Журнал "Information Security/ Информационная безопасность" #1, 2018

Что касается объектов КИИ, не отнесенных к значимым, то для них ника- ких дополнительных мер по обеспечению информацион- ной безопасности, в соот- ветствии с существующими и находящимися в проекте на сегодняшний день норма- тивно-правовыми актами, не требуется. Само по себе проведение категорирования важно, как уже было отмечено выше, для обеспечения необходи- мых и достаточных, в соот- ветствии с действующим законодательством, правил эксплуатации средств хра- нения, обработки или пере- дачи охраняемой компью- терной информации, содер- жащейся в критической информационной инфра- структуре Российской Феде- рации, а также правил доступа к информации, информационным системам, информационно-телекомму- никационным сетям, автома- тизированным системам управления, сетям электро- связи, за нарушение кото- рых (а нарушение может выражаться как в форме действия, так и бездей- ствия), если оно повлекло причинение вреда критиче- ской информационной инфраструктуре Российской Федерации, предусмотрена уголовная ответственность по ст. 274.1 Уголовного кодекса Российской Феде- рации. требованиям к информацион- ным системам персональных данных (приказы ФСТЭК Рос- сии № 17 и 21) и автоматизиро- ванным системам управления технологическими процессами (приказ ФСТЭК России № 31). При этом следует отметить, что для информационных систем (информационных систем пер- сональных данных), операторы которых традиционно уделяли первостепенное значение обес- печению конфиденциальности информации, равное значение приобретает обеспечение ее целостности и доступности. Кроме того, от категории значимого объекта КИИ зависит выбор мер, направленных на нейтрализацию действий воз- можного нарушителя. Так, п. 22 Требований по обеспечению безопасности значимых объ- ектов критической информа- ционной инфраструктуры Рос- сийской Федерации 1 предусмат- ривает, что выбранные и реа- лизованные в значимом объ- екте меры по обеспечению без- опасности как минимум должны обеспечивать: l в значимых объектах 1-й кате- гории – нейтрализацию (блоки- рование) угроз безопасности информации, связанных с дей- ствиями нарушителя с высоким потенциалом; l в значимых объектах 2-й кате- гории – нейтрализацию (блоки- рование) угроз безопасности информации, связанных с дей- ствиями нарушителя с потен- циалом не ниже базового повы- шенного уровня; l в значимых объектах 3-й кате- гории – нейтрализацию (блоки- рование) угроз безопасности информации, связанных с дей- ствиями нарушителя с базовым потенциалом. Потенциал нарушителя опре- деляется в ходе оценки его воз- можностей (потенциала), про- водимой при анализе угроз без- опасности информации. "Значимый" или "не значимый" объект КИИ? Определение категорий значи- мости объектов КИИ осуществ- ляется на основании показателей критериев значимости объектов КИИ и их значений, которые планируются к утверждению Правительством Российской Федерации. Проект указанного постановления уже доступен в любой справочно-правовой системе. По мнению автора, в рамках указанной статьи нет смысла подробно разбирать каж- дый из критериев, рассмотрим лишь некоторые из них: l возможно причинение ущер- ба жизни и здоровью людей, оцениваемое через количество людей, жизни и здоровью кото- рых возможно причинение ущерба. Минимальное значение для присвоения третьей кате- гории – 1 человек. Таким обра- зом, практически любая авто- матизированная система управ- ления технологическими про- цессами будет относиться к значимому объекту КИИ; l возможно прекращение или нарушение функционирования системы управления сетью связи, оцениваемое через тер- риторию, на которой возможно прекращение или нарушение функционирования сети связи (для присвоения третьей кате- гории достаточно территории муниципального образования) или через количество людей, для которых могут быть недо- ступны услуги связи, в тысячах человек (от 50). Таким образом, информационные системы и информационно-телекоммуни- кационные сети практически всех операторов связи будут относиться к значимым объ- ектам КИИ; l возможно отсутствие доступа к государственным услугам, пре- доставляемым в электронном виде, оцениваемое в максималь- но допустимом времени, в тече- ние которого государственная услуга, предоставляемая в элек- тронном виде, может быть недо- ступна для пользователей, в часах (от 24 часов и меньше). Таким образом, любая информационная система (информационная систе- ма персональных данных) любого субъекта (государственный орган, государственное учреждение и т.п.), участвующая в процессе оказания государственной услуги, будет относиться к значимому объекту КИИ; l возможно прекращение и (или) нарушение функциониро- вания чего именно?более чем на четыре часа, а также подме- на официального сайта госу- дарственного органа, оценивае- мые через уровень (значимость) государственного органа (начи- ная от органов государственной власти субъекта или города федерального значения). Таким образом, официальный сайт любого органа законодатель- ной, исполнительной либо судебной власти следует отно- сить к значимому объекту КИИ; l возможно прекращение или нарушение проведения клиента- ми операций по банковским сче- там (без открытия банковского счета) или операций, осуществ- ляемых субъектом КИИ, являю- щимся, в соответствии с законо- дательством Российской Феде- рации, системно значимой кре- дитной организацией, операто- ром услуг платежной инфра- структуры системно и/или соци- ально значимых платежных систем или системно значимой инфраструктурной организацией финансового рынка, оценивае- мое среднедневным (по отноше- нию к числу календарных дней в году) количеством осуществляе- мых операций (НКО), в млн еди- ниц (расчет осуществляется по итогам года, а для создаваемых объектов – на основе прогнозных значений) (минимум три). А вот организации банковского секто- ра, вопреки сложившемуся мне- нию, напротив, далеко не все будут относиться к значимым объектам КИИ. Каков порядок категорирования? Категорирование объектов КИИ осуществляется субъектами КИИ. Категорированию подле- жат объекты КИИ, которые обес- печивают управленческие, тех- нологические, производствен- ные, финансово-экономические и (или) иные процессы (т.е. по сути – любые бизнес-процессы) в рамках выполнения функций или осуществления видов дея- тельности субъектов КИИ. В соответствии с ч. 4 ст. 17 Федерального закона "О без- опасности критической инфор- мационной инфраструктуры Рос- сийской Федерации" субъекты КИИ присваивают категорию объ- екту КИИ, опираясь на критерии значимости и показатели их значений, руководствуясь поряд- ком осуществления категориро- вания. Если объект КИИ не соот- ветствует критериям значимости, показателям этих критериев и их значениям, ему не присваивается ни одна из таких категорий. Процедура категорирования включает следующие этапы: 1. Создание комиссии по категорированию, в составе: l руководителя субъекта КИИ или уполномоченного им лица. • 17 ПРАВО И НОРМАТИВЫ www.itsec.ru 1 На момент подготовки данной статьи (25 января 2018 г.) – проект приказа ФСТЭК России.