От перечней к методическим материалам
Уровень цифровизации сейчас – один из показателей развития страны, однако в погоне за поголовной цифровизацией можно и переусердствовать. Важно не просто сделать цифровую среду доступной для граждан и бизнеса, но и обеспечить ее безопасность и надежное функционирование. Именно потому ключевым элементом развития цифровой экономики в России является Федеральный закон № 187 «О безопасности критической информационной инфраструктуры» (КИИ). Принят он летом 2017 г., но реализация его требований по-прежнему находится на самом начальном этапе.
Результаты и отношение
В соответствии с изменениями, внесенными в Постановление Правительства № 127 «О категорировании» Постановлением № 452 в апреле этого года, государственным учреждениям и компаниям настоятельно рекомендовалось до 1 сентября 2019 г. утвердить перечни своих объектов, которые подлежат категорированию. Для коммерческих компаний это лишь рекомендации, а вот государственные органы и учреждения должны были в этот срок уложиться. Поскольку пока никаких наказаний за несоблюдение данного требования не было, есть надежда, что «в первом приближении» список всех объектов КИИ, которые подлежат категорированию, составлен.
Результаты процесса категорирования, по данным Елены Торбенко, заместителя начальника управления ФСТЭК России, на сентябрь текущего года примерно следующие: всего подлежит категорию 36 тыс. объектов, из которых процедура категорирования завершена для 4 тыс. При этом к индустрии ТЭК относится 12 981 объект, здравоохранению – 9363, сфере связи – 3968, ОПК – 2575, металлургии – 1588, банкам – 1474. То есть доля тех, кто уже завершил процедуру категорирования, не очень большая, но достаточно много компаний и организаций хотя бы составили перечень объектов, для которых процедуру категорирования провести необходимо. Таким образом, сейчас начинается активная фаза по категорированию объектов в самых разных отраслях экономики. Наибольшее количество объектов обнаружено в сфере ТЭК, здравоохранении и связи, хотя если объединить все промышленные отрасли (ОПК, металлургию, горнодобывающую и химическую), то их тоже наберется довольно много – 5623.
Понятно, что категорирование в этих отраслях идет разными темпами. Для того чтобы выяснить, какая из отраслей у специалистов считается наиболее продвинутой в части реализации требований по защите КИИ, в специализированной группе Facebook был задан вопрос: «Какие сферы экономической деятельности наиболее продвинулись в реализации требований Закона № 187-ФЗ?». По истечении трех недель было получено 42 ответа. Большая часть респондентов (57%) отдали пальму первенства в реализации Закона № 187-ФЗ энергетике и ТЭК, 21% – промышленности (видимо, обобщенной), 10% – банкам, 7% – здравоохранению и 5% – связи.
Сравнение результатов деятельности по составлению перечней с оценкой мнения экспертов показывает следующие тенденции в процессе категорирования. Больше всего в реализации требований закона «О безопасности КИИ» продвинулись представители ТЭК, хотя здесь самый большой фронт работ. Ситуация в здравоохранении и связи оставляет желать лучшего: объектов много, но продвижение в направлении их категорирования здесь довольно слабое. И если по здравоохранению оценки экспертов, похоже, соответствуют действительности, то успехи телекоммуникационной отрасли кажутся заниженными. Ведь наиболее подробные и полезные рекомендации по категорированию были сформулированы именно в телекоме. Хорошую репутацию у экспертов имеют банки, несмотря на небольшое количество объектов – всего около 4%.
Лучшие практики
Итак, в ТЭК предстоит максимум работы, но в то же время именно здесь накоплена экспертиза, позволяющая в течение следующего года провести все процедуры, необходимые для соответствия требованиям Закона № 187-ФЗ. В частности, это выразилось в разработке документа «Методические рекомендации по определению и категорированию объектов КИИ ТЭК», которые утверждены Минэнерго и согласованы ФСТЭК России летом 2019 г. Это та самая методическая база, которая, по задумке авторов, и должна помочь в проведении процедуры категорирования всех объектов, причем, возможно, не только ТЭК, но и других отраслей.
Энергетическая специфика проявляется сразу, поскольку в отрасли уже есть опыт проведения категорирования, но только в соответствии с Законом № 256-ФЗ «О безопасности объектов топливно-энергетического комплекса». В рекомендации указано: «Категорирование объекта ТЭК в соответствии с Законом № 256-ФЗ… не является основанием для непроведения процедуры категорирования в соответствии с Законом № 187-ФЗ». То есть это две разные системы категорирования, хотя в обоих случаях речь идет о безопасности. Впрочем, раздел «Организационные и технические меры…» частично соответствует требованиям Закона № 256-ФЗ.
