Журнал "Information Security/ Информационная безопасность" #1, 2024

Провести категорирование субъектам КИИ не самая сложная задача, если на нее есть время. А если есть еще и сред- ства, то можно вообще ее не замечать. Но если об этом вспомнили внезапно (или того хуже – пришло срочное уве- домление от регулятора), да еще и ресурсов на решение проблемы не слиш- ком много, то важно все грамотно спла- нировать и сразу знать о нюансах, чтобы не терять время на них в процессе. Трудности категорирования В 2019 г. представители ФСТЭК гово- рили о том, что в России насчитывается до полумиллиона субъектов КИИ. Многие организации не считают себя субъектами КИИ, поэтому не выполняют требования, предъявляемые регулятором к этой кате- гории. Усложняет дело информационное сообщение ФСТЭК России 1 о том, что об отсутствии объектов КИИ или о том, что организация не является субъектом КИИ, уведомлять не надо. Главное, что нужно сделать каждому субъекту КИИ после того, как организация убедилась в этом статусе, – самостоя- тельно определить перечень своих объ- ектов и провести их категорирование, в результате чего каждому объекту при- сваивается категория значимости либо обосновывается ее отсутствие. Это двух- этапный процесс. Оба этапа должны выполняться специальной комиссией, которую многим субъектам составить не из кого, так как зачастую в организации работает всего пять человек – еще одна трудность категорирования заключается в отсутствии людских квалифицированных ресурсов как в штате, так и на рынке. Процесс категорирования регламен- тируется 127 ПП РФ; основные шаги перечислены общими фразами, часть пунктов дана в виде рекомендаций и при- меров, в которых не так просто разо- браться, не будучи погруженным в кон- текст законодательства. Необходимо учитывать не только постановление пра- вительства, но и положения 187-ФЗ и отдельных приказов ФСТЭК России, утверждающих, в частности, формы пре- доставления сведений. Без специальных знаний здесь не обойтись. Допустим, вам удалось решить про- блему с кадрами. Далее необходимо выбрать технологические и бизнес-про- цессы. У крупных организаций это не вызывает сложностей. Небольшим субъ- ектам потребуется понимание того, насколько детально надо прорабатывать классификаторы процессов или где это можно подсмотреть. Подобные трудности возникают почти на каждом шагу кате- горирования, вплоть до отправки доку- ментов во ФСТЭК России. Упомянутые трудности приводят к тому, что процесс затягивается. В настоя- щее время, по оценке RTM Group, не более 50% субъектов выполнили кате- горирование, не более 25% из них выпол- нили его корректно. Примерные оценки все же позволяют судить о масштабе проблемы: половина критической инфра- структуры в стране еще не категориро- вана, а это более 200 тыс. субъектов. Автоматизация в помощь Для того чтобы помочь субъектам КИИ справиться с требованиями регу- ляторов, на рынке есть специальные программы, при помощи которых можно разобраться с перечнем документов и пройти пошагово основные процедуры. Такие средства автоматизации приме- няются либо крупными компаниями, которым необходима работа в команде, либо мелкими фирмами, ищущими в платформах уровень компетенций. Сегодня подобный функционал можно обнаружить у таких сервисов, как SECU- RITM, АЛЬФА ДОК, MEDOED, НОТА КУПОЛ. Все они предлагают решить задачу категорирования по-разному, но заявляют о своем функционале автома- тизации комплаенса по 187-ФЗ. Есть все основания полагать, что в ближай- шее время будет всплеск интереса к таким инструментам: категорирования избежать не получится. Платформы автоматизации создаются, как правило, при поддержке экспертов в области ИБ и содержат обобщение не только нормативки, но и практики, напри- мер: l методики расчета (в частности, эко- номических показателей значимости); l нормативные классификаторы (ОКВЭД, БДУ, способы взаимодействия с сетями электросвязи); l экспертные классификаторы (бизнес- и технологические процессы, обоснова- ния неприменимости показателей значи- мости). Как правило, подобные платформы также предлагают элементы проектиро- вания систем защиты, начиная от моде- лирования угроз и заканчивая обработ- кой выводов сканера уязвимостей. Одна- ко для того, чтобы пользоваться ими эффективно, нужен некоторый опыт. Если нет квалифицированного специа- листа, который разбирается в процессе категорирования и предъявляемых тре- бованиях, процесс может затянуться. Сейчас мы поговорим о том, как можно справиться с задачами в условиях ограниченного времени. Категорирование за полгода Итак, в каких ситуациях начальнику служ- бы информационной безопасности/систем- ному администратору/юристу может пона- добиться провести категорирование за полгода? Законодательно установлено ограничение на категорирование: один год с момента утверждения перечня объ- ектов. Нельзя просто взять и откатегори- ровать свою 1С, надо еще внести ее в список. Для большинства субъектов срок в один год более чем достаточен, поэтому мы вообще не будем его рассматривать. В качестве самого простого варианта рас- смотрим категорирование за полгода. Первое, что необходимо сделать, – создать комиссию в произвольной форме. Крайне желательно, чтобы ее 12 • В ФОКУСЕ Категорирование по-хорошему: за полгода, за квартал, за месяц ак с минимальными потерями провести категорирование КИИ, если у вас на него есть полгода, три месяца или три недели? К Федор Музалевский, директор технического департамента RTM Group Фото: RTM Group 1 https://fstec.ru/dokumenty/vse-dokumenty/informatsionnye-i-analiticheskie-materialy/informatsionnoe-soobshchenie-fstek-rossii- ot-17-aprelya-2020-g-n-240-84-611