26

Re: Согласование перечня объектов КИИ для финансового сектора

Alex-74 пишет:

Перечень объектов который у меня получился в итоге (негативные социальные и экономические последствия)

Автоматизированная банковская система (АБС)
Система дистанционного банковского обслуживания (СДБО)
Платежная система Банка России
Система SWIFT
Информационная система взаимодействия с Процессингом
Сеть банкоматов
Сеть платежных терминалов
Корпоративная локальная сеть
Система Электронного Документооборота Банка

Система принятия решений по кредитным заявкам
Антифрод система

Последние 2 под вопросам (нужно ли их учитывать).

Под какие критерии значимости попали системы:
Система Электронного Документооборота Банка
Система принятия решений по кредитным заявкам ?

С уважением,
Евгений Богомолов

27 (2018-10-24 11:54:04 отредактировано Alex-74)

Re: Согласование перечня объектов КИИ для финансового сектора

e.bogomolov пишет:
Alex-74 пишет:

Перечень объектов который у меня получился в итоге (негативные социальные и экономические последствия)

Автоматизированная банковская система (АБС)
Система дистанционного банковского обслуживания (СДБО)
Платежная система Банка России
Система SWIFT
Информационная система взаимодействия с Процессингом
Сеть банкоматов
Сеть платежных терминалов
Корпоративная локальная сеть
Система Электронного Документооборота Банка

Система принятия решений по кредитным заявкам
Антифрод система

Последние 2 под вопросам (нужно ли их учитывать).

Под какие критерии значимости попали системы:
Система Электронного Документооборота Банка
Система принятия решений по кредитным заявкам ?

Как я рассуждал: Поскольку в списке критических бизнес- процессов есть обслуживание физ и юридических лиц, то к ним относятся и процессы обеспечивающие их работу.
Нарушение работы системы скоринга могут дать негативно социальный и естественно экономические последствия.
А электронный документооборот в списке критическизх, поскольку у меня в банке, почти все согласование электронное. Соответственно остановка электронного документооборота даст экономическое последствие для банка (увеличится время согласования всех операций, договоров, счетов и пр.)

Alex-74 пишет:

После получения из ФСТЭК ответа, делаю категорирование, в котором все объекты отношу к "вне категорий значимости".

С уважением,
Алексей Свириденко.

28

Re: Согласование перечня объектов КИИ для финансового сектора

Alex-74 пишет:
e.bogomolov пишет:
Alex-74 пишет:

Перечень объектов который у меня получился в итоге (негативные социальные и экономические последствия)

Автоматизированная банковская система (АБС)
Система дистанционного банковского обслуживания (СДБО)
Платежная система Банка России
Система SWIFT
Информационная система взаимодействия с Процессингом
Сеть банкоматов
Сеть платежных терминалов
Корпоративная локальная сеть
Система Электронного Документооборота Банка

Система принятия решений по кредитным заявкам
Антифрод система

Последние 2 под вопросам (нужно ли их учитывать).

Под какие критерии значимости попали системы:
Система Электронного Документооборота Банка
Система принятия решений по кредитным заявкам ?

Как я рассуждал: Поскольку в списке критических бизнес- процессов есть обслуживание физ и юридических лиц, то к ним относятся и процессы обеспечивающие их работу.
Нарушение работы системы скоринга могут дать негативно социальный и естественно экономические последствия.
А электронный документооборот в списке критическизх, поскольку у меня в банке, почти все согласование электронное. Соответственно остановка электронного документооборота даст экономическое последствие для банка (увеличится время согласования всех операций, договоров, счетов и пр.)

Я пошел немного иначе и в комиссию включил представителей подразделений участвующих в оказании услуг (лицензионных видов деятельности). Они составляют перечень процессов и оценивают их значимость. Результат другой.

С уважением,
Евгений Богомолов

29

Re: Согласование перечня объектов КИИ для финансового сектора

e.bogomolov пишет:

Я пошел немного иначе и в комиссию включил представителей подразделений участвующих в оказании услуг (лицензионных видов деятельности). Они составляют перечень процессов и оценивают их значимость. Результат другой.

Хорошо, когда есть возможность подключить другие подразделения.
90% подразделений после ознакомления закона, вообще не поняли "что это и нафига оно".
С учетом того, что я не системно значимый банк, и ни одного объекта КИИ у меня в категории не попадут, решил сделать это сам (вспомнить BPM).
В целом обошелся 4-мя документами:
1. приказ о рабочей группе КИИ
2. отчет об обследовании (рабочий документ)
3. Акт обследования (результат работы), подписываемый первым лицом
4. Форма перечня 240/25/3752 (от ФСТЭК), который будут отправлять юристы.

