Журнал "Information Security/ Информационная безопасность" #2, 2021

Процедура пересмотра категории значимости по большей части схожа с про- цедурой категорирования, но есть нюансы, на которые стоит обратить внимание. с процедурой категорирования, но есть нюансы, на которые стоит обратить внимание. 1. Пересмотр категории значи- мости осуществляется в случаях 3, 4, 5 и 6, указанных в таблице. 2. Если с момента последнего категорирования (пересмотра категории) прошло более четы- рех лет (4) или в архитектуру объекта КИИ были внесены изме- нения (3), могущие повлиять на масштаб последствий при нару- шении его функционирования: l комиссией по категорирова- нию проводится анализ мате- риалов предыдущего категори- рования; l принимаются решения, кото- рые фиксируются актом; l если в ходе рассмотрения материалов комиссией было принято решение об изменении категории какого-либо из ранее категорированных объектов, во ФСТЭК России направляются сведения о категорировании тех объектов, категория значимости которых была изменена. 3. Изменение требований нор- мативно-правовых актов РФ, рег- ламентирующих вопросы кате- горирования и защиты ОКИИ (6): l проводится оценка влияния изменений на актуальные для объектов КИИ показатели кри- териев значимости; l при наличии изменений значений показателей критери- ев значимости проводится оцен- ка самих показателей; l принятые решения фикси- руются актами категорирования; l после утверждения актов, в случае если у объекта (объ- ектов) КИИ произошло измене- ние категории значимости, во ФСТЭК России направляются сведения о категорировании. Реорганизация или ликвидация субъекта КИИ В завершение немного пого- ворим о ликвидации и реорга- низации субъекта КИИ как осно- вании для категорирования (пересмотра категории значи- мости). Может быть три случая: 1. Организация перестала существовать. В данном случае, как правило, объект ликвидиру- ется (его составные элементы продаются, например, при бан- кротстве), в идеале (хотя на прак- тике, вряд ли кто-то будет это делать) направляется письмо во ФСТЭК об исключении из реест- ра значимых объектов (в соот- ветствии с требованиями п. 10 Порядка ведения реестра значи- мых объектов критической информационной инфраструкту- ры Российской Федерации, утвер- жденного приказом ФСТЭК Рос- сии от 6 декабря 2017 г. № 227). 2. Организация стала частью другого субъекта КИИ (слияния и поглощения). В этой ситуации необходимо посмотреть, как приобретенный организацией объект КИИ будет влиять на ее критические процессы и каковы последствия от нарушения функционирования объекта КИИ для поглощающей органи- зации. Иными словами, прове- сти категорирование, зафикси- ровать результаты актом и отправить сведения во ФСТЭК России. При этом, если катего- рия значимости в результате категорирования не измени- лась, сведения все равно сле- дует отправить, так как изме- нился субъект КИИ. 3. Организация стала частью не субъекта КИИ, то есть вошла в структуру другой организации, которая не функционирует ни в одной из сфер, перечисленных в ст. 2 187-ФЗ. С точки зрения практического опыта автора рассуждать о таком случае можно только в теории, практи- ческие примеры автору неизвестны. Возможно, в даль- нейших публикациях автора эта тема будет продолжена либо другие специалисты выскажут свое мнение по затронутым в данной статье вопросам. l • 15 КИИ www.itsec.ru № Основание Когда начинать? 1. Создание нового объекта КИИ Утверждение требований к создаваемому объекту КИИ Ввод объекта КИИ в эксплуатацию (принятие на снабжение) 2. Создание нового критического Признание существующего делового (бизнес-) процесса процесса или признание организации критическим либо появление нового существующего делового критического делового (бизнес-) процесса (бизнес-) процесса критическим 3. Изменение значимого Любые изменения, оказывающие влияние на масштаб объекта КИИ возможных последствий по показателям критериев значимости объектов КИИ, в случае возникновения компьютерных инцидентов на значимом объекте КИИ 4. Субъект КИИ не реже чем один С момента последнего категорирования (пересмотра раз в 5 лет обязан осуществлять категории) прошло более 4 лет пересмотр установленных кате- горий значимости или решений об отсутствии необходимости присвоения указанным объектам таких категорий 5. По мотивированному решению Мотивированное решение ФСТЭК России федерального органа исполни- тельной власти, уполномоченного в области обеспечения безопас- ности критической информаци- онной инфраструктуры Российской Федерации, приня- тому по результатам проверки, проведенной в рамках осущест- вления государственного контроля в области обеспечения безопас- ности значимых объектов КИИ 6. Изменения показателей критериев Изменение требований нормативно-правовых актов РФ, значимости объектов КИИ определяющих критерии значимости объектов КИИ или их значений или их значения 7. В связи с ликвидацией, реорга- Реорганизация или ликвидация субъекта КИИ низацией субъекта КИИ и (или) изменением его организационно- правовой формы, в результате которых были изменены либо утрачены признаки субъекта КИИ Таблица. Основания для инициации процедуры категорирования объектов КИИ Ваше мнение и вопросы присылайте по адресу is@groteck.ru