[ke1evra]

Кто-то может скинуть примерный список? Не понимаю, что там может быть.

информационная система (ИС) - биллинг, ... что ещё сюда вписать можно?

информационно-телекоммуникационная сеть (ИТС) - ядро, днс, нат, ... ещё что-то?

автоматизированная система управления (АСУ) - мониторинги всякие, но они же не являются критическими, т.е. абоненты будут со связью независимо от состояния этих АСУ

 

может кто пролить свет на эту хрень? если есть примеры, буду очень благодарен 

[jffulcrum]

Ну, для начала, из ППРФ 127 2018 года:

 

Цитата

в) определение объектов критической информационной инфраструктуры, которые обрабатывают информацию, необходимую для обеспечения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов;

 

Так что все мониторинги, системы бекапа, анзибли и прочее указываются вполне. Биллинг - это у вас и есть АСУ, если из него идет управление железом (активация VLAN/акков PPOE и т.п.). ИС - это CRM, 1С и т.п. У вас еще есть ЛК абонов (если отдельной от биллинга системой реализованы. И не забудьте ТСПУ и СОРМ, при отказе которых вы не вправе оказывать услуги. Вы не можете по ним проводить мероприятия ИБ, но мероприятия физической безопасности, непрерывности электроснабжения и охлаждения отразить в плане по КИИ можете и должны.

[ke1evra]

@jffulcrum, спасибо за ответ, но всё равно ничего непонятно. CRM, 1С - они же не являются критическими, без них абоненты всё равно будут с интернетом. 

И вообще, из всего этого списка https://fstec.ru/dokumenty/vse-dokumenty/postanovleniya/postanovlenie-pravitelstva-rossijskoj-federatsii-ot-8-fevralya-2018-g-n-127?highlight=WzEyN10=

для оператора связи подходит только один пункт - Социальная значимость п.4 - Прекращение1) или нарушение функционирования2) сети связи, оцениваемое по количеству абонентов, для которых могут быть недоступны услуги связи (тыс. человек)

 

ЛК абонов тоже не влияет на оказание услуги - если задудосят лк, то связь всё равно будет доступна

[Стич]

Мне кажется надо самим выбирать элементы в случае сбоя которых связь у абонентов может прерваться. Например биллинговая система может и не управлять оборудованием совсем специально что бы не влияла на абонента и нет ACУ, токо telnet :)

[zadrovets]

а вы категорирование самостоятельно решили провести?

раньше надо было заказывать у компаний, имеющих соответствующие лицензии

[Стич]

17 минут назад, zadrovets сказал:

а вы категорирование самостоятельно решили провести?

раньше надо было заказывать у компаний, имеющих соответствующие лицензии

Где то здесь на форуме даже образцы писем во фтэк были. Люди самостоятельно подавали и вроде как удачно.

[ke1evra]

@Стич если вдруг увидите снова образцы писем, скиньте пожалуйста ссылки на них сюда =)

 

[dryukov]

Категорирование объектов критической информационной инфраструктуры – это установление соответствия объекта КИИ критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения.

Внутренняя комиссия, потом документ на верх, там уже вынесут вердикт после проверки.

Постановление Правительства РФ от 8 февраля 2018 г. N 127 "Об утверждении Правил категорирования объектов .......

11. Для проведения категорирования решением руководителя субъекта критической
информационной инфраструктуры создается постоянно действующая комиссия по
категорированию, в состав которой включаются:
а) руководитель субъекта критической информационной инфраструктуры или
уполномоченное им лицо;
б) работники субъекта критической информационной инфраструктуры, являющиеся
специалистами в области выполняемых функций или осуществляемых видов деятельности, и в
области информационных технологий и связи, а также специалисты по эксплуатации основного
технологического оборудования, технологической (промышленной) безопасности, контролю за
опасными веществами и материалами, учету опасных веществ и материалов;
в) работники субъекта критической информационной инфраструктуры, на которых
возложены функции обеспечения безопасности (информационной безопасности) объектов
критической информационной инфраструктуры;
г) работники подразделения по защите государственной тайны субъекта критической
информационной инфраструктуры (в случае, если объект критической информационной
инфраструктуры обрабатывает информацию, составляющую государственную тайну);
д) работники структурного подразделения по гражданской обороне и защите от
чрезвычайных ситуаций или работники, уполномоченные на решение задач в области гражданской
обороны и защиты от чрезвычайных ситуаций.

17. Субъект критической информационной инфраструктуры в течение 10 рабочих дней со
дня утверждения акта, указанного в пункте 16 настоящих Правил, направляет в федеральный орган
исполнительной власти, уполномоченный в области обеспечения безопасности критической
информационной инфраструктуры, сведения о результатах присвоения объекту критической
информационной инфраструктуры одной из категорий значимости либо об отсутствии
необходимости присвоения ему одной из таких категорий


После этого берете мыло, и сертификаты средств связи на оборудование и программное обеспечение, а если их нет то история из сюжета когда оператор передал схему в РКН с оборудованием на которое нет сертификатов.
Так что нужно обеспокоиться сразу сертифицированными серверами, коммутаторами,  ПО, базами данных, средств сетевой защиты, и даже сертификатов ССС ИБП ......

