Актуальность категорирования критических информационных инфроструктур в 2022 году

Категорирование КИИ всегда было важным процессом для информационной безопасности нашей страны (подробнее об услуге тут). Еще большую актуальность эта тема приобрела в марте 2022 года после публикации проекта постановления Правительства «О внесении изменения в Правила категорирования объектов ‎критической информационной инфраструктуры ‎Российской Федерации». Этот документ призван урегулировать дополнительные проверки действительности и подлинности сведений об объектах критической информационной инфраструктуры (ОКИИ).

В данной статье мы разберемся в новых и хорошо забытых старых аспектах проведения категорирования ОКИИ и составим четкую картину об этом процессе.

Основные понятия

Объекты критической информационной инфраструктуры — информационные системы, телекоммуникационные сети, автоматизированные системы управления и другие значимые системы, функционирование которых критически важно для жизнедеятельности государства.

Любое предприятие, которое использует подобные объекты — субъект КИИ. Под это определение входят организации из самых разных областей, которые обладают объектами КИИ в сферах здравоохранения, науки, транспорта, связи, энергетики, финансового рынка, а также в области атомной, оборонной, ракетно-космической, горнодобывающей, топливной, металлургической и химической промышленности.

Для того, чтобы определить наличие в организации объектов КИИ и их категорий значимости существует категорирование.

Категорирование КИИ — ряд мероприятий, который можно условно разбить на решение трех задач:

1. Установление соответствия объекта КИИ критериям значимости и показателям их значений;
2. Присвоение ОКИИ одной из категорий значимости;
3. Проверка сведений в контролирующих органах о результатах присвоения.

Нормативная база

В первую очередь нужно понимать, что категорирование КИИ — обязательная процедура, которая регламентируется Федеральным законом №187-ФЗ. Также важно помнить, что согласно этому закону, субъекты КИИ должны не только провести категорирование, но и обеспечить:

• Безопасность своих значимых ОКИИ;
• Взаимодействие с государственной системой ГосСОПКА.

Нарушения в сфере КИИ грозят должностным лицам административными штрафами и уголовной ответственностью до десяти лет лишения свободы (ст. 13.12.1 и 19.7.15 КоАП РФ, ст. 274.1 УК РФ).

Вдобавок к закону №187-ФЗ была разработана большая нормативная база по его реализации. Уже упомянутое мартовское постановление дает право привлекать для проверки сведений об объектах КИИ сторонние специализированные организации. Такими организациями являются компании с компетенциями в области информационной безопасности и лицензиями на проведение работ с государственной тайной, а также на деятельность по технической защите конфиденциальной информации.

Таким образом, это постановление позволяет сформировать новый способ независимой оценки результатов категорирования. Качество такой проверки обеспечено тем, что ее проводят профессионалы в области ИБ, чья компетентность официально подтверждена контролирующими органами.

Как происходит категорирование объекта КИИ

Все начинается с создания комиссии, куда входят руководитель организации и сторонняя специализированная компания.

1. Первым делом, проводится сбор сведений о процессах компании и выявление объектов КИИ, которые обрабатывают данные, связанные с критическими процессами.
2. Вторым шагом становится сбор данных об особенностях функционирования объектов КИИ, определение угроз ИБ для ОКИИ и оценка принятых мер по защите информации. Только после этого комиссия присваивает объекту правильную категорию значимости. Итог оценки — составление Акта категорирования объекта КИИ, который должен содержать всеобъемлющие сведения об объекте КИИ. Данный документ находится в хранении у субъекта до следующего пересмотра критериев значимости.
3. Последний шаг — разработка отчетных документов, которые будут отправлены во ФСТЭК России.

Категория значимости присваивается в зависимости от того, насколько нарушение процессов субъекта КИИ может привести к негативным последствиям для страны. Таких категорий всего три, и они которые зависят от значимости этого объекта в критических сферах деятельности (социальных, экономических и др). К примеру, если кибератака на объект КИИ угрожает жизни и здоровью людей, то такому объекту присваивается первая категория (максимальная), а если в результате инцидента связь может стать недоступной для большого числа абонентов, то объекту будет присвоена третья.

Как и с любым комплексным процессом, ошибки и упущенные детали при категорировании не редкость. Распространены случаи когда при составлении перечня объектов КИИ из виду упускаются или же неправильно определяются важные объекты. Подобные ошибки на данном этапе могут грозить компании не только нарушением закона, но и репутационными и финансовыми потерями. Поэтому при выполнении категорирования еще более актуальным становится работа с профессиональной организацией, которая грамотно сформирует перечень объектов КИИ и удостоверится, что все работы были проведены правильно.

Сроки категорирования

После подписания акта, субъект КИИ направляет сведения о результатах проведенных работ во ФСТЭК России. В течении тридцати дней ФСТЭК, убедившись в правильности категорирования, выдает заключение с положительным ответом и вносит сведения в реестр значимых ОКИИ.

Заключение

Категорирование КИИ — лишь первый, но необходимый шаг по обеспечению безопасности КИИ, который требует четкого исполнения всех законов и требований регуляторов и правильного, слаженного подхода. Однако при помощи экспертов в области информационной безопасности эта задача становится намного легче.