ЧаВо по КИИ №34
<< Безопасность КИИ и 187-ФЗ
<< Частые вопросы по КИИ
Нужно ли категорировать объект КИИ, если он является государственной информационной системой другого оператора?
Дата актуализации: 10.12.2018
Пример ситуации из вопроса: субъект КИИ - медицинская организация, у которой есть критический процесс “оказание медицинской помощи”. Одним из субпроцессов указанного критического процесса является ведение медицинской документации, медицинской статистики и т.д. Указанный субпроцесс обеспечивается некоей Государственной Информационной Системой (ГИС), в которую заносится вся информация о пациентах, оказанных им услугах и т.д. Оператором данной ГИС является другое юридическое лицо.
В данном случае ФСТЭК России рекомендует независимо от самого оператора ГИС и других, использующих ту же ГИС организаций, самостоятельно провести категорирование сегмента ГИС, который находится в пользовании субъекта КИИ. А именно - автоматизированные рабочие места (АРМы), с которых осуществляется подключение к ГИС на территории субъекта КИИ (например, подключение может осуществляться через браузер по защищённой сети, локально на АРМах никакая информация может не храниться). При этом в ходе оценки угроз необходимо учитывать последствия, которые могут наступить в результате нарушения работоспособности ГИС через АРМы субъекта КИИ (например, возможный нарушитель может внедрить SQL-инъекцию и негативно повлиять на базу данных ГИС).
Действительно, ФСТЭК внесла определённую сумятицу, отметив, что нужно рассматривать в том числе числе те объекты КИИ, которыми субъект КИИ только пользуется. До этого чаще считали, что система должна быть исключительно в собственности или явной аренде. Но трудно не согласиться с тем, что если «чужая» система используется субъектом для критического процесса, то нельзя просто так от неё отмахнуться.