Журнал "Information Security/ Информационная безопасность" #2, 2020

Помимо основных регу- ляторов, указанных в феде- ральном законе, есть еще отраслевой регулятор – Минтранс России. Поэтому процесс согласования кри- териев, объектов и резуль- татов категорирования будет многоэтапным. Поскольку обсуждаемые задачи – не самые простые и стоят на пересечении зон ответственности кибербезо- пасности, информационных технологий и промышленной автоматизации, перевозчики совершенно разумно используют все возможные способы, чтобы не попасть под требования 187-ФЗ. провести некоторое количество дорогостоящих и продолжитель- ных по времени мероприятий. Помимо основных регулято- ров, указанных в федеральном законе, есть еще отраслевой регулятор – Минтранс России. Поэтому процесс согласования критериев, объектов и резуль- татов категорирования будет многоэтапным. Минтрансом соз- дана комиссия по согласованию перечней объектов у подведом- ственных организаций. Пред- ставители отрасли обязаны про- вести инвентаризацию ИС, ИТКС и АСУ, составить пере- чень объектов КИИ, подлежа- щих категорированию, и напра- вить в Минтранс. Принятое комиссией решение о согласо- вании перечней объектов КИИ, подведомственных Минтрансу России служб, агентств, пред- приятий, учреждений и органи- заций, направляется соответ- ствующему субъекту критиче- ской информационной инфра- структуры. Согласно 127-ПП, категории присваиваются объекту (ИС, АСУ, ИТКС), если он задей- ствован в автоматизации про- цесса, нарушение или прекра- щение которого может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка. Однако часто владелец про- цесса и владелец ИС – разные юридические лица. Инвентор- ные системы бронирования, системы регистрации пассажи- ров и багажа, автоматизиро- ванные распределительные (дистрибутивные) системы, системы взаиморасчетов, да и простые, привычные уже для всех облачные сервисы не пере- даются клиенту даже на правах аренды, но обеспечивают ему функционирование процессов. Предусмотрена совместная оценка лишь в случае зависи- мости одного объекта КИИ от другого: "оценка проводится по совокупному масштабу возмож- ных последствий от нарушения или прекращения функциони- рования всех взаимозависимых процессов". Границы объекта КИИ просто не позволяют оценивать ущерб, который может быть нанесен инфраструктуре или процессам других компаний. Соответствен- но, оценка масштаба возмож- ных последствий, предусмот- ренная пп. "е" п. 14 Правил категорирования (127-ПП), кото- рая проводится исходя из пред- положения о прекращении или нарушении функционирования вследствие компьютерной атаки на объект критической инфор- мационной инфраструктуры, от которого зависит оцениваемый объект, не может быть выпол- нена в полном объеме. Типовые варианты комбина- ций для категорирования: l организация осуществляет деятельность в сфере транс- порта, но ее процессы вообще не автоматизированы, и орга- низация не имеет свои ИС; l организация осуществляет деятельность в сфере транс- порта, но не имеет свои ИС и пользуется услугами подряд- чика; l организация осуществляет деятельность в сфере транс- порта и имеет собственные ИС либо использует чужие на законных основаниях; l организация не осуществляет деятельность в сфере транс- порта, но имеет ИС, функцио- нирующие в сфере транспорта. Прямое попадание под тре- бования в настоящий момент есть только для третьего вари- анта. Остальные три просто не смогут выполнить все требова- ния и будут иметь законные основания, чтобы их не выпол- нять. Поскольку обсуждаемые задачи – не самые простые и стоят на пересечении зон ответственности кибербезопас- ности, информационных техно- логий и промышленной авто- матизации, перевозчики совер- шенно разумно используют все возможные способы, чтобы не попасть под требования 187-ФЗ. Если такой возможности нет, субъекты всяческими спосо- бами пытаются признать свои объекты незначимыми и мини- мизировать количество обору- дования, входящего в состав объекта КИИ. По планам ФСТЭК России процесс присвоения категорий объектам критической инфор- мационной инфраструктуры должен был завершиться в 2019 г., после чего предполага- лось начать построение системы безопасности, однако на теку- щий момент далеко не все субъ- екты транспортной инфраструк- туры провели категорирование. Давайте рассмотрим причи- ны, которые позволяют пере- возчикам и субъектам транс- портной инфраструктуры задер- живать исполнение закона о безопасности критической информационной инфраструк- туры. Избыточность и сложность процедур Одной из серьезнейших про- блем в области воздушного транспорта, влекущей за собой значительные финансовые рас- ходы перевозчиков и субъектов транспортной инфраструктуры, является выполнение требова- ний обеспечения безопасности в сфере транспорта и авиа- ционной безопасности. Активно обсуждаемые в сообществе работы по гармонизации зако- нодательства, которые направ- лены на исключение избыточ- ных и дублирующих норм, еще не завершены. Появление дополнительных требований по обеспечению безопасности объ- ектов КИИ необходимо для дальнейшего повышения транс- портной безопасности как объ- ектов транспортной инфра- структуры, так и транспортных средств по видам транспорта. Транспортной отрасли и до появления требований к КИИ не хватало четкой и разумной законодательной базы, которая учитывала бы интересы как государства, так и субъектов транспортной инфраструктуры. Нестабильность, очевидная перегруженность и избыточ- ность требований 127-ПП и при- казов ФСТЭК России приводят к тому, что основной упор дела- ется на организационные меры, позволяющие обеспечить про- тиводействие кибератакам. Подобный подход в отдельных случаях может оказаться мало- эффективным с точки зрения реальной информационной без- • 13 КИИ www.itsec.ru