Из более чем 500 тыс. субъектов КИИ (Критической информационной
инфраструктуры) примерно половина до сих пор не провела категорирование. И это
при том, что согласно Постановлению
Правительства РФ №127, до конца этого года его необходимо пройти всем
организациям, принадлежащим к КИИ. Причина низкой активности – не только в
сложностях реализации процесса, но и в различных ошибках, которые совершают
субъекты. В данном материале Федор Музалевский, директор технического
департамента RTM Group, расскажет об основных из них, а также разъяснит, как провести
категорирование грамотно.
Трудности перевода
Критической информационной инфраструктуре государство уделяет
достаточно много внимания, как по внешним, так и по внутриполитическим
причинам. Это отчетливо видно по количеству нормативно-правовых актов и частоте
их выхода, начиная с публикации основополагающего 187-ФЗ и заканчивая
отраслевыми перечнями типовых объектов КИИ. Уже более двух десятков документов
регулируют безопасность критической информационной инфраструктуры, при этом
постоянно обновляясь. Это создает определенные трудности и неразбериху: до сих
пор не все организации знают, относятся ли они к КИИ, что им грозит, если они
откажутся проводить категорирование или сделают это с опозданием. Все дело в
отсутствии разъяснений от регуляторов. Нет четкого перечня субъектов КИИ, нет
понятных инструкций, не налажены коммуникации, – а потому каждый из участников
рынка понимает требования отрасли на свое усмотрение. Давайте рассмотрим
основные заблуждения и ошибки.
И ключевые ошибки
Ошибка номер один: «я не субъект КИИ». По
нашим оценкам, эту ошибку (или заблуждение) допускают не менее 25% субъектов
КИИ, то есть половина из тех, кто не прошёл категорирование. Из-за отсутствия
определенного перечня субъектов КИИ, организациям приходится руководствоваться
неоднозначной формулировкой 187-ФЗ о принадлежности к определенным отраслям.
Как понять, относится ли субъект к химической промышленности? К
здравоохранению? Очевидно, что завод синтетических каучуков и больница
субъектами КИИ являются. А вот что касается фармпроизводства, которое выпускает
пластыри, здесь нет определенного ответа. И все зависит от субъективной оценки того,
кто принимает решение по данному вопросу.
Даже отраслевые регуляторы не имеют четких инструкций, а ФСТЭК
руководствуется документами министерств (что странно). Так, например, в
субъекты КИИ записали всех участников оборонно-промышленного комплекса по
списку Минпромторга. Видимо, именно этот документ, по мнению ФСТЭК, определяет
принадлежность к оборонной промышленности. Список, кстати, закрытый — проверить
себя на наличие в нём вы не можете напрямую, надо писать запрос в министерство.
Поэтому к вопросу идентификации организации как субъекта КИИ следует подходить
основательно, желательно привлекая субподряд или отраслевого регулятора. Для
некоторых отраслей министерствами организованы центры компетенций, которые
также могут помочь.
После того, как организацию определили как субъект КИИ, можно браться
за категорирование. В интернете есть множество материалов, советов, практики по
данному вопросу. Однако, многим для успешного прохождения данного процесса не
хватает главного – ресурсов, а потому
они пытаются как-то схитрить, уйти от ответственности.
Ошибка номер два: «я – незначимый, не буду делать категорирование» нередко усугубляется письмом ФСТЭК, где сказано, что если у субъекта
нет объектов КИИ, то ничего делать не надо. На практике же отсутствие объектов
встречается крайне редко (мы, например, в своей деятельности столкнулись с этим
лишь однажды). Данную ошибку допускает чуть меньше половины субъектов КИИ, не
прошедших категорирование (то есть более 100 000).
Тех же, кто сознательно отодвигает процесс, рассчитывает «проскочить на
авось», экономит ресурсы, на самом деле крайне мало — не более 3-5%%, по нашим
наблюдениям. И вот им хочется отдельно сказать, что все это может закончиться проверками
ФСТЭК и даже прокуратуры, которая вполне способна уделить внимание даже
небольшому ломбарду. Поскольку категорирование стоит относительно недорого (в
том числе, при самостоятельном проведении), стоит им заняться вовремя. И лучше
провести его без особой надобности, чем не сделать, когда необходимо. Это даст
возможность не только не бояться регуляторов, но и понимать, где в организации
есть слабые места.
А дальше мы рассмотрим ошибки самого процесса категорирования. Если вы стартовали
грамотно (своими силами или же с привлечением подрядчика), то следующим важным
шагом будет создание комиссии. И здесь организацию могут подстерегать сразу две
ошибки.
Ошибка номер три: «сделаю, как в документе»
(в Постановлении правительства №127) — ее допускают более 90% самостоятельно
выполняющих категорирование. Кажется простым выходом из ситуации реализовать
процесс формально и оперативно. Все быстро описать, не вдаваясь в детали. Но
ведь есть и другие документы, а также объясняющие процесс рекомендации
специалистов – стоит к ним прислушаться и обратить на них внимание. Иначе
получится все вроде бы по форме подходяще, но без соответствующего процесса и
глубокой проработки, что сразу заметит любая комиссия регулятора. Да и повлиять
положительно на безопасность организации таким образом не получится.
