Журнал "Системы Безопасности" № 3‘2022

S E C U R I T Y A N D I T M A N A G E M E N T 19 В январе 2018 г. вступил в действие феде- ральный закон № 187-фз "О безопасности критической информационной инфраструкту- ры" (далее 187-фз). начиная с 2013 г. данный законопроект обсуждался экспертами и вызы- вал множество вопросов относительно практи- ческой реализации выдвигаемых требований. Многие профильные специалисты приняли активное участие в разработке подходов и методологий проведения работ по данному направлению. Однако создание единой мето- дологии до настоящего времени не завершено. Разнородность производственных процессов различных отраслей промышленности не поз- воляет создать единый подход к определению конкретных категорий. Методика категорирования с учетом дополнительных критериев оценки на текущий момент самой эффективной являет- ся технология создания отраслевых методик, в которых появляется возможность учитывать дополнительные критерии оценки для конкрет- ного производственного процесса, отрасли про- мышленности или иных особенностей функцио- нирования субъекта. Этот подход актуален в первую очередь для субъектов ОПК, которые представляют собой совокупность научно-исследовательских, испы- тательных организаций и производственных предприятий, выполняющих разработку, про- изводство, хранение, постановку на вооруже- ние военной и специальной техники, амуниции, боеприпасов и другой продукции преимуще- ственно для вооруженных Сил Российской федерации и других государственных силовых структур. Обоснованность применения данной методики обусловлена проблемами категорирования, заключающимися в сложности процессов: 1) выявления критических процессов; 2) определения принадлежности субъекта к отраслям промышленности в рамках ОПК; 3) выявления обеспечивающих процессов объ- ектов Кии и степени их влияния на него; 4) определения применимости и значений кри- териев значимости для объектов Кии. Специалистами Центра менеджмента компью- терных инцидентов фГУП "нПП "Гамма" в 2021 г. была разработана методика категори- рования объектов Кии, учитывающая указан- ные выше особенности предприятий ОПК. на сегодняшний день методика продолжает совершенствоваться и дополняться на основа- нии получаемого практического опыта. Процесс категорирования Под категорированием понимается процесс установления соответствия объекта Кии крите- риям значимости и показателям их значений, присвоения ему одной из категорий значимо- сти, проверки сведений о результатах ее при- своения. При этом категорируются только те объекты, которые на праве собственности при- надлежат субъекту. из вышеуказанного очевидно, что процесс кате- горирования итерационен для субъекта. Это означает, что при добавлении нового производ- ственного или иного процесса он должен повто- ряться. Кроме того, существует понятие провер- ки сведений о результатах присвоения катего- рии, а именно мониторинга процесса категори- рования объектов Кии, периодичность которо- го не определена, но может быть инициирована регулятором при необходимости. на рис. 1 представлен типовой процесс катего- рирования любого объекта Кии. При выполнении категорирования субъектов ОПК нами было принято решение учитывать, помимо ключевых нормативно-правовых актов, требования российских стандартов, которые определяют жизненный цикл создаваемой про- дукции, а именно ГОСТ Р 56135–2014 "нацио- нальный стандарт Российской федерации. Управление жизненным циклом продукции военного назначения. Общие положения" и ГОСТ Р 56136–2014 "национальный стандарт www.secuteck.ru июнь – июль 2022 СПЕЦПРОЕКТ ЦифРОвизаЦия ПРОизвОдСТв и бизнЕС-ПРОЦЕССОв Юлия Самойлова Заместитель директора Департамента информационных технологий ФГУП "НПП "Гамма" Рис. 1. Процесс категорирования объектов КИИ Особенности категорирования объектов КИИ оборонно- промышленного комплекса В рамках этой статьи мы рассмотрим проведение категорирования объектов крити- ческой информационной инфраструктуры (КИИ) оборонно-промышленного комплек- са (ОПК), подходы и методики, применяемые для различных предприятий промыш- ленности, проблемные вопросы, существующие в данной предметной области, а также типовой процесс категорирования объектов КИИ ОПК