С 1 января 2018 года (вступил в законную силу Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации») прошло несколько лет и большинство зрелых, с точки зрения информационной безопасности, компаний провели категорирование принадлежащих им объектов критической информационной инфраструктуры (далее по тексту – КИИ), получили подтверждение о включении их в реестр значимых объектов. Обсудим здесь актуальные вопросы проведения категорирования вновь создаваемых или модернизируемых объектов КИИ.
Жизнь не стоит на месте, организации и их деловые процессы развиваются и появляются новые системы, автоматизирующие указанные процессы. В это связи, на сегодняшний день для многих компаний актуальным становится вопрос проведения категорирования «новых» (вновь создаваемых, модернизируемых и т.п.) объектов КИИ. Однако, в виду того, что Правила категорирования (Постановление Правительства РФ от 8 февраля 2018 г. № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений»), в первую очередь, были нацелены на проведения первичной оценки имеющихся у субъектов автоматизированных и телекоммуникационных систем, в случае с «новыми» объектами перед специалистами субъекта КИИ, на практике, встают следующие вопросы:
Первый вопрос, который возникает перед субъектом КИИ, начинающим процедуру категорирования не в первый раз – что делать с «перечнем объектов КИИ»: нужно обновить «старый», сделать новый или можно вообще обойтись без перечня?
Для того, чтобы правильно ответить на данный вопрос нужно обратить внимание на то, что Правила категорирования содержат понятие «перечень объектов КИИ, подлежащих категорированию» (пп. «г» п. 5 Правил категорирования), т.е. во ФСТЭК России отправляется перечень тех объектов, которые субъект планирует категорировать. Понятие же «перечень объектов КИИ», не относится к категорированию, его ведение может осуществляться субъектом в рамках инвентаризации своих информационных ресурсов.
В этой связи, видится, что при категорировании «новых» объектов, необходимо формировать новый перечень объектов, подлежащих категорированию. Однако есть еще один нюанс, в отношении вновь создаваемых объектов, категорирование которых осуществляется на этапе формирования требований (п. 8 и п. 18 Правил категорирования), направление перечня в указанном случае не предусмотрено, данные объекты категорируются в течение 10 рабочих дней после утверждения требований и во ФСТЭК России отправляются только сведения о категорировании.
Следующий вопрос, который плавно вытекает из предыдущего, как быть с вновь созданными объектами КИИ, требования к которым утверждены до внесения изменений в Правила категорирования постановлением Правительства РФ от 13.04.2019 № 452?
Представляется, что алгоритм категорирования данных объектов не отличается от всех других: формируется и отправляется во ФСТЭК России перечень объектов, подлежащих категорированию и в течение года осуществляется их категорирование.
Аналогичный алгоритм применяется и к автоматизированным (телекоммуникационным) системам, участвующим в обработке информации необходимой для обеспечения нового критического процесса.
Следующий вопрос – это пересмотр категории значимости. Он осуществляется в порядке, предусмотренном для категорирования (ч. 12 ст. 7 187-ФЗ и п. 20, 21 Правил категорирования), таким образом процедура пересмотра категории значимости, по большей части, схожа с процедурой категорирования, но есть следующие нюансы, на которые хотелось бы обратить внимание, касающиеся пересмотра категории значимости в связи с изменением нормативно-правовых актов РФ, регламентирующих вопросы категорирования, так как прогнозируется внесение изменений в процедуру категорирования и показатели критериев значимости и перед специалистами по информационной безопасности встанут вопросы что делать в этом случае. Алгоритм действий видится следующим:
- проводится оценка влияния изменений на актуальные для объектов КИИ показатели критериев значимости;
- при наличии изменений значений показателей критериев значимости проводится оценка самих показателей
- принятые решения фиксируются актами категорирования, либо протоколами работы постоянно действующей комиссии в случае, если изменения не касаются актуальных для организации показателей критериев значимости;
- после утверждения актов, в случае если у объекта (объектов) КИИ произошло изменение категории значимости, во ФСТЭК России направляются сведения о категорировании.