Категорирование объектов критической информационной инфраструктуры (КИИ)

Категорирование объектов критической информационной инфраструктуры (КИИ)

Категорирование объектов критической информационной инфраструктуры (КИИ) — это процедура, которая позволяет организациям, попавшим в сферу действия федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации», понять, к каким именно информационным системам, автоматизированным системам управления и сетям, используемым этими организациями, предъявляются обязательные требования по обеспечению безопасности. Эта процедура определена в постановлении Правительства от 8 февраля 2018 г. №127, но, к сожалению, она до сих поры вызывает вопросы у субъектов КИИ. Пройдемся по этой процедуре более детально.

 

 

  1. Введение
  2. Что такое категория значимости и для чего она нужна
  3. Является ли организация субъектом КИИ?
  4. Как проводится категорирование
  5. Особенности анализа угроз при категорировании объектов КИИ
  6. Формальности в процессе категорирования объектов КИИ
  7. Выводы

 

Введение

Понятие «критическая информационная инфраструктура» определена в законе довольно расплывчато. Сперва закон определяет понятие «субъект КИИ»: «субъекты критической информационной инфраструктуры — государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей».

Чтобы понять эту формулировку, ее приходится анализировать по частям. В ней определяется тринадцать сфер деятельности (здравоохранение, наука, транспорт и т. п.), которые находятся в фокусе внимания закона. Закон затрагивает не сами эти сферы, а информационные системы, автоматизированные системы управления и информационно-телекоммуникационные сети (для краткости дальше по тексту будем называть их объектами IT-инфраструктуры), которые в этих сферах функционируют. Субъект КИИ — это либо тот, кому такие объекты принадлежат, либо тот, кто обеспечивает взаимодействие таких объектов. При этом субъектом КИИ может быть и орган власти, и государственное учреждение, и частная компания, и даже индивидуальный предприниматель.

Далее, закон определяет понятие «объект КИИ»: «объекты критической информационной инфраструктуры — информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры».

Таким образом, если организации — субъект КИИ, то объекты ее IT-инфраструктуры являются объектами КИИ. Наконец, закон определяет критическую информационную инфраструктуру Российской Федерации как совокупность объектов КИИ и сетей электросвязи, которые используются для их взаимодействия. Обратим внимание: объекты IT-инфраструктуры организации или индивидуального предпринимателя попадают в сферу действия закона не в силу своей важности для владельцев, а из-за того, что являются частью критической информационной инфраструктуры государства, и поэтому небезразличны государству.

Из этих определений следует, что закон затрагивает целые отрасли экономики, в которых работают десятки тысяч организаций и индивидуальных предпринимателей, вплоть до отдельных таксопарков и стоматологических кабинетов. Но не все так мрачно: основные требования закона относятся к объектам КИИ, которым в результате категорирования присваивается категория значимости.

 

Что такое категория значимости и для чего она нужна

Одной из основных проблем государственного регулирования вопросов информационной безопасности до недавнего времени являлся конфликт интересов с одной стороны — бизнеса, с другой — государства и общества. Как правило, при принятии решения о необходимости тех или иных мер защиты владелец информационной системы оценивает свои потери от возможных инцидентов и сравнивает их со стоимостью мер защиты от этих инцидентов. С его точки зрения защита нецелесообразна, если затраты на нее превышают возможные его потери при отсутствии такой защиты. К сожалению, при этом владельцы информационных систем чаще всего принимают в расчет только свои потери, игнорируя сопутствующий ущерб. Если в результате выхода из строя АСУ ТЭЦ город на три дня останется без тепла, это приведет к падению выручки компании менее чем на один процент. Это потери, статистически неотличимые от нуля, и с финансовой точки зрения владелец ТЭЦ мог бы с ними смириться. Для города же три дня, проведенные без тепла и горячей воды, — катастрофа, которую трудно оценить в финансовом выражении. Чтобы решить эту проблему, в законе введено понятие «категория значимости».

