В этой статье я расскажу что такое критическая информационная инфраструктура простыми словами. Подробно объясню что такое критическая информационная инфраструктура (КИИ), как категорировать КИИ. Также рассмотрю вопрос, является ли медицинская информационная система (МИС) объектом критической информационной инфраструктуры.
Основной документ, который регулирует отношения в области безопасности КИИ — это Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 №187-ФЗ.
В этом законе есть несколько определений которые нужно знать и понимать (людям работающим в сфере информационной безопасности).
Критическая информационная инфраструктура — объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов.
Объекты критической информационной инфраструктуры — информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.
Как это понимать? Есть организация, у которой имеется информационная система. Эта информационная система:
- Является объектом критической информационной инфраструктуры. И тогда ее нужно защищать соответственно.
- Не является объектом критической информационной инфраструктуры.
Появляется вопрос. А как понять является ли наша информационная система объектом критической информационной инфраструктуры или нет?
Это очень интересный вопрос с которым мне пришлось столкнуться. Для примера возьмем воображаемые системы: МИС «Медицина» (медицинская информационная система) и ИС «Реактор» (информационная система управления ядерным реактором). И подумаем являются ли они объектами КИИ.
Итак, для того что бы понять является ли информационная система объектом критической информационной инфраструктуры нам нужно определить ее категорию.
Категорирование объектов критической информационной инфраструктуры
Категорирование объектов критической информационной инфраструктуры проводится в соответствии с пунктом 2 статьи 7 ФЗ №187-ФЗ от 26.07.2017:
1) социальной значимости, выражающейся в оценке возможного ущерба, причиняемого жизни или здоровью людей, возможности прекращения или нарушения функционирования объектов обеспечения жизнедеятельности населения, транспортной инфраструктуры, сетей связи, а также максимальном времени отсутствия доступа к государственной услуге для получателей такой услуги;
2) политической значимости, выражающейся в оценке возможного причинения ущерба интересам Российской Федерации в вопросах внутренней и внешней политики;
3) экономической значимости, выражающейся в оценке возможного причинения прямого и косвенного ущерба субъектам критической информационной инфраструктуры и (или) бюджетам Российской Федерации;
4) экологической значимости, выражающейся в оценке уровня воздействия на окружающую среду;
5) значимости объекта критической информационной инфраструктуры для обеспечения обороны страны, безопасности государства и правопорядка.
Что тут понятно? А ничего тут не понятно. Поэтому мы обращаемся к постановлению правительства Российской Федерации «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» от 8 февраля 2018 г. №127.
В этом постановлении подробно расписаны критерии категорирования информационных систем. Останавливаться на тексте документа я не буду, перейдем к таблице «перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значения».
Что бы принять решение о том, является ли наша информационная система объектом КИИ проведем категорирование на основе постановления и посмотрим какие будет результаты.
То есть, если у нас есть информационная система нам нужно присвоить ей одну из трех категорий или принять решение об отсутствии у объекта категории значимости.
Так же важно понять, является ли информационная система объектом КИИ или нет. Дело в том, что если информационная система не является объектом КИИ, то сложно будет присвоить ей категорию и организовать защиту информации в соответствии с присвоенной категорией.
Категорирование медицинской информационной системы
Итак, пойдем по таблице указанной в постановлении от 8 февраля 2018 г. №127. Крайний правый столбец будет содержать данные о нашей МИС.
Давайте опишем наши информационные системы.
Пусть медицинская информационная система это система содержащая персональные данные пациентов, по сути там содержится та же информация, что и в бумажной карточке, а именно:
- фамилия, имя, отчество;
- паспортные данные;
- реквизиты полиса ОМС;
- место работы;
- состав семьи;
- адрес и место проживания и регистрации;
- сведения о состоянии здоровья;
- социальное положение;
- номер телефона;
- сведения о льготах.
Информационная система «Реактор» будет содержать информацию ограниченного доступа с грифом «секретно». По сути информационная система будет управлять реактором. И мы представляем последствия полного выхода управляющей информационной системы из строя.
