Журнал "Information Security/ Информационная безопасность" #1, 2019

Законом № 187-ФЗ опре- делены объекты и субъекты КИИ, но уже в самом опре- делении не совсем понятно, кто именно функционирует в указанных сферах: ИС, ИТС, АСУ или субъекты. При этом ФСТЭК России поясняет, что принадлежность к ука- занным в законе сферам будет определяться по уставным или другим доку- ментам, связанным с компа- нией, т.е. первичны все-таки субъекты. Тем не менее количе- ство субъектов и объ- ектов, подпадающих под требования закона № 187-ФЗ, значительно больше. Возможно, их владельцы и хотели бы выполнить требования, установленные феде- ральным законом и под- законными актами, но не всегда понимают, что от них требуется. Как же пройти про- цедуру категорирова- ния? Кажется, что все просто: нужно создать в соответствии с требова- ниями постановления Правительства РФ № 127-ПП комиссию по катего- рированию объектов КИИ, про- вести процедуру, зафиксирован- ную в постановлении, составить акт категорирования и напра- вить, в соответствии с установ- ленной формой, сведения по объекту КИИ в ФСТЭК России для внесения в реестр. Однако процедура категорирования предстала не такой простой, как хотелось бы, и для некоторых отраслей провести ее самостоя- тельно оказалось затруднитель- но. Постараемся разобраться в особенностях категорирования и проанализировать первый практический опыт. Категорирование и его особенности Законом № 187-ФЗ опреде- лены объекты и субъекты КИИ, но уже в самом определении не совсем понятно, кто именно функционирует в указанных сфе- рах: ИС, ИТС, АСУ или субъекты. При этом ФСТЭК России поясняет, что принадлежность к указанным в законе сферам будет определяться по уставным или другим документам, связан- ным с компанией, т.е. первичны все-таки субъекты. Это означает, что объектами КИИ могут являть- ся некоторые ИС, ИТС и АСУ, принадлежащие юридическим лицам и индивидуальным пред- принимателям, работающим в указанных сферах. Из этого предположения можно сделать вывод, что достаточно вывести ИС, ИТС и АСУ в отдельную компанию, например, с говоря- щим названием "ИТ Сервисы", и покупать у них облачные ИТ- услуги в соответствии с модной тенденцией "инфраструктура как сервис". Теоретически в этом случае процесс категорирования будет очень коротким: основная компания не имеет ИС, ИТС и АСУ на балансе (категорирова- ние завершено!), а дополнитель- ная компания не работает в кри- тической сфере, она предостав- ляет облачные ИТ-услуги, кото- рые вроде бы не относятся к критическим сферам. Первый этап выполнения тре- бований закона связан с при- своением объекту КИИ катего- рии значимости, этот процесс называется категорированием. Его определяет постановление Правительства РФ № 127-ПП. Беда только в том, что ни в дей- ствующей версии постановле- ния, ни в самом законе не ука- зываются сроки, в которые необходимо провести категори- рование и приведение систем в соответствие требованиям. В законе указана только дата его вступления в силу – 1 января 2018 г., а в постановлении допол- нительно определен срок прове- дения категорирования – не более одного года с момента утверждения субъектом КИИ перечня объектов. Однако непо- нятно, как скоро нужно было заняться разработкой этого перечня, от которого отсчитыва- ется один год. Эта неопределен- ность дала компаниям возмож- ность отсрочки категорирования. И хотя в случае успешной хакер- ской атаки и причинения ущерба после 1 января 2018 г. руково- дитель объекта может получить уголовный срок, большинство рассчитывает, что пронесет или удастся списать на форс-мажор. В п. 3 постановления о про- цедуре категорирования сказано следующее: "Категорированию подлежат объекты КИИ, которые обеспечивают управленческие, технологические, производствен- ные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномо- чий) или осуществления видов деятельности субъектов КИИ". Далее идет описание процесса категорирования. Тут возникает вопрос о том, что считать "процессом в рамках выполнения функций (полномо- чий)". Например, как оценивать ущерб для телекоммуникацион- ных компаний, которые в соот- ветствии с законом "О связи" могут не знать, в каких процес- сах используются их сети, а следовательно не могут рассчи- тать ущерб от прекращения дея- тельности. В частности, при передаче клиентом по сетям оператора конфиденциальной информации, естественно, с соблюдением всех требований по защите, оператор не может 4 • В ФОКУСЕ Тонкости критической инфраструктуры рошло уже полтора года с момента принятия и год со вступления в силу Федерального закона № 187-ФЗ “О безопасности критической информационной инфраструктуры РФ”. Постепенно наполняется реестр значимых объектов критической информационной инфраструктуры (КИИ), который находится в ведении ФСТЭК России. На состоявшемся в конце ноября прошлого года SOC-Forum представители ФСТЭК России привели статистику по предоставленным сведениям 1 . Лидерами в категорировании оказались компании, относящиеся к ТЭК, здравоохранению и ОПК. П Антон Свинцицкий, директор по консалтингу АО “ДиалогНаука” Игорь Тарви, ведущий архитектор систем безопасности АСУ ТП АО “ДиалогНаука” 1 От 660 субъектов были направлены сведения о более чем 25 тыс. объектах КИИ. Более 60 объектов КИИ зарегистрированы в реестре как значимые. Материалы еще по 600 объектам КИИ были отправлены заявителям на доработку.

RkJQdWJsaXNoZXIy Mzk4NzYw