Категория значимости — это характеристика объекта КИИ, которая позволяет провести водораздел: вот с этими объектами владелец может поступать, как ему заблагорассудится, а вот эти объекты должны защищаться так, как того требует государство. Для этого в приложении к правилам категорирования (постановление Правительства РФ от 8 февраля 2018 г. №127, новая редакция утверждена 13 апреля 2019 г.) определены четырнадцать типов возможных негативных последствий, к которым может привести нарушение или прекращение работы объектов КИИ:

  • причинение вреда жизни и здоровью людей;
  • нарушение работы систем жизнеобеспечения;
  • нарушение транспортного сообщения;
  • нарушение связи;
  • снижение доходов федерального или местного бюджета и т. п.

В результате для каждого из объектов КИИ вводится четырнадцать показателей категорирования, каждый из которых характеризует размер вреда, который может быть причинен при наступлении соответствующего негативного последствия, например: «В случае отказа системы диспетчерского управления ТЭЦ может быть нарушено теплоснабжение муниципального образования Медведевский район, в котором проживает 67000 человек». На первый взгляд все просто: в этом примере объектом КИИ является система диспетчерской автоматизации ТЭЦ, показателем категорирования — возможность нарушения работы объекта теплоснабжения (показатель 2 в приложении к правилам категорирования), и этот показатель характеризуется двумя величинами:

  • размером территории, на которой может быть нарушено теплоснабжение (территория муниципального образования);
  • численностью населения, жизнеобеспечение которого может быть нарушено (67000 человек).

Для каждой величины, характеризующий показатель категорирования, устанавливаются четыре градации, по которым определяется категория значимости объекта КИИ. Например, для численности населения, которое может остаться без теплоснабжения, установлены следующие градации:

  • 2 тыс. и менее — объект не является значимым;
  • от 2 тыс. до 1 млн — объекту присваивается третья категория значимости;
  • от 1 до 5 млн — объекту присваивается вторая категория значимости;
  • более 5 млн — объекту присваивается первая, наивысшая категория значимости.

Таким образом, все на тот же первый взгляд, по численности населения система диспетчерской автоматизации данной ТЭЦ должна быть отнесена к значимым объектам КИИ третьей категории значимости.

В действительности определение объектов КИИ и категорий их значимости — не такая простая задача. Во-первых, даже в пределах отдельного муниципального образования теплоснабжение может обеспечиваться системой из нескольких ТЭЦ и автономных котельных, и определить численность населения, обслуживаемую одним предприятием — задача сама по себе непростая. Во-вторых, объектом КИИ является не предприятие, а каждая информационная система, каждая автоматизированная система управления и каждая информационно-телекоммуникационная сеть предприятия, которые в данном примере используются для теплоснабжения. То есть объектами КИИ будут являться автоматизированные системы управления водогрейными котлами (причем каждый котел может иметь отдельную систему управления), насосами, задвижками и т. п., а в ряде случаев — даже системы учета поставляемой тепловой энергии и взимания платы с потребителей. И категории значимости должны быть определены для каждого такого объекта

Таким образом, категорирование объектов КИИ — довольно сложный процесс, требующий учета многих нюансов деятельности организации. И начать стоит с определения основополагающего факта.

 

Является ли организация субъектом КИИ?

По определению, данному в законе, лицо является субъектом КИИ, если ему принадлежат объекты IT-инфраструктуры, функционирующие в тринадцати сферах, перечисленных в определении. К сожалению, в законодательстве нет однозначных определений для понятий «сфера», «принадлежать» и «функционировать», поэтому решение о принадлежности организации к субъектам КИИ очень сильно зависит от субъективных оценок человека, принимающего такое решение.

