Отраслевые особенности категорирования объектов КИИ: последние изменения

1 сентября уже близко, а это значит, что совсем скоро вступят в силу изменения 187-ФЗ в соответствии с 58-ФЗ «О внесении изменений в Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации».

Напомним, что изменения направлены на технологический суверенитет РФ, а также на специфику отраслевого категорирования и взаимодействия с ГосСОПКА. Подробнее о данных изменениях можно почитать тут, а сегодня предлагаем поговорить конкретно об отраслевых особенностях категорирования.

На текущий момент Правительством РФ представлен для общественного обсуждения проект постановления «Об утверждении Перечней типовых отраслевых объектов критической информационной инфраструктуры», в котором собраны в одном месте перечни типовых отраслевых объектов КИИ для каждой сферы. Для субъектов КИИ наличие данных перечней не в новинку, так как ранее данные перечни были опубликованы отдельно каждым отраслевым регулятором для каждой из 14-ти сфер деятельности. Но если раньше они имели скорее рекомендательный характер, то теперь их «статус» повышен – согласно новой редакции 187-ФЗ: «Субъекты КИИ в соответствии с критериями значимости и показателями их значений, порядком осуществления категорирования, перечнями типовых отраслевых объектов КИИ и отраслевыми особенностями категорирования объектов КИИ присваивают одну из категорий значимости принадлежащим им на праве собственности, аренды или ином законном основании объектам КИИ».

Также на момент написания статьи Правительством РФ опубликованы для общественного обсуждения отраслевые особенности категорирования для 13 из 14 сфер КИИ (пока ожидаем проект для банковской и иных сфер финансового рынка). Мы ознакомились с данными проектами и готовы поделиться своим мнением.

Общие впечатления

Все рассмотренные проекты документа по отраслевым особенностям категорирования имеют схожую структуру и формат изложения. Приравнять их к полноценным методическим документам по категорированию, к сожалению, не получится, но определённую ясность по некоторым вопросам они вносят. Хотя иногда, наоборот, возникают дополнительные вопросы. Однако обо всём по порядку.

Принадлежность к сфере деятельности

Несмотря на уже достаточно зрелый возраст НПА по КИИ, у некоторых организаций всё ещё возникают сложности с определением принадлежности своей организации к конкретной сфере деятельности. В большинстве из проектов документов приводятся условия отнесения субъекта КИИ к определённой сфере. Как правило, есть 3-4 условия, и достаточно соответствовать одному, чтобы считаться субъектом КИИ, функционирующим в данной сфере. Вот пример условий из отраслевых особенностей категорирования в сфере оборонной промышленности:

«Функционирование субъектов критической информационной инфраструктуры в сфере оборонной промышленности определяется наличием одного из следующих условий:

а) осуществление субъектом КИИ, в том числе входящими в его состав представительствами и филиалами, деятельности по разработке, производству, ремонту и утилизации вооружения, военной и специальной техники, а также производству товаров, используемых в составе такой продукции;

б) наличия у субъекта КИИ лицензий, сертификатов и иных разрешительных документов на виды деятельности в сфере оборонной промышленности;

в) наличия сведений о субъекте КИИ в сводном реестре организаций оборонно-промышленного комплекса, сформированном в соответствии с постановлением Правительства Российской Федерации от 20 февраля 2004 года № 96 «О сводном реестре организаций оборонно-промышленного комплекса»;

г) выполнение работ (оказание услуг) субъектом КИИ, в том числе входящими в его состав представительствами и филиалами, в рамках государственного оборонного заказа.»

Дополнительно в части проектов документов (например, в металлургической сфере) говорится о том, что если субъект КИИ функционирует сразу в нескольких сферах из 187-ФЗ, то в документации по категорированию («акты категорирования» и «сведения о присвоении категории значимости...») необходимо указывать одну основную сферу, которая соответствует ОКВЭД2, но при этом категорирование может проводиться с учётом отраслевых особенностей других сфер. Из чего делаем вывод, что перечислять в документах несколько сфер через запятую (как делали ранее многие субъекты КИИ) необходимости нет.

Перечень объектов КИИ, подлежащих категорированию

Старые добрые вопросы, которые мы разбирали в данной статье:

Какие ИС, АСУ, ИТКС категорировать субъекту КИИ? Абсолютно все ему принадлежащие или только те, которые обеспечивают критические процессы? Или только те, что есть в перечнях типовых отраслевых объектов КИИ?

После получения ответа от ФСТЭК России (приведён в ранее упомянутой статье) и внесения изменений в 127 ПП РФ, в рамках которых упразднили процедуру формирования перечня объектов КИИ, подлежащих категорированию, казалось бы, что данный вопрос не должен больше возникать, так как правильный ответ один — субъект КИИ должен категорировать все принадлежащие ему ИС, АСУ, ИТКС (объекты КИИ), как и сказано в 187-ФЗ. Но в проектах документов по отраслевым особенностям категорирования мы не увидели однозначного ответа и единой позиции по данному вопросу.

