Автор: Константин Саматов, руководитель направления в Аналитическом центре УЦСБ
Вступившие в силу в феврале 2018 года «Правила категорирования объектов критической информационной инфраструктуры Российской Федерации и перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации, и их значений» (утв. постановлением Правительства РФ от 08.02.2018 № 127) до сих пор вызывают множество вопросов относительно их правильного применения в практической деятельности. В рамках данной статьи автор рассказывает о наиболее часто встречающиеся в его практике проблемных вопросах и дает ответы на них.
Несколько слов о том, что такое категорирование
Определение термина «категорирование» содержится в ч. 1 ст. 7 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Под «категорированием» понимается установление соответствия объекта критической информационной инфраструктуры (далее по тексту – КИИ) критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения.
Таким образом, категорирование – это некая процедура, в ходе которой объект КИИ оценивается по некоторой совокупности показателей и исходя из значений этих показателей ему присваивается категория значимости, либо принимается мотивированное решение о ее отсутствии. На основании установленной категории значимости (при ее наличии) определяется базовый набор мер по обеспечению безопасности.
Процедура категорирования определяется Правилами категорирования объектов критической информационной инфраструктуры Российской Федерации (утв. Постановлением Правительства РФ от 8 февраля 2018 г. № 127), далее по тексту – Правила категорирования.
Следует отметить, что Правила категорирования определяют именно процедуру категорирования и не дают толкование дефинициям «объект КИИ» и (или) «субъект КИИ», т.е. содержат нормы процессуального, а не материального права.
Автор обращает внимание на важность данного момента, т.к. в практике ему нередко приходилось сталкиваться с таким мнением, что информационные системы, автоматизированные системы или информационно-телекоммуникационные сети, которые не обрабатывают информацию, необходимую для обеспечения критических процессов и не осуществляют управление, контроль или мониторинг критических процессов, якобы, не являются объектами КИИ. Данная точка зрения представляется неверной. Перечисленные системы являются объектами КИИ, однако они не подлежат включению в перечень объектов КИИ, подлежащих категорированию и, соответственно, самому категорированию.
Проведение категорирования
Схематично процедуру категорирования можно представить в следующем виде – рисунок 1.
Рисунок 1 – Процедура категорирования
Рассмотрим процедуру категорирования более подробно:
Этап 1. Формирование комиссии по категорированию. Одним из проблемных вопросов на сегодняшний день является формирование комиссии по категорированию. Несмотря на то, что состав комиссии прописан в п. 11 Правил категорирования, на практике возникают следующие, требующие решения, вопросы:
- Кто должен возглавлять комиссию по категорированию?
Пунктом 13 Правил категорирования установлено, что комиссию по категорированию возглавляет руководитель субъекта КИИ или уполномоченное им лицо. При этом, относительно того, кто должен быть уполномоченным лицом, единой позиции нет. Исходя из практического опыта автора, можно сказать, что данным лицом является, как правило, работник, отвечающий за безопасность организации (руководитель службы безопасности, руководитель службы информационной безопасности, заместитель директора по безопасности и т.п.), либо главный инженер промышленного предприятия. По мнению автора, уполномоченным лицом должен быть работник из числа топ менеджмента, в чьи функциональные обязанности входит курирование вопросов обеспечения безопасности.
- Какие дополнительные специалисты должны входить в комиссию помимо перечисленных в п. 11 Правил категорирования?
Данный пункт содержит исчерпывающий перечень работников, включаемых в комиссию (не предусматривает «иных специалистов»). При этом, на практике, для расчета показателей экономической значимости объектов КИИ требуется участие специалистов финансово-экономического подразделения, не включенных в этот перечень. По мнению автора, для решения указанной проблемы, необходимо привлечение указанных специалистов к процедуре категорирования в качестве экспертов для расчета соответствующих показателей и представления их для рассмотрения членами комиссии по категорированию.
Следует отметить, что в настоящее время подготовлен проект постановления Правительства Российской Федерации «О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127», которым предусмотрено дополнить Правила категорирования пунктом 11.1. следующего содержания: «По решению руководителя субъекта критической информационной инфраструктуры в состав комиссии могут быть включены иные работники, в том числе работники финансово-экономического подразделения».
- Можно ли создавать разные комиссии в филиалах территориально распределенной организации?
