Блог 

О безопасности критической информационной инфраструктуры

Недавно приняли участие в конференции «Тренды информационной безопасности», проводившейся в Сургуте.

В нашем докладе были систематизированы основные требования действующих в настоящее время НПА по вопросам обеспечения ИБ в критической информационной инфраструктуре, описаны основные шаги, которые нужно предпринимать субъектам КИИ (владельцам ИС, АСУ , ИТКС — медицинским учреждениям, предприятиям  в сферах транспорта, ТЭК, ряда направлений промышленности, финансовой сферы, госорганов) в связи с вступлением в силу ФЗ-187 и принятием большого количества подзаконных актов к данному ФЗ.

 

В связи с актуальностью проблематики для большого количества предприятий и учреждений  и многочисленными просьбами публикуем презентацию к докладу.

Вопросы обеспечения безопасности КИИ

Комментарии

  1. Поясните как обстоят дела по ФЗ-187 касаемо ИСПДн в Медицинских организациях как объекта КИИ? Присваивать объекту одну из категорий значимости либо отсутствует необходимость присвоения категории? Что необходимо предпринимать уже сейчас?

    К примеру:

    создание отдела систем защиты информации как отдельного структурного подразделения учреждения с внесением изменений в штатное расписание добавлением специалиста по защите информации отдела систем защиты информации. Руководство отделом систем защиты информации осуществляет специалист по защите информации с прямым подчинением главному врачу? Предусмотрено пунктом 10 Части II приказа ФСТЭК №235 от 21.12.2017 г.
    поднимать вопрос о гостайне. Согласно Федерального закона от 26 июля 2017 г. N 193-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» (Гостайну составляют, в частности, сведения в области разведывательной, контрразведывательной деятельности и ОРД, а также в сфере противодействия терроризму и обеспечения безопасности лиц, находящихся под госзащитой. В их состав включены сведения о мерах по обеспечению безопасности критической информационной инфраструктуры и о состоянии ее защищенности от компьютерных атак.)
    думать о реализации ГосСОПКи (государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы) и передовать информацию в НКЦИ посредством регионально созданных СОКах? Или просто переложить все функции на головной ведомственный центр или коммерческий корпоративный центр для организаций, которые должны подключиться к ГосСОПКА, но в силу отсутствия людей и компетенций не готовы строить собственную инфраструктуру?
    А учитывая Федеральный закон от 26.07.2017 № 194-ФЗ «О внесении изменений в уголовный кодекс российской федерации и статью 151 уголовно-процессуального кодекса российской федерации» ужесточать ОРД в Учреждении.

    В общем целом интересует позиция ФСТЭК и других ведомств, что делать Медицинским организациям и когда?

  2. Андрей так много вопросов и сразу :)…

    Сначала, что попроще и прозрачнее:

    По созданию отдела — о необходимости вы сами ответили (кстати подразделение и без КИИ требовалось, для защиты ИСПДн и если вы местный, то в Вашей замечательной методичке (приказ Депздрава ХМАО 1198) даже есть инструменты расчета штатной численности). Подчинение не обязательно главному врачу. Это может быть уполномоченное им по вопросам обеспечения безопасности КИИ лицо – заместитель главврача, например.

    По вопросу «что делать и когда» — ответ и в документах нормативных есть и был дан Уральским ФСТЭК на совете в Ханты-Мансийске 16го мая. Ответ этот — реализовывать требования и вчера желательно бы..

    Начинать с категорирования. Сам порядок категорирования подробно описан в пп 127 и в презентации к настоящей заметке.

    В общих чертах еще раз поясню процесс:

    1)      Необходимо создать комиссию

    2)      Комиссии выявить сами «управленческие, технологические, производственные, финансово-экономические и (или) иные процессы», а среди них критические (т.е. нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям)

    3)      Далее определяются ИС, которые обеспечивают обработку информации в рамках этих критических процессах, т.е. формируем перечень объектов КИИ

    4)      Согласовать перечень с Депздравом

    5)      Далее присваивается категория (например решено, что если будет нарушение функционирование ИС, управляющей рентгеновским оборудованием, приводящее к причинению вреду здоровью хотя бы 1 человеку, то присваивается категория, или еще пример – ошибка в рецептах лекарств или искажение диагноза (при условии, что на основании этой информации принимается решение о формировании рецепта или проведения лечения), которые также могут привести к негативным последствиям). Либо категория не присваивается (т.е. объект – не значимый).

    6)      Оформляется Акт категорирования. 

     

     

     

  3. Теперь по поводу СОПКА

    Для определения дальнейшего движения по этому направлению нужно провести категорирование — разобраться есть ли среди ваших объектов значимые или нет !

    Почему? Потому что подавать сведения однозначно нужно субьектам (Вам!), а вот в автоматизированном и непрерывном взаимодействии с ГосСОПКА или нет зависит от наличия значимых КИИ. А тут и разница существенная «вырисовывается»..