Методические рекомендации могут применяться на предприятиях «в сферах электроэнергетики, нефтедобывающей, нефтеперерабатывающей, нефтехимической, газовой, угольной, сланцевой и торфяной промышленности, а также нефтепродуктообеспечения, теплоснабжения и газоснабжения». Последние две категории можно было бы отнести к категории ЖКХ, которой в законе нет, тем не менее Минэнерго внесло их в методические рекомендации, и теперь предприятиям, которые в этих областях работают, придется выполнять требования по защите критической инфраструктуры.
Методичка содержит часть, заимствованную из другой отрасли – телекома. В разделе, посвященном формированию списка критических процессов, есть ссылка на стандарт Enhanced Telecom Operations Map (eTOM): «Модель еТОМ определяет архитектуру бизнес-процессов операторов телекоммуникационных услуг, но может быть применена и в других областях, в том числе в топливно-энергетическом комплексе». Впрочем, ведущим подходом в формировании списка процессов на предмет оценки их критичности является разделение их на основные (операционные), управленческие, поддержки функционирования и развития. Это несколько отличается от предписанного в постановлении № 127-ПП требования выявлять управленческие, технологические, производственные, финансово-экономические и иные процессы, хотя приведенные классификации и не противоречат друг другу.
В разделе 8 «Методических рекомендаций» подробно рассматривается процесс заполнения акта категорирования на предприятиях ТЭК. В частности, описано, как рассчитываются различные виды ущерба применительно к предприятиям ТЭК. Это наиболее сложная часть работы по категорированию, поскольку именно от нее зависит финальная категория КИИ со всеми вытекающими последствиями.
Следует отметить, что в марте текущего года свои рекомендации по категорированию опубликовала и общественная организация АДЭ. «Методические рекомендации по категорированию объектов КИИ, принадлежащих субъектам КИИ, функционирующим в сфере связи» даже согласованы со ФСТЭК России и ФСБ России, но пока не слышно об их поддержке Минкомсвязи. Это документ максимально подробный и объемный – 108 страниц (для сравнения: рекомендации Минэнерго – 39 страниц). Можно даже предположить, что Минэнерго позаимствовало лучшие практики АДЭ в части ссылки на eTOM, некоторых иллюстраций и структуры разделов. По такому пути могут пойти и другие министерства и отраслевые регуляторы.
В документе АДЭ подробно описано, какие типовые процессы оператора можно считать критическими для его работы, как информационные системы соотносить с процессами, как оценивать ущерб. В частности, приведены расчеты пороговых значений ущерба для бюджетов на 2019, 2020 и 2021 гг. (в постановлении они даются как процент от бюджета). В документе также содержатся все необходимые шаблоны документов, что позволяет упростить подготовку финального пакета для регистрации акта категорирования во ФСТЭК с минимумом ошибок. Таким образом, ТЭК и операторы связи имеют достаточно подробные и хорошо проработанные методические документы для проведения процедуры категорирования. Даже у банков пока нет подобных рекомендаций, хотя о безопасности информационных систем их обязали беспокоиться значительно раньше.
К сожалению, для медицинских учреждений общих рекомендаций по-прежнему нет. Имеется документ под названием «Методические рекомендации по категорированию объектов КИИ в медицинских организациях Красноярского края», однако по сути они являются компиляцией различных руководящих документов общего назначения без учета конкретики медицинских учреждений, критических для них процессов предоставления услуг и оценки ущерба, а ведь именно это наиболее ценный элемент отраслевых рекомендаций. Впрочем, в Минздраве в соответствии с приказом № 703 сформирована комиссия по категорированию, что позволяет надеяться на изменение ситуации с исполнением требований Закона № 187-ФЗ в самом ближайшем будущем.
Заключение
Обеспечение информационной безопасности предприятий в критических отраслях экономики – процесс продолжительный. Он длится уже в течение двух лет, однако к сущностным вопросам обеспечения информационной безопасности пока не подошел. Впрочем, есть надежда, что системы защиты после проведения процедуры категорирования, точнее, выявления критических процессов, информационных систем, которые их поддерживают, и оценки ущерба от прекращения их работы, все-таки будут построены. Возможно, это подвигнет компании на установку средств информационной безопасности, которые позволят сохранить надежность и устойчивость критических процессов даже при переводе их в цифровую форму.