Знаю, что еще надо бы сделать положение о комиссии, но СВК на нем не акцентировало, потому и не писал.

С уважением,
Алексей Свириденко.

30

Re: Согласование перечня объектов КИИ для финансового сектора

АСУ Банка: система автоматическгого оповещения, пожарная сигнализация или автоматическая система пожаротушения.
Насчет АСУ подъемников (лифтов) - если нет подключения к сетям внешним - можно забыть

31

Re: Согласование перечня объектов КИИ для финансового сектора

Dmitry Leviev пишет:

АСУ Банка: система автоматическгого оповещения, пожарная сигнализация

..получается, что систему автоматического оповещения (пожарная сигнализация), установленную в банке, теоретически можно оценить в соответствии с первым показателем, а именно - "Причинение ущерба жизни и здоровью людей (человек)", и, соответственно, можно присвоить как минимум 3-ю категорию значимости?

32

Re: Согласование перечня объектов КИИ для финансового сектора

Если пожарная сигнализация сделана на базе ПЭВМ и подключена к сети Интернет, то она будет КИИ, причем значимой.
В большинстве случаев, система оповещения сделана на базе ПЭВМ (так было дешевле) в промисполнении.
При этом здание и сигнализация должны быть в собственности банка или иного субъекта КИИ, т.к. по пожарному техрегламенту ответственность за пожарную сигнализацию на собственнике здания

33

Re: Согласование перечня объектов КИИ для финансового сектора

Риск не отнесения пожарной сигнализации к критическим процессам связан с нарушением 242-П и Плана ОНиВД.
Ведь нештатная ситуация пожар прописана в этих документах и ежегодно проверяется.

34

Re: Согласование перечня объектов КИИ для финансового сектора

Dmitry Leviev пишет:

Риск не отнесения пожарной сигнализации к критическим процессам связан с нарушением 242-П и Плана ОНиВД.

Уточню для понимания ?

1. Если пожарная сигнализация сделана на базе контроллеров (не подключена к ПЭВМ) и отображает все на свое центральное табло со лампочками, это значимая КИИ ?

2. Если пожарная сигнализация сделана на базе контроллеров, и все контроллеры приходят на центральный блок, который подключен через плату в комп (ЛВС не используется), это значимая КИИ ?

3. Если пожарная сигнализация сделана на базе контроллеров, и все контроллеры приходят на центральный блок, который с компьютером взаимодействует через ЛВС, но выхода в Интернет нет, это значимая КИИ ?

С уважением,
Алексей Свириденко.

35

Re: Согласование перечня объектов КИИ для финансового сектора

АСУ согласно 31 приказа ФСТЭК (с учетом изменений по КИИ):
7. Автоматизированная система управления, как правило, имеет многоуровневую структуру:
уровень операторского (диспетчерского) управления (верхний уровень);
уровень автоматического управления (средний уровень);
уровень ввода (вывода) данных исполнительных устройств (нижний (полевой) уровень).
Автоматизированная система управления может включать:
а) на уровне операторского (диспетчерского) управления:
операторские (диспетчерские), инженерные автоматизированные рабочие места, промышленные серверы (SCADA-серверы) с установленным на них общесистемным и прикладным программным обеспечением, телекоммуникационное оборудование (коммутаторы, маршрутизаторы, межсетевые экраны, иное оборудование), а также каналы связи;
б) на уровне автоматического управления:
программируемые логические контроллеры, иные технические средства с установленным программным обеспечением, получающие данные с нижнего (полевого) уровня, передающие данные на верхний уровень для принятия решения по управлению объектом и (или) процессом и формирующие управляющие команды (управляющую (командную) информацию) для исполнительных устройств, а также промышленная сеть передачи данных;
в) на уровне ввода (вывода) данных (исполнительных устройств):
датчики, исполнительные механизмы, иные аппаратные устройства с установленными в них микропрограммами и машинными контроллерами.
Количество уровней автоматизированной системы управления и ее состав на каждом из уровней зависит от назначения автоматизированной системы управления и выполняемых ею целевых функций. На каждом уровне автоматизированной системы управления по функциональным, территориальным или иным признакам могут выделяться дополнительные сегменты.
Таким образом, если имеется выхода на локальные сети (т.е. угроза компьютерной атаки не маловероятна), то это уже объект подлежащий классификации.
Если система создана на базе ПЭВМ, то угроза атаки на рассматривается и для ПЭВМ, на которой развернуто АСУ

36

Re: Согласование перечня объектов КИИ для финансового сектора

Alex-74 пишет:

1. Если пожарная сигнализация сделана на базе контроллеров (не подключена к ПЭВМ) и отображает все на свое центральное табло со лампочками, это значимая КИИ ?