В выступлениях, посвященных вопросам безопасности КИИ, представители ФСТЭК России рекомендуют обращать внимание на виды деятельности, указанные в уставе организации и в Едином государственном реестре юридических лиц в форме кодов ОКВЭД, а также на выданные организации лицензии. Действительно, виды деятельности, которыми может заниматься организация, определены в ее уставе, а некоторые виды требуют еще и специального разрешения (лицензии). Таким образом, если в уставе указан вид деятельности, относящийся к одной из указанных в законе сфер, то организация с большой вероятностью занимается этой деятельностью, и в этом виде деятельности (для краткости назовем его «критическим») она почти наверняка использует какие-либо объекты своей IT-инфраструктуры. К сожалению, из этой рекомендации невнимательные слушатели часто делают поспешный вывод: «Организация является субъектом КИИ тогда и только тогда, когда в ее уставе есть подходящие коды ОКВЭД».

В этом выводе сразу две ошибки. Во-первых, в уставе явно перечисляются виды деятельности, которыми организация заниматься может, но не обязана. Таким образом организация, в уставе которой указано «осуществление грузовых перевозок» в действительности может вообще не заниматься транспортными услугами: просто в какой-то момент владелец решил отказаться от нерентабельного направления деятельности, а вносить при этом изменения в устав не требуется. Во-вторых, в уставе почти любой коммерческой организации есть приписка «и любыми иными видами деятельности, не запрещенными законом». Поэтому коды ОКВЭД в уставе могут быть полезны, но не являются критерием.

Еще одна тонкость относится к сфере науки. Любая организация, даже не специализирующаяся в области науки, имеет право в своих интересах заниматься научными исследованиями и использовать результаты этих исследованиях при производстве продукции или оказании услуг. В ряде случаев государство даже стимулирует такую деятельность, предоставляя таким организациям налоговые льготы. Такая организация формально также является субъектом КИИ, но только если в своей научной деятельности она использует какие-либо объекты IT-инфраструктуры.

В самом сложном положении оказываются организации IT-индустрии, особенно операторы связи, ЦОД и облачных инфраструктур. Ключевым для отнесения организации к субъектам КИИ является не деятельность в одной из «критических» сфер, а принадлежность к этой организации хотя бы одного объекта IT-инфраструктуры, который в одной из этих сфер используется. Так, зачастую деятельностью в области здравоохранения занимается министерство здравоохранения субъекта федерации, но владельцем всех используемых им информационных систем является отдельное государственное унитарное предприятие — информационно-аналитический центр. В этом случае субъектом КИИ будет являться такой центр.

В результате чаще всего ответить на вопрос, является ли организация субъектом КИИ, можно лишь начав категорирование ее информационных систем.

 

Как проводится категорирование

Как мы видели на примере ТЭЦ, для категорирования объектов КИИ и даже просто для определения этих объектов требуется глубоко погрузиться в специфику деятельности организации. Для этого необходимо создать специальную комиссию, в состав которой должны входить лица, ответственные за информационную безопасность, представители подразделения ИТ и основных технологических подразделений. В соответствии с правилами категорирования такая комиссия должны быть постоянно действующей, но торопиться с ее созданием не стоит. Если мы еще не уверены, относится ли организация к субъектам КИИ, для начала достаточно обсудить основные направления деятельности организации с лицами, которым эта деятельность хорошо известна. В небольших организациях такими людьми будут генеральный директор и главный бухгалтер, на производственных предприятиях — главный инженер, главный технолог или главный энергетик, в медицинских учреждениях — главный врач или заместитель главного врача по медицинской части. Организация не является субъектом КИИ, если:

  • она не занимается деятельностью ни в одной из «критических» сфер;
  • она занимается одним или несколькими «критическими» видами деятельности, но для них не использует объекты IT-инфраструктуры.

В остальных случаях требуется создать комиссию по категорированию, и первым действием комиссии является составление перечня процессов организации (управленческих, технологических, производственных, финансово-экономических и так далее), в которых используются объекты IT-инфраструктуры. Формально правила категорирования предписывают включать в перечень вообще все процессы, но в реальности процессы, связанные исключительно с ручным или механизированным трудом потом все равно будут исключены из рассмотрения.

