Журнал "Information Security/ Информационная безопасность" #2, 2019

На практике нередко воз- никает следующий вопрос: что первично, перечень объ- ектов КИИ или перечень процессов? Напомню, что в соответствии со ст. 2 Феде- рального закона от 26.07.2017 № 187-ФЗ "О безопасности критической информационной инфра- структуры Российской Феде- рации" объекты КИИ – это информационные системы, информационно-телекомму- никационные сети, автома- тизированные системы управления субъектов КИИ и ничего более. Иными сло- вами, если даже объект КИИ не обеспечивает крити- ческие процессы, он все- таки не перестает быть объ- ектом КИИ. Поэтому состав- ление перечня объектов КИИ (не нужно путать с перечнем объектов КИИ, подлежащих категорирова- нию) лежит вне рамок самой процедуры категорирования низации (руководитель службы безопасности, руководитель службы информационной без- опасности, заместитель дирек- тора по безопасности и т.п.), либо главный инженер про- мышленного предприятия. По мнению автора, уполномочен- ным лицом должен быть работ- ник из числа топ-менеджмента, в чьи функциональные обязан- ности входит курирование вопросов обеспечения безопас- ности. 2. Какие дополнительные специалисты должны входить в комиссию помимо перечис- ленных в п. 11 Правил катего- рирования? Данный пункт содержит исчерпывающий перечень работников, вклю- чаемых в комиссию (не пред- усматривает "иных специали- стов"). При этом на практике для расчета показателей эко- номической значимости объ- ектов КИИ требуется участие специалистов финансово-эко- номического подразделения, не включенных в этот пере- чень. По мнению автора, для решения данной проблемы необходимо привлечение ука- занных специалистов к про- цедуре категорирования в качестве экспертов для расче- та соответствующих показате- лей и представления их для рассмотрения членами комис- сии по категорированию. Следует отметить, что в настоящее время подготовлен проект постановления Прави- тельства Российской Федера- ции "О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127", кото- рым предусмотрено дополнить Правила категорирования п. 11.1. следующего содержа- ния: "По решению руководителя субъекта критической инфор- мационной инфраструктуры в состав комиссии могут быть включены иные работники, в том числе работники финансо- во-экономического подразделе- ния". 3. Можно ли создавать раз- ные комиссии в филиалах тер- риториально распределенной организации? В соответствии с п. 11 Правил категорирова- ния, для проведения категори- рования руководителем субъ- екта КИИ создается комиссия по категорированию. Возглав- ляет указанную комиссию руко- водитель субъекта или упол- номоченное им лицо (п. 13 Пра- вил категорирования). Исходя из буквального толкования дан- ных норм, следует, что речь идет об одной комиссии для одного субъекта. Однако в слу- чае создания единой комиссии при большом количестве филиалов могут возникать сложности с осуществлением процедуры категорирования и подписанием итоговых доку- ментов (акты категорирования и сведения для направления во ФСТЭК России). Для реше- ния указанной проблемы можно предложить включать в комиссию по категорированию руководителей филиалов, а им создавать на местах рабочие группы, которые будут прово- дить категорирование и гото- вить проекты итоговых доку- ментов. Следует отметить, что в уже упоминавшемся проекте "О внесении изменений в поста- новление Правительства Рос- сийской Федерации от 8 фев- раля 2018 г. № 127" пред- усмотрено дополнить Правила категорирования п. 11.2. сле- дующего содержания: "По решению руководителя субъ- екта критической информа- ционной инфраструктуры, имеющего филиалы, предста- вительства, могут создаваться отдельные комиссии для кате- горирования объектов крити- ческой информационной инфраструктуры в этих филиалах, представитель- ствах. В этом случае комиссия субъекта критической инфор- мационной инфраструктуры координирует и контролирует деятельность комиссий по категорированию". Подготовка перечня объектов КИИ, подлежащих категорированию В соответствии с п. 14 Пра- вил категорирования, для формирования перечня объ- ектов КИИ, подлежащих кате- горированию, комиссии по категорированию необходи- мо: l определить процессы в рам- ках выполнения функций (пол- номочий) или осуществления видов деятельности субъекта КИИ; • 13 В ФОКУСЕ www.itsec.ru В настоящее время подготовлен проект постановления Правительства Российской Федерации "О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127", которым предусмотрено дополнить Правила категорирования п. 11.1. следующего содержания: "По решению руководителя субъекта критической информационной инфраструктуры в состав комиссии могут быть включены иные работники, в том числе работники финансово-экономического подразделения". Реклама