Часть 1. Основания проведения категорирования. Комиссия по категорированию.
Общий порядок осуществления категорирования определен Правилами категорирования объектов КИИ Российской Федерации (далее – Правила) и Перечнем показателей критериев значимости объектов КИИ Российской Федерации и их значений (далее – Перечень), утвержденными постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» (далее – Постановление № 127).
В очередной раз напомним, кого можно отнести к категории субъектов КИИ. В соответствии
с п. 8 ст. 2 Закона № 187-ФЗ:
«…субъекты критической информационной инфраструктуры – государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей».
1. Таким образом, необходимо проанализировать сферы деятельности организации и определить:
- во-первых, функционирует ли она в перечисленных в Закона № 187-ФЗ сферах.
ФСТЭК России был предложен метод, основанный на анализе учредительной документации, устава, положения об организации, где указаны основной и вспомогательные виды деятельности (например, выписка из ЕГРЮЛ, где перечислены ОКВЭД), а также имеющимися лицензиями, сертификатами и иными разрешительными документами на виды деятельности. То есть, если
в любом из указанных источников присутствует указание на перечисленные выше виды деятельности, это может быть расценено регулятором, как признак того, что организация является субъектом КИИ.
- вторым существенным фактором является наличие «на праве собственности, аренды
или на ином законном основании» информационных систем, информационно телекоммуникационных сетей, автоматизированных систем управления, которые функционируют в вышеупомянутых областях.
В качестве примера можно привести «Методические рекомендации
по определению и категорированию ОКИИ ТЭК», согласованные ФСТЭК России (исх. От 26.08.2019 № 240/25/4048). В разделе 2 Методических рекомендаций читаем:
«…Отнесение любого государственного учреждения, российского юридического лица и/или индивидуального предпринимателя к субъектам КИИ осуществляется исходя из его соответствия первым двум условиям (одновременно) или третьему условию:
1) Государственное учреждение, российское юридическое лицо и/или индивидуальный предприниматель осуществляет один или несколько из основных видов своей деятельности в одной или нескольких сферах (областях) деятельности, предусмотренных п. 8 ст. 2 Федерального закона N 187-ФЗ.
2) Государственному учреждению, российскому юридическому лицу и/или индивидуальному предпринимателю принадлежат на праве собственности, аренды или на ином законном основании любые ИС, ИТКС и АСУ ТП.
3) Российское юридическое лицо и/или индивидуальный предприниматель обеспечивает взаимодействие ИС, ИТКС и АСУ ТП, принадлежащих государственному учреждению, российскому юридическому лицу и/или индивидуальному предпринимателю, осуществляющему свою деятельность в одной или нескольких сферах (областях) деятельности, предусмотренных
п. 8 ст. 2 Федерального закона N 187-ФЗ.
Если одно из первых двух условий и третье условие не выполняются, то государственное учреждение, российское юридическое лицо и/или индивидуальный предприниматель не является субъектом КИИ, если условия выполняются (одновременно первые два условия или третье условие), то является субъектом КИИ…». Итак, мы определили, что организация является субъектом КИИ. Давайте разбираться, что делать дальше.
2. Обязанности по проведению категорирования установлены статьей 7 Закона № 187-ФЗ
Категорирование объекта критической информационной инфраструктуры включает:
- Установление соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений;
- Присвоение ему одной из категорий значимости;
- Проверку сведений о результатах ее присвоения.
Категорирование осуществляется субъектами критической информационной инфраструктуры
в отношении принадлежащих им на праве собственности, аренды или ином законном основании объектов критической информационной инфраструктуры.
Категорированию подлежат объекты критической информационной инфраструктуры, которые обеспечивают управленческие, технологические, производственные, финансово-экономические
и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры в областях (сферах), установленных пунктом 8 статьи 2 Закона № 187-ФЗ. Таким образом, если объект не задействован при выполнении функций, перечисленных в предыдущем абзаце, категорированию он не подлежит.
