Проведение отраслевого мониторинга в КИИ. Некоторые лайфхаки

Алексей Филиппов

Старший методолог AKTIV.CONSULTING

Сегодня тематика защиты КИИ РФ является одной из животрепещущих тем, не теряющей своей актуальности. Даже несмотря на то, что Федеральный закон 187-ФЗ о КИИ был подписан в 2017 году, а форумы по информационной безопасности в этой области проводятся ежегодно (в т.ч. с участием представителей регулятора в области обеспечения безопасности КИИ РФ — ФСТЭК России), у организаций и субъектов КИИ все еще остается очень много вопросов по реализации требований законодательства в этой сфере (187-ФЗ, 127-П, 239-пр, 235-пр, 250-У).

На количество вопросов влияет и разношерстность субъектов, т.к. действие федерального закона распространяется на различные сферы деятельности, иногда кардинально отличающиеся друг от друга. Напомним, что сейчас таких сфер более четырнадцати, а именно: сфера здравоохранения, науки, транспорта, связи, энергетики, государственной регистрации прав на недвижимое имущество и сделок с ним, банковская сфера и иные сферы финансового рынка, топливно-энергетического комплекса, атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие систем или сетей связи в указанных сферах.

В настоящее время есть организации, которые «не спешат» выполнять требования законодательства, несмотря на их обязательность, рискуя при этом нарваться на проверку регулятора, ведомственной организации или группы отраслевого мониторинга.

В данной статье я не буду затрагивать правовую сторону подобных действий (бездействий), хотя выполнение даже информационно-аналитической работы по категорированию зачастую не требует выделения весомого количества ресурсов. Вместо этого хочется дать рекомендации, выполнение которых может помочь субъекту КИИ при проведении процедур мониторинга регулятором или вышестоящей ведомственной структурой.

Если «постучались» проверяющие

Начнем с определения того, что же из себя представляет этот мониторинг? Согласно пп.19.2, 19.3 постановления Правительства РФ. №127 от 8 февраля 2018 г. “Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений” мониторинг осуществляется регулярно путем запроса и оценки информации о сроках представления, актуальности и достоверности сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий. Дополнительно актуальность и достоверность сведений может подтверждаться путем ознакомления с объектами критической информационной инфраструктуры по месту их нахождения.

Таким образом, следуя тексту Постановления Правительства, проверяющие эксперты имеют право оценивать перечисленную выше информацию как удаленно, так и непосредственно явившись на ревизию в организацию субъекта.

Первый совет на случай, если к вам «постучались» с такой проверкой - подходите к данному вопросу со всей строгостью и формализмом. Проверяйте достоверность факта отправки письма с уведомлением о проверке КИИ, обратившись по официальным контактам проверяющей организации. Дополнительно рекомендуем заблаговременно скоординировать и организовать режим работы персонала вашей организации, участвующего в проверке КИИ. Такие проверки, как правило, не «сваливаются с неба», они запланированы. Узнать о них можно на сайте ФСТЭК России, где публикуется информация о плановых проверках.

Если у субъекта есть вышестоящая ведомственная организация, то и она должна быть в курсе такой проверки (и даже являться ее инициатором). Например, у субъектов КИИ, функционирующих в сфере оборонно-промышленного комплекса, таким инициатором может быть Минпромторг. Если же к вам пришли представители ФСТЭК России, то такие проверки должны сопровождаться предварительным уведомлением по почте или по телефону. Более того, у сотрудников ФСТЭК России должны быть при себе служебные удостоверения, подтверждающие причастность сотрудника к органу власти.

Какие документы готовить для мониторинга

После проверки легитимности действий проверяющего и согласования дат проведения мониторинга субъекту КИИ стоит начать готовить полный пакет документов, относящихся к КИИ.