Далее, для каждого процесса нужно определить, может ли его нарушение или прекращение привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка. Сами правила не говорят, какие именно последствия должны рассматриваться, но на практике достаточно ограничиться теми четырнадцатью, которые указаны в приложении к постановлению №127 в качестве показателей категорирования. Процессы, нарушение которых может привести к таким последствиям, называются критическими, а остальные из дальнейшего рассмотрения исключаются.

Стоит отметить, что возможность наступления негативных последствий, делающих процесс критическим, не всегда очевидна. На первый взгляд, процессы бухгалтерского учета и взаиморасчетов с контрагентами не могут существенно влиять на производственную деятельность, и в большинстве организаций это именно так. Но, например, на некоторых предприятиях прекращение бухгалтерских операций может привести к задержке оплаты материалов и, как следствие, прекращению поставок, остановке производства и срыву сроков исполнения государственного оборонного заказа — последствию, которое именно для этого предприятия делает процессы бухгалтерского учета критическими. В частности, именно поэтому в новой редакции правил отдельно рекомендуется включать в состав комиссии также и представителей финансовых подразделений.

Далее, для каждого критического процесса определяются объекты IT-инфраструктуры, используемые в процессе — они и станут объектами КИИ, которые комиссии предстоит категорировать. Критические процессы, не использующие объекты IT-инфраструктуры, из дальнейшего рассмотрения исключаются. Все выявленные таким образом объекты КИИ включаются в единый перечень, который должен быть направлен в центральный аппарат ФСТЭК России.

Далее для каждого объекта КИИ следует оценить актуальные для него негативные последствия, к которым может привести атака на этот объект, и масштаб таких последствий. Это уже творческая работа, в чем-то аналогичная анализу угроз, который должен проводиться при создании системы защиты — об этом мы поговорим чуть позже. Сложность заключается в том, что:

  • каждый объект может использоваться в нескольких критических процессах;
  • один и тот же объект можно атаковать разными способами, и это будет проводить к разным последствиям для разных процессов.

В результате анализа нужно для каждого объекта КИИ по каждому показателю категорирования оценить максимально возможный масштаб негативных последствий, соответствующих данному показателю. Наконец, на основе этой оценки нужно для каждого показателя категорирования определить, какой категории значимости соответствует данный объект КИИ по данному показателю. В результате объекту присваивается максимальная из получившихся категорий и составляется акт категорирования.

Сведения о результатах категорирования включаются в форму, утвержденную приказом ФСТЭК России №236 22 декабря 2017 г., отдельно по каждому объекту и направляются в центральный аппарат ФСТЭК России.

 

Особенности анализа угроз при категорировании объектов КИИ

Проводя категорирование, субъекты часто путают два понятия:

  • анализ угроз, который проводится при создании системы безопасности значимого объекта КИИ в соответствии с приказом ФСТЭК России №239 от 25 декабря 2017 г.;
  • оценка негативных последствий инцидента с объектом КИИ, которая проводится при категорировании.

В первом случае решается задача выбора мер защиты и способов их реализации. Чтобы выбрать адекватную реализацию меры защиты (например, требуется ли для защиты от сетевых атак применять межсетевой экран прикладного уровня или достаточно обойтись сигнатурной системой обнаружения вторжений), нужно оценить все возможные способы проведения атак — и для этого предписывается использовать Банк данных угроз и уязвимостей ФСТЭК России. Для оценки негативных последствий нарушения работы объекта КИИ такая степень детализации бесполезна, в ряде случаев — невозможна, а главное — не требуется.

Рассмотрим на примере всё того же теплоснабжения. На стадии категорирования нам в общих чертах известен технологический процесс теплоснабжения: водогрейные котлы нагревают воду, насосы нагнетают холодную воду в котлы, а горячую — в трубы теплотрассы, подача воды в отдельные участки трубы регулируется задвижками, давление воды контролируется датчикам, превышение допустимых показателей приводит в действие аварийную защиту. Все перечисленные компоненты управляются автоматизированно.

