Журнал "Information Security/ Информационная безопасность" #1, 2024

участники действительно были в курсе, какие обязанности на них возложены. В состав комиссии необходимо включить главного безопасника (информационной безопасности, а не физической), того, кто работает с системами (админа той же 1С), и представителя руководства компании. Дополнительно можно доба- вить кого угодно, даже подрядчика. Создание комиссии, если делать это без опыта и как следует, может занять до месяца, тогда пять месяцев останется на сам процесс. Следующий этап: составление перечня объектов КИИ. Важно учесть отраслевые перечни и постановление правительства № 127. Если не вдаваться в подробности, процесс для пары десятков объектов у исполнителя, как правило, занимает пару месяцев, особенно если компания, относящаяся к субъектам КИИ, террито- риально распределена. Третий этап: переход непосредственно к категорированию, которое включает в себя инвентаризацию серверов, рабочих мест, софта и прочего, что используется при работе объекта КИИ, а также расчет показателей значимости. На это может уйти около трех месяцев при условии, что исполнитель за предыдущие два позна- комился со всеми, кто отвечает за работу условной 1С, АСУ ТП и всех остальных объектов. Важно назначить на это направ- ление сотрудника, обладающего хороши- ми коммуникативными навыками. Итак, уложиться в полгода для сред- него субъекта КИИ вполне реально без привлечения подрядчика, автоматизации и т.д. Причем из затрат будут только расходы на сотрудника, который этим будет заниматься, и накладные расходы на печать и отправку итоговых докумен- тов (ФСТЭК России принимает только бумагу и диски – никакого электронного документооборота). За три месяца В какой ситуации на категорирование может быть только три месяца? Чаще всего в одном из четырех перечисленных ниже случаях: 1. Вы пришли на новую работу, а там срок уже установлен до вас и заканчи- вается через три месяца. 2. Есть требование от регулятора или партнера по бизнесу уложиться в срок. 3. Руководство не совсем понимает трудоемкость и просто ставит задачу и срок, исходя из своих представлений. 4. Вы откладывали решение задачи, пока не осталось три месяца. Итак, что можно и нужно сделать? Во-первых, надо обзавестись материа- лами, а в идеале – советником. Как раз он и подскажет, кого включить в состав комиссии по категорированию, как донес- ти до них значимость процесса и пр. Однако консультант – это дополнитель- ные расходы, не менее 100 тыс. руб. Во-вторых, можно подумать об авто- матизации процесса. О специально пред- назначенных для решения подобных задач сервисах мы рассказывали выше – попробуйте выбрать себе подходящий инструмент. Они в той или иной форме, более подробно, менее детально, но проводят по основным шагам. Не имея опыта и специальных знаний с подсказками специального ПО, в кото- ром предусмотрена бесплатная версия, можно будет уложиться с первым объ- ектом в месяц, ведь даже с подсказками все равно придется потрудиться над перечислением актуальных угроз и т.д. Но, например, другие десять объектов мы будем обрабатывать по одному в день, по аналогии с предыдущим. И так легко уложимся в три месяца. За… месяц?! Ну и самая сложная задача – катего- рирование за месяц. Обычно она возни- кает из-за перегрузки задачами специа- листа, ответственного за категорирова- ние, по недосмотру начальства или из- за "попадания" на проверку прокуратуры. Отдельные письма ФСТЭК России также заставляют ускоряться до нескольких недель. Роль лица, на которое возложена ответственность за выполнение данных работ, незавидна, особенно если опыта в этом нет и иные задачи никто не сни- мал. Итак, в первую очередь необходимо заручиться поддержкой высшего руко- водства и соответствующими полномо- чиями – для создания комиссии. Чтобы всем было очевидно, что задача важна и распоряжения от ответственного за нее – приоритетны. Чтобы не возникало пререканий на местах и торможения процесса. Ну и консалтинг здесь уже не рекомендация, а скорее необходимость, ведь, не имея опыта, уложиться в срок самостоятельно практически нереально. Когда комиссия создана (рекорд в нашей практике – три часа при личном присутствии главного инженера завода), надо определиться с перечнем процес- сов предприятия и их критичностью. Здесь есть маленький лайфхак, который заключается в том, чтобы процессом назвать вид деятельности и указать соответствующий ОКВЭД. На полную отработку по всем уйдет несколько часов. В ряде случаев такой подход может не устроить ФСТЭК России, но даст фору по времени. Если работаете с подрядчиком и он использует такой метод, то требуйте от него согласия сопровождать вас до получения ответа из ФСТЭК России. После того как все процессы обрабо- таны, нужно выбрать объекты для кате- горирования. Придется потратить неде- лю для пары десятков объектов – это та часть, в которой подрядчик может дать только "свободные руки", а средствами автоматизации будут формы для ввода данных. На данном этапе требуется мак- симальная вовлеченность представите- лей самого субъекта КИИ. После того как список сформирован, по правилам его необходимо отправить регулятору и ждать ответа. Но это может затянуться (от двух недель до двух меся- цев), а времени нет. Что делать в такой ситуации? В принципе, хотя формально это и является нарушением, можно не отправлять список сразу, а послать его уже вместе с результатами категориро- вания. Итак, остается три недели на при- своение категории. Здесь автоматиза- ция, как и подряд, уже необходимы. Исключение составляет вариант, когда работы выполняет подрядчик и он может работать сутками. Почему именно в таком цейтноте важна автоматизация? Потому, что ответы по составу систем, объему налогов, экологии и прочим моментам (а показателей значимости полтора десятка) будут поступать не в том порядке, в каком они должны вно- ситься в акты, и автоматизация позволит переключаться между полями ввода и не запутаться. Последнее не гарантировано, но точно лучше, чем с кучкой текстовых документов или таблиц. При цейтноте главное правило – давать тем, у кого запрашиваешь инфор- мацию, четкий срок и при нарушении сразу просить помощь руководства (пом- ним, что мы ей заручились – иначе никак). И тогда за три недели заполнить данные вполне реально. Разумеется, в таком авральном режи- ме возможны ошибки и даже помощь подрядчика – не панацея. Если будет некорректно заполнена форма, за этим последует просьба уточнить сведения в десятидневный срок, а если просто забыть направить ее, то могут последо- вать более серьезные меры. Поэтому после отправки можно выдохнуть, но не расслабиться. Это же касается и вари- анта с подрядчиком. Таким образом, за полгода категори- рование можно осуществить "между делом", за три месяца немного напряга- ясь, и за месяц… Ну тоже завершить можно, хотя придется все делать в авральном режиме. Наш рекорд – проведение категори- рования промышленного предприятия с 23 объектами (три оказались значимы- ми) за семь рабочих дней. Это оказалось возможным только благодаря трем усло- виям: 1. Вовлеченность руководства субъ- екта КИИ. 2. Опыт проведения подобных работ. 3. Применение базы знаний и автома- тизации. Надеюсь, что в таких условиях вам работать не придется, а если такое и случится, то эти советы позволят хотя бы одной упаковке валерьянки остаться неначатой. l • 13 КИИ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru