Проблемные вопросы процедуры категорирования объектов КИИ

Введение

Вступление в силу 01 января 2018 г. Федерального закона Российской Федерации от 26 июля 2017 г. № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" (далее – 187-ФЗ) потребовало от субъектов критической информационной инфраструктуры (далее – КИИ) проведения категорирования объектов КИИ в соответствии с требованиями ст. 7 187-ФЗ [1].

Однако приступить к реализации этих требований субъекты КИИ смогли только после 21 февраля 2018 г., когда вступило в силу постановление Правительства Российской Федерации от 08 февраля 2018 г. № 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений" (далее – ПП 127) [2].

Субъекты КИИ при попытке провести категорирование столкнулись со следующими проблемами, вызванными требованиями ПП 127 и действиями ФСТЭК России:

• отсутствие методических документов ФСТЭК России по категорированию объектов КИИ;
• избыточность и сложность процедур, требуемых для выполнения ПП 127;
• нестабильность требований ПП 127 и приказов ФСТЭК России.

Рассмотрим вышеуказанные проблемы более подробно.

Отсутствие методических документов по категорированию объектов КИИ

На настоящий момент субъекты КИИ вынуждены при категорировании руководствоваться либо публичными разъяснениями ФСТЭК России с тематических конференций и семинаров [3], [4], либо ведомственными/корпоративными методиками собственной разработки [5].

Так, ФСТЭК России рекомендует определять объекты КИИ через сферы деятельности субъекта КИИ (рис. 1–3).

Однако предложенные методы не позволяют однозначно идентифицировать объекты КИИ.

На практике возможны несколько итоговых комбинаций:

• организация осуществляет свою деятельность в указанных сферах деятельности, но ее процессы вообще не автоматизированы и организация не имеет своих информационных систем (далее – ИС);
• организация осуществляет свою деятельность в указанных сферах деятельности, но не имеет своих ИС, пользуется услугами подрядчика;
• организация осуществляет свою деятельность в указанных сферах деятельности и имеет собственные ИС либо использует чужие на законных основаниях;
• организация не осуществляет свою деятельность в указанных сферах деятельности, но имеет ИС, функционирующие в указанных сферах деятельности;
• организация не осуществляет свою деятельность в указанных сферах деятельности и не имеет ИС, функционирующих в указанных сферах деятельности.

Более того, рекомендации по определению сфер деятельности субъекта КИИ не отражены в утвержденных приказах ФСТЭК России. И в форму уведомления [6], и в реестр значимых объектов КИИ [7] вносится информация исключительно по сферам деятельности объекта КИИ, но не субъекта КИИ.

Избыточность и сложность процедур, требуемых для выполнения ПП 127

187-ФЗ установлено, что категорирование объекта КИИ представляет собой установление соответствия объекта КИИ критериям значимости и показателям их значений, присвоение объекту КИИ одной из категорий значимости, проверку сведений о результатах ее присвоения [1]. А в ПП 127, являющимся подзаконным актом, введены дополнительные обязанности для субъекта КИИ, усложняющие процесс определения категорий значимости и не оказывающих влияния на конечный результат этапа категорирования объектов КИИ.

Так, субъект КИИ обязан вначале выявить объекты КИИ, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов [2]. Но ведь 187-ФЗ однозначно указывает, что обязательно категорирование всех без исключения объектов КИИ!

Далее, субъект КИИ обязан провести анализ возможных действий нарушителей в отношении объектов КИИ, угроз безопасности информации и уязвимостей, которые могут привести к возникновению компьютерных инцидентов на объектах КИИ [2]. При этом результаты проведенного анализа никак не используются при установлении каждому из объектов КИИ одной из категорий значимости либо принятии решения об отсутствии необходимости присвоения категорий значимости.

Одним из требований ПП 127 установлена необходимость согласования субъектом КИИ перечня объектов КИИ с государственным органом или российским юридическим лицом, выполняющим функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере в части подведомственных им субъектов КИИ [2].

В табл. 1 указаны организации, соответствующие данным требованиям.

При этом в 187-ФЗ и подзаконных актах в данных организациях работа по рассмотрению и оценке полученных от подведомственных субъектов КИИ перечней объектов КИИ не предусмотрена. Это приводит к низкой эффективности процедуры согласования перечней объектов КИИ и большим временным потерям на служебную переписку между организациями и подведомственными им субъектами КИИ.

