Автор: Константин Саматов, руководитель направления Аналитического центра УЦСБ
Вступившие в силу в феврале 2018 года «Правила категорирования объектов критической информационной инфраструктуры Российской Федерации и перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации, и их значений» (утв. постановлением Правительства РФ от 08.02.2018 № 127), установившие порядок и сроки, в соответствии с которыми все субъекты критической информационной инфраструктуры (далее – КИИ) обязаны осуществлять категорирование принадлежащих им на праве собственности, аренды или ином законном основании объектов КИИ, стали причиной значительного количества споров и активных обсуждений среди экспертов в сфере информационной безопасности указанных в данном документе процедур. В настоящей статье автор дает ответы на наиболее спорные из них.
Вопрос 1. Какие объекты подлежат категорированию?
Согласно п. 3 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации (утв. постановлением Правительства Российской Федерации от 8 февраля 2018 года № 127, далее по тексту – Правила) категорированию подлежат объекты КИИ, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов КИИ. Таким образом, из буквального толкования указанной нормы следует, что категорированию подлежат все принадлежащие субъекту КИИ объекты.
При этом, некоторые эксперты, изучая процедуру категорирования объектов КИИ, нередко приходят к мнению, что категорированию подлежат только те объекты, которые обрабатывают информацию, необходимую для обеспечения критических процессов и (или) осуществление управления, контроля или мониторинга ими.
Исходя из буквального толкования п. 5 Правил следует, что процедура категорирования объектов КИИ включает:
- Определение всех процессов в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов КИИ.
- Выявление критических процессов, то есть тех, нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка.
- Определение тех объектов КИИ, которые обрабатывают информацию, необходимую для обеспечения критических процессов и (или) осуществления управления, контроля или мониторинга ими.
- Формирование перечня объектов КИИ, подлежащих категорированию.
- Оценка, в соответствии с перечнем показателей критериев значимости (утв. постановлением Правительства Российской Федерации от 8 февраля 2018 года № 127), возможных последствий в случае возникновения компьютерных инцидентов на объектах КИИ.
- Присвоение каждому из объектов КИИ категории значимости, либо принятие решения о ее отсутствии.
Таким образом, согласно процедуре категорирования, в перечень объектов КИИ, подлежащих категорированию, включаются только те, которые обрабатывают информацию, необходимую для обеспечения критических процессов и (или) осуществляют их управление, контроль или мониторинг, а, следовательно, они и подлежат категорированию.
Вопрос 2. Как определить, относится процесс к критическим или нет?
Поскольку категорированию подлежат только объекты КИИ, которые автоматизируют критические процессы, на практике перед субъектом КИИ встает вопрос о том, как определить, что тот или иной процесс является критическим.
Действующее законодательство в области КИИ не содержит толкование дефиниции «критический процесс» и не содержит методики его определения, а значит, вопрос отнесения того или иного процесса к перечню критических остается исключительно на усмотрение субъекта КИИ.
В связи с этим возникают разные подходы к определению критических процессов:
- Субъект может обосновать, что критические процессы у него отсутствуют, а, следовательно, нет и значимых объектов КИИ. Такой подход вполне может иметь практическое применение, однако, по мнению автора, при возникновении компьютерного инцидента с резонансными последствиями, субъект рискует быть подвергнут серьезному преследованию со стороны регулятора.
- К критическим относятся только те процессы, которые обеспечивают основные виды деятельности субъекта. Основные виды деятельности субъекта, как правило, содержатся в его уставных документах. Такой подход, к примеру, предлагается различными экспертами на отраслевых конференциях, в том числе и представителями регуляторов. Если следовать его логике, субъекту необходимо проанализировать ЕГРЮЛ и выделить в нем виды деятельности, задекларированные как основные. Далее для полученного перечня основных видов деятельности следует определить, имеются ли у субъекта объекты КИИ которые их автоматизируют. Однако, по мнению автора, у данного подхода есть один существенный недостаток – сфера деятельности субъекта КИИ и сфера, в которой функционирует принадлежащий ему объект КИИ, могут не совпадать. Например, любой территориальный фонд обязательного медицинского страхования в соответствии с Федеральным законом от 29.11.2010 N 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации» будет относиться к финансово-кредитной сфере, но в силу статьи 91 Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» принадлежащие ему объекты КИИ относятся к «информационным системам в сфере здравоохранения».