Но благо суровость законов ничто, все решает воля тех кто принимает решение.

[Andrei]

В 31.10.2023 в 15:33, dryukov сказал:

1. Для проведения категорирования решением руководителя субъекта критической
информационной инфраструктуры создается постоянно действующая комиссия по
категорированию, в состав которой включаются:

А если у нас всего 3 штатных сотрудника? :)

[surprice]

Схема уже отработана. Государство сначала под благовидным предлогом создает препятствие бизнесу. Потом появляются государственные конторы, которые прикрываясь красивым лозунгом В2В, окажут вам платную услугу по оформлению всего чего нужно. Это уже много где отработано . На той же охране труда, пожарной безопасности и т.д. Чем безопасность, пусть даже информационной структуры хуже? 

[Bambuk]

Самый главный вопрос: какая ответственность, если на все это категорирование забить?

[jffulcrum]

Цитата

 

КоАП РФ Статья 13.12.1. Нарушение требований в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации

1. Нарушение требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования либо требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, если такие действия (бездействие) не содержат признаков уголовно наказуемого деяния, -

влечет наложение административного штрафа на должностных лиц в размере от десяти тысяч до пятидесяти тысяч рублей; на юридических лиц - от пятидесяти тысяч до ста тысяч рублей.

2. Нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации, установленного федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, -

влечет наложение административного штрафа на должностных лиц в размере от десяти тысяч до пятидесяти тысяч рублей; на юридических лиц - от ста тысяч до пятисот тысяч рублей.

3. Нарушение порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, -

влечет наложение административного штрафа на должностных лиц в размере от двадцати тысяч до пятидесяти тысяч рублей; на юридических лиц - от ста тысяч до пятисот тысяч рублей.

 

Цитата

 

КоАП РФ Статья 19.7.15. Непредставление сведений, предусмотренных законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации

1. Непредставление или нарушение сроков представления в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, сведений о результатах присвоения объекту критической информационной инфраструктуры Российской Федерации одной из категорий значимости, предусмотренных законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, либо об отсутствии необходимости присвоения ему одной из таких категорий либо представление недостоверных сведений -
влечет наложение административного штрафа на должностных лиц в размере от десяти тысяч до пятидесяти тысяч рублей; на юридических лиц - от пятидесяти тысяч до ста тысяч рублей.

2. Непредставление или нарушение порядка либо сроков представления в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации информации, предусмотренной законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, за исключением случаев, предусмотренных частью 2 статьи 13.12.1 настоящего Кодекса, -

влечет наложение административного штрафа на должностных лиц в размере от десяти тысяч до пятидесяти тысяч рублей; на юридических лиц - от ста тысяч до пятисот тысяч рублей.

3. Повторное совершение административного правонарушения, предусмотренного частью 1 настоящей статьи, -

влечет наложение административного штрафа на должностных лиц в размере от пятидесяти тысяч до ста тысяч рублей; на юридических лиц - от ста тысяч до двухсот тысяч рублей.

 

 

 

Про уголовку говорить особенно не о чем пока, условный "Тиходрюченск-телеком" чай не НПЗ или АЭС, где жертвы возможны.

[Шарова Анна]

МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ Категорирование объектов критической информационной инфраструктуры (https://cloud.mail.ru/public/FcA2/dm8CvEzmM)

нашла на просторах интернета. 

думаю, будет полезно хотя бы за основу

там в приложениях есть образцы приказов по комиссиям и акты всякие

 

вот еще, на мой взгляд, полезная штучка

Безопасность объектов критической информационной инфраструктуры организации Общие рекомендации (https://cloud.mail.ru/public/3oGY/MwEMGZPYz)

ссылки на законодательство раскиданы по табличкам в зависимости от категории. 

 

 

Изменено 17 января пользователем Шарова Анна

[Andrei]

В 17.01.2024 в 13:46, Шарова Анна сказал:

ссылки на законодательство раскиданы

А вот в соответствии с законодательством кто-то выделил для себя актуальные угрозы безопасности информации из списка в 222 позиции из банка угроз, размещенного на сайте ФСТЭК - https://bdu.fstec.ru/threat?size=100 ? Что выбрали из этого достаточно абстрактного перечня?

 

В 28.11.2023 в 18:10, Bambuk сказал:

Самый главный вопрос: какая ответственность, если на все это категорирование забить?

И еще вопрос - сроки. Есть какие-то сроки, в течение которых это категорирование надо провести?

