Категорирование объектов КИИ фармацевтической производственной компании

Основные цели

Главной целью является определение фармацевтического предприятия как субъекта критической информационной инфраструктуры (КИИ), выявление критических бизнес-процессов, нарушение которых может привести к социальным, политическим, экономическим, экологическим последствиям или рискам в сфере обеспечения обороны страны, безопасности государства и правопорядка, а также определение объектов КИИ, обеспечивающих функционирование критических бизнес-процессов.

Обследование информационных систем (ИС), автоматизированных систем управления (АСУ), информационно-телекоммуникационных сетей (ИТКС), которые могут быть отнесены к объектам КИИ, проводится с целью сбора информации о существующих бизнес-процессах, основных видах деятельности, в том числе выявления критических бизнес-процессов и обеспечивающих их потенциальных объектов КИИ, категорирования потенциальных объектов КИИ в соответствии с установленными критериями значимости согласно законодательству РФ.

Основные цели категорирования:

• выполнить требования законодательства,
• провести инвентаризацию имеющихся объектов КИИ,
• выявить критические процессы в инфраструктуре,
• определить категорию значимости объекта КИИ либо подготовить обоснование отсутствия необходимости её присвоения,
• согласовать результаты категорирования с регулятором.

Нормативные документы

На какое законодательство мы ориентируемся при рассмотрении вопроса категорирования КИИ? Перечень представлен ниже. Важно отметить, что должны быть учтены все изменения и дополнения, актуальные на текущий момент:

1. Общероссийский классификатор продукции по видам экономической деятельности ОКПД 2 ОК 034-2014 (КПЕС 2008);
2. Общероссийский классификатор видов экономической деятельности ОКВЭД 2 ОК 029-2014 (КДЕС Ред. 2);
3. Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры РФ»;
4. Указ президента России от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности РФ»;
5. Постановление Правительства РФ от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры РФ, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры РФ и их значений»;
6. Приказ ФСТЭК России от 22.12.2017 № 236 «Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий»;
7. Приказ ФСТЭК России от 25.12.2017 № 239 «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры РФ»;
8. Перечень типовых отраслевых объектов критической информационной инфраструктуры, функционирующих в сфере здравоохранения. Утвержден заместителем министра здравоохранения РФ П.С. Пугачевым 27.12.2023 г.

Процедура категорирования объектов КИИ

Процедура категорирования объектов критической информационной инфраструктуры осуществляется на основании и в соответствии с:

• федеральным законом «О безопасности критической информационной инфраструктуры РФ» от 26.07.2017 № 187-ФЗ,
• постановлением правительства РФ «Об утверждении Правил категорирования объектов критической информационной инфраструктуры РФ, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры РФ и их значений» от 08.02.2018 № 127.

Категорированию подлежат ИС, АСУ, ИТКС, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и иные критические бизнес-процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности организации сферы химической промышленности. К данной сфере относится фармацевтическое производство в целях категорирования объектов КИИ.

В ходе процедуры категорирования ИС, АСУ, ИТКС необходимо проанализировать и оценить критичность всех возможных бизнес-процессов.

Принятие решения об отсутствии необходимости присвоения категории какой-либо ИС/АСУ/ИТКС должно быть основано на результатах оценки их влияния на нарушение или прекращение критического бизнес-процесса, приводящее к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка.

Процедура категорирования ИС/АСУ/ИТКС включает в себя следующие процессы:

• определение управленческих, технологических, производственных, финансово-экономических и иных бизнес-процессов,
• определение объектов КИИ, которые обрабатывают необходимую для обеспечения критических процессов информацию и осуществляют управление, контроль или мониторинг критических процессов,
• оценка в соответствии с перечнем показателей критериев значимости масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах КИИ,
• присвоение каждому объекту КИИ одной из категорий значимости либо принятие решения об отсутствии необходимости присвоения им одной из категорий значимости.

Определение бизнес-процессов на фармпроизводстве

Определение бизнес-процессов в деятельности организации и выделение среди них критических предполагает обследование и анализ всех управленческих, технологических, производственных, финансово-экономических и иных бизнес-процессов.

В результате анализа информации, собранной в ходе проведенного обследования, организационно-штатной структуры рассматриваемого фармпредприятия, а также ИС, АСУ и ИТКС, представленных на обследование, выделены следующие процессы:

• производство лекарственных средств,
• первичная упаковка,
• вторичная упаковка,
• фармацевтическая деятельность,
• контроль качества исходных, промежуточных и упаковочных материалов, готовой продукции,
• накопление производственных отходов для передачи на утилизацию,
• складирование и хранение исходных материалов и лекарств,
• оборот наркотических средств, психотропных веществ и их прекурсоров, культивирование наркосодержащих растений,
• кадровая работа,
• обеспечение физической безопасности организации.

Подход регулятора к выявлению критических бизнес-процессов

Критическими бизнес-процессами считаются управленческие, технологические, производственные, финансово-экономические и иные бизнес-процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов КИИ, нарушение и/или прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, рискам в сфере обороны страны, безопасности государства и правопорядка.

Оценка актуальности показателей значимости приведена в таблице 1.

Причинение ущерба жизни и здоровью людей (социальная значимость)

Показатель: причинение ущерба жизни и здоровью людей.

Критерий оценки: возможность причинения ущерба жизни и здоровью из-за нарушения рассматриваемого процесса (остановка процесса или сбой в нём/изменение параметров, в том числе выход за предел допустимых).

Рассматриваются:

• Непосредственные последствия нарушения технологических процессов, связанные с угрозой для работников и людей, находящихся в близости от оборудования (выработка электроэнергии, химическое производство, управление металлургическим производством).
• Последствия, связанные с нарушением процесса как оказываемой услуги, и представляющие угрозу для потребителей услуги (управление движением железнодорожных составов, оказание медицинской помощи, фармацевтическая деятельность, производство транспортных средств).

Прекращение или нарушение функционирования объектов обеспечения жизнедеятельности населения (социальная значимость)

Показатель: прекращение или нарушение функционирования объектов обеспечения жизнедеятельности населения.

Критерий оценки актуален для процессов, участвующих в обеспечении жизнедеятельности населения (водо-, тепло-, газо- и электроснабжение), нарушение которых может привести к прекращению оказания данных услуг (прекращение подачи воды, тепла, газа, электричества) или к отклонению значений параметров указанных услуг от проектных (штатных) режимов функционирования (падение напряжения электросети, снижение температуры или напора горячей воды/теплоносителя).

Важное примечание: в рассматриваемых масштабах нарушение объектов обеспечения жизнедеятельности самого субъекта КИИ не попадает в критичные значения, то есть аварии на котельной предприятия, на локальных распределительных щитах, канализации и так далее не являются достаточными факторами, если они не повлекли последствия в более обширном масштабе в рамках оказания соответствующих услуг населению.

Прекращение или нарушение функционирования объектов транспортной инфраструктуры (социальная значимость)

Показатель: прекращение или нарушение функционирования объектов транспортной инфраструктуры.

Критерий оценки актуален для процессов, связанных с управлением объектами транспортной инфраструктуры, нарушение которых может привести к прекращению функционирования данных объектов (нарушение работы транспорта) или к отклонению значений параметров функционирования данных объектов от проектных (штатных) режимов функционирования (сбои в движении электропоездов, задержки в регистрации пассажиров, багажа, сбои в работе трубопровода, связанные с изменением давления).

Прекращение или нарушение функционирования сети связи (социальная значимость)

Показатель: прекращение или нарушение функционирования сети связи.