- К критическим следует относить все процессы исходя из той логики, что нарушение вспомогательного процесса может, прямо или косвенно, привести к нарушению основного.
По мнению автора, определение критичности процесса должно базироваться на общей логике закона. Речь идет о том, что к критическим нужно относить те процессы, нарушение нормального функционирования которых может привести к последствиям, указанным в Перечне показателей критериев значимости объектов КИИ (утв. постановлением Правительства РФ от 08.02.2018 № 127), и, соответственно, выделять конкретные объекты КИИ, c помощью которых автоматизируются указанные критические процессы.
Вопрос 3. Как осуществлять присвоение категории значимости объекту КИИ: с учетом мер защиты или без?
В настоящее время рядом экспертов высказывается мнение о том, что при присвоении объекту КИИ категории значимости, необходимо учитывать принятые на объекте меры защиты.
При этом, на практике, нередки ситуации, когда меры защиты изначально встроены в объект КИИ при его создании, реализуются с момента ввода его в эксплуатацию и не отделимы от объекта КИИ (архитектурные компоненты).
В то же время, согласно пп. «д» п. 5 Правил, оценка масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах КИИ производится в соответствии с перечнем показателей критериев значимости, и никак иначе.
Иными словами, реализация мер обеспечения информационной безопасности не оказывает влияние на присвоение объекту КИИ категории значимости. При определении категории значимости в расчет берутся последствия от уже реализованной гипотетической компьютерной атаки и сравниваются с перечнем показателей критериев значимости – какому показателю соответствует, такая категория и присваивается. Логика этого вполне очевидна и понятна, в расчет категории значимости берутся те последствия, к которым приведет успешная реализация в отношении объекта КИИ компьютерной атаки. В свою очередь, меры защиты лишь позволяют избежать указанной атаки или существенно затруднить ее реализацию и не могут влиять на причиненный в результате нее ущерб.
Вопрос 4. Каковы реальные сроки проведения категорирования?
Согласно п. 15 Правил максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом КИИ перечня объектов. При этом срок подготовки данного перечня законом не определен. По заявлению представителей ФСТЭК России на различных отраслевых конференциях, субъекты КИИ уже должны были направить данный перечень в указанную федеральную службу. При этом, по мнению автора, поскольку срок законодательно не установлен, субъект КИИ вправе сам выбирать приемлемый для него срок подготовки и отправки перечня. С учетом того, что формирование перечня объектов КИИ является одним из этапов процесса категорирования (п. 5 Правил) можно говорить о том, что, по сути, реальный срок категорирования в большинстве случаев будет превышать один год, а в ряде случаев будет составлять и несколько лет.
При этом, следует иметь в виду, что в ходе процедуры категорирования может измениться реестр объектов КИИ подлежащих категорированию: появятся новые, либо часть будет выведена из эксплуатации. Результатом чего может стать несовпадение сведений, содержащихся в итоговых актах категорирования и направленном ранее во ФСТЭК России перечне объектов КИИ, что, по мнению автора, непременно повлечет вопросы регулятора.
Действующее законодательство не предусматривает обязанность субъекта по направлению измененного перечня объектов КИИ, однако, по мнению автора, во избежание претензий регулятора, целесообразно подготовить новую редакцию перечня, пояснительную записку с приложением приказов о вводе в эксплуатацию (выводе из эксплуатации) объекта КИИ и направить весь этот комплект документов регулятору совместно с актами категорирования.