КИИ и ДИТ Москвы

Сайт Правительства Москвы не самое удобное место с точки зрения навигации, поэтому немудрено, что когорта методических документов по категорированию объектов КИИ не охватывала соответствующий материал для органов исполнительной власти и подведомственных учреждений Правительства Москвы. И это несмотря на то, что документ появилась под конец весны, и, судя по всему, обновлялся и дополнялся в соответствии с самыми актуальными веяниями в области обеспечения безопасности КИИ. 

Итак, рассмотрим Методические рекомендации по определению объектов критической информационной инфраструктуры и категорий значимости объектов критической информационной инфраструктуры.

К сожалению, данные Методические рекомендации не лишены отдельных упущений и недостатков, которые, справедливости ради, вполне можно оправдать тем обстоятельством, что указанный документ не согласовывался ни с ФСТЭК России, ни с ФСБ России. Кроме того, документ перегружен приложениями, которые, во-первых, занимают большую часть объема всего содержания, а, во-вторых, посвящены бумажному оформлению процедур, которые, к слову, Правилами категорирования объектов критической информационной инфраструктуры Российской Федерации не предусматриваются (далее – Правила) [1] , т.е. являются нововведением авторов рассматриваемых Методических рекомендации.

1. Постановление Правительства РФ от 8 февраля 2018 г. № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений».

Причем, отмечу, что и в общем документ грешит введением сущностей, которые не предусмотрены Правилами, да и в целом создается впечатление, что рекомендации посвящены бюрократическому описанию первоначальных шагов, предшествующих непосредственному категорированию. Да-да, в рассматриваемых Методических рекомендациях всего 3,5 страницы отведены процессу непосредственного категорирования, из которых читающий не узнает ничего нового. Бумажную направленность документа подтверждает и скрупулёзно подобранный перечень терминов и, так сказать, вводная описательная часть, вероятно, призванная плавно подвести к проблеме категорирования объектов КИИ.

Рассмотрим недостатки более подробно

Уже в первых строчках (абзац второй, страница 9), определяющих, как мне показалось, цель документа, неточность, которая теряется в массивном теле абзаца, написанного одним огромным предложением. В Методических рекомендациях заявляется, что они описывают процесс отнесения ИС/ИТС/АСУ, принадлежащих на разных правах г. Москве в лице органов исполнительной власти г. Москвы и иных организаций подведомственных этим органам, к объектам КИИ. В этом заявлении содержится сразу две ошибки, противоречащих Закону [2]. Чтобы вскрыть эти ошибки вспомним определения понятий субъект и объект КИИ.

2. Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».

В соответствии с Законом, утрированно, субъектами КИИ называют организации, которым на праве собственности, аренды или ином законном основании принадлежат ИС/ИТС/АСУ, функционирующие в ряде заветных сфер. К объектам КИИ же относят ИС/ИТС/АСУ субъектов КИИ независимо от сферы их функционирования (говоря простым языком, если организация является субъектом, то ее ИС/ИТС/АСУ – объекты КИИ).

Т.е. если некая ИС/ИТС/АСУ, функционирующая в одной из заветных сфер, не принадлежит на каком-либо законном основании органу исполнительной власти г. Москвы либо подведомственной ему организации, то такой орган или организация, во-первых, не является субъектом КИИ, и, во-вторых, в соответствии с Правилами не может осуществлять категорирование такой ИС/ИТС/АСУ. Иными словами, ИС/ИТС/АСУ, находящиеся в собственности г. Москвы должны категорироваться не отдельными органами исполнительной власти г. Москвы или подведомственными этим органам организациями, но самим Правительством г. Москвы.

Дополнительно замечу, что вполне можно предположить, что некая ИС/ИТС/АСУ принадлежит подведомственной организации, но могут ли ИС/ИТС/АСУ принадлежать именно органам исполнительной власти г. Москвы, но не самой Москве?