[jffulcrum]

1 час назад, Andrei сказал:

Есть какие-то сроки, в течение которых это категорирование надо провести?

 

ППРФ 127 2018 г.:

 

Цитата

Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом критической информационной инфраструктуры перечня объектов (внесения изменений в перечень объектов).

 

[Andrei]

6 часов назад, jffulcrum сказал:

Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом критической информационной инфраструктуры перечня объектов

А если я не буду утверждать этот перечень в течение 5+ лет? :)

[Andrei]

В 15.02.2024 в 00:45, Andrei сказал:

А вот в соответствии с законодательством кто-то выделил для себя актуальные угрозы безопасности информации из списка в 222 позиции из банка угроз, размещенного на сайте ФСТЭК - https://bdu.fstec.ru/threat?size=100 ? Что выбрали из этого достаточно абстрактного перечня?

Никто в этой базе не ковырялся?

[igor_v]

Подойдет почти все, если действовать в соответствии с Методикой оценки угроз от ФСТЭК.

[Andrei]

14 минут назад, igor_v сказал:

Подойдет почти все, если действовать в соответствии с Методикой оценки угроз от ФСТЭК.

Да не, все же не все 222 угрозы можно на себя примерить. Там более 10 угроз сервисам в облаках, если их не используешь, то и угроз нет.

[Стич]

Для начала им бы самих себя категоризировать, а то ssl на сайте не корректный в ихних облаках. Я вот думаю самого себя как объект кии подать вроде подхожу :).

[sdy_moscow]

3 часа назад, Стич сказал:

...  Я вот думаю самого себя как объект кии подать вроде подхожу :).

 

<

Все мы чувствовали себя неважно, и это нас очень тревожило. Гаррис сказал, что у него бывают страшные приступы головокружения, во время которых он просто ничего не соображает; и тогда Джордж сказал, что у него тоже бывают приступы головокружения и он тоже ничего не соображает. Что касается меня, то у меня была не в порядке печень. Я знал, что у меня не в порядке именно печень, потому что на днях прочел рекламу патентованных пилюль от болезни печени, где перечислялись признаки, по которым человек может определить, что у него не в порядке печень. Все они были у меня налицо.

...

Я взял справочник и нашел там все, что мне было нужно, а потом от нечего делать начал перелистывать книгу, просматривая то, что там сказано о разных других болезнях. Я уже позабыл, в какой недуг я погрузился раньше всего, – знаю только, что это был какой-то ужасный бич рода человеческого, – и не успел я добраться до середины перечня «ранних симптомов», как стало очевидно, что у меня именно эта болезнь.

...

Несколько минут я сидел, как громом пораженный, потом с безразличием отчаяния принялся переворачивать страницы дальше. Я добрался до холеры, прочел о ее признаках и установил, что у меня холера, что она мучает меня уже несколько месяцев, а я об этом и не подозревал. Мне стало любопытно: чем я еще болен? Я перешел к пляске святого Витта и выяснил, как и следовало ожидать, что ею я тоже страдаю; тут я заинтересовался этим медицинским феноменом и решил разобраться в нем досконально. Я начал Прямо по алфавиту. Прочитал об анемии – и убедился, что она у меня есть и что обострение должно наступить недели через две. Брайтовой болезнью, как я с облегчением установил, я страдал лишь в легкой форме, и, будь у меня она одна, я мог бы надеяться прожить еще несколько лет. Воспаление легких оказалось у меня с серьезными осложнениями, а грудная жаба была, судя по всему, врожденной. Так я добросовестно перебрал все буквы алфавита, и единственная болезнь, которой я у себя не обнаружил, была родильная горячка.

...

... Умственное переутомление вызвало упадок деятельности всего организма. Перемена образа жизни и освобождение от необходимости думать восстановят психическое равновесие.

>

Джером К. Джером
Трое в лодке (не считая собаки)

 

Я лично думаю, что лишь освобождение от необходимости думать об КИИ восстановят наше психическое равновесие.

 

 

[Andrei]

14 часов назад, sdy_moscow сказал:

освобождение от необходимости думать об КИИ восстановят наше психическое равновесие.

Операторы связи все обладатели КИИ, по определению. А вот отмахаться от получения категории КИИ или тем более статуса "значимой КИИ" - это творческая задача, решить которую ОЧЕНЬ желательно. Иначе - боль и страдания.

[Andrei]

14 часов назад, sdy_moscow сказал:

и не успел я добраться до середины перечня «ранних симптомов», как стало очевидно, что у меня именно эта болезнь.

У меня матушка была врач, еще в СССР, выписывала большую мед. энциклопедию, которая приходила отдельными томами раз в 2-3 месяца. Я тогда учился в школе и по приходу очередного тома с интересом его пролистывал и легко находил у себя симптомы многих болезней :)