Журнал "Information Security/ Информационная безопасность" #3, 2019

своения [1]. А в ПП 127, являю- щимся подзаконным актом, вве- дены дополнительные обязан- ности для субъекта КИИ, услож- няющие процесс определения категорий значимости и не ока- зывающих влияния на конечный результат этапа категорирова- ния объектов КИИ. Так, субъект КИИ обязан вначале выявить объекты КИИ, которые обрабатывают инфор- мацию, необходимую для обес- печения выполнения критических процессов, и (или) осуществляют управление, контроль или мони- торинг критических процессов [2]. Но ведь 187-ФЗ однозначно указывает, что обязательно кате- горирование всех без исключе- ния объектов КИИ! Далее, субъект КИИ обязан провести анализ возможных действий нарушителей в отно- шении объектов КИИ, угроз без- опасности информации и уязви- мостей, которые могут привести к возникновению компьютерных инцидентов на объектах КИИ [2]. При этом результаты проведен- ного анализа никак не исполь- зуются при установлении каж- дому из объектов КИИ одной из категорий значимости либо принятии решения об отсут- ствии необходимости присвое- ния категорий значимости. Одним из требований ПП 127 установлена необходимость согласования субъектом КИИ перечня объектов КИИ с госу- дарственным органом или рос- сийским юридическим лицом, выполняющим функции по раз- работке, проведению или реали- зации государственной политики и (или) нормативно-правовому регулированию в установленной сфере в части подведомственных им субъектов КИИ [2]. В табл. 1 указаны организа- ции, соответствующие данным требованиям. При этом в 187-ФЗ и подза- конных актах в данных органи- зациях работа по рассмотрению и оценке полученных от подве- домственных субъектов КИИ перечней объектов КИИ не предусмотрена. Это приводит к низкой эффективности процеду- ры согласования перечней объ- ектов КИИ и большим времен- ным потерям на служебную переписку между организация- ми и подведомственными им субъектами КИИ. Более того, часть субъектов КИИ воспринимает указанную формулировку в ПП 127 как необходимость согласования перечней объектов с ФСТЭК России [8]. Субъект КИИ вынужден по результатам выполнения этапа категорирования оформлять и утверждать два отдельных документа, содержащих одну и ту же информацию, – акт и форму уведомления о резуль- татах категорирования. Нестабильность требований ПП 127 и приказов ФСТЭК России Так как официально опубли- кованная редакция ПП 127 содержала ошибки в трех пока- зателях критериев значимости, вносящих неоднозначность в результаты категорирования, то для субъектов КИИ внесение изменений в ПП 127 было ожи- даемым. Проблему усугубил тот факт, что официально на утвер- ждение в Правительство Рос- сийской Федерации проект ПП 127 внесла не ФСТЭК Рос- сии, а Министерство обороны Российской Федерации. В результате все обращения в администрацию Правительства Российской Федерации по пра- вильности толкования неодно- значных показателей категорий значимости перенаправлялись в Министерство обороны Рос- сийской Федерации, а не авто- рам документа. На текущий момент ФСТЭК России решила не просто испра- вить ошибки в ПП 127, а внести радикальные изменения в про- цессы категорирования: изме- нены принципы создания и рас- формирования комиссии по категорированию субъекта КИИ, радикально занижены пороговые показатели катего- 12 • В ФОКУСЕ Рис. 2. Сферы деятельности объектов КИИ в докладах ФСТЭК России в 2018 г. № Сфера деятельности по 187-ФЗ Согласующий орган по Перечню объектов КИИ 1 Топливно-энергетического комплекс, Министерство энергетики Российской Федерации нефтехимическая промышленность (Минэнерго России) 2 Энергетика 3 Горнодобывающая 4 При использовании атомной энергии Федеральная служба по экологическому, технологическому и атомному надзору; Государственная корпорация "Росатом"; Министерство обороны Российской Федерации 5 Здравоохранение Министерство здравоохранения Российской Федерации (Минздрав России) 6 Транспорт Министерство транспорта Российской Федерации (Минтранс России) 7 Связь Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации 8 Банковская и иная финансовая Министерство финансов Российской Федерации (Минфин России) 9 Ракетно-космическая Государственная корпорация по космической деятельности "Роскосмос" 10 Наука Министерство науки и высшего образования Российской Федерации 11 Наука для ВПК и в области Министерство промышленности и торговли обеспечения правопорядка Российской Федерации (Минпромторг России) 12 Оборонная 13 Металлургическая 14 Химическая Табл. 1. Распределение согласующих органов по сферам деятельности, указанным в 187-ФЗ