Приложение N 8. Предложения по проведению оценки возможных последствий в результате возникновения компьютерных инцидентов на объектах КИИ

Приложение N 8
к Методическим рекомендациям
по категорированию объектов
критической информационной
инфраструктуры, функционирующих
в сфере науки

Предложения
по проведению оценки возможных последствий в результате возникновения компьютерных инцидентов на объектах КИИ

1. Причинение ущерба жизни и здоровью людей (человек)

Должна оцениваться возможность причинения ущерба жизни и здоровью при проведении НИР, ОКР, НИОКР, наступающим в результате совершения компьютерной атаки на категорируемый объект КИИ, При этом должны рассматриваться следующие сценарии развития компьютерных инцидентов;

инциденты, из-за которых возможно возникновение техногенных катастроф на производстве (взрывы, утечки и разливы опасных веществ), связанных с нарушением работы объекта (нарушение параметров техпроцесса, нарушение работы или состояния исполнительных механизмов и т.д.);

инциденты, из-за которых возможно возникновение техногенных катастроф и аварий, связанных с нарушением управления, нарушением работы объекта (нарушение параметров техпроцесса, нарушение работы или состояния исполнительных механизмов и т.д.);

инциденты, из-за которых возможен ущерб потребителям продукции или услуг (производство медицинских препаратов, использование медицинского оборудования, пищевая продукция, бытовая химическая продукция, транспортные средства, топливо и т.д.), связанный с нарушением технологического процесса.

Масштаб возможного ущерба может рассчитываться как:

число человек, которые могут потенциально находиться в зоне поражения при возникновении аварии или техногенной катастрофы;

число человек, находящихся в зоне, потенциально подверженной воздействию последствий техногенной катастрофы;

число потенциальных потребителей продукции, которая может нанести вред здоровью до выявления нарушений.

При оценке возможных последствий необходимо рассматривать максимальный негативный сценарий, без учета компенсирующих защитных мер (систем противоаварийной автоматики, систем защит и т.д.), необходимо делать прогноз возможного развития аварии или сбоя без учета аварийных систем (за исключением вариантов, когда данные системы являются неотъемлемой технологической частью системы, на которую атака не считается возможной).

2. Нарушение условий международного договора Российской Федерации, срыв переговоров или подписания планируемого к заключению международного договора Российской Федерации, оцениваемые по уровню международного договора Российской Федерации

Данный критерий касается объектов КИИ, от работоспособности которых зависит реализация соответствующих договорных обязательств или выполнение предварительных условий, требуемых для выполнения (заключения) соответствующих международных договоров.

Должны рассматриваться инциденты, из-за которых возможно прекращение или нарушение работы указанных систем, а также нарушение доступности или целостности информации, полученной в ходе НИР, ОКР, НИОКР, наступающих в результате совершения компьютерной атаки на категорируемый объект КИИ, влекущие нарушение требований международных договоров.

Масштаб возможного ущерба оценивается на основании сведений о типе международного договора, выполнение которого зависит от рассматриваемого объекта КИИ:

договор межведомственного характера;

межправительственный договор;

межгосударственный договор.

При оценке возможных последствий необходимо рассматривать максимальный негативный сценарий, без учета компенсирующих защитных мер (межсетевое экранирование, резервирование и т.д.), необходимо делать прогноз возможного развития аварии или сбоя без учета аварийных систем (за исключением вариантов, когда данные системы являются неотъемлемой технологической частью системы, на которую атака не считается возможной).

3. Возникновение ущерба субъекту критической информационной инфраструктуры, который является государственной корпорацией, государственным унитарным предприятием, государственной компанией, организацией оборонно-промышленного комплекса, стратегическим акционерным обществом 4, стратегическим предприятием 4, оцениваемого в снижении уровня дохода (с учетом налога на добавленную стоимость, акцизов и иных обязательных платежей) по всем видам деятельности (процентов от годового объема доходов, усредненного за прошедший 5-летний период)

Должна рассматриваться возможность снижения уровня дохода соответствующего субъекта (государственной корпорации; государственного унитарного предприятия; государственной компании; организации оборонно-промышленного комплекса; стратегического акционерного общества, включенным в перечень стратегических предприятий и стратегического акционерного общества, утвержденного Указом Президента Российской Федерации от 4 августа 2004 г. N 1009; стратегического предприятия, включенного в перечень стратегических предприятий и стратегических акционерных обществ, утвержденный Указом Президента Российской Федерации от 4 августа 2004 г. N 1009) в случае прекращения или нарушения функционирования рассматриваемого объекта КИИ.

