Эксперты Angara Security представили в ходе межотраслевой конференции по регуляторике в сфере информационной безопасности, организованной ассоциацией АБИСС, доклад о проблематике категорирования объектов критической информационной инфраструктуры. Государственные организации и бизнес сталкиваются с общими задачами: как пройти процесс категорирования от начала до конца и при этом не потерять объекты КИИ или их категории?
«Очередные изменения в законодательстве отразились как на перечне показателей в критериях оценки объектов КИИ, так и на определении их значимости. Разобраться в процессах, учесть изменения в законодательстве и выполнить требования регуляторов без привлечения профильных профессионалов, знающих нормативную базу, ведомственные особенности и тонкости оформления документации, становится все сложнее», — уточнил Александр Хонин.
При этом категорирование представляет собой сложную и многоступенчатую процедуру, которая предусматривает создание комиссии, определение процессов, подпадающих под требования регуляторов, соотнесение систем и процессов, оценку критичности, подготовку документации и ее отправку в соответствующие госорганы. В ходе экспертного доклада Александр Хонин рассмотрел все этапы категорирования согласно действующему законодательству: от выделения объектов КИИ до заполнения итоговых документов (в том числе формы 236). Эксперт также отметил дополнительные аспекты темы: на что стоит обратить внимание в рамках категорирования, в частности, обоснование неприменимости показателей критериев значимости, оценку масштаба последствий, определение перечня угроз безопасности и т. д.
Эксперт порекомендовал последовательный подход к категорированию ОКИИ, который включает сбор исходных данных, категорирование объектов КИИ, подготовку и отправку сведений по результатам такого категорирования во ФСТЭК России (с указанием присвоенной категории значимости). При этом подэтап сбора исходных данных является одним из основных, в рамках которого формируется «база» для последующего категорирования объектов КИИ. По итогам обозначенных работ можно приступать к самому категорированию, в рамках которого объектам КИИ присваивается одна из категорий значимости (или же без категории, когда объект признается незначимым). При этом в рамках акта категорирования как отображаются сведения о самом объекте КИИ, так и приводятся обоснования по оцениваемым показателям, в соответствии с которыми объект КИИ категорируется.
Проблематика категорирования КИИ приобретает актуальность на фоне растущего числа кибератак на инфраструктуру государственных организаций и крупного российского бизнеса, а также на фоне задач по импортозамещению ПО и оборудования вендоров, которое по-прежнему используется для обеспечения технологических процессов. Поэтому категорирование позволит, с одной стороны, скорректировать планы по импортозамещению в ряде организаций, которые относятся к КИИ на данный момент, а с другой, выявить неучтенные признаки КИИ, чтобы бизнес и госструктуры могли также своевременно выполнить требования регуляторов рынка. Список субъектов КИИ постоянно расширяется. Например, наряду с информационными системами, АСУ, действующими в сфере здравоохранения, науки, транспорта, связи, энергетики, в банковской сфере, ТЭК, атомной, металлургической, химической промышленности и других отраслях, к КИИ также относятся структуры, выполняющие государственную регистрацию прав на недвижимое имущество и сделок с ним. Поэтому категорирование организаций будет наращивать актуальность с учетом включения новых отраслей в контур защиты критической информационной инфраструктуры.12.10.2023