Главная » Блоги Экспертов И ИТ-Компаний » КИИ. Системы “распределенные” по нескольким участникам

КИИ. Системы “распределенные” по нескольким участникам

Есть объекты КИИ (ИС, АСУ или ИТС) для которых пользователи, оператор или владелец – это разные организации. Такие объекты в рамках данной статьи буду называть Распределенными системами. Разнообразны варианты Распределённых систем, давайте посмотрим на примеры некоторых из них:
·         ЕГИСЗ: владелец - Минзрав РФ, основной оператор – Минздрав РФ, но привлекаются также иные организации, пользователи – медицинские организации
·         Региональные МИС: владельцы и операторы региональных сегментов – региональные Минздравы, МИАЦ, ЦИТ, комитеты по информатизации или иные операторы, пользователи – медицинские организации
·         Госзакупки: владелец – Федеральное казначейство, пользователи – гос. органы и учреждение, в том числе сферы здравоохранения (для закупки лекарственных средств)  
·         ДБО: владелец – банк, пользователи – клиенты банка
·         Диспетчерские системы, например в сфере энергетики: владелец – РДУ; пользователи – энергетические компании
·         Какое-то облачное приложение: владелец и пользователь – организация 1, оператор облачного серверов / оператор приложения – организация 2
Так вот, оказалось, что для Распределенных систем нельзя установить простые правила: кто должен включать такие системы в Перечень объектов КИИ? кто должен проводить категорирование? кто моделировать угрозы и создавать систему безопасности?
ФСТЭК попытались решить просто, но даже в рамках одного мероприятия SOCForum, получилось что на докладе по практике категорирования КИИ говорят одно, а на диалоге с Регулятором вынуждены отвечать прямо противоположное. На встрече с блогерами говорили одно, а после рассмотрения частных примеров получается прямо противоположное.
Раз простые правила не подходят, давайте попробуем сформулировать хотя бы подходы к сложным правилам. Но для начала разберемся почему вообще возникла идея что для пользователей или операторов Распределенных систем возникают какие-то обязанности в части категорирования и обеспечения безопасности объектов КИИ? Смотрим на определение субъекта КИИ из 2 статьи 187-ФЗ и пункта 2 ПП РФ №127:
%25D0%25BF%25D1%2580%25D0%25B0%25D0%25B2%25D0%25BE%2B%25D0%25BD%25D0%25B0%2B%25D0%2598%25D0%25A1%2B1.png
И на правильную трактовку “законного основания” и видим, что сюда попадают как пользователи как и операторы.
%25D0%25BF%25D1%2580%25D0%25B0%25D0%25B2%25D0%25BE%2B%25D0%25BD%25D0%25B0%2B%25D0%2598%25D0%25A1%2B2.png
Такой подход позволяет ФСТЭК обеспечить, что в реестр значимых объектов КИИ попадут все нужные объекты, даже если их владельцы или операторы не попадают в сферу КИИ. С другой стороны, пользовали могут вообще ничего не знать о Распределенной системе, для них она может быть черным ящиком. При рассмотрении многих конкретных примеров, оказывается что системы пользователей не надо включать в Перечень.
А теперь рекомендованный подход:
1.       Вы являетесь субъектом КИИ, в вашей организации выявлен Критический процессиз сферы КИИ, Распределенная система обрабатывает информацию такого процесса, а вы не являетесь владельцем Распределенной системы
2.       Распределенная система выполнены ВСЕ следующие условия:
·         в вашем ведении отсутствуют серверные компоненты
в случае если на вашей стороне достаточно сложный сегмент, владелец или оператор системы не всегда смогут оценить возможный ущерб, поэтому оценка с вашей стороны может быть полезной
·         для работы вашей организации не используется эта Распределенная система (например данные предоставляются для отчетности вышестоящей организации) или вы самостоятельно не определяете для чего используется Распределенная система (то, что вы делаете в системе строго регламентировано инструкциями, порядками и другими НПА)
если вы самостоятельно придумали как вы будете использовать данную систему, то кроме вас никто не сможет правильно оценить возможный ущерб от инцидента с данной системой
·         ваша организация не единственный пользователь Распределенной системы
если вы единственный пользователь системы - то скорее всего кроме вас никто не сможет правильно оценить возможный ущерб от инцидента с данной системой
·         вы точно знаете, что владелец ИС – занимается деятельности в сферах КИИ, а соответственно является субъектом КИИ
если владелец и оператор не являются субъектами КИИ, они не будут проводить категорирование объектов КИИ и соответственно данная ИС, возможно значимый объект КИИ, будет упущена и останется не защищенной
3.       Тогда можно не включать эту Распределённую систему в Перечень объектов КИИ
иначе
3.       В рабочем порядке спросить otd25 ФСТЭК России, стоит ли включать данную систему в ваш Перечень объектов КИИ указав все подробности
4.       Если Распределенная система не была включена в ваш перечень объектов КИИ, значит у неё гарантировано есть иной владелец, и он проводит категорирование данной системы. Вы можете ждать от него требований по обеспечению безопасности или самостоятельно запросить была ли отнесена данная система к значимым объектам КИИ и предъявляются ли какие то требования к вам как к пользователю.   
В дальнейшем, на сколько мне известно, проблема с "Распределенными" системами будет прорабатываться более детально и в новой версии ПП 127 можно ожидать каких-то уточнений по этой части


Источник: http://sborisov.blogspot.com/2018/12/blog-post.html


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
15 дней назад | тэги: КИИ, ФСТЭК, категорирование
Комментарии
Другие публикации
RU, Краснодар
https://docshell.ru/, https://docshell.ru/
Информационные технологии



Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>