Ошибка номер четыре: «создам комиссию на бумаге» – более 95% проходящих категорирование компаний подходят формально к
этому вопросу. Включают в комиссию неквалифицированных сотрудников, да и
просто случайных людей (секретаря, менеджера по закупкам), которые иногда даже
не в курсе происходящего. Тот факт, что субъекты КИИ со значимыми объектами не
создают реальных комиссий, ставит под угрозу десятки тысяч ЗО КИИ в стране.
Важно понимать, что провести категорирование без сотрудников
бухгалтерии, службы качества и многих других (без их фактического участия)
корректно не получится. Не выйдет не только рассчитать показатели значимости,
но и корректно составить перечень объектов КИИ. Все участники комиссии должны
быть фактически задействованы в процессе категорирования, что позволит не
только соответствовать букве и духу закона, но и поможет получить реальную
картину значимости тех или иных объектов.
Ошибка номер пять: «некорректное
определение объектов под категорирование».
Этой ошибки не удается избежать почти половине всех организаций,
проходящих категорирование. Причем встречается она даже у тех, кто создал
реальную комиссию и старается выполнить все не только для «бумажек». Почему эта
ошибка столь распространена? Причин несколько:
1) не учтены отраслевые перечни, о которых мы упоминали выше (это
актуально для последнего года — ранее перечней просто не было);
2) не проведена связь с процессами организации и их критичностью (очень
частая ошибка, даже для значимых объектов — более 50%, или порядка 10 000 ЗО
КИИ обеспечивают процессы, взятые «с потолка»);
3) в число объектов включены средства защиты, физические серверы и
т. п. (не более 10% субъектов);
4) в число объектов под категорирование не включены те, что «заведомо
незначимы» (распространенный недочет, десятки тысяч субъектов КИИ допустили его,
и большая часть даже не в курсе, ведь при проверке актов ФСТЭК не знает
реальное положение, все вскроется только при плановой проверке, или инциденте).
Последствия от нарушения последнего пункта наиболее существенные,
иногда приходится даже повторно проходить категорирование. Важно не забывать,
что если объект (условная 1С) обеспечивает важный процесс (например, уплату
налогов), то его надо категорировать, даже есть если есть резервная копия,
ручные проверки и так далее.
Ну и здесь же рядом – многочисленные ошибки отправки документации и
заполнения форм, но на них мы не будем останавливаться, поскольку они связаны
больше со спешкой и небрежностью. Внимательное изучение интернета или
применение автоматизации спасает от них на 90%, а привлечение подряда – на
146%.
Ошибка номер шесть: некорректные расчеты показателей значимости. Такого рода оплошности совершают более 90% субъектов, однако в ряде
случаев они не так критичны — категория значимости присваивается по широкому
диапазону значений. ФСТЭК, проверяя документы, вскрывает лишь те проблемы,
которые влияют на занижение категории. Если субъект поставил себе третью
категорию по ошибке, то объект КИИ придется защищать по ней, поправлять никто
не будет. По нашим оценкам, таких «ошибочно значимых» объектов КИИ сегодня более
тысячи. Подсказок по тому, как решить проблему, немного — проект методички
ФСТЭК достаточно сложный и, главное, не содержит сведений, откуда брать цифры.
Возможно, из-за обилия вариантов мы не получим более подробных данных даже для
расчета девятого показателя, который показывает ущерб бюджету РФ с нормальными
требованиями, типа оборота по КТ определенного счета за конкретный период.
Небольшое подспорье тут могут оказать системы автоматизации
категорирования, из которых сегодня наиболее известны такие, как MEDOED, SECURITM и АЛЬФА ДОК, но и они не гарантируют
точного «попадания» в отраслевые перечни и категории. Однако, с подсказками MEDOED пусть и не за несколько дней, но за две-три недели с участием грамотных исполнителей процесс можно будет полностью реализовать и завершить, даже отправить документы регулятору. Поэтому важно помнить о том, чтобы не допускать ошибок по формированию комиссии.
Если все описанные ошибки вы не совершили или устранили их перед
отправкой документов регулятору, то можете действовать дальше исходя из значимости
ваших объектов. Последним в списке останется только управлять инцидентами и
повторно категорироваться, а вот первым трем предстоит дальнейшая работа. В
частности, по внедрению защиты значимого объекта, которое оценивается уже в
десятки миллионов рублей. Именно поэтому так важно не присваивать себе лишней
значимости.
И на будущее – не забывайте даже на год
Ошибка номер семь: «сделаю и забуду на пять
лет». Ну и завершает цикл работ это заблуждение. Важно понимать, что
категорирование – это не разовая задача, а постоянный процесс. Даже создание
комиссии не приведет к тому, что отныне все делается само собой.
Автоматизировать постоянные проверки, актуализацию бумажек и выполнение
требований возможно либо при помощи выделенного под это сотрудника, либо за
счет использования систем автоматизации, о которых мы упоминали выше.
Помимо прочего, от регулятора нередко приходят вопросы, на которые необходимо отвечать. И требования различных действий, которые нужно выполнять. Ну и не нужно забывать о том, что в течение пяти лет (интервал, установленный законодательно до повторного категорирования), категорирование придется повторить, учитывая ввод в эксплуатацию новых систем, изменение экономических показателей, появление оборонзаказа и другие важные детали.
Автор: Федор Музалевский, директор технического департамента RTM Group.
Оригинал публикации на сайте CISOCLUB: "Главные ошибки категорирования и что с ними делать".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.