Критерий оценки актуален для процессов, связанных с управлением сетью связи, нарушение которых может привести к прекращению функционирования сети связи или к отклонению значений параметров функционирования сетей связи от проектных (штатных) режимов функционирования (сбои при передаче данных, падение скорости передачи данных, потеря пакетов). Данный критерий актуален для организаций, предоставляющих услуги связи. Должны рассматриваться процессы управления каналообразующим оборудованием, обеспечения доступности услуг связи и так далее.

Важное примечание: нарушение локальной вычислительной сети (ЛВС) самого субъекта КИИ не попадает в рассматриваемые критерии, то есть отказ ЛВС субъекта не является достаточным фактором, если он не повлек последствия в рамках оказания услуг связи.

Отсутствие доступа к государственной услуге (социальная значимость)

Показатель: отсутствие доступа к государственной услуге.

Критерий оценки актуален для процессов, связанных с предоставлением государственных услуг, нарушение которых может привести к прекращению доступа к предоставляемым государственным услугам (автоматизация государственных услуг с помощью ГИС и связанных систем).

Важное примечание: данный показатель должен рассматриваться организациями, на которые возложены соответствующие обязанности по оказанию государственных услуг, и операторами ГИС. Участники предоставления государственных услуг, чьи процессы должны анализироваться, определяются в частных регламентах предоставления государственных услуг.

Прекращение или нарушение функционирования государственного органа (политическая значимость)

Показатель: прекращение или нарушение функционирования государственного органа в части невыполнения возложенной на него функции (полномочия).

Критерий оценки актуален для процессов, связанных с реализацией функций (полномочий), возложенных на органы власти, нарушение которых может привести к:

• прекращению реализации указанных функций/полномочий (невозможность оказания государственных услуг, регистрации или предоставления соответствующей информации и прочее),
• отклонению значений параметров реализации указанных функций/полномочий от проектных (штатных) режимов (нарушение сроков реализации полномочий, временный переход на бумажный документооборот, возможность реализации полномочий с привлечением дополнительных ресурсов и прочее).

Важное примечание: данный критерий актуален непосредственно для органов власти в части функций (полномочий), возложенных на них соответствующими нормативными актами.

Нарушение условий международного договора РФ (политическая значимость)

Показатель: нарушение условий международного договора РФ, срыв переговоров или подписания планируемого соглашения.

Критерий оценки актуален для процессов:

• реализуемых во исполнение международных договоров РФ,
• реализуемых в рамках преддоговорных условий,
• реализация которых способна оказать влияние на переговоры или подписание планируемого соглашения.

Возникновение ущерба субъекту КИИ (экономическая значимость)

Показатель: возникновение ущерба субъекту КИИ, который является государственной корпорацией, государственным унитарным предприятием, государственной компанией, организацией оборонно-промышленного комплекса, стратегическим акционерным обществом, стратегическим предприятием.

Критерий оценки актуален для процессов:

• являющихся источниками доходов указанных субъектов (остановка производства, транспортного процесса и прочее),
• нарушение которых способно повлечь причинение прямого финансового ущерба (техногенные катастрофы, пожары, взрывы, затопления).

Возникновение ущерба бюджетам РФ (экономическая значимость)

Показатель: возникновение ущерба бюджетам России.

Критерий оценки актуален для процессов, связанных с производственной деятельностью, оказанием услуг или иной деятельностью, являющейся источником пополнения бюджета в виде налогов, акцизных и иных платежей.

Важные примечания:

• должны рассматриваться любые процессы, нарушение которых приведет к уменьшению каких-либо выплат в бюджеты РФ (остановка производства, транспортного процесса и так далее),
• нарушение процессов, связанных непосредственно с проведением выплат в бюджеты РФ (бухгалтерские процессы и переводы денежных средств) не влечет прямого ущерба, так как выплаты в любом случае будут осуществлены (позже или с использованием бумажных носителей и иных форм отчетности), данные процессы не стоит относить к критическим по данному критерию.