Всего устанавливаются три категории значимости объектов критической информационной инфраструктуры – первая, вторая и третья. Если объект критической информационной инфраструктуры не соответствует критериям значимости, показателям этих критериев
и их значениям, ему не присваивается ни одна из таких категорий.
3. Категорирование осуществляется исходя из:
1) социальной значимости, выражающейся в оценке возможного ущерба, причиняемого жизни или здоровью людей, возможности прекращения или нарушения функционирования объектов обеспечения жизнедеятельности населения, транспортной инфраструктуры, сетей связи, а также максимальном времени отсутствия доступа к государственной услуге для получателей такой услуги;
2) политической значимости, выражающейся в оценке возможного причинения ущерба интересам Российской Федерации в вопросах внутренней и внешней политики;
3) экономической значимости, выражающейся в оценке возможного причинения прямого
и косвенного ущерба субъектам критической информационной инфраструктуры и (или) бюджетам Российской Федерации;
4) экологической значимости, выражающейся в оценке уровня воздействия на окружающую среду;
5) значимости объекта критической информационной инфраструктуры для обеспечения обороны страны, безопасности государства и правопорядка.
Однако, прежде чем перейти к детальному рассмотрению критериев категорирования, стоит рассмотреть, какими силами оно должно осуществляться.
4. Комиссия по категорированию
Довольно частое явление при формировании различного рода комиссий – нежелание сотрудников участвовать в их деятельности. А лучше – переложить всю ответственность на одного специалиста. Порой единственным выходом является только приведение аргументов в виде конкретного законодательного акта. В случае в комиссией по категорированию, можно сослаться на п. 11 Постановления № 127. В нем четко обозначен состав комиссии.
Для проведения категорирования решением руководителя субъекта критической информационной инфраструктуры создается постоянно действующая комиссия по категорированию, в состав которой включаются:
а) руководитель субъекта критической информационной инфраструктуры или уполномоченное им лицо;
б) работники субъекта критической информационной инфраструктуры, являющиеся специалистами в области выполняемых функций или осуществляемых видов деятельности, и в области информационных технологий и связи, а также специалисты по эксплуатации основного технологического оборудования, технологической (промышленной) безопасности, контролю
за опасными веществами и материалами, учету опасных веществ и материалов;
в) работники субъекта критической информационной инфраструктуры, на которых возложены функции обеспечения безопасности (информационной безопасности) объектов критической информационной инфраструктуры;
г) работники подразделения по защите государственной тайны субъекта критической информационной инфраструктуры (в случае, если объект критической информационной инфраструктуры обрабатывает информацию, составляющую государственную тайну);
д) работники структурного подразделения по гражданской обороне и защите от чрезвычайных ситуаций или работники, уполномоченные на решение задач в области гражданской обороны
и защиты от чрезвычайных ситуаций.
По решению руководителя субъекта критической информационной инфраструктуры в состав комиссии могут быть включены работники не указанных подразделений, в том числе финансово-экономического подразделения.
По решению руководителя субъекта критической информационной инфраструктуры, имеющего филиалы, представительства, могут создаваться отдельные комиссии по категорированию объектов критической информационной инфраструктуры в этих филиалах, представительствах.
Координацию и контроль деятельности комиссий по категорированию в филиалах, представительствах осуществляет комиссия по категорированию субъекта критической информационной инфраструктуры.
В состав комиссии по категорированию могут включаться представители государственных органов и российских юридических лиц, выполняющих функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности, по согласованию с государственными органами и российскими юридическими лицами. Комиссию по категорированию возглавляет руководитель субъекта критической информационной инфраструктуры или уполномоченное им лицо. Иными словами, необходимо определить состав комиссии в соответствии с требованиями Постановления № 127,
а также утвердить его приказом руководителя.
NB. Кстати, здесь нам также может прийти на помощь Указ Президента
от 01.05.2022 № 250. Поскольку пунктом 2 этого Указа, персональная ответственность за обеспечение информационной безопасности возлагается на руководителя организации. А п. е)
п. 1 Указа предусмотрена обязанность реализации организационных и технических мер в сфере информационной безопасности, к которым можно отнести, в частности, процесс категорировании объектов КИИ.
Комиссия по категорированию подлежит расформированию в следующих случаях:
а) прекращение субъектом критической информационной инфраструктуры выполнения функций (полномочий) или осуществления видов деятельности в областях (сферах), установленных Законом № 187-ФЗ;
б) ликвидация, реорганизация субъекта критической информационной инфраструктуры и (или) изменение его организационно-правовой формы, в результате которых были утрачены признаки субъекта критической информационной инфраструктуры.
В случае кадровых изменений следует незамедлительно отражать их в соответствующих приказах.
NB. Кстати, необходимо учесть, что если кадровые изменения касаются «сведений о лице, эксплуатирующем объект критической информационной инфраструктуры», в соответствии с Постановлением Правительства Российской Федерации от 24 декабря 2021 г. N 2431 «О внесении изменений в правила категорирования объектов критической информационной инфраструктуры Российской Федерации», необходимо уведомить об этом ФСТЭК. Требования по уведомлению ФСТЭК касаются всех субъектов КИИ, вне зависимости от того, признаны ли объекты КИИ значимыми (ЗОКИИ) или незначимыми (НОКИИ).
Забегая вперед, в случае, если по результатам категорирования объекты будут признаны значимыми, необходимо выполнять требования Приказа Федеральной службы по техническому и экспортному контролю от 21 декабря 2017 г. № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования». Пунктом 12 этого Приказа установлены требования к квалификации сотрудников подразделения по информационной безопасности. Это следует принять во внимание при формировании штатного расписания и должностных регламентов.
Вообще, для начала процедуры наличия комиссии не требуется. Инициировать начало работ может подразделение в функции которого входит обеспечение безопасности, либо отвечающие за информационные технологии. Для начала процедуры необходимо составить служебную записку либо иной документ в соответствии с регламентом делопроизводства в организации, в котором указать основания для проведения процедуры, в нем же можно инициировать создание комиссии по категорированию.
5. Обязанности комиссии по категорированию
Комиссия по категорированию в ходе своей работы:
а) определяет процессы, в рамках выполнения функций (полномочий) или осуществления видов деятельности субъекта критической информационной инфраструктуры;
б) выявляет наличие критических процессов у субъекта критической информационной инфраструктуры;
в) выявляет объекты критической информационной инфраструктуры, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов, готовит предложения для включения в перечень объектов, а также оценивает необходимость категорирования вновь создаваемых информационных систем, автоматизированных систем управления, информационно-телекоммуникационных сетей;
г) рассматривает возможные действия нарушителей в отношении объектов критической информационной инфраструктуры, а также иные источники угроз безопасности информации;
д) анализирует угрозы безопасности информации, которые могут привести
к возникновению компьютерных инцидентов на объектах критической информационной инфраструктуры;
е) оценивает в соответствии с перечнем показателей критериев значимости масштаб возможных последствий в случае возникновения компьютерных инцидентов на объектах критической информационной инфраструктуры, определяет значения каждого из показателей критериев значимости или обосновывает их неприменимость;
ж) устанавливает каждому из объектов критической информационной инфраструктуры одну из категорий значимости либо принимает решение об отсутствии необходимости присвоения им категорий значимости.
Итак, после формирования, комиссия приступает к своим непосредственным обязанностям. И начинает с самого главного – с определения процессов в сфере КИИ, и, отдельно, выявления критических процессов. Именно выявление процессов и объектов КИИ и будет темой рассмотрения в нашей следующей публикации. Следите за новостями на нашем сайте.
А, чтобы ничего не пропустить, подписывайтесь на наш Телеграм-канал.
P.S. По секрету скажу, что в него можно приглашать друзей и знакомых,
для которых будет актуальна тематика, связанная с информационной безопасностью.
До новых встреч 😉