О Методических рекомендациях по определению и категорированию объектов КИИ ТЭК
Под начало осени плавно и незаметно свет увидели Методические рекомендации по определению и категорированию объектов критической информационной инфраструктуры топливно-энергетического комплекса (далее – Рекомендации). Авторство Рекомендаций скрыто, но они согласованы с Минэнерго России и ФСТЭК России.
По своей основе Рекомендации очень сильно схожи (хоть и сильно сжаты) с Методическими рекомендациями по категорированию объектов критической информационной инфраструктуры, принадлежащих субъектам критической информационной инфраструктуры, функционирующим в сфере связи, от чего во время чтения не покидает чувство дежавю.
Рекомендации обладали ли бы несомненным положительным эффектным, который, вероятно, помог бы приоткрыть завесу таинства категорирования. Например, для того, чтобы его было возможно провести самостоятельно, без привлечения организаций-интеграторов. Однако ряд нижеприведенных недостатков не позволяет это сделать.
Ключевые недостатки
К сожалению, в Рекомендациях не раскрывается, что же может являться информационной системой, информационно-телекоммуникационной сетью или автоматизированной системой управления, функционирующей в сфере топливно-энергетического комплекса.
В этом плане сейчас проще всего медицинским организациям, для которых постановлением Правительства Российской Федерации от 12 апреля 2018 № 447 «Об утверждении Правил взаимодействия иных информационных систем, предназначенных для сбора, хранения, обработки и предоставления информации, касающейся деятельности медицинских организаций и предоставляемых ими услуг, с информационными системами в сфере здравоохранения и медицинскими организациями» однозначно определено, какие информационные системы функционируют в сфере здравоохранения.
К сожалению, в Рекомендациях не раскрывается порядок формирования перечня объектов критической информационной инфраструктуры, подлежащих категорированию. Даже не смотря на то, что в тексте упоминаются критические процессы, применяющий Рекомендации специалист не сможет сделать однозначного вывода о том, какие информационные системы, информационно-телекоммуникационные сети или автоматизированные системы управления необходимо включать в перечень объектов критической информационной инфраструктуры, подлежащих категорированию: все или только те из них, которые обрабатывают критические процессы. Между тем, описанию выявления критических процессов посвящается достаточное количество текста в Рекомендациях.
Удивление и недопонимание взывает некое деление процедуры категорирования на «первичную» и «последующую». И все бы ничего, если бы далее суть этих процедур была бы раскрыта. Но Рекомендации раскрывают только первичную процедуру категорирования, под которой понимают формирование и направление перечня объектов критической информационной инфраструктуры, подлежащих категорированию, в ФСТЭК России. Последующая процедура категорирования в Рекомендациях никак не раскрывается, но приводятся только случаи ее проведения.
И тут рождается вопрос: «Собственно, а когда же Рекомендации предлагают проводить категорирование?».
Зачем-то по тексту Рекомендаций предпринимается попытка обоснования заведомого «отсечения» информационных систем, информационно-телекоммуникационных сетей или автоматизированных систем управления, прекращение или нарушение функционирования которых не должно иметь неких, внимание, значимых негативных последствий.
Неужели Рекомендации задумывали оставить субъектов критической информационной инфраструктуры из сферы топливно-энергического комплекса без незначимых объектов критической информационной инфраструктуры (хотя в прилагаемой к Рекомендациям форме акта категорирования таковые упоминаются)? Зачем вообще необходимо прибегать к такому заведомому «отсечению», если даже для критических процессов характерно наличие абсолютно любого негативного социального, политического, экономического, экологического последствия, последствия для обеспечения обороны страны, безопасности государства и правопорядка?
п. 5 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 08.02.2018 № 127 (далее – Правила категорирования).
К сожалению, вступая в разрез с Правилами категорирования Рекомендации не допускают оформление единого акта категорирования для всех объектов критической информационной инфраструктуры.
К сожалению, в Рекомендациях не предлагается обоснования неприменимости ряда показателей критериев значимости, но рекомендуется формулировка «не применяется». Разве настолько краткое обоснование устроит ФСТЭК России?
Странно, но показатели критериев значимости в Рекомендациях предлагается рассчитывать с использованием паспортов объектов безопасности топливно-энергетического комплекса. Неужели в них учитываются таргетированные компьютерные атаки?
К сожалению, предлагаемая форма акта категорирования не учитывает изменения, внесенные в Правила категорирования.
Постановление Правительства РФ от 13.04.2019 № 452 «О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127».
Вишенка на торте. Само Минэнерго России этими Рекомендациями пользоваться не будет.
Заключение
Конечно, замечательно, что под самый старт сезона работ по категорированию объектов критической информационной инфраструктуры начинают появляются подобные документы:
1. Разбираемые Рекомендации.
2. Методические рекомендации по категорированию объектов критической информационной инфраструктуры, принадлежащих субъектам критической информационной инфраструктуры, функционирующим в сфере связи, согласованные 8 Центром ФСБ России и ФСТЭК России.
3. Методические рекомендации «Категорирование объектов критической информационной инфраструктуры», разработанные ООО «СТЭП ЛОДЖИК».
Как говорится, на безрыбье и рак – рыба, поэтому все вышеуказанные рекомендации помогут субъектам критической информационной инфраструктуры (из числа тех, которые ещё не провели данные работы) осуществить категорирование объектов критической информационной инфраструктуры собственными силами. Главное применять их с оглядкой на действующую нормативно-правовую базу по проблеме обеспечения безопасности критической информационной инфраструктуры.
Канал в Telegram