Данный критерий касается объектов КИИ, которые реализуют процессы, связанные с производством продукции или предоставлением услуг, являющимися источниками дохода субъекта.

Должны рассматриваться инциденты, из-за которых возможно прекращение или нарушение работы указанных объектов, влекущие нарушение производственных процессов или процессов предоставления услуг. При оценке должны рассматриваться такие последствия как:

1) нарушение производства / предоставления услуг субъекта;

2) изменение качества, скорости, объема выпускаемой продукции, которые способны повлечь нарушение договорных обязательств, штрафные санкции и разрыв договорных отношений.

Ущерб оценивается как прогнозируемые потери за ожидаемый период нарушения объекта в процентах от среднегодового дохода за прошедший 5-летний период:

1) выполняется оценка максимальной оценочной длительности разового нарушения работоспособности объекта КИИ с учетом возможных нарушителей и угроз безопасности, а также существующих мер резервирования и возможностей по обеспечению непрерывности и восстановления.

2) оценивается какие процессы будут нарушены из-за нарушения работоспособности объекта КИИ и связанные с ними усредненные дневные потери дохода субъекта: суммарный доход, связанный с рассматриваемым процессом за прошедший 5-летний период / 5 / 365.

3) для оценки влияния объекта на доход субъекта рекомендуется строить дерево процессов, отражающее взаимосвязь процессов с указанием зависимости (полная, частичная и т.д.). В случае, если автоматизируемый процесс не является непосредственным источником дохода, то необходимо рассмотреть процессы, на которые он оказывает влияние и выполнение которых будет невозможно или усложнится в случае нарушения данного процесса. В случае, если объект оказывает влияние на несколько процессов, являющихся самостоятельными источниками дохода, расчет потерь должен выполняться для каждого подобного процесса.

4) рассчитывается итоговый ущерб посредством умножения максимальной оценочной длительности нарушения работоспособности объекта КИИ на суммарные дневные потери от нарушения работоспособности данного объекта КИИ.

При оценке возможных последствий необходимо рассматривать максимальный негативный сценарий, без учета компенсирующих защитных мер (межсетевое экранирование, резервирование и т.д.), необходимо делать прогноз возможного развития аварии или сбоя без учета аварийных систем или мер защиты (за исключением вариантов, когда данные системы являются неотъемлемой технологической частью системы, на которую атака не считается возможной).

4. Возникновение ущерба бюджету Российской Федерации, оцениваемого в снижении выплат (отчислений) в бюджет, осуществляемых субъектом критической информационной инфраструктуры (процентов прогнозируемого годового дохода федерального бюджета, усредненного за планируемый 3-летний период)

Должна оцениваться возможность снижения соответствующих выплат государственным органом, государственным учреждением, российским юридическим лицом, индивидуальным предпринимателем в бюджет в случае нарушения функционирования рассматриваемого объекта КИИ.

нарушение производства / предоставления услуг субъекта;

изменение качества, скорости, объема выпускаемой продукции.

Ущерб оценивается как прогнозируемое снижение выплат в бюджет за ожидаемый период нарушения объекта КИИ в процентах от среднегодового дохода федерального бюджета за 3-летний период:

2) Рассчитываются средние выплаты субъекта КИИ. Необходимо запросить данные о среднегодовых выплатах субъекта в бюджет (запрашивается в бухгалтерии в соответствии с перечнем кодов видов доходов бюджетов и соответствующих им кодов аналитической группы подвидов доходов бюджетов). Необходимо рассматривать исключительно выплаты, связанные с деятельностью субъекта (производство, оказание услуг), выплаты, связанные со страховыми взносами, НДФЛ и т.д. рассматриваться не должны, так как не зависят напрямую от работоспособности объектов (если не планируется сокращение персонала из-за остановки производства). Чаще всего рассматриваются налоги на прибыль, на добавленную стоимость, акцизы, на доходы от оказания платных услуг и т.д.