Мониторинг включает в себя проверку актуальности и достоверности сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий. Поэтому проверять могут не только кто и как осуществлял категорирование (наполнение сведений), решения комиссии (и ее наличие, естественно) и т.д., но и актуальность состава технических средств, наличия описанных в сведениях средств защиты информации, реализации и регламентации организационных и технических мер, также указанных в сведениях.

Стоит отметить, что методика проведения мониторинга у проверяющих групп может различаться, а значит перечень запрашиваемой у различных субъектов КИИ информации может не совпадать. Но, наверняка, такие методики проведения мониторинга согласованы ведомственными организациями или ФСТЭК России, как минимум для унификации сбора таких оценок субъектов.

Перечислю наиболее частые аспекты и документы, проверяемые при мониторинге.

1. Первое, с чего начинается категорирование — создание комиссии. У субъекта должен быть оформлен приказ (распоряжение) о создании такой комиссии, а также документы (регламенты/положения) о ее функциях/деятельности. Можно рекомендовать субъекту КИИ периодически актуализировать состав комиссии, избавляясь от «мертвых душ», добавляя в комиссию новых сотрудников организации и сверяя состав с предложенным в постановлении 127-П.
2. Второе. Все действия и решения комиссии должны фиксироваться документально в протоколах заседаний комиссии, актах категорирования, решений комиссии и других формах.
3. Последующие пункты вызывают дискуссии экспертов о правоприменимости и трактовании нормативных правовых актов. Речь идет о проверке наличия перечня бизнес-процессов организации и формировании перечня критических процессов. Многие эксперты считают, что Постановление Правительства РФ №127 не обязывает формировать эти документы отдельно. Однако, в тексте постановления говорится, что комиссия по категорированию определяет процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъекта и выявляет наличие критических процессов. Таким образом, даже если субъект не хочет отдельно оформлять перечни бизнес- и критических процессов, должны быть оформлены решения (протоколы) комиссии, в которых эти процессы будут перечислены или имеется ссылка на внутренний документ (например, Устав организации), содержащий нужные сведения. Проверяющие в любом случае должны будут установить правильность отнесения организации к субъектам КИИ, определить виды деятельности для формирования правильного представления о том, какие объекты КИИ (ОКИИ) могут быть в наличии в организации. Непредоставление же перечня процессов организации чревато тем, что проверяющие могут начать искать любые ИС, АСУ, ИТКС, не связанные с непосредственной деятельностью субъекта, и включать их в перечень ОКИИ (раздувание перечня).
4. Перечень ОКИИ, подлежащих категорированию. Если субъект считает, что в его организации ОКИИ/ЗОКИИ нет, т.к. банально отсутствуют ИС, АСУ, ИТКС, автоматизирующие критические процессы, даже в этом случае он должен оформить данное обоснование, как результат заседания комиссии. Если же у субъекта есть ИС, АСУ, ИТКС, но действия злоумышленника в отношении них не могут привести к серьезным негативным последствиям (к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка), т.е. ОКИИ являются незначимыми, их все равно надлежит внести в перечень ОКИИ, подлежащих категорированию. Одной из частых ошибок субъектов является нарушение сроков предоставления перечня ОКИИ во ФСТЭК России. Напомним, что регулятор устанавливает срок в 10 рабочих дней со дня утверждения документа. В случае, если субъект по какой-либо причине не успел отправить перечень ОКИИ в установленный срок, проверяющий эксперт имеет право снизить оценку по данному критерию.