Какие объекты подлежат категорированию согласно проектам документов по отраслевым особенностям категорирования:

1) Сфера государственной регистрации прав на недвижимое имущество и сделок с ним

Категорированию подлежат объекты КИИ, соответствующие типам ИС, АСУ, ИТКС и обладающие признаками значимости типового объекта, предусмотренными перечнями типовых отраслевых объектов КИИ.

Что делать с остальными ИС, АСУ, ИТКС (в случае их наличия) увы, не сказано, хотя согласно 187-ФЗ они тоже по умолчанию являются объектами КИИ.

2) Область использования атомной энергии

Категорируются все ИС, АСУ, ИТКС субъекта КИИ. Отсылки к перечням типовых отраслевых объектов КИИ отсутствуют.

3) Сферы здравоохранения, связи, транспорта, науки, горнодобывающей (в части руд, камней), металлургической, оборонной, ракетно-космической, химической промышленности

Если обобщить, то во всех 9 перечисленных сферах подход к отраслевым особенностям категорирования примерно такой:

Категорированию подлежат объекты КИИ, осуществляющие выполнение критических процессов, указанных в типовых отраслевых перечнях, а также объекты КИИ, на которых масштаб возможных последствий в случае возникновения компьютерных атак и компьютерных инцидентов соответствует одному из значений показателей критериев значимости, достаточному для присвоения категории значимости. Объекты КИИ, которые не соответствуют ни одному из данных условий, не включаются в перечень объектов КИИ, подлежащих категорированию.

Дополнительно говорится о том, что если субъект КИИ обнаружит у себя объекты КИИ, которые отсутствуют в типовых отраслевых перечнях, но решил включить их в перечень объектов, подлежащих категорированию, то необходимо направить отраслевому регулятору предложения о дополнении перечней типовых отраслевых объектов КИИ.

Каким образом субъект КИИ до проведения категорирования должен провести оценку масштаба возможных последствий в случае возникновения компьютерных атак и компьютерных инцидентов на объектах КИИ, не включённых в типовой перечень, и какой подтверждающий документ должен быть на выходе, в проекте документа не сказано.

Будем надеяться на внесение изменений в документы по итогам общественного обсуждения.

4) Сферы топливно-энергетического комплекса и энергетики

Категорированию подлежат объекты КИИ, соответствующие типам ИС, АСУ, ИТКС, включённых в типовые отраслевые перечни объектов КИИ и объекты КИИ, не соответствующие типовым отраслевым перечням при условии, что таким объектам присвоена одна из категорий опасности (высокая, средняя, низкая) в соответствии с Федеральным законом «О безопасности объектов топливно-энергетического комплекса», и масштаб возможных последствий в случае возникновения компьютерных инцидентов на которых соответствует показателям критериев значимости и их значениям. Что делать с остальными ИС, АСУ, ИТКС (при их наличии), в проекте документа не сказано.

Взаимозависимые объекты КИИ

В 7 сферах (горнодобывающая, здравоохранение, металлургическая, оборонная, ракетно-космическая, связь, химическая) говорится о том, что в случае выявления при осуществлении деятельности одного субъекта КИИ взаимозависимости ИС, АСУ, ИТКС решением комиссии по категорированию такие ИС, АСУ, ИТКС могут быть включены в состав одного объекта КИИ.

К процедуре объединения нескольких объектов КИИ в один советуем подходить внимательно, так как может возникнуть риск завышения категории значимости.

Отраслевые признаки значимости

В каждом проекте документа имеются отраслевые признаки значимости. Информативность и полезность данных признаков в некоторых сферах вызывают вопросы (например, встречаются целиком скопированные абзацы из 127-ПП, без пояснений), но есть и хорошие примеры – советуем ознакомиться с отраслевыми признаками значимости горнодобывающей (в части руд, камней) промышленности.

Напоминаем, что наличие признаков значимости у субъекта КИИ ещё не говорит о том, что все его объекты КИИ должны быть значимыми. Категория значимости определяется в процессе категорирования.

Порядок расчета (оценки) значений показателей критериев значимости

По нашему опыту одним из самых сложных для расчета показателей критериев значимости для субъектов КИИ является расчет показателей экономической значимости. Тем более данные показатели применимы для всех субъектов КИИ. И приятно видеть, что во многих отраслях в проектах документов по отраслевым особенностям категорирования появились конкретные формулы и порядок расчета показателей экономической значимости.

Отраслевые особенности категорирования объектов КИИ, функционирующих в области ракетно-космической промышленности, содержат формулы по расчету показателя «снижение показателей государственного оборонного заказа, выполняемого (обеспечиваемого) субъектом КИИ».

Также в большинстве проектов документов приводится перечень показателей критериев значимости, которым нужно уделить особое внимание с учётом специфики отрасли.