| Показатель | Значение показателя | МИС «Медицина» | ИС «Реактор» | ||
| III категория | II категория | I категория | |||
| I. Социальная значимость | |||||
| 1. Причинение ущерба жизни и здоровью людей (человек) | более или равно 1, но менее или равно 50 | более 50, но менее или равно 500 | более 500 | — | I категория |
| 2. Прекращение или нарушение функционирования объектов обеспечения жизнедеятельности населения, в том числе объектов водоснабжения и канализации, очистки сточных вод, тепло- и электроснабжения, гидротехнических сооружений, оцениваемые: |
|||||
| а) на территории, на которой возможно нарушение обеспечения жизнедеятельности населения; | вся территория одного муниципального образования или одной внутригородской территории города федерального значения | выход за пределы территории одного муниципального образования или одной внутригородской территории города федерального значения, но не за пределы территории одного субъекта Российской Федерации или территории города федерального значения | выход за пределы территории одного субъекта Российской Федерации или территории города федерального значения | — | I категория |
| б) по количеству людей, условия жизнедеятельности которых могут быть нарушены (тыс. человек) | более или равно 50, но менее 1000 | более или равно 1000, но менее 5000 | более или равно 5000 | — | III категория |
| 3. Прекращение или нарушение функционирования объектов транспортной инфраструктуры, оцениваемые: | |||||
| а) на территории, на которой возможно нарушение транспортного сообщения или предоставления транспортных услуг; | вся территория одного муниципального образования или одной внутригородской территории города федерального значения | выход за пределы территории одного муниципального образования или одной внутригородской территории города федерального значения, но не за пределы территории одного субъекта Российской Федерации или территории города федерального значения | выход за пределы территории одного субъекта Российской Федерации или территории города федерального значения | — | I |
| б) по количеству людей, для которых могут быть недоступны транспортные услуги (тыс. человек) | более или равно 50, но менее 1000 | более или равно 1000, но менее 5000 | более или равно 5000 | — | III категория |
| 4. Прекращение или нарушение функционирования сети связи, оцениваемые: | |||||
| а) на территории, на которой возможно прекращение или нарушение функционирования сети связи; | вся территория одного муниципального образования или одной внутригородской территории города федерального значения | выход за пределы территории одного муниципального образования или одной внутригородской территории города федерального значения, но не за пределы территории одного субъекта Российской Федерации или территории города федерального значения | выход за пределы территории одного субъекта Российской Федерации или территории города федерального значения | — | I категория |
| б) по количеству людей, для которых могут быть недоступны услуги связи (тыс. человек) | более или равно 50, но менее 1000 | более или равно 1000, но менее 5000 | более или равно 5000 | — | III категория |
| 5 Отсутствие доступа к государственной услуге, оцениваемое в максимальном допустимом времени, в течение которого государственная услуга может быть недоступна для получателей такой услуги (часов) | менее или равно 24, но более 12 | менее или равно 12, но более 6 | менее 6 | — | I категория |
| II. Политическая значимость | |||||
| 6. Прекращение или нарушение функционирования государственного органа в части невыполнения возложенной на него функции (полномочия) | прекращение или нарушение функционирования органа государственной власти субъекта Российской Федерации или города федерального значения | прекращение или нарушение функционирования федерального органа государственной власти | прекращение или нарушение функционирования Администрации Президента Российской Федерации, Правительства Российской Федерации, Федерального Собрания Российской Федерации, Совета Безопасности Российской Федерации, Верховного Суда Российской Федерации, Конституционного Суда Российской Федерации | — | III категория |
| 7. Нарушение условий международного договора Российской Федерации, срыв переговоров или подписания планируемого к заключению международного договора Российской Федерации, оцениваемые по уровню международного договора Российской Федерации | нарушение условий договора межведомственного характера (срыв переговоров или подписания) | нарушение условий межправительственного договора (срыв переговоров или подписания) | нарушение условий межгосударственного договора (срыв переговоров или подписания) | — | III категория |
| III. Экономическая значимость | |||||
| 8. Возникновение ущерба субъекту критической информационной инфраструктуры, который является государственной корпорацией, государственным унитарным предприятием, муниципальным унитарным предприятием, государственной компанией, организацией с участием государства и (или) стратегическим акционерным обществом, стратегическим предприятием, оцениваемого в снижении уровня дохода (с учетом налога на добавленную стоимость, акцизов и иных обязательных платежей) по всем видам деятельности (процентов прогнозируемого объема годового дохода по всем видам деятельности) | более 5, но менее или равно 10 | более 10, но менее или равно 15 | более 15 | — | I категория |
| 9. Возникновение ущерба бюджетам Российской Федерации, оцениваемого: | |||||
| а) в снижении доходов федерального бюджета, (процентов прогнозируемого годового дохода бюджета); | более 0,001, но менее или равно 0,05 | более 0,005, но менее или равно 0,1 | более 0,1 | — | III категория |
| б) в снижении доходов бюджета субъекта Российской Федерации (процентов прогнозируемого годового дохода бюджета); | более 0,001, но менее или равно 0,05 | более 0,05, но менее или равно 0,1 | более 0,1 | — | III категория |
| в) в снижении доходов бюджетов государственных внебюджетных фондов (процентов прогнозируемого годового дохода бюджета) | более 0,01, но менее или равно 0,5 | более 0,5, но менее или равно 1 | более 1 | — | III категория |
