В рубрику "В фокусе" | К списку рубрик | К списку авторов | К списку публикаций
Вступление в силу 01 января 2018 г. Федерального закона Российской Федерации от 26 июля 2017 г. № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" (далее – 187-ФЗ) потребовало от субъектов критической информационной инфраструктуры (далее – КИИ) проведения категорирования объектов КИИ в соответствии с требованиями ст. 7 187-ФЗ [1].
Однако приступить к реализации этих требований субъекты КИИ смогли только после 21 февраля 2018 г., когда вступило в силу постановление Правительства Российской Федерации от 08 февраля 2018 г. № 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений" (далее – ПП 127) [2].
Субъекты КИИ при попытке провести категорирование столкнулись со следующими проблемами, вызванными требованиями ПП 127 и действиями ФСТЭК России:
Рассмотрим вышеуказанные проблемы более подробно.
На настоящий момент субъекты КИИ вынуждены при категорировании руководствоваться либо публичными разъяснениями ФСТЭК России с тематических конференций и семинаров [3], [4], либо ведомственными/корпоративными методиками собственной разработки [5].
Так, ФСТЭК России рекомендует определять объекты КИИ через сферы деятельности субъекта КИИ (рис. 1–3).
Однако предложенные методы не позволяют однозначно идентифицировать объекты КИИ.
На практике возможны несколько итоговых комбинаций:
Более того, рекомендации по определению сфер деятельности субъекта КИИ не отражены в утвержденных приказах ФСТЭК России. И в форму уведомления [6], и в реестр значимых объектов КИИ [7] вносится информация исключительно по сферам деятельности объекта КИИ, но не субъекта КИИ.
187-ФЗ установлено, что категорирование объекта КИИ представляет собой установление соответствия объекта КИИ критериям значимости и показателям их значений, присвоение объекту КИИ одной из категорий значимости, проверку сведений о результатах ее присвоения [1]. А в ПП 127, являющимся подзаконным актом, введены дополнительные обязанности для субъекта КИИ, усложняющие процесс определения категорий значимости и не оказывающих влияния на конечный результат этапа категорирования объектов КИИ.
Так, субъект КИИ обязан вначале выявить объекты КИИ, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов [2]. Но ведь 187-ФЗ однозначно указывает, что обязательно категорирование всех без исключения объектов КИИ!
Далее, субъект КИИ обязан провести анализ возможных действий нарушителей в отношении объектов КИИ, угроз безопасности информации и уязвимостей, которые могут привести к возникновению компьютерных инцидентов на объектах КИИ [2]. При этом результаты проведенного анализа никак не используются при установлении каждому из объектов КИИ одной из категорий значимости либо принятии решения об отсутствии необходимости присвоения категорий значимости.
Одним из требований ПП 127 установлена необходимость согласования субъектом КИИ перечня объектов КИИ с государственным органом или российским юридическим лицом, выполняющим функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере в части подведомственных им субъектов КИИ [2].
В табл. 1 указаны организации, соответствующие данным требованиям.
При этом в 187-ФЗ и подзаконных актах в данных организациях работа по рассмотрению и оценке полученных от подведомственных субъектов КИИ перечней объектов КИИ не предусмотрена. Это приводит к низкой эффективности процедуры согласования перечней объектов КИИ и большим временным потерям на служебную переписку между организациями и подведомственными им субъектами КИИ.
Более того, часть субъектов КИИ воспринимает указанную формулировку в ПП 127 как необходимость согласования перечней объектов с ФСТЭК России [8].
Субъект КИИ вынужден по результатам выполнения этапа категорирования оформлять и утверждать два отдельных документа, содержащих одну и ту же информацию, – акт и форму уведомления о результатах категорирования.
Так как официально опубликованная редакция ПП 127 содержала ошибки в трех показателях критериев значимости, вносящих неоднозначность в результаты категорирования, то для субъектов КИИ внесение изменений в ПП 127 было ожидаемым. Проблему усугубил тот факт, что официально на утверждение в Правительство Российской Федерации проект ПП 127 внесла не ФСТЭК России, а Министерство обороны Российской Федерации. В результате все обращения в администрацию Правительства Российской Федерации по правильности толкования неоднозначных показателей категорий значимости перенаправлялись в Министерство обороны Российской Федерации, а не авторам документа.
На текущий момент ФСТЭК России решила не просто исправить ошибки в ПП 127, а внести радикальные изменения в процессы категорирования: изменены принципы создания и расформирования комиссии по категорированию субъекта КИИ, радикально занижены пороговые показатели категорий значимости для сфер транспорта и связи [9]. В плановом порядке [10] вносятся также изменения в приказ ФСТЭК России об оформлении результатов категорирования [11].
Вышеперечисленные проблемы приводят как к большим временным потерям субъекта КИИ, так и к материальным потерям, поскольку снижается производительность труда специалистов субъекта КИИ, отвлекаемых на время категорирования объектов КИИ от выполнения основных производственных задач.
На рис. 4 приведены данные по трудоемкости этапа категорирования одного из субъектов КИИ в сфере энергетики [12]. С учетом необходимости проведения повторной процедуры категорирования, вызванного изменениями в ПП 127, эти трудозатраты будут увеличиваться. Если субъект КИИ привлекал подрядные организации для проведения категорирования своих объектов КИИ, то это также означает и прямые материальные потери.
1. Исключаем избыточные этапы процесса категорирования, не оказывающие влияния на определение показателей категорий значимости объектов КИИ:
2. Этап оформления акта категорирования объекта КИИ заменяем на заполнение формы уведомления о результатах категорирования [6].
Литература
Опубликовано: Журнал "Information Security/ Информационная безопасность" #3, 2019