На стадии категорирования мы принимаем в качестве аксиомы, что если не обеспечивать защиту системы от действий злоумышленника, то он может воздействовать на элементы системы управления. Исходя из этого мы ставим себя на место злоумышленника и оцениваем потенциально возможные сценарии его действий, ставя целью причинение максимального ущерба. Например, нарушитель потенциально может отключить аварийную защиту, перекрыть задвижку на выходе водогрейного котла и увеличить до максимума мощность насоса, нагнетающего воду в котел. Результатом потенциально может стать повреждение котла, как следствие — нарушение теплоснабжения подключенных к котельной потребителей. Для оценки возможности такого сценария не требуется оценивать, возможно ли внедрение вредоносного кода или данных в программное обеспечение системы управления котельной или иные угрозы, перечисленные в банке данных ФСТЭК России. Достаточно того, что система управления позволяет человеку, получившему к ним доступ, выполнить подобные действия, и это подтверждает специалист из службы главного инженера организации.

При оценке негативных последствий субъекты КИИ часто пытаются учесть применяемые меры защиты, например:

  • в системе управления реализован комплекс мер защиты, исключающий несанкционированные действия злоумышленника;
  • в котельной установлено два котла, в штатном режиме работающие с половинной нагрузкой.

В подобном подходе заключаются сразу три методических ошибки. Во-первых, нарушена причинно-следственная связь, установленная в нормативных документах ФСТЭК: сперва оцениваются угрозы, и только потом выбираются соответствующие им меры защиты. Полное резервирование котлов потому и выполняется, что выход из строя одного из них привел бы к нарушению теплоснабжения потребителей. Иначе получается бессмыслица: нарушение теплоснабжения невозможно благодаря резервированию котлов, а раз оно невозможно, резервный котел не нужен.

Во-вторых, в случае категорирования объектов КИИ угрозы определяют категорию значимости, а категория значимости — состав базовых мер защиты, которые должны быть реализованы на объекте КИИ. На стадии категорирования еще не определена категория значимости объекта, а значит не определено, какие меры защиты являются необходимыми. Поэтому на этой стадии у субъекта нет никаких оснований утверждать, что принятые им меры защиты достаточны.

В-третьих, правила категорирования требуют при оценке последствий учитывать также и взаимосвязь объектов, включая возможность комбинированной атаки на них. Если нарушитель способен провести атаку на один котел, то он способен точно так же провести атаку и на второй котел, а значит, при категорировании системы управления придется учитывать возможность вывода из строя всех котлов.

 

Рисунок 1. При категорировании приходится рассматривать теоретически возможные многоходовые сценарии действий нарушителя

При категорировании приходится рассматривать теоретически возможные многоходовые сценарии действий нарушителя

 

Еще одна распространенная ошибка — это попытка категорировать объект КИИ только на основе его назначения, без учета его реального использования. Это хорошо иллюстрирует категорирование в качестве объектов КИИ интеллектуальной медицинской техники. Рассмотрим два примера:

  • теоретически возможно инфицировать аппарат УЗИ вредоносной программой, которая будет подменять изображение;
  • теоретически возможно инфицировать компьютерный томограф вредоносной программой, которая будет подменять снимки.

Обе угрозы кажутся идентичными и приводящими к одинаковым последствиям: нарушитель может, например, удалить из изображения опухоль и тем самым вынудить врача пропустить заболевание, а значит, в обоих случаях возможно причинение вреда жизни и здоровью людей. В действительности результаты категорирования будут разными:

  • Компьютерная томография — исследование статичного объекта с предсказуемым перемещением объекта съемки относительно излучателя. Можно перехватить изображение в процессе его программной обработки, проанализировать и модифицировать прежде, чем оно будет сохранено или показано на экране.
  • УЗИ-диагностика — динамическое исследование, в котором объект съемки перемещается относительно излучателя непредсказуемо для наблюдателя, который не имеет возможности наблюдать за движением руки врача. Перехватить и модифицировать изображение можно, но сделать его правдоподобным — нет.

