Вопросы построения защиты объектов КИИ являются актуальным для специалистов по ИБ с 2018 года. В данной статье автор вновь (продолжая своего рода серию статей) рассмотрит актуальные на сегодняшний день вопросы обеспечения безопасности КИИ.
Пересмотр категории значимости
Как известно, в соответствии с Правилами категорирования объектов КИИ (утв. постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127), субъект КИИ в случае изменения показателей критериев значимости объектов КИИ или их значений осуществляет пересмотр установленных категорий значимости или решений об отсутствии необходимости установления категорий значимости объектам КИИ (п. 21 Правил категорирования объектов КИИ).
В конце прошлого года (29 декабря 2022 года) вступили в силу изменения в Перечень показателей критериев значимости объектов КИИ и их значений (утв. постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127), а значит, все субъекты КИИ должны пересмотреть установленные категории значимости или их отсутствие у принадлежащих им объектов КИИ. При этом, акцентирую внимание, именно пересмотреть, а не провести повторное (пере) категорирование, т.е. повторять всю процедуру полностью не требуется.
Что же нужно делать и как провести пересмотр установленных категорий значимости с минимальными трудозатратами?
Алгоритм действий комиссии по категорированию может быть следующим:
Шаг 1. Анализируем текущие категории значимости объектов КИИ. Если, по итогам анализа выясняется, что все объекты КИИ имеют первую категорию значимости то (реально) пересмотр категории не требуется, так как:
- ниже категорию значимости сделать невозможно, поскольку внесенные в перечень показателей критериев значимости изменения только снизили пороговые значения;
- так как объект первой категории значимости, достаточно одного показателя критериев значимости, по которому присвоена наивысшая категория, расчет по остальным показателям не проводится (это прямо указано в п. 6 Правил категорирования).
Однако, формально (процедурно) пересмотр категории значимости сделать необходимо, поэтому нужно провести заседание постоянно действующей комиссии и документально зафиксировать, что изменения показателей критериев значимости не приводят к изменению категории значимости.
На этом, собственно, работа по пересмотру категории значимости для субъектов КИИ, владеющих только объектами первой категории значимости, заканчивается.
Если есть объекты КИИ второй и третьей категории значимости, или без категории, в этом случае, необходимо проделать дальнейшие шаги.
Шаг 2. Оцениваем применимые к объектам КИИ показатели критериев значимости. В некоторых случаях (для некоторых объектов КИИ) изменения произошли только в тех показателях, в отношении которых ранее была обоснована их неприменимость. Например, завод по производству металлических изделий: транспортные и государственные услуги не оказывает, оборонно-промышленным, государственным и стратегическим предприятием не является, в гособоронзаказе не участвует, в финансовой сфере не функционирует, а нарушение функционирования конкретного объекта КИИ (не являющегося значимым) экономический ущерб деятельности компании не наносит и на выплаты в бюджет не влияет.
Шаг 3. Проводим оценку влияния изменений на актуальные для объектов КИИ показатели критериев значимости и их значения, т.е. никакой переоценки угроз, критических процессов и т.п. как предусмотрено процедурой категорирования делать не обязательно. Не актуальные (см. шаг 2) показатели критериев значимости также анализировать не требуется.
Шаг 4. Принятые решения фиксируются актом категорирования в случае изменения категории значимости или иным документом (например, протоколом работы комиссии) в случае, если в рамках предыдущих шагов было принято решение, что изменение категории значимости (решения об ее отсутствии) не происходит.
Шаг 5. После утверждения актов во ФСТЭК России направляются (обновленные) сведения о категорировании по установленной форме.
Внесение изменений в объекты КИИ
С января 2022 года для субъектов КИИ действует правило, что в случае изменения сведений об объекте КИИ, субъект КИИ направляет во ФСТЭК России новые сведения в печатном и электронном виде не позднее 20 рабочих дней со дня их изменения по установленной форме.
Первый вопрос, который возникает в части предоставления указанных изменений – нужно отправлять всю форму или только те ее части, которые касаются внесенных изменений (например, изменился состав компонентов объекта КИИ – нужно отправлять снова все сведения или только раздел 5 «Сведения о программных и программно-аппаратных средствах, используемых на объекте критической информационной инфраструктуры»)? В самих Правилах категорирования не указано, как нужно правильно делать. Практика автора в части взаимодействия с регулятором по данному вопросу показывает, что ФСТЭК России допускает предоставление только той части, которая касается именно внесенных в объект КИИ изменений (в указанном примере это означает, что достаточно отправить лишь раздел 5 сведений).
Второй вопрос, который возникает у субъектов КИИ – это как выстроить процесс актуализации этих сведений. Если организация/орган/учреждение имеют не большое количество объектов КИИ или эти объекты КИИ относятся к автоматизированным системам управления технологическими процессами, в которых изменения происходят не часто, то, по мнению автора, достаточно включения в локальные нормативные акты требования, к подразделениям владельцам этих объектов, о немедленном уведомлении об изменениях специалистов по информационной безопасности и проведения периодической инвентаризации этих объектов.
Если же масштаб организации большой и изменения в системах происходят часто (обычно характерно для информационных и информационно-телекоммуникационных систем), то помимо требований в организационно-распорядительных документах, потребуется также внедрение автоматизированной системы контроля изменений в объектах КИИ, а также, значительное увеличение трудозатрат специалистов по информационной безопасности на работу со сведениями о категорировании (что можно использовать как основание для увеличения штатной численности).
