Журнал "Information Security/ Информационная безопасность" #2, 2019

В перечень объектов КИИ, подлежащих категори- рованию, включаются толь- ко те объекты, которые обрабатывают информацию, необходимую для обеспече- ния критических процессов, и (или) осуществляют их управление, контроль или мониторинг, а следователь- но они и подлежат категори- рованию. l выявить те из них, которые являются критическими, т.е. их нарушение и (или) прекра- щение может привести к нега- тивным социальным, полити- ческим, экономическим, эко- логическим последствиям, последствиям для обеспече- ния обороны страны, безопас- ности государства и правопо- рядка; l выявить объекты КИИ, кото- рые обрабатывают информа- цию, необходимую для обес- печения выполнения критиче- ских процессов, и (или) осу- ществляют управление, конт- роль или мониторинг критиче- ских процессов, для включе- ния в перечень объектов. То есть в перечень объектов КИИ, подлежащих категориро- ванию, включаются только те объекты, которые обрабаты- вают информацию, необходи- мую для обеспечения критиче- ских процессов, и (или) осу- ществляют их управление, конт- роль или мониторинг, а следо- вательно они и подлежат кате- горированию. На практике нередко возни- кает следующий вопрос: что первично, перечень объектов КИИ или перечень процессов? Напомню, что в соответствии со ст. 2 Федерального закона от 26.07.2017 № 187-ФЗ "О без- опасности критической инфор- мационной инфраструктуры Российской Федерации" объ- екты КИИ – это информацион- ные системы, информационно- телекоммуникационные сети, автоматизированные системы управления субъектов КИИ и ничего более. Иными словами, если даже объект КИИ не обес- печивает критические процес- сы, он все-таки не перестает быть объектом КИИ. Поэтому составление перечня объектов КИИ (не нужно путать с переч- нем объектов КИИ, подлежащих категорированию) лежит вне рамок самой процедуры кате- горирования, а должно, по мне- нию автора, предшествовать ей. В рамках же самой процеду- ры категорирования осуществ- ляется выявление критических процессов, а затем из перечня объектов КИИ делается пере- чень объектов КИИ, подлежа- щих категорированию. Как определить, относится процесс к критическим или нет? Поскольку категорированию подлежат только объекты КИИ, которые автоматизируют кри- тические процессы, на практике перед субъектом КИИ встает вопрос о том, как определить, что тот или иной процесс является критическим. Действующее законодатель- ство в области КИИ не содержит методики выявления критиче- ских процессов, а значит вопрос отнесения того или иного про- цесса к критическому остается исключительно на усмотрение субъекта КИИ. Подходы к выявлению критических процессов 1. Субъект может обосно- вать, что критические процес- сы у него отсутствуют, а сле- довательно нет и значимых объектов КИИ. Такой подход вполне может иметь практиче- ское применение, однако, по мнению автора, при возникно- вении компьютерного инциден- та с резонансными послед- ствиями субъект рискует быть подвергнут наказанию со сто- роны контрольно-надзорных органов. 2. К критическим относятся только те процессы, которые обеспечивают основные виды деятельности субъекта. Основ- ные виды деятельности субъ- екта, как правило, содержатся в его уставных документах. Если следовать данному под- ходу, субъекту необходимо про- анализировать устав и ЕГРЮЛ и выделить в нем виды дея- тельности, задекларированные как основные. Далее для составления перечня объектов КИИ, подлежащих категориро- ванию, следует определить, какие объекты участвуют в автоматизации указанных видов деятельности. Однако, 14 • В ФОКУСЕ Рис. 1. Процедура категорирования