Вторая ошибка заключается в том, что авторы, очевидно, подразумевают, что органы исполнительной власти или подведомственные организации могут самостоятельно относить (или не относить) те или иные ИС/ИТС/АСУ к объектам КИИ, что противоречит Закону (см. вышеприведенное определение понятия объект КИИ). Описанию этого противозаконного действия посвящено целых 3 приложения к документу (приложение 1, 2 и 3), занимающих в сумме 11 страниц текста, которые вызывают наибольший абсурд при чтении рассматриваемо документа.

В рассматриваемых Методических рекомендациях предпринята попытка описать процесс, так сказать, самоидентификации организации в качестве субъекта КИИ (стр. 11), однако, к сожалению, не указывается, кто должен делать вывод о результатах такого самоопределения. А ведь для кого-то это до сих пор вызывает определенные осложнения.

В рассматриваемых Методических рекомендациях вводится некая сущность – рабочая группа (стр. 14), которая сразу начинает заниматься противозаконной деятельностью по выработке решений о том, какие из ИС/ИТС/АСУ являются (или нет) объектами КИИ. Однако никаких доводов о том, чем обосновано создание такой группы, когда она собирается, где в этом момент находится постоянно действующая комиссия по категорированию, как распределяются полномочия и обязанности комиссии и рабочей группы, когда заканчивает свою деятельность рабочая группа и когда в дело вступает комиссия по категорированию, не приводится.

Как и Методических рекомендациях по определению и категорированию объектов критической информационной инфраструктуры топливно-энергетического комплекса, которые разбирались ранее, в рассматриваемом документе предпринимается аналогичная попытка склонить к предварительному категорированию (стр. 15, стр. 23), которое будет осуществляться все той же загадочной рабочей группой. Однако сакральная суть необходимости этого действия не раскрывается.

Огромное недоумение вызывает в рассматриваемых Методических рекомендациях заявление (абзац второй, стр. 18), касающееся определения критических процессов, которые рекомендуется измерять по нижнему (минимальному) значению показателей критериев значимости объектов КИИ. Т.е., по логике авторов рассматриваемого документа, если нарушение или прекращение процесса приводит к негативным последствиям которые подпадают, под любой значение показателей критериев значимости объектов КИИ, то он критический, если оказывается ниже, то нет. Конечно, Правила не устанавливают критерии и метрику отнесения того или иного процесса к критическому, останавливаясь на том, что нарушение или прекращение такого процесса должно приводить к негативным процессам. Но данная практика, заявленная в рассматриваемом документе, может привести к тому, что если формировать перечень объектов КИИ, подлежащих категорированию, по этому принципу, то получается ситуация, по которой, априори, на категорирование заявляются только значимые объекты КИИ (единственное, для них не определена конкретная категория).

Несмотря на то, что в рассматриваемых Методических рекомендациях предлагается проводить предварительное категорирование и описывается метрика (критерии) отнесения тех или иных процессов к критическим, но, к сожалению, не раскрывается порядок формирования перечня объектов КИИ, подлежащих категорированию. Например, читающий данный документ специалист так и не поймет какие объекты КИИ ему включать в этот перечень: все или только те, которые обрабатывают критические процессы.

Итого, рассматриваемые Методические рекомендации не приближают к раскрытию таинства категорирования объектов КИИ, но, к сожалению, даже его усложняют, вводя новые сущности, устанавливая чрезмерно избыточное документальное сопровождение. Никак не рассматривается процесс непосредственного категорирования объектов КИИ, т.е. процесс применимости и оценки показателей критериев значимости для категорируемых объектов КИИ. Вместе с тем, учитывая то обстоятельство, что основная часть документа посвящена мероприятиям, предшествующим непосредственному категорированию, то, вероятнее всего, на данном этапе реализации законодательства о безопасности критической информационной инфраструктуры Российской Федерации (когда перечни сформированы и направлены в ФСТЭК России) он не найдет своего практического применения среди большинства субъектов КИИ. 

Интересно, а были ли рассматриваемые Методические рекомендации полезны для органов исполнительной власти г. Москвы и подведомственным им организациям, ведь документ разрабатывался именно для них?

Перейти в Telegram-канал "Листок бюрократической защиты информации"