3) Оценивается влияние объекта КИИ на выплаты в бюджет - для этого необходимо определить какие процессы будут нарушены из-за нарушения работоспособности объекта КИИ и их влияние на выплаты в бюджет. Для оценки влияния объекта на процессы рекомендуется строить дерево процессов, отражающее взаимосвязь процессов с указанием зависимости (полная, частичная и т.д.). В случае, если автоматизируемый процесс не является непосредственным источником отчислений в бюджет, то необходимо рассмотреть процессы, на которые он оказывает влияние и выполнение которых будет невозможно или усложнится в случае нарушения данного процесса. В случае, если объект оказывает влияние на несколько процессов, являющихся самостоятельными источниками отчислений в бюджет, расчет потерь должен выполняться для каждого подобного процесса. В случае затруднений с оценкой влияния объекта и/или процессов на выплаты в бюджет, для объектов, связанных с процессами, являющимися источниками дохода, можно рассматривать 100%-ую зависимость (остановка объекта КИИ влечет к полной остановке производства / оказания услуг и в соответствующим масштабе будет недополучена прибыль и, соответственно, не произведены выплаты в бюджет).

На данном этапе необходимо рассчитать усредненное дневное уменьшение выплат в бюджеты Российской Федерации: среднегодовые выплаты в бюджет, связанные с рассматриваемыми процессами / 365.

4) Рассчитывается итоговый ущерб посредством умножения максимальной оценочной длительности нарушения работоспособности объекта КИИ на усредненное дневное уменьшение выплат в бюджеты Российской Федерации, связанное с нарушением работоспособности объекта КИИ.

5) Итоговый ущерб оценивается в процентном соотношении к прогнозируемому годовому доходу федерального бюджета, усредненному за планируемый 3-летний период.

При оценке возможных последствий необходимо рассматривать максимальный негативный сценарий, без учета компенсирующих защитных мер (межсетевое экранирование, резервирование и т.д.), необходимо делать прогноз возможного развития аварии или сбоя без учета аварийных систем или мер защиты (за исключением вариантов, когда данные системы являются неотъемлемой технологической частью системы, на которую атака не считается возможной).

5. Вредные воздействия на окружающую среду

Должна оцениваться возможность возникновения выбросов/сбросов/разливов вредных и загрязняющих веществ в атмосферу/водоемы/почву из-за нарушения функционирования объекта КИИ, при проведении НИР, ОКР или НИОКР.

Данный критерий касается систем управления соответствующими промышленными объектами, которые осуществляют управление процессами, связанными с производством, использованием, переработкой, утилизацией, транспортом вредных и загрязняющих веществ, а также мониторинг данных процессов (если на основании данных мониторинга могут приниматься управляющие решения).

Так как в критерии не указана рассматриваемая длительность нарушения функционирования, то рассмотрению подлежит в том числе кратковременные / разовые факты выбросов / сбросов / разливов, достигающих соответствующего масштаба.

При этом должны рассматриваться следующие сценарии развития компьютерных инцидентов:

инциденты, из-за которых возможно возникновение техногенных катастроф на производстве (взрывы, утечки и разливы опасных веществ);

инциденты, связанные с нарушением работы объекта (нарушение параметров техпроцесса, нарушение работы или состояния исполнительных механизмов и т.д.).

В соответствии с разъяснениями ФСТЭК России, необходимо рассматривать максимальный негативный сценарий, без учета компенсирующих мер (систем противоаварийной автоматики, систем защит и т.д.). То есть, стоит делать прогноз возможного развития аварии или сбоя без учета аварийных систем (за исключением вариантов, когда данные системы являются неотъемлемой технологической частью системы, на которую атака в целом не рассматривается). Пример: системы противоаварийной защиты не рассматриваются как фактор, снижающий риск. Физические блокировки и ограничители можно принимать в расчет.

Масштаб возможного ущерба оценивается относительно:

территории, на которой окружающая среда может подвергнуться вредным воздействиям;

количества людей, которые могут быть подвержены вредным воздействиям (тыс. человек).

6. Снижение показателей государственного оборонного заказа, выполняемого (обеспечиваемого) субъектом критической информационной инфраструктуры

Должна оцениваться вероятность снижения объемов продукции (работ, услуг) в заданный период времени (процентов заданного объема продукции), а также увеличение времени изготовления единицы продукции с заданным объемом (процентов установленного времени на изготовление единицы продукции) при прекращении и (или) нарушении функционирования объекта КИИ, в случае выполнения НИР, ОКР или НИОКР в рамках государственного оборонного заказа.

Открыть документ в системе ГАРАНТ

Открыть в бесплатной Интернет-версии Открыть в Интернет-версии (только для пользователей системы ГАРАНТ)

<< Приложение N 7. Расчет показателей критериев значимости, применимых к объектам КИИ, в сфере науки		Приложение >> N 9. Акт о категорировании объекта (-ов) критической информационной инфраструктуры
	Содержание Методические рекомендации по категорированию объектов критической информационной инфраструктуры, функционирующих в сфере науки...