Если контроллер имеет подключение к внешним каналам связи (локальная сеть, GSM или сеть Интернет), то систему НАДО классифицировать как объект КИИ. Значимость по критериям ПП127.

37

Re: Согласование перечня объектов КИИ для финансового сектора

Alex-74 пишет:

2. Если пожарная сигнализация сделана на базе контроллеров, и все контроллеры приходят на центральный блок, который подключен через плату в комп (ЛВС не используется), это значимая КИИ ?

Необходимо оценить актуальность угрозы компьютерной атаки через сменные носители информации и со стороны системного ПО компа.

38

Re: Согласование перечня объектов КИИ для финансового сектора

Alex-74 пишет:

3. Если пожарная сигнализация сделана на базе контроллеров, и все контроллеры приходят на центральный блок, который с компьютером взаимодействует через ЛВС, но выхода в Интернет нет, это значимая КИИ ?

1. Если ЛВС (телекоммникационная связь) есть, то она уже является объектом КИИ и подлежит категорированию, поскольку ранее сказано, что это разные уровни АСУ
2. Выход в интернет не является критерием. Критерий наличие сетей электросвязи согласно статьи 12 Федеральный закон от 07.07.2003 N 126-ФЗ (ред. от 03.08.2018) "О связи"

39

Re: Согласование перечня объектов КИИ для финансового сектора

К вопросу нужно ли пожарку затягивать для Банков:
1. Ответственности за неправильную классификацию нет
2. Единого подхода к отнесению пожарки к КИИ нет даже во ФСТЭК
3. Защитить пожарку на аппаратных контроллерах (промсерверах) практически сложно
4. Если система на ПЭВМ - защищать НАДО!!
P.S. Вопрос нацгвардии по  охранно-пожарным сигнализациям задавал (пульты ведь на обычных серверах) - ответа не получил. В личной беседе - это не наша проблема. Вот так

40

Re: Согласование перечня объектов КИИ для финансового сектора

А что делать с пожарной сигнализацией, если здание принадлежит юр лицу не являющемся Субъектом КИИ ?

С уважением,
Евгений Богомолов

41

Re: Согласование перечня объектов КИИ для финансового сектора

Dmitry Leviev пишет:

К вопросу нужно ли пожарку затягивать для Банков:
1. Ответственности за неправильную классификацию нет
2. Единого подхода к отнесению пожарки к КИИ нет даже во ФСТЭК
3. Защитить пожарку на аппаратных контроллерах (промсерверах) практически сложно
4. Если система на ПЭВМ - защищать НАДО!!
P.S. Вопрос нацгвардии по  охранно-пожарным сигнализациям задавал (пульты ведь на обычных серверах) - ответа не получил. В личной беседе - это не наша проблема. Вот так

Ну собственно мне этого достаточно. )))

С уважением,
Алексей Свириденко.

42

Re: Согласование перечня объектов КИИ для финансового сектора

e.bogomolov пишет:

А что делать с пожарной сигнализацией, если здание принадлежит юр лицу не являющемся Субъектом КИИ ?

Ничего, пока школота не начнет их вскрывать.
Но это глобальная проблема в России на рынке охранных услуг (охранные, пожарные и т.д.)

43

Re: Согласование перечня объектов КИИ для финансового сектора

Алексей, удалось ли отправить локументы во ФСТЭК?

Alex-74 пишет:
e.bogomolov пишет:

Я пошел немного иначе и в комиссию включил представителей подразделений участвующих в оказании услуг (лицензионных видов деятельности). Они составляют перечень процессов и оценивают их значимость. Результат другой.

Хорошо, когда есть возможность подключить другие подразделения.
90% подразделений после ознакомления закона, вообще не поняли "что это и нафига оно".
С учетом того, что я не системно значимый банк, и ни одного объекта КИИ у меня в категории не попадут, решил сделать это сам (вспомнить BPM).
В целом обошелся 4-мя документами:
1. приказ о рабочей группе КИИ
2. отчет об обследовании (рабочий документ)
3. Акт обследования (результат работы), подписываемый первым лицом
4. Форма перечня 240/25/3752 (от ФСТЭК), который будут отправлять юристы.

Знаю, что еще надо бы сделать положение о комиссии, но СВК на нем не акцентировало, потому и не писал.

44

Re: Согласование перечня объектов КИИ для финансового сектора

rustam khusainov пишет:

Алексей, удалось ли отправить локументы во ФСТЭК?

Добрый день.

Пока документы в процессе подписания у первого лица.
Но по приказу процесс согласования со ФСТЭК у меня ложится на юристов.

С уважением,
Алексей Свириденко.