В соответствии с п. 11 Правил категорирования, для проведения категорирования, руководителем субъекта КИИ создается комиссия по категорированию. Возглавляет указанную комиссию руководитель субъекта или уполномоченное им лицо (п. 13 Правил категорирования). Исходя из буквального толкования данных норм следует, что речь идет об одной комиссии для одного субъекта. Однако, в случае создания единой комиссии при большом количестве филиалов могут возникать сложности с осуществлением процедуры категорирования и подписанием итоговых документов (акты категорирования и сведения для направления во ФСТЭК России). Для решения указанной проблемы можно предложить включать в комиссию по категорированию руководителей филиалов, а им создавать на местах рабочие группы, которые будут проводить категорирование и готовить проекты итоговых документов в части касающейся.
Следует отметить, что в уже упоминавшемся проекте «О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127» предусмотрено дополнить Правила категорирования пунктом 11.2. следующего содержания: «По решению руководителя субъекта критической информационной инфраструктуры, имеющего филиалы, представительства, могут создаваться отдельные комиссии для категорирования объектов критической информационной инфраструктуры в этих филиалах, представительствах. В этом случае комиссия субъекта критической информационной инфраструктуры координирует и контролирует деятельность комиссий по категорированию».
Этап 2. Подготовка перечня объектов КИИ подлежащих категорированию. В соответствии с п. 14 Правил категорирования для формирования перечня объектов КИИ подлежащих категорированию комиссии по категорированию необходимо:
а) определить процессы, в рамках выполнения функций (полномочий) или осуществления видов деятельности субъекта КИИ.
б) выявить те из них, которые являются критическими, т.е. их нарушение и (или) прекращение может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка.
в) выявить объекты КИИ, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов, для включения в перечень объектов;
То есть, в перечень объектов КИИ, подлежащих категорированию, включаются только те объекты, которые обрабатывают информацию, необходимую для обеспечения критических процессов и (или) осуществляют их управление, контроль или мониторинг, а, следовательно, они и подлежат категорированию.
На практике, нередко возникает следующий вопрос «что первично перечень объектов КИИ или перечень процессов?». Напомню, что в соответствии со ст. 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» объекты КИИ - это информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов КИИ и ничего более. Иными словами, если даже объект КИИ не обеспечивает критические процессы, он, всё таки, не перестает быть объектом КИИ. Поэтому, составление «перечня объектов КИИ» (не нужно путать с «перечнем объектов КИИ подлежащих категорированию») лежит вне рамок самой процедуры категорирования, а должно, по мнению автора, предшествовать ей.
В рамках же самой процедуры категорирования осуществляется выявление критических процессов, а затем из перечня объектов КИИ делается перечень объектов КИИ подлежащих категорированию.
Как определить, относится процесс к критическим или нет? Поскольку категорированию подлежат только объекты КИИ, которые автоматизируют критические процессы, на практике перед субъектом КИИ встает вопрос о том, как определить, что тот или иной процесс является критическим.
Действующее законодательство в области КИИ не содержит методики выявления критических процессов, а значит, вопрос отнесения того или иного процесса к критическому остается исключительно на усмотрение субъекта КИИ.
В связи с этим возникают разные подходы к выявлению критических процессов:
1. Субъект может обосновать, что критические процессы у него отсутствуют, а, следовательно, нет и значимых объектов КИИ. Такой подход вполне может иметь практическое применение, однако, по мнению автора, при возникновении компьютерного инцидента с резонансными последствиями, субъект рискует быть подвергнут наказанию со стороны контрольно-надзорных органов.
2. К критическим относятся только те процессы, которые обеспечивают основные виды деятельности субъекта. Основные виды деятельности субъекта, как правило, содержатся в его уставных документах. Если следовать данному подходу, субъекту необходимо проанализировать Устав и ЕГРЮЛ и выделить в нем виды деятельности, задекларированные как основные. Далее для составления перечня объектов КИИ подлежащих категорированию следует определить, какие объекты участвуют в автоматизации указанных видов деятельности. Однако, по мнению автора, у данного подхода есть один существенный недостаток – сфера деятельности субъекта КИИ и сфера, в которой функционирует принадлежащий ему объект КИИ, могут не совпадать. Например, любой территориальный фонд обязательного медицинского страхования в соответствии с Федеральным законом от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации» будет относиться к финансово-кредитной сфере, но в силу статьи 91 Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» принадлежащие ему объекты КИИ относятся к «информационным системам в сфере здравоохранения».
