической информационной инфраструктуры, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры».
Прежде чем перейти непосредственно к детальному разбору методики категорирования объектов КИИ (согласно ПП №127) советуем Вам внимательно изучить наши предыдущие статьи по данной теме:
КАТЕГОРИРОВАНИЕ ОБЪЕКТОВ КИИ: РАБОЧИЙ АЛГОРИТМ
Если вы не специалист в области ИБ и комплаенса (compliance), то просто прочитав ПП №127, вам будет непросто самостоятельно выполнить работы в области категорирования объектов КИИ, поэтому лучше обратиться за консультацией к профессионалам, а также желательно изучить практические рекомендации по этому вопросу.
Первое, что нужно сделать – это составить для себя алгоритм категорирования объектов КИИ:
ПЕРЕЧЕНЬ ПОКАЗАТЕЛЕЙ КРИТЕРИЕВ ЗНАЧИМОСТИ
В таблице ПП №127 детально расписаны эти показатели. Например, по «социальному критерию» идет подразделение на «причинение ущерба жизни и здоровью людей», «прекращение или нарушение функционирования объектов обеспечения жизнедеятельности населения» и т.д. Потенциальный ущерб учитывается по охваченной территории и по количеству пострадавших людей, детальную информацию по всем показателям можно найти в данной таблице. Устанавливаются 3 категории значимости. Самая высокая категория — первая, самая низкая – третья, а также объекту КИИ может быть вообще не присвоена категория (т.е. «без категории»).
Исходя из нормативных документов, организации (субъекты КИИ) будут сами составлять перечень процессов (управленческие, технологические, финансово-экономические, производственные и др. процессы) и сами оценивать их критичность. Таким образом, количество объектов КИИ, которые войдут в перечень, зависит от решения самих организаций.
Важное примечание: может получиться так, что у субъекта КИИ вообще не будет объектов КИИ, подлежащих категорированию (т.е. они будут обозначены, как «без категории»). Однако надо учитывать, что «Перечень объектов КИИ» согласовывается с отраслевым регулятором (например, с Министерством энергетики, Банком России и пр.) и перечень объектов КИИ отправляется во ФСТЭК.
По вопросам оформления перечня объектов КИИ советуем ознакомиться с «Информационным сообщением» ФСТЭК от 24 августа 2018 г. N 240/25/3752
Какие именно исходные данные понадобятся для категорирования объектов КИИ, можно посмотреть здесь: Этап 5. Сбор исходных данных для категорирования объектов КИИ.
КАКАЯ ИНФОРМАЦИЯ ПОНАДОБИТСЯ ДЛЯ ПОДАЧИ ВО ФСТЭК?
КАК ОПРЕДЕЛИТЬСЯ ПО СРОКАМ?
ПРАКТИЧЕСКИЕ ПРИМЕРЫ ПО КОНКРЕТНЫМ ОТРАСЛЯМ И ОРГАНИЗАЦИЯМ
Изучив НПА и алгоритм категорирования объектов КИИ (см. выше) можно непосредственно приступить к практике. Здесь хотелось бы дать ряд советов и показать практические кейсы для организаций финансовой и банковской сферы.
Это говорит о том, что не каждый банк или финансовая структура вообще подпадает под законодательство о КИИ. Надо помнить, что категорируем мы не субъект, а объект КИИ, для каждого объекта КИИ будет присвоена своя категория, оценку последствий инцидента надо делать для каждого объекта.
Формирование комиссии:
На начальном этапе нужно сформировать комиссию. Подробнее об этом можно прочитать по ссылке: Этап 1. Создание комиссии по категорированию объектов КИИ (там же и образец «Приказа о создании комиссии по категорированию КИИ»).
Определение процессов:
Затем необходимо определиться с процессами, которые есть в организации, составить их полный перечень. На этом этапе нам не обойтись без помощи специалистов и руководителей различных подразделений. Рассмотрим, как действовать, на примере банка. Как правило, основные виды деятельности организации уже задокументированы, специалисту ИБ надо внимательно изучить учредительные и др. документы (лицензии, сертификаты), для банков опираемся на Федеральный закон от 02.12.1990 N 395-1 «О банках и банковской деятельности» и нормативные документы Центрального Банка РФ.
Виды деятельности банка по Код ОКВЭД 64: «Деятельность по предоставлению финансовых услуг, кроме услуг по страхованию и пенсионному обеспечению». Затем, исходя из видов деятельности, необходимо прописать бизнес-процессы в финансовой организации. Есть различные классификации бизнес-процессов в банковской сфере (в конкретном банке они, как правило, уже задокументированы).
Рассмотрим типовой пример (источник):
Основные бизнес-процессы банка:
Обеспечивающие бизнес-процессы банка:
Управляющие бизнес-процессы банка:
Рис.1. Бизнес-процессы банка (типовой пример)
Переходим от процессов к критическим процессам:
Для начала ответим на важный вопрос: нарушение (или остановка) каких процессов в банке приведет негативным экономическим последствиям, согласно ПП №127? Т.е. другими словами, в ходе категорирования мы попытаемся решить, попадают ли возможные последствия от компьютерных инцидентов на объекте КИИ (ИС, ИТС, АСУ) в категории значимости (ПП 127).
Как выделить из всех процессов именно критические и связать с ними объекты КИИ видно на рис 2. Например, Процесс 2 не критический.
Рис 2. Выявление критических процессов
Далее переходим от процессов к объектам КИИ:
Выделяем объекты КИИ, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов, т.е. осуществляют управление, контроль, мониторинг критических процессов.
Для соответствия процессов и объектов можно составить такую простую таблицу:
Таблица 1. Объекты КИИ и процессы
Например, в качестве объектов КИИ в банке есть:
На этом этапе уже можно занести объекты КИИ в «Перечень объектов КИИ».
Принимаем решение о значимости объекта КИИ: перечень объектов у нас есть, также построена взаимосвязь объектов с процессами (Таблица 1).
Далее оцениваем:
Для этой работы нам потребуется: «Модель угроз», «Модель нарушителя», а также статистика по компьютерным инцидентам. Как правило, в банках есть свои службы ИБ, у которых имеются политики безопасности и др. документы по ИБ, поэтому, думаем, что проблем с такими данными не должно быть. В помощь службам ИБ: методические документы ФСТЭК России и «Основные положения базовой модели угроз и нарушителей безопасности информации» прил. А ГОСТ Р 57580.1-2017.
Как оценивать?
Для более точной оценки при категорировании объектов КИИ, мы составили небольшой опросник. На вопросы желательно отвечать точно: «да» или «нет».
Таким образом, процесс принятия решения о категорировании объектов КИИ проходит на основании «моделирования угроз». Для финансовых расчетов возможных потерь и убытков согласно табл. ПП 127 п. 8,9,10. желательно привлечь специалистов из экономических подразделений банка.
После проведения категорирования объектов КИИ составляется «Акт категорирования объектов КИИ», который отправляется во ФСТЭК в установленные законом сроки.