Прекращение или нарушение проведения операций по переводу денежных средств (экономическая значимость)

Показатель: прекращение или нарушение проведения клиентами операций по переводу денежных средств, осуществляемых субъектом критической информационной инфраструктуры, являющимся в соответствии с законодательством РФ системно значимой кредитной организацией, кредитной организацией, выполняющей функции оператора услуг платежной инфраструктуры системно значимых платежных систем, кредитной организацией, значимой на рынке платежных услуг, оператором услуг платежной инфраструктуры, оказывающим услуги платежной инфраструктуры в рамках системно значимых платежных систем.

Критерий оценки актуален для процессов:

• связанных с реализацией проведения клиентами операций по осуществлению перевода денежных средств, нарушение которых может привести к прекращению указанных операций или к отклонению значений параметров указанных операций от проектных (сбои в транзакциях, увеличение времени обработки транзакций и прочее);
• связанных с реализацией операций, выполняемых:
  • системно значимой кредитной организацией,
  • кредитной организацией, выполняющей функции оператора услуг платежной инфраструктуры системно значимых платежных систем,
  • кредитной организацией, значимой на рынке платежных услуг,
  • оператором услуг платежной инфраструктуры, оказывающим услуги платежной инфраструктуры в рамках системно значимых платежных систем, нарушение которых может привести к прекращению указанных операций или к отклонению значений параметров указанных операций от проектных (штатных).

Прекращение или нарушение хода операций центральным контрагентом (экономическая значимость)

Показатель: прекращение или нарушение при проведении операций по исполнению обязательств, осуществляемых субъектом критической информационной инфраструктуры, являющимся центральным контрагентом.

Критерий оценки актуален для процессов, связанных с реализацией операций, осуществляемых центральным контрагентом, нарушение которых может привести к прекращению проведения операций по исполнению обязательств или к отклонению значений параметров указанных операций от проектных (штатных).

Прекращение или нарушение учетно-расчетных операций (экономическая значимость)

Показатель: прекращение или нарушение проведения учетно-расчетных операций, осуществляемых субъектом критической информационной инфраструктуры, являющимся центральным депозитарием и регистратором финансовых транзакций.

Критерий оценки актуален для процессов, связанных с реализацией операций, осуществляемых центральным депозитарием и регистратором финансовых транзакций, нарушение которых может привести к прекращению проведения учетно-расчетных операций или к отклонению значений параметров указанных операций от проектных (штатных).

Прекращение или нарушение операций НПФ (экономическая значимость)

Показатель: прекращение или нарушение проведения операций по выплатам, передаче и размещению денежных средств, осуществляемых субъектом критической информационной инфраструктуры, являющимся негосударственным пенсионным фондом.

Критерий оценки актуален для процессов, связанных с реализацией операций, осуществляемых негосударственным пенсионным фондом, нарушение которых может привести к прекращению проведения операций по выплатам или к отклонению значений параметров указанных операций от проектных (штатных).

Прекращение или нарушение операций страховой организации (экономическая значимость)

Показатель: прекращение или нарушение проведения операций по выплатам, перестрахованию, инвестициям, осуществляемых субъектом критической информационной инфраструктуры, являющимся страховой организацией.

Критерий оценки актуален для процессов, связанных с реализацией операций, осуществляемых страховой организацией, нарушение которых может привести к прекращению проведения операций по выплатам, перестрахованию, инвестициям или к отклонению значений параметров указанных операций от проектных (штатных).

Прекращение или нарушение функций оператора информационного обмена (экономическая значимость)

Показатель: прекращение или нарушение проведения функций по переводу денежных средств, осуществляемых субъектом критической информационной инфраструктуры, являющимся оператором услуг информационного обмена (некредитной организацией).

Критерий оценки: актуален для процессов, связанных с реализацией операций, осуществляемых оператором услуг информационного обмена (некредитной организацией), нарушение которых может привести к прекращению проведения функций по переводу денежных средств или к отклонению значений параметров указанных операций от проектных (штатных)

Вредные воздействия на окружающую среду (экологическая значимость)

Показатель: вредные воздействия на окружающую среду.