| 10. Прекращение или нарушение проведения клиентами операций по банковским счетам и (или) без открытия банковского счета или операций, осуществляемых субъектом критической информационной инфраструктуры, являющимся в соответствии с законодательством Российской Федерации системно значимой кредитной организацией, оператором услуг платежной инфраструктуры системно и (или) социально значимых платежных систем или системно значимой инфраструктурной организацией финансового рынка, оцениваемое среднедневным (по отношению к числу календарных дней в году) количеством осуществляемых операций, (млн. единиц) (расчет осуществляется по итогам года, а для создаваемых объектов — на основе прогнозных значений) | более 3, но менее или равно 70 | более 70, но менее или равно 120 | более 120 | — | III категория |
| IV. Экономическая значимость | |||||
| 11. Вредные воздействия на окружающую среду (ухудшение качества воды в поверхностных водоемах, обусловленное сбросами загрязняющих веществ, повышение уровня вредных загрязняющих веществ, в том числе радиоактивных веществ, в атмосферу, ухудшение состояния земель в результате выбросов или сбросов загрязняющих веществ или иные вредные воздействия), оцениваемые: | |||||
| а) на территории, на которой окружающая среда может подвергнуться вредным воздействиям; | вся территория одного муниципального образования или одной внутригородской территории города федерального значения | выход за пределы территории одного муниципального образования или одной внутригородской территории города федерального значения, но не за пределы территории одного субъекта Российской Федерации или территории города федерального значения | выход за пределы территории одного субъекта Российской Федерации или территории города федерального значения | — | I категория |
| б) по количеству людей, которые могут быть подвержены вредным воздействиям (тыс. человек) | более или равно 50, но менее 1000 | более или равно 1000, но менее 5000 | более или равно 5000 | — | III категория |
| V. Значимость для обеспечения обороны страны, безопасности государства и правопорядка | |||||
| 12. Прекращение или нарушение (невыполнение установленных показателей) функционирования пункта управления (ситуационного центра), оцениваемое в уровне (значимости) пункта управления или ситуационного центра | прекращение или нарушение функционирования пункта управления или ситуационного центра органа государственной власти субъекта Российской Федерации или города федерального значения | прекращение или нарушение функционирования пункта управления или ситуационного центра федерального органа государственной власти или государственной корпорации | прекращение или нарушение функционирования пункта управления государством или ситуационного центра Администрации Президента Российской Федерации, Правительства Российской Федерации, Федерального Собрания Российской Федерации, Совета Безопасности Российской Федерации, Верховного Суда Российской Федерации, Конституционного Суда Российской Федерации | — | III категория |
| 13. Снижение показателей государственного оборонного заказа, выполняемого субъектом критической информационной инфраструктуры, оцениваемое: | |||||
| а) в снижении объемов продукции (работ, услуг) в заданный период времени (процентов заданного объема продукции); | более 5, но менее или равно 10 | более 10, но менее или равно 15 | более 15 | — | — |
| б) в увеличении времени выпуска продукции (работ, услуг) с заданным объемом (процентов установленного времени выпуска продукции) | более 3, но менее или равно 10 | более 10, но менее или равно 40 | более 40 | — | I категория |
| 14. Прекращение или нарушение функционирования (невыполнения установленных показателей) информационной системы в области обеспечения обороны страны, безопасности государства и правопорядка, оцениваемое в максимально допустимом времени, в течение которого информационная система может быть недоступна пользователю (часов) | менее или равно 4, но более 2 | менее или равно 2, но более 1 | более 1 | — | — |
Как видно из таблицы медицинская информационная система «Медицина» не является объектом КИИ, это информационная система содержащая персональные данные и информационная безопасность системы должна выстраиваться исходя их этого факта.
А вот «Реактор» является объектом КИИ, но что бы определить реальную категорию нужны эксперты, так как я не могу с точностью сказать, например, по пункту «Возникновение ущерба бюджетам Российской Федерации, оцениваемого». Так как я не обладаю информацией о бюджете РФ и о размерах отчислений организации в бюджет.
Поэтому категорирование объектов КИИ дело довольно сложное и в большинстве случаев стоит прибегнуть к помощи сторонних организаций имеющих соответствующие лицензии ну и конечно же опыт.
Информационная безопасность объектов КИИ
После проведения категорирования, отталкиваясь от результатов вырабатываются требования к защищенности объекта.
Далее выстраивается система защиты объекта, обычно завершающим этапом является подключение к ГосСОПКА.
Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации. Официальный сайт.
Ответственность и наказания
Штрафы и различного рода, ответственность, присматривается не столько за саму критическую информационную инфраструктуру, сколько за нарушение федерального закона №187.
Штрафы
| Вид нарушения | Должностные лица | Юридические лица |
|---|---|---|
| Нарушение требований к созданию системы безопасности КИИ и обеспечению ее функционирования | от 10.000 до 50.000 руб. | от 50.000 до 100.000 руб. |
| Нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятию мер по ликвидации последствий компьютерных атак, проведенных в отношении КИИ | от 10.000 до 50.000 руб. | от 100.000 до 500.000 руб. |
| <Нарушение порядка обмена информацией о компьютерных инцидентах между субъектами КИИ и иностранными организациями/td> | от 20.000 до 50.000 руб. | от 100.000 до 500.000 руб. |
| Нарушение сроков предоставления сведений о результатах категорирования объектов КИИ или об отсутствии их категорирования во ФСТЭК | от 10.000 до 50.000 руб. | от 50.000 до 100.000 руб. |
| Нарушение сроков или порядка предоставления информации в ГосСОПКУ | от 10.000 до 50.000 руб. | от 100.000 до 500.000 руб. |
Как видите, критическая информационная инфраструктура — важная составляющая которую необходимо защищать.
Обучаю HTML, CSS, PHP. Создаю и продвигаю сайты, скрипты и программы. Занимаюсь информационной безопасностью. Рассмотрю различные виды сотрудничества.