Третий вопрос – это мониторинг своевременного и полного предоставления сведений об объектах КИИ. Здесь важно обратить внимание на следующие момент:
- мониторинг проводится отраслевыми регуляторами (Минпромторг России, Минэнерго России, Минцифры России и т.п.) в отношении субъектов КИИ, функционирующих в регулируемой ими отрасли и своих подведомственных организаций, являющихся субъектами КИИ, т.е. не «подведы» осуществляют мониторинг, а сами отраслевые регуляторы;
- мониторинг осуществляется регулярно путем запроса сведений о категорировании и их анализа отраслевым регулятором, т.е., по сути, это своего рода документарные проверки;
- актуальность и достоверность сведений об объектах КИИ может подтверждаться отраслевым регулятором путем ознакомления с объектами КИИ по месту их нахождения, т.е., по сути, при наличии вопросов, появившихся в ходе «документарной проверки», отраслевой регулятор вправе осуществить выездную;
- при выявлении нарушений отраслевой регулятор направляет сведения об этом во ФСТЭК России не позднее 30 дней со дня выявления;
- к мониторингу (в части оценки актуальности и достоверности сведений), отраслевые регуляторы могут привлекать подведомственные им организации имеющие лицензию на работу со сведениями составляющими государственную тайну и/или деятельность по технической защите конфиденциальной информации, информация о которых размещена на официальном сайте отраслевого регулятора, т.е. «подведы» не обязаны (и не вправе) проводить мониторинг субъектов КИИ, а могут быть участниками этого процесса совместно с отраслевым регулятором, причем только в части оценки, т.е. правом запрашивать информацию они не наделены;
- порядок проведения оценки актуальности и достоверности сведений определяется отраслевым регулятором, т.е. должен быть нормативно-правовой акт отраслевого регулятора, который определяет порядок проведения оценки.
Аккредитация центров ГосСОПКА
Вопрос, который волнует многих – это нужна ли аккредитация корпоративных (ведомственных) центров ГосСОПКА.
В 2022 году, после выхода Указа Президента от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» ФСБ[6] России объявила о необходимости аккредитации центров ГосСОПКА. Аккредитация должна стандартизовать действия сотрудников центров и улучшить взаимодействие между ними.
В силу того, что аккредитация несет для владельцев центров ГосСОПКА, дополнительные трудовые и финансовые издержки, многие субъекты КИИ негативно восприняли необходимость аккредитации.
Однако, следует отметить, что нормы Указа Президента от 01.05.2022 № 250 не обязывают проводить аккредитацию абсолютно всех центров ГосСОПКА. Требование аккредитации распространяются только на те центры, которые оказывают услуги органам власти, учреждениям и организациями (в т.ч. субъектам КИИ) перечисленным в пункте 1 Указа Президента от 01.05.2022 № 250. Иными словами, требования о необходимости аккредитации не распространяются на:
- Центры ГосСОПКА реализующие мероприятия по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты исключительно в рамках своей организации (органа, учреждения).
- Центры ГосСОПКА оказывающие услуги юридическим лицам, не входящим в список перечисленный в пункте 1. Например, если в холдинговой структуре есть центр ГосСОПКА имеющий лицензию ФСТЭК России, то он вправе оказывать услуги «своим» дочерним (зависимым) организациям не являющимся субъектами КИИ (стратегическими акционерными обществами, системообразующими организациями и т.п.) без аккредитации.
Таким образом, в части «собственных» центров ГосСОПКА никаких дополнительных мероприятий по аккредитации проводить не обязательно. Относительно коммерческих компаний имеющих намерения оказывать услуги центров ГосСОПКА неопределенному кругу юридических лиц, требование о наличии аккредитации, по мнению автора, будет способствовать росту их компетенций и созданию условий для качественного оказания услуг.
Технологическая независимость
Одна из самых острых на сегодняшний день (возможно на ближайшие годы) проблем - это технологическая независимость (т.н. «импортозамещение») критической информационной инфраструктуры.
Как известно, в настоящий момент установлены сжатые сроки перехода на отечественное ПО[8]. Субъекты КИИ подготовили (по крайней мере должны были до 18 марта 2023 года) планы перехода и отправили их в Минцифры России и отраслевые регуляторы.[9] Однако, реализация данных планов сопряжена с рядом проблем, которые, по оценкам экспертов, могут привести к невозможности перехода на отечественное ПО в установленные сроки.
Обычный цикл внедрения нового (с точки зрения организации) ПО не простой и длительный процесс, включающий следующие этапы (см. Таблица 1). При большом количестве разных (с точки зрения архитектуры и используемого ПО) значимых объектов КИИ, их полный перевод на отечественное ПО в течение двух лет действительно является серьезной проблемой.
По мнению автора, мероприятиями по ускорению сроков перехода на отечественное ПО могут быть:
- Замена этапа пилотирования стендовыми испытаниями, либо его исключение.
- По возможности осуществлять проектирование самостоятельно с консультативной помощью разработчика ПО, без привлечения подрядчиков-проектировщиков (экономит много времени).
- На этапе закупки готовить компонентную базу (железо) для внедрения ПО (при условии, что устанавливается на новые технические средства).
- Начинать проводить обучение персонала на этапе приемочных испытаний.
Хотелось отметить, что в рамках данного раздела автор рассмотрел только вопросы переход на отечественное программное обеспечение. Следующим шагом в части технологической независимости, который ждет субъектов КИИ, будет переход на отечественную электронную компонентную базу. В настоящее время правила и подходы в этом вопросе еще только формируются. Поэтому, вопросы перехода на отечественную электронную компонентную базу оставим для следующих статей.
Сведения об авторе: Саматов Константин Михайлович, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности.
Сайт: https://ksamatov.ru
