Проблема категорирования объектов КИИ
Государственные организации и бизнес сталкиваются с общими задачами: как пройти процесс категорирования от начала до конца и при этом не потерять объекты КИИ или их категории?
Руководитель отдела консалтинга и аудита Angara Security Александр Хонин в своем докладе поделился основными аспектами категорирования ОКИИ. В настоящее время в России насчитывается более полумиллиона субъектов КИИ (предприятий, госструктур и организаций), использующих объекты критической информационной инфраструктуры. По оценке эксперта, эти структуры сталкиваются с серьезными проблемами. Например, подавляющее большинство субъектов КИИ даже не знают, что они являются таковыми, соответственно, они не прошли процедуру категорирования объектов КИИ, что является серьезным нарушением требований законодательства и может стать причиной ряда проблем.
«Очередные изменения в законодательстве отразились как на перечне показателей в критериях оценки объектов КИИ, так и на определении их значимости. Разобраться в процессах, учесть изменения в законодательстве и выполнить требования регуляторов без привлечения профильных профессионалов, знающих нормативную базу, ведомственные особенности и тонкости оформления документации, становится все сложнее», — уточнил Александр Хонин.
При этом категорирование представляет собой сложную и многоступенчатую процедуру, которая предусматривает создание комиссии, определение процессов, подпадающих под требования регуляторов, соотнесение систем и процессов, оценку критичности, подготовку документации и ее отправку в соответствующие госорганы. В ходе экспертного доклада Александр Хонин рассмотрел все этапы категорирования согласно действующему законодательству: от выделения объектов КИИ до заполнения итоговых документов (в том числе формы 236). Эксперт также отметил дополнительные аспекты темы: на что стоит обратить внимание в рамках категорирования, в частности, обоснование неприменимости показателей критериев значимости, оценку масштаба последствий, определение перечня угроз безопасности и т. д.
Эксперт порекомендовал последовательный подход к категорированию ОКИИ, который включает сбор исходных данных, категорирование объектов КИИ, подготовку и отправку сведений по результатам такого категорирования во ФСТЭК России (с указанием присвоенной категории значимости). При этом подэтап сбора исходных данных является одним из основных, в рамках которого формируется «база» для последующего категорирования объектов КИИ. По итогам обозначенных работ можно приступать к самому категорированию, в рамках которого объектам КИИ присваивается одна из категорий значимости (или же без категории, когда объект признается незначимым). При этом в рамках акта категорирования как отображаются сведения о самом объекте КИИ, так и приводятся обоснования по оцениваемым показателям, в соответствии с которыми объект КИИ категорируется.
Проблематика категорирования КИИ приобретает актуальность на фоне растущего числа кибератак на инфраструктуру государственных организаций и крупного российского бизнеса, а также на фоне задач по импортозамещению ПО и оборудования вендоров, которое по-прежнему используется для обеспечения технологических процессов. Поэтому категорирование позволит, с одной стороны, скорректировать планы по импортозамещению в ряде организаций, которые относятся к КИИ на данный момент, а с другой, выявить неучтенные признаки КИИ, чтобы бизнес и госструктуры могли также своевременно выполнить требования регуляторов рынка. Список субъектов КИИ постоянно расширяется. Например, наряду с информационными системами, АСУ, действующими в сфере здравоохранения, науки, транспорта, связи, энергетики, в банковской сфере, ТЭК, атомной, металлургической, химической промышленности и других отраслях, к КИИ также относятся структуры, выполняющие государственную регистрацию прав на недвижимое имущество и сделок с ним. Поэтому категорирование организаций будет наращивать актуальность с учетом включения новых отраслей в контур защиты критической информационной инфраструктуры.