    В целом строить центры обнаружения атак нужно однозначно. Как минимум приобретать СОВ и системы анализа инцидентов, как максимум нужно будет строить сегмент ГосСОПКА. В максимальном варианте — два направления развития событий — ведомственный центр с подключением всех ЛПУ (если захочет вам куратор ваш помогать) и самостоятельно каждому учреждению.

  4. Алексей я местный 🙂 (Сургут) А на совете в Ханты-Мансийске 16го мая 2018 года чтото решили касаемо МО в ХМАО? Я имею ввиду решений по поводу отнесения МО (мед. организации) как субъектов КИИ к значимым или незначимым объектам КИИ были? Если да, то ждать ли помощи от наших кураторов (ДЗ, ДИТ или МИАЦ) или самим разбираться во всем?

  5. По поводу решения по медицинским системам (МИС) или каким -либо иным объектам к сожалению как обычно — разочарование. Кроме зачитывания определений КИИ из закона ничего не звучало :). Ну это уже стилем становится..

    С другой стороны, если объективно смотреть то и не могло наверно прозвучать (без дополнительных сведений) — без описания технологии обработки, задач, описания инфрастуктуры и т.п. МИС нельзя категорировать (или хотя бы примерно выдать решение) по значимости МИС ! Для этого и есть непростой процесс категорирования.

    Конечно хотелось бы услышать рассуждения (обсуждения) на эту тему в рядах местной комиссии (создана рабочая группа по решению вопросов КИИ в автономном округе в составе представителей ОГВ ХМАО).

  6. Рабочая группа должна разработать некий план мероприятий и разослать подведомственным учреждениям.

    И тут, как всегда, видятся 2 основных варианта развития событий — «человеческо-методический» и «чиновничий» 🙂

    По первому — изучают в рамках рабочей группы основные объекты ЛПУ (технологию обработки и т.п.), рассматривают и обсуждают критерии, приходят к какой то позиции твердой по вопросу обоснования этих критериев и разрабатывают некие методические материалы (может даже пример акта), согласовывают эту позицию с УФСТЭК по УрФО и рассылают в ЛПУ.

    По второму — вышлют в ваш адрес срочное очередное указание о том, чтобы провести категорирование в течении месяца ). И 100 ЛПУ начинают лихорадочно заниматься таким же неконтролируемым безобразием, как многие сейчас по ИСПДн. 100 учреждений делают разные акты (в основном лицензиаты за деньги будут делать) с разными обоснованиями (хотя МИС у всех в принципе одна и та же и остальные обьекты тоже), направляют в ФСТЭК, получают замечания и отказы, делают опять и т.п. и т.д… Ну вообщем «варяться» как хотят..

    Время покажет, однако..

  7. Собственно итог (ответ на последний вопрос Андрея) — предлагаю подождать в любом случае решения и плана рабочей группы. А из него уже будет видно самим ли разбираться или нет..

    До этого времени, чтобы много времени не терять необходимо (а независимо от решений рабочей группы по категорированию и т.п. это делать все равно придется) заниматься выполнением приказов ФСТЭК по КИИ в части оргмероприятий. А именно:

    — готовить обоснование и предложения по оргштатным мероприятиям с целью выделения отдела ИБ в ЛПУ (задачи — обеспечение безопасности в ИСПДН и в КИИ) и расчета его штатной численности, подготовки положения об отделе и т.п.

    — готовить план мероприятий по реализации ФЗ о КИИ

    — доделывать как можно скорее реализацию систем ТЗИ в ИСПДН (по приказу Депздрава 1198).

    Кстати те кто не спорил бесконечно (а были и такие), о том что в приказе и методичке к нему много «лишнего и необоснованного», а выполнял — те уже почти реализовали требования по КИИ. Методичка эта и делалась с опережением нормативки ФСТЭК, с расчетом на изменения и на нормативку по КИИ, т.е. многие меры в ней (СОВ, пентесты, анализ кода и т.п.) еще долго будут «в тренде» постоянных изменений и усилений по ИБ !

  8. Коллеги я вам скажу от лица органов муниципального самоуправления ХМАО — не ждите никакой помощи… Мы ее уже получили на днях. Звучит она так — «в срок до 13го июля категорировать свои объекты и направить реестр объектов КИИ для согласования». Вот вам и помощь.. Никаких не точно бы методичек…ни разъяснений вам ни семинаров ни ответов.

  9. Кстати по вам не так все плохо — пришло в правительство округа письмо от ФСТЭК с пояснением их позиции по ОМСУ. Так вот ОМСУ — не являются субьектами КИИ !!!! Все !!!!

    вот и помощь! надеюсь, что 2эта весточка» дойдет до муниципалов ! На другую методическую помощь также будем рассчитывать, в курирующем Департаменте заканчивается реорганизация, все таки есть шанс, что кто то займется этим вопросом

  10. К слову о наметившейся тенденции в работе по КИИ в Югре (да и по ГИС-МИС также) — не включать в перечни (реестры) ГИС (МИС) и КИИ никаких обьектов. На эту тему таки появляются прецеденты.

    Вот интересный материал от коллеги:

    https://valerykomarov.blogspot.com/2018/07/blog-post_30.html

     

     

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *