Журнал "Information Security/ Информационная безопасность" #2, 2019

Категорирование – это некая процедура, в ходе которой объект КИИ оцени- вается по некоторой сово- купности показателей, и исходя из значений этих показателей ему присваива- ется категория значимости либо принимается мотиви- рованное решение о ее отсутствии. Несколько слов о том, что такое категорирование Определение термина "кате- горирование" содержится в ч. 1 ст. 7 Федерального закона от 26.07.2017 № 187–ФЗ "О без- опасности критической инфор- мационной инфраструктуры Российской Федерации". Под категорированием понимается установление соответствия объ- екта критической информацион- ной инфраструктуры (далее по тексту – КИИ) критериям значи- мости и показателям их значе- ний, присвоение ему одной из категорий значимости, проверку сведений о результатах ее при- своения. Таким образом, категориро- вание – это некая процедура, в ходе которой объект КИИ оценивается по некоторой совокупности показателей, и исходя из значений этих пока- зателей ему присваивается категория значимости либо принимается мотивированное решение о ее отсутствии. На основании установленной категории значимости (при ее наличии) определяется базо- вый набор мер по обеспечению безопасности. Процедура категорирования определяется Правилами кате- горирования объектов критиче- ской информационной инфра- структуры Российской Федера- ции (утверждены постановле- нием Правительства РФ от 8 февраля 2018 г. № 127), далее по тексту – Правила категори- рования. Следует отметить, что Пра- вила категорирования опреде- ляют именно процедуру катего- рирования и не дают толкование дефинициям "объект КИИ" и (или) "субъект КИИ", т.е. содер- жат нормы процессуального, а не материального права. Автор обращает внимание на важность данного момента, т.к. в практике ему нередко приходилось сталкиваться с таким мнением, что информа- ционные системы, автомати- зированные системы или информационно-телекоммуни- кационные сети, которые не обрабатывают информацию, необходимую для обеспечения критических процессов и не осуществляют управление, контроль или мониторинг кри- тических процессов, якобы не являются объектами КИИ. Дан- ная точка зрения представ- ляется неверной. Перечислен- ные системы являются объ- ектами КИИ, однако они не подлежат включению в пере- чень объектов КИИ, подлежа- щих категорированию и, соот- ветственно, самому категори- рованию. Проведение категорирования Схематично процедуру кате- горирования можно предста- вить в следующем виде – рис. 1. Рассмотрим ее более подробно. Формирование комиссии по категорированию Одним из проблемных вопро- сов на сегодняшний день является формирование комис- сии по категорированию. Несмотря на то что состав комиссии прописан в п. 11 Пра- вил категорирования, на прак- тике возникают вопросы, тре- бующие решения. 1. Кто должен возглавлять комиссию по категорированию? П. 13 Правил категорирования установлено, что комиссию по категорированию возглавляет руководитель субъекта КИИ или уполномоченное им лицо. При этом относительно того, кто должен быть уполномочен- ным лицом, единой позиции нет. Исходя из практического опыта автора, можно сказать, что данным лицом является, как правило, работник, отве- чающий за безопасность орга- 12 • В ФОКУСЕ Проблемные вопросы процедуры категорирования объектов КИИ ступившие в силу в феврале 2018 года Правила категорирования объектов критической информационной инфраструктуры Российской Федерации и перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений (утверждены постановлением Правительства РФ от 08.02.2018 № 127) до сих пор вызывают множество вопросов относительно их правильного применения в практической деятельности. В рамках данной статьи автор рассказывает о наиболее часто встречающихся в его практике проблемных вопросах и дает ответы на них. В Константин Саматов, руководитель направления в Аналитическом центре Уральского центра систем безопасности, член Ассоциации руководителей служб информационной безопасности, преподаватель дисциплин информационной безопасности в УрГЭУ и УРТК им. А.С. Попова. Процедура категорирования определяется Правилами категорирования объектов критической информационной инфраструктуры Российской Федерации (утверждены постановлением Правительства РФ от 8 февраля 2018 г. № 127)