Одним из самых важных этапов в реализации требований Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» является категорирование объектов критической информационной инфраструктуры (далее по тексту – КИИ), т.е. по сути определение важности (критичности) того или иного объекта КИИ (информационная система, автоматизированная система управления или информационно-телекоммуникационная сеть) по установленной в действующем законодательстве1 процедуре.
Как провести указанную процедуру без ошибок? Как осуществить категорирование большого количества объектов КИИ (например, более 1000) и пересмотр их категорий значимости? Как учитывать изменения в составе объектов КИИ и их жизненный цикл, прежде всего создание и вывод из эксплуатации?
Ответом на все эти вопросы служит применение решений класса SGRC (Security Governance, Risk, Compliance) содержащее отдельный модуль автоматизации процесса категорирования объектов КИИ, например, решение ePlat4m разработки ООО «УЦСБ».
SGRC – это класс программных продуктов, основное назначение которых – управление процессами информационной безопасности компании, автоматизация системы менеджмента информационной безопасности.
Классическая система SGRC состоит из следующего набора модулей:
- управление информационными активами;
- управление политиками;
- управление рисками;
- управление соответствием законодательству, стандартам и лучшим практикам (комплаенс);
- управления внутренним аудитом;
- управления непрерывностью бизнеса;
- управления инцидентами;
- управления конфигурациями.
Тенденцией последних двух лет, обусловленной вступлением в законную силу Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» стало появление отдельного, специализированного модуля, посвященного автоматизации категорирования объектов КИИ.
Данный модуль позволяет:
- автоматизировать процесс создания и изменения состава постоянно действующей комиссии по категорированию, обеспечить среду для совместной работы ее участников;
- осуществлять ведение реестра объектов КИИ и его актуализацию, выгрузку перечня объектов КИИ, подлежащих категорированию по утвержденным формам;
- вести реестр угроз безопасности объектам КИИ с учетом банка данных угроз ФСТЭК России, необходимый для работы комиссии по категорированию;
- автоматизировать подготовку актов категорирования и сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий.
Рисунок 1. – Пример интерфейса модуля категорирования объектов КИИ ePlat4m
Давайте рассмотрим каков порядок применения указанного модуля при категорировании объектов КИИ.
Процедура категорирования прописана в Правилах категорирования объектов критической информационной инфраструктуры Российской Федерации (утв. постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127) и включает в себя следующие этапы:
|
№ |
Этап |
Применение модуля категорирования |
|
1 |
Создание постоянно действующей комиссии по категорированию |
Вход: создание учетных записей для участников комиссии, содержащих фамилию, имя отчество Выход: готовый приказ о создании постоянно действующей комиссии по категорированию |
|
2 |
Выявление процессов в рамках выполнения функций (полномочий) или осуществления видов деятельности субъекта КИИ, определение их критичности |
Вход: исходные данные по процессам (бизнес-процессам) организации, значения показателей критериев значимости объектов КИИ Выход: перечень критических процессов |
|
3 |
Анализ возможных действий нарушителей и угроз безопасности информации |
Вход: исходные данные об архитектуре объектов КИИ и используемых в них технологиях Выход: модель угроз и нарушителей на основе банка данных угроз ФСТЭК России |
|
4 |
Установление каждому из объектов КИИ одной из категорий значимости либо принятие решения об отсутствии необходимости ее присвоения. |
Вход:
|
Таким образом, применение системы класса SGRC позволяет самостоятельно (без привлечения внешнего подрядчика) провести всю процедуру категорирования объектов КИИ максимально правильно и в минимально короткий срок.
Кроме того, следует отметить, что субъект КИИ обязан осуществлять пересмотр категории значимости объекта КИИ не реже чем раз в 5 лет, а также при существенных изменениях значимого объекта КИИ. Применение решений SGRC позволяет значительно снизить трудозатраты на проведение таких процедур, т.к. вся необходимая информация уже содержится в системе и требуется просто ее корректировка.
______________________
1Постановление Правительства РФ от 8 февраля 2018 г. № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений».