Журнал "Information Security/ Информационная безопасность" #2, 2020

Приступать к реализации 187-ФЗ необходимо с ана- лиза учредительных доку- ментов и определения, функционирует ли организа- ция в одной из перечислен- ных в законе сферах. Следует отметить, что дорожная карта не является планом проекта, а представ- ляет собой некий прогноз действий, которые могут привести к достижению цели, следовательно разра- батывается именно в начале пути. На практике специа- листы, занимающиеся обеспечением безопас- ности объектов крити- ческой информацион- ной инфраструктуры, рисуют приблизительно следующую картину (дорож- ную карту) по выполнению требований действующего законодательства в указанной сфере (см. рис. 1). Пример взят из практической деятельности автора, в связи с чем и предлагается рассмотреть ошибки в реализации требова- ний 187-ФЗ, взяв за основу данный кейс. Типовые ошибки и основные этапы в реализации дорожной карты Первое, что сразу бросает- ся в глаза при анализе дорожной карты, – это раз- деление категорирования объектов КИИ на два само- стоятельных этапа. На самом деле большинство субъектов КИИ действительно так и делают: создают комиссию, начинают процедуру катего- рирования, а затем выясняют, что к субъектам КИИ они не относятся. Не забывайте про самоидентификацию Приступать к реализации 187-ФЗ необходимо с анали- за учредительных докумен- тов и определения, функцио- нирует ли организация (госу- дарственный орган, учрежде- ние) в одной из перечислен- ных в законе сферах. Иными словами, первым этапом является не категорирование, а "самоидентификация" в каче- стве субъекта КИИ, после кото- рой далее будет логичным шагом создание комиссии и проведение процедуры кате- горирования. Если в ходе "самоиденти- фикации" установлено, что организация функционирует в одной из 12 2 сфер, целесооб- разно разработать дорожную карту по реализации в органи- зации требований 187-ФЗ 3 . Следует отметить, что дорож- ная карта не является планом проекта, а представляет собой некий прогноз действий, кото- рые могут привести к достиже- нию цели, следовательно раз- рабатывается именно в начале пути, а не в середине, как ука- зано на рис. 1. После проведе- ния процедуры категорирова- ния нужно разработать план проекта создания системы обеспечения информационной безопасности (СОИБ) объектов (значимых объектов) КИИ с указанием результата, сроков и ресурсов. Не торопитесь с разработкой моделей угроз Еще одной характерной ошиб- кой является разработка моде- лей угроз на этапе категориро- вания. На этом этапе нужно выполнить анализ угроз без- опасности и возможных дей- ствий нарушителей (см. пп. "г", "д" п. 14 Правил категорирова- ния объектов критической информационной инфраструк- туры Российской Федерации (утв. постановлением Прави- тельства Российской Федерации от 8 февраля 2018 г. № 127), результаты которого отражают- ся в разд. 6 Сведений о резуль- татах присвоения объекту кри- тической информационной инфраструктуры одной из кате- горий значимости, либо об отсутствии необходимости при- своения ему одной из таких категорий. Разработка моделей угроз осуществляется на этапе соз- дания СОИБ объектов (значи- мых объектов) КИИ (см. п. 11 Требований по обеспечению безопасности значимых объ- ектов критической информа- ционной инфраструктуры Рос- сийской Федерации (утв. при- казом ФСТЭК России от 25 декабря 2017 г. № 239), который начинается с установ- ления требований к обеспече- нию безопасности объекта (значимого объекта) КИИ (см. п. 10 Требований по обес- печению безопасности значи- мых объектов критической информационной инфраструк- туры Российской Федерации) и формирования технического задания. На основе техниче- ского задания, с учетом моде- лей угроз и нарушителей, про- 8 • В ФОКУСЕ Практические рекомендации для реализации требований 187-ФЗ рошло более двух лет с момента вступления в силу Федераль- ного закона от 26.07.2017 № 187-ФЗ “О безопасности крити- ческой информационной инфраструктуры Российской Федера- ции" 1 (01.01.2018), но до сих пор далеко не все организации могут похвастаться успешным исполнением его требований. Почему так происходит, что нужно делать и какие возникают ошибки, – об этом пойдет речь в данной статье. П Константин Саматов, эксперт по кибербезопасности Уральского центра систем безопасности, член правления Ассоциации руководителей служб информационной безопасности, преподаватель дисциплин информационной безопасности в УрГЭУ и УРТК им. А.С. Попова 1 Далее по тексту вместо полного названия – Федеральный закон от 26.07.2017 № 187-ФЗ “О безопасности критической информационной инфраструктуры Российской Федерации" – используется сокращение “187-ФЗ", вместо “критическая информационная инфраструктура" используется сокращение “КИИ". 2 Порядок ведения реестра значимых объектов КИИ (утв. приказом ФСТЭК России от 6 декабря 2017 г. № 227) выделяет 12 сфер. 3 С учетом принятых во исполнение данного федерального закона подзаконных нормативно-правовых актов.