Журнал "Information Security/ Информационная безопасность" #3, 2019

• 11 В ФОКУСЕ www.itsec.ru Введение Вступление в силу 01 января 2018 г. Федерального закона Российской Федерации от 26 июля 2017 г. № 187-ФЗ "О безопасности критической информационной инфраструк- туры Российской Федерации" (далее – 187-ФЗ) потребовало от субъектов критической информационной инфраструк- туры (далее – КИИ) проведения категорирования объектов КИИ в соответствии с требованиями ст. 7 187-ФЗ [1]. Однако приступить к реали- зации этих требований субъекты КИИ смогли только после 21 февраля 2018 г., когда всту- пило в силу постановление Пра- вительства Российской Феде- рации от 08 февраля 2018 г. № 127 "Об утверждении Правил категорирования объектов кри- тической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значи- мости объектов критической информационной инфраструкту- ры Российской Федерации и их значений" (далее – ПП 127) [2]. Субъекты КИИ при попытке провести категорирование столкнулись со следующими проблемами, вызванными тре- бованиями ПП 127 и действиями ФСТЭК России: l отсутствие методических документов ФСТЭК России по категорированию объектов КИИ; l избыточность и сложность процедур, требуемых для выполнения ПП 127; l нестабильность требований ПП 127 и приказов ФСТЭК России. Рассмотрим вышеуказанные проблемы более подробно. Отсутствие методических документов по категорированию объектов КИИ На настоящий момент субъ- екты КИИ вынуждены при кате- горировании руководствоваться либо публичными разъяснениями ФСТЭК России с тематических конференций и семинаров [3], [4], либо ведомственными/корпо- ративными методиками собст- венной разработки [5]. Так, ФСТЭК России рекомен- дует определять объекты КИИ через сферы деятельности субъекта КИИ (рис. 1–3). Одна- ко предложенные методы не позволяют однозначно иденти- фицировать объекты КИИ. На практике возможны несколько итоговых комбинаций: l организация осуществляет свою деятельность в указанных сферах деятельности, но ее про- цессы вообще не автоматизи- рованы и организация не имеет своих информационных систем (далее – ИС); l организация осуществляет свою деятельность в указанных сферах деятельности, но не имеет своих ИС, пользуется услугами подрядчика; l организация осуществляет свою деятельность в указанных сферах деятельности и имеет собственные ИС либо исполь- зует чужие на законных осно- ваниях; l организация не осуществляет свою деятельность в указанных сферах деятельности, но имеет ИС, функционирующие в ука- занных сферах деятельности; l организация не осуществляет свою деятельность в указанных сферах деятельности и не имеет ИС, функционирующих в указанных сферах дея- тельности. Более того, рекомен- дации по определению сфер деятельности субъекта КИИ не отражены в утвержденных приказах ФСТЭК России. И в форму уведомления [6], и в реестр значимых объектов КИИ [7] вносится информация исключительно по сферам деятельности объекта КИИ, но не субъекта КИИ. Избыточность и сложность процедур, требуемых для выполнения ПП 127 187-ФЗ установлено, что категорирование объекта КИИ представляет собой установле- ние соответствия объекта КИИ критериям значимости и пока- зателям их значений, присвое- ние объекту КИИ одной из кате- горий значимости, проверку сведений о результатах ее при- Проблемные вопросы процедуры категорирования объектов КИИ статье описываются проблемы и трудности российских организаций различной формы собственности, вызванные необходимостью выполнения постановления Правительства Российской Федерации от 08 февраля 2018 г. № 127 “Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений”. В Валерий Комаров , автор блога “Рупор бумажной безопасности” Рис. 1. Рекомендации ФСТЭК России по самоидентификации субъекта КИИ в 2018 г.