Журнал "Information Security/ Информационная безопасность" #1, 2019

Как оценивать ущерб для телекоммуникационных ком- паний, которые в соответ- ствии с законом "О связи" могут не знать, в каких про- цессах используются их сети, а следовательно не могут рассчитать ущерб от прекращения деятельности. В частности, при передаче клиентом по сетям операто- ра конфиденциальной информации, естественно, с соблюдением всех требова- ний по защите, оператор не может знать о содержании передаваемой информации и о возможном ущербе в случае ее недоставки в срок. Возможно, именно поэтому телекоммуника- ционные компании не торо- пятся проводить категориро- вание, поскольку не до конца понимают, как посчи- тать ущерб от временного прерывания функционирова- ния их ИТС, т.к. ущерб нано- сится не им, но клиентам. Схожие проблемы суще- ствуют и в транспортной отрасли: компании, осу- ществляющие перевозки, не всегда могут оценить эконо- мический ущерб клиенту в случае недоставки в срок из-за хакерской атаки угля для доменной печи непре- рывного цикла. знать о содержании передавае- мой информации и о возможном ущербе в случае ее недоставки в срок. Возможно, именно поэто- му телекоммуникационные ком- пании не торопятся проводить категорирование, поскольку не до конца понимают, как посчи- тать ущерб от временного пре- рывания функционирования их ИТС, т.к. ущерб наносится не им, но клиентам. Схожие про- блемы существуют и в транс- портной отрасли: компании, осу- ществляющие перевозки, не всегда могут оценить экономи- ческий ущерб клиенту в случае недоставки в срок из-за хакер- ской атаки угля для доменной печи непрерывного цикла. Собственно, в постановлении есть и терминологические слож- ности. С одной стороны, катего- рия присваивается объекту – ИС, АСУ и ИТС, но и фактически процессу, в результате приоста- новки которого считается ущерб. А кто должен отвечать за категорирование: владелец объекта или процесса? Ведь владелец вычислительной системы (объекта) может не совпадать с владельцем про- цесса, выполнение которого обеспечивает ИС. Это, в част- ности, популярные нынче облач- ные технологии, которые при- водят к подобному расслоению ответственности: облака не передаются клиенту даже на правах аренды, но обеспечи- вают ему функционирование процессов. Планы изменения Уже известно, что в постанов- ление№127-ПП будут вноситься изменения, об этом заявили представители ФСТЭК России на том же SOC-Forum. На пуб- личное обсуждение был вынесен проект измененного постанов- ления, в котором присутствует ряд серьезных изменений, кото- рые, возможно, потребуют пере- смотра результатов уже завер- шившихся проектов по катего- рированию. Рассмотрим их под- робнее и обсудим возможное влияние на существующие слож- ности закона. Существенным изменением, которое планируется внести в постановление № 127-ПП, является четкое определение сроков. В новой редакции пла- нируется указать срок подго- товки и регистрации перечня объектов к 1 июня 2019 г. При этом сокращается срок прове- дения процедуры категориро- вания с года до шести месяцев. Если эти поправки будут приня- ты, то категорирование объ- ектов должно быть завершено к концу этого года. Срок не очень большой, но об этом пред- упреждали ранее, и в распоря- жении субъектов был весь пре- дыдущий год. Кроме того, комиссии по кате- горированию должны стать постоянно действующими, их расформирование предусмот- рено в двух случаях: а) субъект КИИ перестал быть субъектом КИИ; б) субъект КИИ ликвидирован или реорганизован. Также указывается, что в них могут участвовать самые раз- ные специалисты, в том числе и финансово-экономические. А компаниям с разветвленной сетью филиалов разрешается создавать комиссии по катего- рированию в филиалах с пере- дачей в центр координирующей функции. В случае зависимости одного объекта КИИ от другого предпо- лагается оценивать ущерб совместно. Сформулировано это так: "В случае если критический процесс зависит от иных крити- ческих процессов субъекта КИИ … оценка проводится по сово- купному масштабу возможных последствий от нарушения или прекращения функционирования всех взаимозависимых критиче- ских процессов". То есть ущерб по-прежнему оценивается в рам- ках одного субъекта, хотя вполне возможна ситуация, когда ИС, например, транспортной компа- нии зависит от функционирова- ния ИТС мобильного оператора. Обе компании являются субъ- ектами КИИ, но каждая будет оценивать ущерб только для своей инфраструктуры. Новый вариант постановления также указывает на необходи- мость категорирования вновь создаваемых объектов КИИ, при этом включение таких объектов в первоначальный перечень, направляемый в ФСТЭК России, не требуется. Расширяется набор сведений, которые необходимо передавать в ФСТЭК России по результатам категорирования: кроме самих категорий, придется передавать сведения и об обосновании присвоения кате- горий, и даже информацию о неприменимости показателей к объекту КИИ, с обоснованием вывода. Эти сведения будут использоваться для проверки выводов комиссии о присвоении той или иной категории значи- мости объектам КИИ. Изменены и критерии значи- мости. В показателях, характе- ризующих территорию (группа показателей социальной значи- мости), из оценки удалены муни- ципальные образования числен- ностью до 2 тыс. человек для транспорта и до 3 тыс. человек для связи, однако порог попада- ния в значимые объекты снижен для этих отраслей. При расчете снижения уровня дохода субъек- тов КИИ используется усреднен- ный за предыдущие пять лет годовой доход (вместо прогнози- руемого), расширен диапазон значений показателей по катего- риям значимости. В связи с этим компаниям, в которых процедура категорирования уже была про- ведена, скорее всего, придется пересматривать категории значи- мости. Правда, если данные уже попали в реестр ФСТЭК России, то пересмотр показателей значи- мости предусмотрен только через пять лет; за это время, видимо, можно не пересматривать пока- затели, поскольку закон обратной силы не имеет. Заключение Первые результаты категори- рования показали различные сложности в реализации этой процедуры, особенно в сложных холдинговых структурах, которые характерны для российского биз- неса. Кроме того, границы объ- екта КИИ не позволяют оцени- вать ущерб, который может быть нанесен критической инфра- структуре других компаний и ведомств. Оценка выполняется экспертами субъекта и может оказаться сильно заниженной: пока объективных и проверяе- мых показателей, к счастью, нет, поскольку точно их посчитать можно лишь на реальных инци- дентах. Тем не менее компаниям придется в этом году как мини- мум завершить процесс катего- рирования по таким размытым критериям. Лучше всего с такой задачей справятся сторонние консультанты, которые имеют опыт в реализации проектов, проведении процедуры катего- рирования и оценки потенциаль- ного ущерба в компаниях из разных сфер экономической дея- тельности и могут посмотреть на картину со стороны. l • 5 В ФОКУСЕ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru