Документ описывает критерии категорирования критической инфраструктуры, охватывая законы и практики различных стран. В нем рассматриваются динамика значимости объектов, секторальные и сквозные критерии, а также роль государственных органов и владельцев инфраструктуры в процессе категорирования. Приводятся примеры критериев из стран ЕС, включая Великобританию, Испанию и Нидерланды, с акцентом на потенциальный ущерб и его влияние на экономику и общество.

1. Бизнес-консультант по безопасности
Критерии
категорирования
критической
инфраструктуры
Алексей Лукацкий

2. Disclaimer
Презентация описывает
различные подходы к
категорированию критических
инфраструктур, опираясь на
законодательство и практику
разных стран мира, а также на
размышления автора

3. Общие замечания
• Во многих странах конкретные показатели
критериев являются непубличной, а иногда
и конфиденциальной информацией
• Конкретные показатели критериев
меняются от страны к стране и зависят от
сектора с критической инфраструктурой
• В большинстве стран (например, США) за
категорирование отвечают
уполномоченные органы, а не сами
субъекты
☝

4. Общие замечания
• Во многих странах информационные
системы (исключая самостоятельный
сектор «ИТ и связь»), как и иные элементы
критической инфраструктуры, явно не
выделяют и не описывают их влияние на
критичность
• В некоторых странах вообще нет
конкретных показателей критериев
категорирования – достаточно «попасть» в
соответствующий сектор или отрасль
☝

5. Общие замечания
• Объект может динамически менять свою
значимость в зависимости от внешних условий
• Например, стадионы во время Олимпийских игр
или чемпионата мира футболу имеют высокую
значимость, во время национальных
соревнований – среднюю, во время городских –
низкую, а в остальное время – они незначимые
объекты
• Например, ГАС «Выборы» во время выборов
Президента имеет высокую значимость, а во
время выборов губернатора - среднюю
☝

6. Критическая инфраструктура и КИИ
• Информационная
система на
объекте
критической
инфраструктуры
может не влиять
на критические
функции и
оказание услуг

7. Критическая инфраструктура и КИИ
Энергетика Наука … Финансы
КИ
КИИ
КИ
КИИ
КИ
КИИ
КИ
КИИ
Связь
Критическая информационная инфраструктура

8. Особенности категорирования
!
• Критерии бывают секторальные и
сквозные (межсекторальные)
• Показатели критериев могут
• Иметь градацию на два или три уровня
• Превышать некоторую границу
• Быть бинарными (достаточно попасть в конкретный сектор или
отрасль)

9. Типовая процедура категорирования
!
• Отнесение к критическому сектору/отрасли
• Оценка критичности инфраструктуры, ее
критических сервисов (зависит от
сектора/отрасли и его ключевых функций)
• Выделение информационных систем,
активов и сервисов, поддерживающих
критические сервисы
• Оценка зависимости от других
инфраструктур или влияния на другие
инфраструктуры (каскадные отказы)
• Применение сквозных критериев

10. Три подхода к категорированию
1. Уполномоченным
государственным органом
2. Владельцем критической
инфраструктуры
3. Отраслевой ассоциацией,
СРО и т.п.
Категории
устанавливаются

11. Три сквозных критерия Евросоюза
• Потери – потенциальное число погибших
или раненых
• Экономический эффект – экономические
потери или деградация качества продуктов
для оказания услуг. Также включает и
потенциальные экологические
последствия
• Общественный эффект – воздействие на
доверие общества, физические страдания
и нарушения повседневной жизни
Каждая страна –
член Евросоюза
имеет право
устанавливать свои
дополнительные
национальные
критерии
!

12. Пять критериев Великобритании
• Погибшие
• Раненые
• Экономический ущерб (в % от ВВП)
• Социальное воздействие
• Психологический ущерб
Показатели
критериев
неизвестны
!

13. 4 критерия Испании
• Ущерб людям (жертвы и раненые)
• Ущерб национальной экономике (в % от
ВВП)
• Ущерб окружающей среде
• Влияние на благосостояние общества
Показатели
критериев
неизвестны, но сама
шкала показателей
трехуровневая
!

14. Показатели ущерба для разных
секторов в Испании

15. 20 критериев Швеции
• Оценка последствий и вероятности
событий для различных сценариев
• 20 переменных, включая место события,
время, область воздействия, масштаб
(национальный, региональный,
локальный) и т.п.
• Швеция выделяет 27 событий, имеющих
критическое событие для страны, включая
прекращение электронных коммуникаций
Показатели
критериев
неизвестны, но сама
шкала показателей
пятиуровневая
!

16. Критерии Чехии
• Два базовых критерия на национальном
уровне – заменимый или незаменимый
(который нельзя заменить/восстановить за
короткое время) объект инфраструктуры
• Остальные критерии применяются к
конкретным отраслям, а сквозные
критерии идентичны критериям Евросоюза
!