Соответственно, приходится признать потенциальную опасность для здоровья людей в случае атаки нарушителя на компьютерный томограф и присвоить ему первую категорию значимости. А вот аппарат УЗИ такую опасность не представляет, и присвоение ему категории значимости не требуется. Различие обусловлено не техническими особенностями устройств, а особенностями их использования в лечебном процессе.

 

Формальности в процессе категорирования объектов КИИ

В процессе категорирования у субъекта КИИ есть две контрольные точки:

  • момент утверждения перечня объектов КИИ;
  • момент присвоения объекту КИИ категории значимости или принятия решения об отсутствии необходимости присваивать ему категорию.

Перечень объектов КИИ необходимо направить в центральный аппарат ФСТЭК России в течение пяти рабочих дней с момента его утверждения. Ведомство принимает этот перечень к сведению, но никаких действий при этом не предпринимает. Некоторые территориальные управления ФСТЭК рекомендуют направлять им копию перечня — также к сведению.

Сведения о результатах категорирования направляются в центральный аппарат ФСТЭК по мере готовности. Сведения по каждому объекту КИИ должны быть направлены в ФСТЭК в течение десяти рабочих дней с момента утверждения соответствующего акта категорирования. Ведомство проводит проверку таких сведений и в случае несогласия с результатами категорирования в течение десяти календарных дней направляет субъекту замечания. Замечания должны быть устранены также в течение десяти календарных дней.

Важно помнить, что момент утверждения перечня объектов КИИ является стартовой точкой при отсчете сроков проведения категорирования и надзорных действий. Категорирование объектов КИИ должно быть закончено не позднее, чем через год после утверждения перечня, а проверки выполнения требований могут начаться не ранее, чем через три года после завершения категорирования.

Стоит отметить, что крайний срок разработки перечня объектов КИИ нормативными документами установлен лишь для органов власти и государственных учреждений: в соответствии с постановлением Правительство №452 от 13 апреля 2019 г. эти субъекты должны утвердить свои перечни до 1 сентября 2019 г. Остальным субъектам также рекомендуется уложиться к этой дате, но это лишь рекомендация.

 

Выводы

Категорирование объектов КИИ — это своеобразная форма оценки рисков безопасности для объектов IT-инфраструктуры, используемых в важных для государства отраслях экономики и государственного управления. Своеобразие этого процесса вызвано тем, что объекты могут принадлежать коммерческим компаниям и частным лицам, но при этом создавать риски для государства и общества.

Если сравнить процесс категорирования объектов КИИ с аналогичным ему процессом определения уровней защищенности информационных систем персональных данных (постановление Правительства РФ от 01.11.2012 N 1119), видна заметная эволюция в подходе регулятора к формированию требований. Информация и ее свойства (конфиденциальность, доступность, целостность) больше не рассматриваются как самостоятельная ценность, требующая защиты. Вместо этого требуется оценивать, как именно эта информация обрабатывается и используется и какой реальный вред может причинить злоумышленник, вмешавшись в информационно-технологические процессы. Именно так и рекомендуется оценивать риски — но в регулятивной практике российской информационной безопасности такой подход используется едва ли не впервые.

Важность категорирования заключается даже не в том, что кто-то присвоит своим информационным системам категории значимости и будет исполнять технические требования по обеспечению их безопасности. Нет никаких сомнений, что большинство субъектов КИИ (а скорее всего — все субъекты) будут стремиться разными способами обосновывать незначимость как можно большей части своей IT-инфраструктуры, чтобы по возможности вывести ее из-под нормативных требований. Это неважно.

Важно то, что многие коммерческие компании, и прежде всего — промышленные предприятия, пусть вынужденно, из-под палки, впервые трезво взглянули на состояние защищенности своих информационных систем и систем управления. И для руководства многих из них стала неприятным сюрпризом их практическая беззащитность перед целенаправленными действиями нарушителя. Во всяком случае, с момента принятия правил категорирования заметно вырос поток запросов на проведение анализа защищенности промышленных систем, и очень часто такое обращение начинается словами: «Мы тут начали категорироваться и задумались…».

Полезные ссылки: 
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru