О критериях значимости объектов критической информационной инфраструктуры

В конце сентября на портале regulation.gov.ru был размещен проект постановления Правительства Российской Федерации «Об утверждении показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, а также порядка и сроков осуществления их категорирования». На момент публикации этой заметки проект еще не утвержден. Также на портале опубликованы проекты сопутствующих нормативно-правовых актов: проект постановления Правительства РФ «Об утверждении порядка осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры» и проект ведомственного акта «Об утверждении формы акта проверки, составляемого по итогам проведения государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры».

Эти документы дополняют иерархию нормативно-правовых актов в области безопасности критических объектов , в том числе они раскрывает некоторые положения недавно утвержденного Закона «О безопасности критической информационной инфраструктуры Российской Федерации».

Документ устанавливает 3 категории значимости объектов критической инфраструктуры (КИИ). Определение категории осуществляется на основании показателей значимости, соответствующих объекту. Показатели значимости, в свою очередь, распределены по 5 направлениям, зафиксированным в Законе о КИИ (социальный, политический, экономический, экологический, значимость для обеспечения безопасности государства).

Основными показателями значимости являются:

• количество людей, которым возможно причинение ущерба в случае нарушения функционирования объекта;
• размер территории, на которую влияет функционирование объекта в сфере транспорта, связи, обеспечения жизнедеятельности населения, банковских услуг, экологии;
• влияние на функционирование государственных информационных систем в зависимости от общего количества их пользователей и уровня значимости;
• размер возможного ущерба в случае нарушения функционирования объекта;
• влияние на оборону страны и безопасность государства.

В случае если объект не попадает под установленные показатели, необходимость присвоения категории значимости такому объекту отсутствует.

Так же документ уточняет, какие объекты подлежат категорированию. К ним относятся объекты, которые обеспечивают выполнение управленческих, производственных, финансово-экономических и других процессов субъекта КИИ. Так как закон о безопасности КИИ в качестве объектов определяет, в том числе, информационные системы субъектов КИИ, то из данного перечня вытекает, что все информационные системы, функционирующие у субъекта КИИ, включая внутренние (обеспечивающие функционирование только самого субъекта), подлежат категорированию со всеми вытекающими обязательствами (проведение категорирования каждого объекта, формирование акта категорирования и направление уведомления в уполномоченный орган, которым станет ФСТЭК).

Для проведения категорирования объектов документ устанавливает обязанность субъектов КИИ в течении 6 месяцев со дня вступления в силу постановления (1 января 2018 года) сформировать перечень объектов, подлежащих категорированию, и определить срок его проведения.

Проведение категорирования объектов производится путем создания комиссии, участниками которой становятся сотрудники субъекта КИИ. Документ также определяет возможность привлечение организаций, лицензированных ФСТЭК, для осуществления категорирования.

Комиссия должна провести обследование, целью которого является определение объектов КИИ, включая информацию о возможных сценариях действий нарушителей, угрозах безопасности информации, уязвимостях и возможных последствиях инцидентов безопасности на данных объектах, и присвоение им категории значимости (или неприсвоение категории).

Результатом работы комиссии является акт категорирования для каждого объекта КИИ, включающий информацию об объекте категорирования, определенных угрозах и уязвимостях, реализованных мерах защиты, присваиваемой категории и, в случае значимого объекта, необходимости применения дополнительных мер по обеспечению безопасности (перечень требований к обеспечению безопасности значимых объектов должен быть разработан ФСТЭК). Субъект КИИ должен в течении 10 дней с даты утверждения акта направить в ФСТЭК информацию о результатах проведения обследования, вне зависимости от результата проведения категорирования (была присвоена категория или отсутствует необходимость в ее присвоении).

Стоит отметить, что раз в 5 лет субъекту необходимо проводить процедуру пересмотра установленной категории объектов и в случае изменения уведомлять уполномоченный орган.

Георгий Морозов
Менеджер по сопровождению корпоративных клиентов, Акрибия