3. К критическим следует относить полностью все процессы исходя из той логики, что нарушение вспомогательного процесса может, прямо или косвенно, привести к нарушению основного. Недостатком данного подхода, по мнению автора, является то, что при нем рассматриваются сценарии, возникновение которых на практике, весьма маловероятно. В результате, значимость объектов КИИ переоценивается.
По мнению автора, определение критичности процесса должно базироваться на общей логике закона. Речь идет о том, что к критическим нужно относить те процессы, нарушение нормального функционирования которых может привести к последствиям, указанным в Перечне показателей критериев значимости объектов КИИ (утв. постановлением Правительства РФ от 08.02.2018 № 127), и, соответственно, выделять конкретные объекты КИИ, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов
Этап 3. Оценка объектов КИИ в соответствии с показателями критериев значимости и присвоение каждому из объектов КИИ категории, либо принятие решения об отсутствии необходимости ее присвоения.
На данном этапе комиссия оценивает объекты КИИ по всем показателям критериев значимости утвержденным постановлением Правительства РФ от 08.02.2018 № 127 и, в зависимости от полученных в ходе оценки значений, принимает решение о присвоении объекту КИИ одной из категории значимости, либо об ее отсутствии. Здесь следует отметить два важных, с практической точки зрения, момента:
1. В практической деятельности получила распространение точка зрения о том, что категорий значимости четыре (0, 1, 2, 3). Эта точка зрения ошибочна. Частью 3 ст. 7 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» устанавливается три категории значимости объектов критической информационной инфраструктуры – первая, вторая и третья.
Субъекты КИИ присваивают одну из категорий значимости объектам КИИ. Если объект КИИ не соответствует критериям значимости, показателям этих критериев и их значениям, ему не присваивается ни одна из таких категорий. Иными словами, можно говорить о том, что существует два вида объектов КИИ: «значимые» и «не значимые», а значимые объекты КИИ имеют три категории.
2. Оценка каждого конкретного объекта КИИ по показателям критериев значимости осуществляется членами комиссии по категорированию, как правило (во всяком случае автор пока не встречал иного), экспертным методом. Каких-либо утвержденных методик проведения расчетов по данным показателям, в настоящее время, нет.
Этап 4. Подготовка итоговых документов по результатам категорирования. По итогам своей работы, комиссия по категорированию подготавливает два документа:
1. Акт о категорировании. Перечень информации о субъекте и объектах КИИ, которая должна быть включена в акт определяется п. 16 Правил категорирования.
Акт подписывается членами комиссии по категорированию и утверждается руководителем субъекта КИИ и только им, а не председателем комиссии, в случае если комиссию возглавляет не руководитель субъекта КИИ, а уполномоченное им лицо.
Субъект критической информационной инфраструктуры обеспечивает хранение акта до вывода из эксплуатации объекта критической информационной инфраструктуры или до изменения категории значимости. Направление акта во ФСТЭК России не требуется.
2. Сведения о результатах присвоения объекту КИИ одной из категорий значимости, либо об отсутствии необходимости присвоения ему одной из таких категорий. Данные сведения в течение 10 дней со дня утверждения акта направляются во ФСТЭК России. Форма сведений утверждена приказом ФСТЭК России от 22.12.2017 № 236.
Таким образом, важно понимать, что акт и сведения это два абсолютно разных документа, содержание которых и действия, осуществляемые с ними, также различны.
В заключении следует отметить, что в указанной статье рассмотрены лишь наиболее распространенные, исходя из практики автора, проблемные вопросы, возникающие в ходе категорирования. Бесспорно, количество проблемных моментов, наблюдаемых в настоящее время в виду «свежести» нормативно-правовых актов, регулирующих данную сферу общественных отношений, и отсутствия практики (в т.ч. судебной) их применения, гораздо больше, чем может быть рассмотрено в рамках данной статьи в силу ограниченности ее объема.
Сведения об авторе: Саматов Константин Михайлович, руководитель направления в Аналитическом центре Уральского центра систем безопасности, член Ассоциации руководителей служб информационной безопасности, преподаватель дисциплин информационной безопасности в УрГЭУ и УРТК им. А.С. Попова.
Источник: http://lib.itsec.ru/imag/insec-2-2019
_____________________________________________________
Дата подготовки статьи: январь 2019