Управление многоквартирными домами и категорирование КИИ

С 01.01.2018 года вступил в силу Федеральный закон №187 «О безопасности критической информационной инфраструктуры РФ» от 26 июля 2017 г.
Каким образом он относится к организациям, осуществляющим управление многоквартирными домами? Давайте далее разберёмся в этом вопросе.

Под действие данного федерального закона попадают следующие организации (субъекты критической информационной инфраструктуры — далее субъекты КИИ):
1. государственные органы,
2. государственные учреждения,
3. российские юридические лица и (или) индивидуальные предприниматели,
которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере:

• здравоохранения,
• науки,
• транспорта,
• связи,
• энергетики,
• банковской сфере и иных сферах финансового рынка,
• топливно-энергетического комплекса,
• в области атомной энергии,
• оборонной,
• ракетно-космической,
• горнодобывающей,
• металлургической и
• химической промышленности.

4. российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

Из пункта 1 статьи 2 указанного закона следует, что автоматизированная система управления – комплекс программных и программно-аппаратных средств, предназначенных для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими оборудованием и процессами.

Во многих современных многоквартирных домах есть свои индивидуальные тепловые пункты с автоматизированной системой управления, в которых происходит нагрев теплоносителя на отопление дома и приготовление горячей воды. Также есть современные многоквартирные дома, оборудованные собственными котельными с автоматизированной системой управления, в которых также происходит нагрев теплоносителя на отопление и приготовление горячей воды. Это объекты критической информационной инфраструктуры, работающие в сфере энергетики (да, тепло – это тоже энергия).

Таким образом, если в управлении ТСЖ/УК/ЖСК есть дома с автоматизированной системой управления отоплением и приготовления горячей воды (объекты критической информационной инфраструктуры), то данное юридическое лицо попадает под требования 187-ФЗ от 26 июля 2017 г. и обязано выполнять требования по категорированию (определение категории значимости объекта КИИ) в зависимости от результата категорирования обеспечить защиту своей критической информационной инфраструктуры (далее – КИИ).
Правила категорирования утверждены Постановлением Правительства РФ от 8 февраля 2018 г. №127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры РФ, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры РФ и их значений».

Что такое категорирование объектов КИИ?

Категорирование объекта критической информационной инфраструктуры представляет собой установление соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения.

Категорирование включает в себя:

1. Создание комиссии по категорированию объектов КИИ.
2. Определение процессов, указанных в пункте 3 127-ПП от 08.02.2018 г., в рамках выполнения функций (полномочий) или осуществления видов деятельности субъекта критической информационной инфраструктуры. Мы уже с вами выше определили — под действие законодательства попадают следующие процессы — это автоматизированный нагрев теплоносителя на отопление и приготовление горячей воды.
3. Выявление управленческих, технологических, производственных, финансово-экономических и (или) иных процессов в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры, нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка (далее – критические процессы). Остановка отопления дома и прекращение подачи горячей воды может привести как минимум к негативным социальным последствиям.
4. Определение объектов критической информационной инфраструктуры, которые обрабатывают информацию, необходимую для обеспечения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов. Это наша автоматизированная система управления технологическим процессом отопления и нагрева горячей воды (АСУ ТП).
5. Формирование перечня объектов критической информационной инфраструктуры, подлежащих категорированию.
6. Оценку в соответствии с перечнем показателей критериев значимости масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах критической информационной инфраструктуры.
   Тут хотелось бы обратить на такое обстоятельство: ФСТЭК России озвучил следующую позицию, что если устройство в АСУ ТП имеет какой либо интерфейс, по которому извне можно произвести компьютерную атаку (USB, Ethernet и т. д.) то в соответствии с п. 14.1 вышеуказанного положения должны быть рассмотрены наихудшие сценарии, учитывающие проведение целенаправленных компьютерных атак на объекты критической информационной инфраструктуры, результатом которых являются прекращение или нарушение выполнения критических процессов и нанесение максимально возможного ущерба (например, считается то пр наличии Ethernet порта — к нему подключен кабель и он имеет выход в интернет. При наличии USB порта рассматривается внутренний нарушитель, имеющий доступ в помещение, где располагается АСУ ТП).
7. Присвоение каждому из объектов критической информационной инфраструктуры одной из категорий значимости, либо принятие решения об отсутствии необходимости присвоения им одной из категорий значимости.
   Тут мы в соответствии с перечнем
   показателей критериев значимости объектов критической информационной инфраструктуры присваиваем нашему объекту КИИ категории значимости с наивысшим значением (то есть, для каждого показателя критериев значимости, для которого установлено более одного значения такого показателя (территория, количество людей), оценка производится по каждому из значений показателя критериев значимости, а категория значимости присваивается по наивысшему значению такого показателя. В случае если объект критической информационной инфраструктуры по одному из показателей критериев значимости отнесен к первой категории, расчет по остальным показателям критериев значимости не проводится. В случае если ни один из показателей критериев значимости неприменим для объекта критической информационной инфраструктуры или объект критической информационной инфраструктуры не соответствует ни одному показателю критериев значимости и их значениям, категория значимости не присваивается.
8. По результатам категорирования составляется Акт, который подписывается членами комиссии по категорированию и утверждается руководителем субъекта критической информационной инфраструктуры, который в в течение 10 рабочих дней со дня утверждения отправляется во ФСТЭК России.
9. Далее не реже чем один раз в 5 лет, а также в случае изменения показателей критериев значимости объектов критической информационной инфраструктуры или их значений осуществляется пересмотр установленных категорий значимости и в случае их изменений осуществляется повторная отправка информации во ФСТЭК России.

P. S. Статья носит обзорный и ознакомительный характер и не претендует на полноту изложенного материала. В случае проведения работ по категорированию настоятельно рекомендуется ознакомиться со следующими документами:
1. Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры РФ»
2. Постановление Правительства РФ от 8 февраля 2018 г. № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры РФ, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры РФ и их значений».
3. Приказ ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры РФ».

Автор: подписчик телеграм канала «ЖКХ» Андрей