17. Показатели критериев в Чехии
• Потери – потенциальное число жертв –
250 человек, и число раненых – 2500
человек при условии, что последующая
госпитализация превышает 24 часа
• Экономический эффект – потери ВВП от
0,5% и выше
• Общественный эффект – снижение
качества/прерывание оказания основных
услуг для 125 тысяч человек и больше
(±1,2% от населения Чехии)
!

18. Показатели критериев в Венгрии
• Потери
• Уровень 1 - потенциальное число жертв – 20 человек, и число
раненых – 75 человек при условии, что последующая
госпитализация превышает 24 часа
• Уровень 2 - потенциальное число жертв – 40 человек, и число
раненых – 150 человек при условии, что последующая
госпитализация превышает 72 часа
• Внимание: численность населения в Венгрии и
Чехии одного порядка (10 млн), хотя значения
критерия «потери» отличается на порядок
• Внимание: в Венгрии двухуровневое
категорирование в отличие от одноуровневого в
Чехии
!

19. Примеры критериев в некоторых
странах

20. Показатели критериев в Нидерландах
Категория А
• Физический ущерб - > 10000
погибших, раненых или
хронически больных
• Экономический ущерб - > 50
миллиардов евро ущерба или
снижение реального дохода
на 5%
• Социально-психологический
ущерб – 1 миллион человек
испытывает эмоциональное
расстройство или
испытывает серьезные
проблемы проживания в
обществе
• Каскадный ущерб – это
приводит к отказу не менее
двух критических секторов
Категория B
• Физический ущерб - > 1000
раненых или хронически
больных
• Экономический ущерб - > 5
миллиардов евро ущерба или
снижение реального дохода
на 1%
• Социально-психологический
ущерб – 100 тысяч человек
испытывает эмоциональное
расстройство или
испытывает серьезные
проблемы проживания в
обществе
!

21. Показатели критериев в России
• Различные
методики и
документы по
КВО, опасным
объектам,
антитеррору,
стратегически
важным объектам
и т.п.
!

22. Отнесение ИС к критическим в Чехии

23. Критические информационные
инфраструктуры в Венгрии
• Сети центров контроля и управления электроэнергетикой
• Коммуникационные системы (проводные, мобильные,
спутниковые)
• Сети центров контроля и управления транспортом
• Сети финансовых организаций и банков
• Сети и системы раннего предупреждения оборонной
отрасли и нацбезопасности
• Сети здравоохранения
• Сети госорганов
Классификация №1
!

24. Критические информационные
инфраструктуры в Венгрии
• АСУ ТП
• Интернет и инфраструктура Интернет
• Мобильные сети
• Проводные сети
• Радио и навигационные системы
• Спутниковые сети
• Широковещательные сети
• Сети госуправления
• Важные информационные системы критических
инфраструктур
Классификация №2
!

25. Отнесение ИС к критическим в Индии
• Функциональность
• Критичность
• Зависимость
• Политическое, экономическое, социальное
и стратегическое значение
• Длительность и время
!

26. КИИ в Стратегии развития
информационного общества
1. Государственные органы
2. Оборонная
промышленность
3. Здравоохранение
4. Транспорт
5. Связь
6. Кредитно-финансовая
сфера
7. Энергетика
8. Топливная
промышленность
9. Атомная промышленность
10. Ракетно-космическая
промышленность
11. Горнодобывающая
промышленность
12. Металлургическая
промышленность
13. Химическая
промышленность
!

27. КИИ в законе о БКИИ
1. Здравоохранение
2. Наука
3. Транспорт
4. Связь
5. Энергетика
6. Банковская сфера и
финансовые рынки
7. ТЭК
8. Атомная энергетика
9. Оборонная
промышленность
10. Ракетно-космическая
промышленность
11. Горнодобывающая
промышленность
12. Металлургическая
промышленность
13. Химическая
промышленность
14. Обеспечение
взаимодействия между
пп.1-13
!

28. «Зависимые» КИИ
• Удостоверяющие центры
• Облачные сервисы
• Точки обмена трафиком (IX)
• Система доменных имен (DNS)
• Реестр запрещенных сайтов
РКН
• БДУ ФСТЭК
• ГосСОПКА
• Магистральные и мобильные
операторы связи

29. От чего зависит ущерб (результат
воздействия)?
• Область покрытия – географическая область или
административная единица или число граждан,
которая зависит от недоступности или
неработоспособности критической
инфраструктуры
• Важность – масштаб последствий, вызванных
отказом критической инфраструктуры
• Время – в течение какого времени в часах, днях,
неделях, месяцах, критическая потеря/отказ
критического элемента может оказать серьезное
влияние на критическую инфраструктуру
Факторы
воздействия

30. Критерии оценки важности в Эстонии
• Число пользователей, пользующихся
инфраструктурой или результатами ее
деятельности
• Частота использования
• Время замены
• Зависимость
• Число сервисов с теми же характеристиками
(уникальность)
• Цель
• Сроки оценки последствий и влияния на
жизнедеятельность
!

31. Спасибо!
alukatsk@cisco.com