Журнал "Information Security/ Информационная безопасность" #2, 2023

В конце прошлого года, 29 декабря, вступили в силу изменения в Перечень пока- зателей критериев значимо- сти объектов КИИ и их значений; это значит, что все субъекты КИИ должны пересмотреть установлен- ные категории значимости или их отсутствие у принад- лежащих им объектов КИИ. Если по итогам анализа выясняется, что все объекты КИИ имеют первую катего- рию значимости, то (реаль- но) пересмотр категории не требуется. Однако формаль- но (процедурно) пересмотр категории значимости сде- лать необходимо. Пересмотр категории значимости В соответствии с Пра- вилами категорирования объектов КИИ (утв. постановлением Прави- тельства Российской Федерации от 8 февраля 2018 г. № 127) субъект КИИ в случае изменения пока- зателей критериев значимости объектов КИИ или их значений осуществляет пересмотр уста- новленных категорий значимо- сти или решений об отсутствии необходимости установления категорий значимости объектам КИИ (п. 21 Правил категориро- вания объектов КИИ). В конце прошлого года, 29 декабря, вступили в силу изменения в Перечень показа- телей критериев значимости объектов КИИ и их значений (утв. постановлением Прави- тельства Российской Федерации от 8 февраля 2018 г. № 127), это значит, что все субъекты КИИ должны пересмотреть уста- новленные категории значимо- сти или их отсутствие у принад- лежащих им объектов КИИ – именно пересмотреть, а не про- вести повторное категорирова- ние, то есть повторять всю про- цедуру полностью не требуется. Как провести пересмотр установленных категорий значимости с минимальными трудозатратами? Алгоритм действий комиссии по категорированию может быть следующим. Шаг 1. Анализируем текущие категории значимости объектов КИИ. Если по итогам анализа выясняется, что все объекты КИИ имеют первую категорию значи- мости, то (реально) пересмотр категории не требуется, так как: l ниже категорию значимости сделать невозможно, поскольку внесенные в перечень показа- телей критериев значимости изменения только снизили поро- говые значения; l объект первой категории значимости, поэтому достаточ- но одного показателя критериев значимости, по которому при- своена наивысшая категория, расчет по остальным показате- лям не проводится (это прямо указано в п. 6 Правил катего- рирования). Однако формально (проце- дурно) пересмотр категории значимости сделать необходи- мо, поэтому нужно провести заседание постоянно действую- щей комиссии и документально зафиксировать, что изменения показателей критериев значи- мости не приводят к смене кате- гории значимости. На этом работа по пересмотру категории значимости для субъ- ектов КИИ, владеющих только объектами первой категории, заканчивается. Если есть объекты КИИ вто- рой и третьей категории значи- мости или без категории, то необходимо проделать следую- щие дальнейшие шаги. Шаг 2. Оцениваем примени- мые к объектам КИИ показатели критериев значимости. В неко- торых случаях (для некоторых объектов КИИ) изменения про- изошли только в тех показателях, в отношении которых ранее была обоснована их неприменимость. Например, завод по производ- ству металлических изделий: транспортные и государственные услуги не оказывает, оборонно- промышленным, государствен- ным и стратегическим предприя- тием не является, в гособорон- заказе не участвует, в финансо- вой сфере не функционирует, а нарушение функционирования конкретного объекта КИИ (не являющегося значимым) эконо- мический ущерб деятельности компании не наносит и на выпла- ты в бюджет не влияет. Шаг 3. Проводим оценку влия- ния изменений на актуальные для объектов КИИ показатели критериев значимости и их значения, то есть никакой пере- оценки угроз, критических про- цессов и т.п., как предусмотрено процедурой категорирования, делать не обязательно. Неакту- альные (см. шаг 2) показатели критериев значимости также анализировать не требуется. Шаг 4. Принятые решения фиксируются актом категориро- вания в случае изменения кате- гории значимости или иным документом (например, прото- колом работы комиссии) в слу- чае, если в рамках предыдущих шагов было принято решение, что изменение категории значи- мости (решения об ее отсут- ствии) не происходит. Шаг 5. После утверждения актов во ФСТЭК России направ- ляются (обновленные) сведения о категорировании по установ- ленной форме. Внесение изменений в объекты КИИ С января 2022 г. для субъектов КИИ действует правило 1 , что в случае изменения сведений об объекте КИИ субъект КИИ направляет во ФСТЭК России новые сведения в печатном и электронном виде не позднее 20 рабочих дней со дня их изме- нения по установленной форме 2 . 16 • СПЕЦПРОЕКТ Актуальные вопросы построения защиты объектов КИИ опросы построения защиты объектов КИИ являются актуальными для специалистов по ИБ с 2018 г. Продолжая серию статей, рассмотрим вопросы обеспечения безопасности КИИ, актуальные на середину 2023 г. В Константин Саматов, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности 1 Введено постановлением Правительства РФ от 24.12.2021 г. № 2431, скорректировано постановлением Правительства РФ от 20.12.2022 г. № 2360. 2 Форма установлена приказом ФСТЭК России от 22.12.2017 г. № 236.

RkJQdWJsaXNoZXIy Mzk4NzYw