5. Акты (решения) по категорированию. В них, согласно Постановлению Правительства РФ №127, могут содержаться сведения об объекте и сведения о присвоенной ОКИИ категории значимости либо об отсутствии необходимости присвоения ему одной из таких категорий. Здесь, мы рекомендуем подкреплять акты (решения) фактами и оценками членов комиссии по категорированию. Например, обосновывать позицию комиссии о необходимости (отсутствии таковой) присвоения ОКИИ категории значимости, обозначать угрозы безопасности информации на ОКИИ, перечислять возможные действия нарушителей, негативные последствия и наихудшие сценарии воздействия на ОКИИ. Нет ничего хуже, чем одинокая фраза «Не применим» для определенного показателя значимости без обоснования этого факта. Акт(ы) категорирования должны быть утверждены не более чем через год со дня утверждения перечня ОКИИ. Кроме того, важным замечанием является и то, что акты должны быть подписаны всеми членами постоянно действующей комиссии и утверждены руководителем субъекта КИИ.
6. Сведения. Основной документ, который больше всего влияет на результаты оценки мониторинга. Остановимся на нем подробнее. Во-первых, «Сведения», как и «Перечень ОКИИ», должны быть направлены во ФСТЭК России в течение 10 рабочих дней со дня утверждения актов категорирования. Эти сроки проверяют эксперты группы мониторинга. Во-вторых, форму и разделы «Сведений» сверяют с формой, определенной в Приказе №236 ФСТЭК России. И, в-третьих, самое главное, проверяется актуальность и достоверность представленных сведений для проверки. Актуальность означает, что все разделы сведений должны быть актуальными на момент проверки группой мониторинга, не иметь устаревшей информации. Частой ошибкой является замена в организации должностного лица, ответственного за безопасности КИИ, и невнесение этих изменений в сведения, а также неуведомление об этом ФСТЭК России. Либо изменение состава ОКИИ/СЗИ и непроставление этой информации в сведения. Достоверность означает, что на момент предоставления сведений во ФСТЭК России информация, описанная в версии этих сведений, была достоверна. Сложный для понимания аспект, который на самом деле подразумевает правильность заполнения форм сведений и отсутствие грубых ошибок. Например, может быть неправильно определен тип ОКИИ, его архитектура, назначен неверный ответственный и т.д., которые на самом деле были на тот момент. Также, грубой ошибкой для проверяющего, из-за которой неминуемо снижается балл оценки, является полное отсутствие информации в разделе, незаполненный раздел.
7. Планы по импортозамещению. Отсутствие этого документа может и не привести к занижению оценки, но, учитывая, что субъектам КИИ, имеющим ЗОКИИ, так или иначе придется осуществлять импортозамещение в соответствии с Указами Президента №№166 и 250, субъектам уже всерьез пора прорабатывать этот вопрос.
8. Документы, фиксирующие изменения в описанных выше документах/различные версии документов (старые и обновленные версии документов). Зачастую у многих субъектов наблюдается перекатегорирование: забывая включить ОКИИ в перечень, кто-то находит новые или создает «с нуля». Вся эта информация должна пройти новый цикл каждый раз при очередном изменении. То есть, на каждый обновленный перечень должен иметься акт категорирования и сведения. При этом, требуется соблюдать сроки, как это было в «первом» процессе категорирования.

Из пункта выше вытекает следующая рекомендация: аккуратно храните все разработанные документы (хотя бы в электронном виде). Без предоставления наглядных доказательств о проделанной работе или банальной потере важного документа, проверяющие имеют право снизить оценку.

Заключение

И последняя рекомендация на сегодня — соблюдайте деловую этику. Проверяющие эксперты – тоже люди, они выполняют свои рабочие обязанности. Не стоит воспринимать факт проведения мониторинга в отношении вашей организации как некое негативное событие, пытаться «вставлять палки в колеса» проверяющим еще до начала непосредственной проверки. Подобные действия могут вызвать лишь обратную реакцию и в лучшем случае повлечь предвзятое отношение и занижение оценки. В худшем же, например, при отказе субъекта допустить экспертов до проверки, субъекту может быть проставлен заочный «неуд», что в дальнейшем выльется в наложение штрафов, предписаний и т.д.

В завершении скажу: кому нечего скрывать, тому нечего бояться. И пусть пока еще субъект КИИ выполняет требования регуляторов не в полной мере или с некоторыми недочетами, мониторинг поможет выявить их, устранить недопонимание и повысить экспертизу специалистов организации, ответственных за категорирование КИИ.