Более того, часть субъектов КИИ воспринимает указанную формулировку в ПП 127 как необходимость согласования перечней объектов с ФСТЭК России [8].

Субъект КИИ вынужден по результатам выполнения этапа категорирования оформлять и утверждать два отдельных документа, содержащих одну и ту же информацию, – акт и форму уведомления о результатах категорирования.

Нестабильность требований ПП 127 и приказов ФСТЭК России

Так как официально опубликованная редакция ПП 127 содержала ошибки в трех показателях критериев значимости, вносящих неоднозначность в результаты категорирования, то для субъектов КИИ внесение изменений в ПП 127 было ожидаемым. Проблему усугубил тот факт, что официально на утверждение в Правительство Российской Федерации проект ПП 127 внесла не ФСТЭК России, а Министерство обороны Российской Федерации. В результате все обращения в администрацию Правительства Российской Федерации по правильности толкования неоднозначных показателей категорий значимости перенаправлялись в Министерство обороны Российской Федерации, а не авторам документа.

На текущий момент ФСТЭК России решила не просто исправить ошибки в ПП 127, а внести радикальные изменения в процессы категорирования: изменены принципы создания и расформирования комиссии по категорированию субъекта КИИ, радикально занижены пороговые показатели категорий значимости для сфер транспорта и связи [9]. В плановом порядке [10] вносятся также изменения в приказ ФСТЭК России об оформлении результатов категорирования [11].

Последствия

Вышеперечисленные проблемы приводят как к большим временным потерям субъекта КИИ, так и к материальным потерям, поскольку снижается производительность труда специалистов субъекта КИИ, отвлекаемых на время категорирования объектов КИИ от выполнения основных производственных задач.

На рис. 4 приведены данные по трудоемкости этапа категорирования одного из субъектов КИИ в сфере энергетики [12]. С учетом необходимости проведения повторной процедуры категорирования, вызванного изменениями в ПП 127, эти трудозатраты будут увеличиваться. Если субъект КИИ привлекал подрядные организации для проведения категорирования своих объектов КИИ, то это также означает и прямые материальные потери.

Предложения по изменению правил категорирования

1. Исключаем избыточные этапы процесса категорирования, не оказывающие влияния на определение показателей категорий значимости объектов КИИ:

• составление перечня объектов, подлежащих категорированию, и последующих действий с ним (согласование с ведомственными центрами и направление в ФСТЭК России);
• анализ возможных действий нарушителей в отношении объектов КИИ, угроз безопасности информации и уязвимостей, которые могут привести к возникновению компьютерных инцидентов на объектах КИИ.

2. Этап оформления акта категорирования объекта КИИ заменяем на заполнение формы уведомления о результатах категорирования [6].

Литература

1. Федеральный закон Российской Федерации от 26 июля 2017 г. № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации".
2. Постановление Правительства Российской Федерации от 08 февраля 2018 г. № 127 "Об утверждении Правил категори рования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений".
3. Доклад заместителя начальника управления ФСТЭК России Торбенко Е.Б. "Постановление Правительства Российской Федерации от 08.02.2018 № 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений", 2018 г.
4. Доклад заместителя начальника управления ФСТЭК России Торбенко Е.Б. "Практика категорирования объектов КИИ", 2019 г.
5. Методические рекомендации по категорированию объектов критической информационной инфраструктуры в медицинских организациях Красноярского края от 30 ноября 2018 г.
6. Приказ ФСТЭК России от 22 декабря 2017 г. № 236 "Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий".
7. Приказ ФСТЭК России от 06 декабря 2017 г. № 227 "Об утверждении Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации".
8. Информационное сообщение ФСТЭК России по вопросам представления перечней объектов критической информационной инфраструктуры, подлежащих категорированию, и направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий от 24 августа 2018 г. № 240/25/3752.
9. Проект постановления Правительства Российской Федерации "О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127".
10. Выписка из плана разработки ФСТЭК России нормативных правовых актов на 2019 г.
11. Проект приказа ФСТЭК России "О внесении изменений в форму направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, утвержденную приказом Федеральной службы по техническому и экспортному контролю от 22 декабря 2017 г. № 236".
12. Доклад руководителя направления "Защита АСУ ТП" Ростелеком-Solar Карантаева В.Г. "Вопросы практической реализации требований ФЗ-187 "О безопасности критической информационной инфраструктуры" на примере одного из субъектов электроэнергетики", 2019 г.