Критерий оценки актуален для процессов, связанных с технологическими операциями и производством, нарушение которых может оказать непосредственное негативное воздействие на окружающую среду:

• ухудшение качества воды в поверхностных водоемах, обусловленное сбросами загрязняющих веществ,
• повышение уровня вредных загрязняющих веществ, в том числе радиоактивных веществ, в атмосфере,
• ухудшение состояния земель в результате выбросов или сбросов загрязняющих веществ,
• иные вредные воздействия.

Примеры критических процессов:

• обогащение руды,
• производство серной кислоты,
• утилизация отходов термической обработкой,
• транспортировка нефтепродуктов,
• контроль состояния и поставка фильтров для производства,
• налив, хранение и транспортировка нефтепродуктов.

Примеры смежных процессов (некритичные):

• обеспечение физической безопасности и контроль доступа (СКУД),
• видеонаблюдение,
• электроснабжение (при условии безопасной остановки производства без последствий).

Важные примечания при оценке:

• необходимо рассматривать максимально негативный сценарий развития нарушения процесса без учета компенсирующих мер (систем противоаварийной автоматики, систем защиты и т.д.),
• системы РАС и ПАЗ не рассматриваются как фактор, снижающий риск,
• физические блокировки и ограничители можно принимать в расчет,
• исключение составляют случаи, когда аварийные системы являются неотъемлемой технологической частью процесса.

Прекращение или нарушение функционирования пункта управления (оборона, безопасность государства и правопорядка)

Показатель: прекращение или нарушение (невыполнение установленных показателей) функционирования пункта управления (ситуационного центра).

Критерий оценки актуален для процессов, связанных с обеспечением функционирования пунктов управления (ситуационных центров), нарушение которых может привести к:

• прекращению функционирования пунктов управления,
• отклонению значений параметров функционирования от проектных (штатных) режимов (нарушение сроков реагирования, частичное нарушение импортируемой в ситуационный центр информации, ограничение числа пользователей ситуационного центра).

Снижение показателей гособоронзаказа (оборона, безопасность государства и правопорядка)

Показатель: снижение показателей государственного оборонного заказа, выполняемого субъектом КИИ.

Критерий оценки актуален для процессов, связанных с выполнением оборонного заказа, нарушение которых может привести к:

• снижению объёмов продукции,
• увеличению времени выпуска продукции данного заказа (технологические, производственные процессы и поддерживающие их – поставка сырья, транспорт и так далее).

Важное примечание. Данный показатель актуален для:

• головных исполнителей поставок продукции по гособоронзаказу,
• исполнителей, участвующих в поставках продукции,
• участников кооперации головного исполнителя.

Для организаций, которые не относятся к указанным лицам, но изготавливают компоненты или предоставляют услуги для выполнения гособоронзаказа, показатель не актуален.

Прекращение функционирования информационных систем (оборона, безопасность государства и правопорядка)

Показатель: прекращение или нарушение функционирования информационной системы в области обеспечения обороны страны, безопасности государства и правопорядка.

Критерий оценки актуален для процессов, связанных с обеспечением функционирования информационных систем в области обеспечения обороны страны, безопасности государства и правопорядка, нарушение которых может привести к:

• прекращению функционирования указанных систем,
• отклонению значений параметров функционирования от проектных (штатных) режимов.

Рассматриваемые процессы:

• управление и сопровождение указанных систем,
• предоставление доступа к указанным системам,
• информационное обеспечение указанных систем.

Критические бизнес-процессы на рассматриваемом производстве

Итак, в рамках рассматриваемого кейса мы подошли к последнему, но наиболее важному этапу – применению установленных нормативным регулированием критериев значимости к случаю фармацевтического производства, описанного ранее.

Оценка критичности процессов фармацевтического предприятия

Источник – Сборник GDP Review 6 — VII Конференции «Логистика лекарственных средств»