Журнал "Information Security/ Информационная безопасность" #2, 2021

Первый вопрос, который возникает перед субъектом КИИ, начинающим процеду- ру категорирования не в первый раз, – что делать с "перечнем объ- ектов КИИ": нужно обновить старый, сделать новый или можно вообще обойтись без перечня? С 1 января 2018 г. 1 прошло более трех лет, и большинство зрелых с точки зрения информа- ционной безопасности компаний провели кате- горирование принадле- жащих им объектов кри- тической информацион- ной инфраструктуры, получили подтверждение о включении их в реестр значи- мых объектов и создают (или создали) системы безопасности. Но жизнь не стоит на месте: организации и их деловые про- цессы развиваются и появляют- ся новые системы, автоматизи- рующие указанные процессы. На сегодняшний день для мно- гих компаний актуальным ста- новится вопрос проведения категорирования "новых" (вновь создаваемых, модернизируе- мых и т.п.) объектов КИИ. Одна- ко ввиду того, что Правила кате- горирования 2 в первую очередь были нацелены на проведение первичной оценки имеющихся у субъектов автоматизирован- ных и телекоммуникационных систем, в случае с новыми объ- ектами возникает ряд проблем- ных вопросов, связанных с про- ведением процедуры их кате- горирования. Инициация процедуры категорирования Одним из актуальных вопро- сов является определение слу- чаев, при которых требуется вновь инициировать процедуру категорирования. На основе ана- лиза ч. 12 ст. 7 187-ФЗ 3 и пп. 20, 21 Правил категорирова- ния можно выделить следующие основания, когда необходимо начинать процедуру категориро- вания объектов КИИ (см. табл.). Вопросы процедуры категорирования Первый вопрос, который воз- никает перед субъектом КИИ, начинающим процедуру катего- рирования не в первый раз, – что делать с "перечнем объектов КИИ": нужно обновить старый, сделать новый или можно вообще обойтись без перечня? Чтобы правильно ответить на данный вопрос, нужно обратить внимание на то, что Правила категорирования содержат понятие "перечень объектов КИИ, подлежащих категориро- ванию" (пп. "г" п. 5 Правил кате- горирования), то есть во ФСТЭК России отправляется перечень тех объектов, которые субъект планирует категорировать. Понятие же "перечень объектов КИИ" не относится к категори- рованию, его ведение может осуществляться субъектом в рамках инвентаризации своих информационных ресурсов. В этой связи видится, что при категорировании новых объектов необходимо формировать новый перечень объектов, подлежащих категорированию. Однако есть еще один нюанс: в отношении вновь создаваемых объектов, категорирование которых осу- ществляется на этапе формиро- вания требований (пп. 8 и 18 Пра- вил категорирования), направле- ние перечня в указанном случае не предусмотрено, данные объ- екты категорируются в течение десяти рабочих дней после утвер- ждения требований и во ФСТЭК России отправляются только све- дения о категорировании. Следующий вопрос, который плавно вытекает из предыду- щего: как быть со вновь соз- данными объектами КИИ, тре- бования к которым утверждены до внесения изменений в Пра- вила категорирования поста- новлением Правительства РФ от 13.04.2019 г. № 452? Представляется, что алгоритм категорирования данных объ- ектов не отличается от всех других: формируется и отправ- ляется во ФСТЭК России пере- чень объектов, подлежащих категорированию, и в течение года осуществляется их кате- горирование. Аналогичный алгоритм при- меняется и к автоматизирован- ным (телекоммуникационным) системам, участвующим в обра- ботке информации, необходи- мой для обеспечения нового критического процесса. Пересмотр категории значимости Пересмотр категории значи- мости осуществляется в поряд- ке, предусмотренном для кате- горирования (ч. 12 ст. 7 187-ФЗ и пп. 20, 21 Правил категориро- вания), таким образом процеду- ра пересмотра категории значи- мости по большей части схожа 14 • В ФОКУСЕ Актуальные вопросы проведения категорирования вновь создаваемых или модернизируемых объектов КИИ статье рассматриваются актуальные вопросы, связанные с организацией процедуры категорирования объектов КИИ, создающихся или вводящихся в эксплуатацию у субъектов КИИ, завершивших категорирование своих объектов. В Константин Саматов, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности 1 Вступил в законную силу Федеральный закон от 26 июля 2017 г. № 187-ФЗ “О безопасности критической информационной инфраструктуры Российской Федерации". 2 Постановление Правительства РФ от 8 февраля 2018 г. № 127 “Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений". 3 Федеральный закон от 26 июля 2017 г. № 187-ФЗ “О безопасности критической информационной инфраструктуры Российской Федерации".