Журнал "Information Security/ Информационная безопасность" #2, 2019

В практической деятель- ности получила распростра- нение точка зрения, что категорий значимости четы- ре (0, 1, 2, 3). Эта точка зре- ния ошибочна. Ч. 3 ст. 7 Федерального закона от 26.07.2017 № 187-ФЗ "О безопасности критической информационной инфра- структуры Российской Феде- рации" устанавливается три категории значимости объ- ектов критической инфор- мационной инфраструктуры: первая, вторая и третья. по мнению автора, у данного подхода есть один существен- ный недостаток: сфера дея- тельности субъекта КИИ и сфера, в которой функциони- рует принадлежащий ему объ- ект КИИ, могут не совпадать. Например, любой территори- альный фонд обязательного медицинского страхования в соответствии с Федеральным законом от 29.11.2010 № 326- ФЗ "Об обязательном меди- цинском страховании в Рос- сийской Федерации" будет относиться к финансово-кре- дитной сфере, но в силу ст. 91 Федерального закона от 21.11.2011 № 323-ФЗ "Об осно- вах охраны здоровья граждан в Российской Федерации" при- надлежащие ему объекты КИИ относятся к "информационным системам в сфере здравоохра- нения". 3. К критическим следует относить все процессы, исходя из той логики, что нарушение вспомогательного процесса может, прямо или косвенно, привести к нарушению основ- ного. Недостатком данного под- хода, по мнению автора, являет- ся то, что при нем рассматри- ваются сценарии, возникнове- ние которых на практике весьма маловероятно. В результате значимость объектов КИИ пере- оценивается. По мнению автора, опреде- ление критичности процесса должно базироваться на общей логике закона. Речь идет о том, что к критическим нужно отно- сить те процессы, нарушение нормального функционирова- ния которых может привести к последствиям, указанным в Перечне показателей критериев значимости объектов КИИ (утвержден постановлением Правительства РФ от 08.02.2018 № 127), и, соответственно, выделять конкретные объекты КИИ, которые обрабатывают информацию, необходимую для обеспечения выполнения кри- тических процессов. Оценка объектов КИИ в соответствии с показателями критериев значимости и присвоение каждому из объектов КИИ категории либо принятие решения об отсутствии необходимости ее присвоения На данном этапе комиссия оценивает объекты КИИ по всем показателям критериев значи- мости, утвержденным постанов- лением Правительства РФ от 08.02.2018 № 127 и, в зависи- мости от полученных в ходе оценки значений, принимает решение о присвоении объекту КИИ одной из категорий значи- мости либо об ее отсутствии. Здесь следует отметить два важных с практической точки зрения момента. 1. В практической деятельно- сти получила распространение точка зрения, что категорий значимости четыре (0, 1, 2, 3). Эта точка зрения ошибочна. Ч. 3 ст. 7 Федерального закона от 26.07.2017 № 187-ФЗ "О без- опасности критической инфор- мационной инфраструктуры Российской Федерации" уста- навливается три категории значимости объектов критиче- ской информационной инфра- структуры: первая, вторая и третья. Субъекты КИИ присваивают одну из категорий значимости объектам КИИ. Если объект КИИ не соответствует крите- риям значимости, показателям этих критериев и их значениям, ему не присваивается ни одна из таких категорий. Иными сло- вами, можно говорить о том, что существует два вида объ- ектов КИИ, значимые и незначимые, а значимые объ- екты КИИ имеют три катего- рии. 2. Оценка каждого конкрет- ного объекта КИИ по показате- лям критериев значимости осу- ществляется членами комиссии по категорированию, как пра- вило (во всяком случае, автор пока не встречал иного), экс- пертным методом. Каких-либо утвержденных методик прове- дения расчетов по данным пока- зателям в настоящее время нет. Подготовка итоговых документов по результатам категорирования По итогам своей работы комиссия по категорированию подготавливает два документа: 1. Акт о категорировании. Перечень информации о субъ- екте и объектах КИИ, которая должна быть включена в акт, определяется п. 16 Правил кате- горирования. Акт подписывается членами комиссии по категорированию и утверждается руководителем субъекта КИИ и только им, а не председателем комиссии (в слу- чае если комиссию возглавляет не руководитель субъекта КИИ, а уполномоченное им лицо). Субъект критической инфор- мационной инфраструктуры обеспечивает хранение акта до вывода из эксплуатации объекта критической инфор- мационной инфраструктуры или до изменения категории значимости. Направление акта во ФСТЭК России не требу- ется. 2. Сведения о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий. Данные сведения в течение 10 дней со дня утвер- ждения акта направляются во ФСТЭК России. Форма сведений утверждена приказом ФСТЭК России от 22.12.2017 № 236. Таким образом, важно пони- мать, что акт и сведения – это два абсолютно разных доку- мента, содержание которых и действия, осуществляемые с ними, также различны. Заключение В заключение следует отме- тить, что в указанной статье рассмотрены лишь наиболее распространенные, исходя из практики автора, проблемные вопросы, возникающие в ходе категорирования. Бесспорно, количество проблемных момен- тов, наблюдаемых в настоящее время ввиду "свежести" норма- тивно-правовых актов, регули- рующих данную сферу обще- ственных отношений, и отсут- ствия практики (в т.ч. судебной) их применения, гораздо больше, чем может быть рассмотрено в рамках данной статьи в силу ограниченности ее объема. l • 15 В ФОКУСЕ www.itsec.ru Субъекты КИИ присваивают одну из категорий значимости объектам КИИ. Если объект КИИ не соответствует критериям значимости, показателям этих критериев и их значениям, ему не присваивается ни одна из таких категорий. Иными словами, можно говорить о том, что существует два вида объектов КИИ, значимые и незначимые, а значимые объекты КИИ имеют три категории. Ваше мнение и вопросы присылайте по адресу is@groteck.ru