Председатель Правительства РФ Дмитрий Медведев подписал 8 февраля постановление №ПП-127 «Об утверждении Правил категорирования объектов КИИ РФ, а также перечня показателей критериев значимости объектов КИИ РФ и их значений» [1], в котором определены сроки и методика категорирования объектов критической информационной инфраструктуры. Это постановление является одним из ключевых в реализации Федерального закона №187 «О безопасности КИИ» [2], который вступил в силу с 1 января 2018 г. Опубликовано (т. е. введено в действие) постановление было 13 февраля, поэтому все сроки отсчитываются от этой даты. Субъекты КИИ, владеющие объектами КИИ, должны до 23 февраля сформировать их список и предоставить его во ФСТЭК как орган, ответственный за безопасность КИИ. Далее в течение года нужно будет провести категорирование объектов, и акт об этом зарегистрировать в соответствующем реестре ФСТЭК.
Первый вопрос: кто подпадает под действие закона и постановления? В законе указано, что субъектами КИИ являются организации из следующих сфер действительности: «здравоохранения, науки, транспорта, связи, энергетики, банковской сферы и иных сфер финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности». Принадлежность к одной из указанных сфер определяется по классификатору видов деятельности, полученными компанией лицензиями и принятым уставом. Хотя компания сама определяет, имеются ли у нее объекты КИИ, тем не менее, если в уставных документах или лицензиях есть привязка к одной из перечисленных в законе сфер, необходимо готовить список объектов КИИ. При этом категорирование вполне может показать, что данные объекты могут быть признаны незначимыми в целом для страны.
Второй вопрос: как проводить категорирование? Для этого нужно создать специальную комиссию, состав которой указан в постановлении. Комиссия готовит список критических управленческих, технологических, производственных, финансово-экономических и (или) иных процессов, приостановка которых может привести к социальным, политическим, экономическим, экологическим последствиям, а также к последствиям для обеспечения обороны страны, безопасности государства и правопорядка. Далее готовится список информационных систем (ИС), автоматизированных систем управления (АСУ) и информационно-телекоммуникационных сетей (ИТС), которые влияют на реализацию критических процессов. Затем проводится моделирование угроз на каждую ИС, АСУ и ИТС из списка, определяются последствия каждой угрозы, и на основе этих данных по приложенной к постановлению таблице устанавливается значимость объектов КИИ. Следующий этап − выработка мер по предотвращению угроз и их реализация. Результатом этой деятельности должен стать акт категорирования, в который включаются списки объектов, ИС, АСУ и ИТС, информация по моделированию угроз и мерам по предотвращению.
Вопрос третий: как обеспечить защиту объектов КИИ? Для защиты критических ИС, АСУ и ИТС из списка необходимо использовать только сертифицированные средства или пользоваться услугами компаний, имеющих соответствующие лицензии. Причем даже на мониторинг безопасности сторонним компаниям в рамках предоставления услуг нужно получать лицензию. ФСТЭК готовит методический документ по мерам защиты информационных и автоматизированных систем, который будет единым для защиты КИИ, ГИС (приказ №17), АСУ ТП КВО (приказ №31) и ИСПДн (приказ №21). Утверждение данного документа запланировано на II квартал текущего года. При этом и сами перечисленные приказы будут модифицированы и, возможно, унифицированы. Пересмотреть планируется и методику сертификации, с выделением общей части по требованиям доверия к программным и аппаратным компонентам в общий для всех, но отдельный документ. Таким образом, в течение года планируется подготовить все необходимые документы для проведения категорирования объектов КИИ и обеспечения безопасности всей информационной инфраструктуры России.
[1] http://pravo.gov.ru/laws/acts/12/495055.html
[2] https://rg.ru/2017/07/31/bezopasnost-dok.html
