Типовые объекты КИИ в оборонной промышленности: перечни и особенности категорирования
В настоящее время Правительством РФ представлен для общественного обсуждения проект постановления «Об утверждении Перечней типовых отраслевых объектов критической информационной инфраструктуры», в котором собраны в одном месте перечни типовых отраслевых объектов КИИ для каждой сферы.
Перечни разработаны совместно с предприятиями, входящими в Индустриальный центр компетенций (ИЦК) «Металлургия» и организациями из сферы ОПК. ИЦК - это новый механизм взаимодействия отраслей и IT-компаний. Его идея заключается в объединении усилий крупных заказчиков и опытных разработчиков.
Для субъектов КИИ наличие данных перечней не в новинку, так как ранее данные перечни были опубликованы отдельно каждым отраслевым регулятором для каждой из 14-ти сфер деятельности.
Субъекты КИИ - это организации и индивидуальные предприниматели, владеющие или арендующие информационные системы, автоматизированные системы управления и информационно-телекоммуникационные сети, функционирующие в сферах: здравоохранение, наука, транспорт, связь, финансовая сфера, энергетика, атомная энергия, оборонная, ракетно-космическая, горнодобывающая, металлургическая, химическая промышленность и топливно-энергетический комплекс, госрегистрация прав на недвижимое имущество, а также те, кто обеспечивает взаимодействие таких систем.
Особенности категорирования объектов КИИ
Также на момент написания статьи Правительством РФ опубликованы для общественного обсуждения отраслевые особенности категорирования для 13 из 14 сфер КИИ (пока ожидаем проект для банковской и иных сфер финансового рынка). Все рассмотренные проекты документа по отраслевым особенностям категорирования имеют схожую структуру и формат изложения. Приравнять их к полноценным методическим документам по категорированию, к сожалению, не получится, но определённую ясность по некоторым вопросам они вносят. Хотя иногда, наоборот, возникают дополнительные вопросы.
Несмотря на уже достаточно зрелый возраст НПА по КИИ, у некоторых организаций всё ещё возникают сложности с определением принадлежности своей организации к конкретной сфере деятельности. В большинстве из проектов документов приводятся условия отнесения субъекта КИИ к определённой сфере. Как правило, есть 3-4 условия, и достаточно соответствовать одному, чтобы считаться субъектом КИИ, функционирующим в данной сфере.
Дополнительно в части проектов документов (например, в металлургической сфере) говорится о том, что если субъект КИИ функционирует сразу в нескольких сферах из 187-ФЗ, то в документации по категорированию («акты категорирования» и «сведения о присвоении категории значимости...») необходимо указывать одну основную сферу, которая соответствует ОКВЭД2, но при этом категорирование может проводиться с учётом отраслевых особенностей других сфер.
Какие ИС, АСУ, ИТКС категорировать субъекту КИИ? Абсолютно все ему принадлежащие или только те, которые обеспечивают критические процессы? После получения ответа от ФСТЭК России (приведён в ранее упомянутой статье) и внесения изменений в 127 ПП РФ, в рамках которых упразднили процедуру формирования перечня объектов КИИ, подлежащих категорированию, казалось бы, что данный вопрос не должен больше возникать, так как правильный ответ один - субъект КИИ должен категорировать все принадлежащие ему ИС, АСУ, ИТКС (объекты КИИ), как и сказано в 187-ФЗ.
Категорируются все ИС, АСУ, ИТКС субъекта КИИ.
Категорированию подлежат объекты КИИ, осуществляющие выполнение критических процессов, указанных в типовых отраслевых перечнях, а также объекты КИИ, на которых масштаб возможных последствий в случае возникновения компьютерных атак и компьютерных инцидентов соответствует одному из значений показателей критериев значимости, достаточному для присвоения категории значимости.
Категорированию подлежат объекты КИИ, соответствующие типам ИС, АСУ, ИТКС, включённых в типовые отраслевые перечни объектов КИИ и объекты КИИ, не соответствующие типовым отраслевым перечням при условии, что таким объектам присвоена одна из категорий опасности (высокая, средняя, низкая) в соответствии с Федеральным законом «О безопасности объектов топливно-энергетического комплекса», и масштаб возможных последствий в случае возникновения компьютерных инцидентов на которых соответствует показателям критериев значимости и их значениям.
В каждом проекте документа имеются отраслевые признаки значимости. Напоминаем, что наличие признаков значимости у субъекта КИИ ещё не говорит о том, что все его объекты КИИ должны быть значимыми.
По нашему опыту одним из самых сложных для расчета показателей критериев значимости для субъектов КИИ является расчет показателей экономической значимости. Тем более данные показатели применимы для всех субъектов КИИ.
ФСТЭК представила для обсуждения проект Постановления Правительства, в котором представлен перечень типовых отраслевых объектов критической информационной инфраструктуры, подлежащих особой защите.
Документ определяет ключевые информационные системы, сети и автоматизированные комплексы, подлежащие особой защите в различных отраслях экономики.
Изменения в законодательстве и требования к ПО
Напомним, что изменения направлены на технологический суверенитет РФ, а также на специфику отраслевого категорирования и взаимодействия с ГосСОПКА.
Утверждение перечня ускорит переход на объектах КИИ с зарубежного на отечественное ПО. Между тем на большинстве стратегически важных объектах продолжают использовать ИТ-продукты иностранных вендоров. По итогам исследования компании «Монк Дидижтал Лаб» их доля - 95%. Лишь 55% объектов КИИ закупили отечественное ПО.
5 ноября 2024 года вступил в силу приказ ФСТЭК России от 28.08.2024 № 159 «О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11.02.2013 № 17, и Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры РФ, утвержденные приказом ФСТЭК России от 25.12.2017 № 239».
С 1 января 2025 года органам государственной власти и компаниям с госучастием запрещено использовать иностранное ПО на принадлежащих им значимым объектам КИИ, даже если это ПО произведено в дружественной стране.
В марте 2024 года на рассмотрение в Государственную думу внесен законопроект № 581689-8, предлагающий поправки в 187-ФЗ от 26.07.2017 г. Законопроект предлагает расширить полномочия Правительства РФ и наделить его полномочиями устанавливать требования к ПО, ПАК и оборудованию, используемым в составе ЗОКИИ (а также согласовывать использование зарубежных аналогов), сроки и порядок перехода на российское ПО и оборудование, а также контролировать этот переход.
Отраслевые методические указания по категорированию КИИ утверждаются гос.
В сентябре 2024 года Правительство РФ изменило правила категорирования объектов КИИ. Согласно объяснению законодателей, пункты 5,15 и 10 ПП № 127 от 8 февраля 2018 года противоречили друг другу. Пункты 5 и 15 говорили о необходимости формирования субъектом КИИ перечня объектов КИИ, подлежащих категорированию, и согласованию их со ФСТЭК. Регулятор посчитал избыточными формирование перечней объектов КИИ, так как профильные министерства совместно со ФСТЭК России за последние 2 года уже сформировали перечни типовых отраслевых объектов КИИ, которые могут использоваться в качестве исходных данных при категорировании.
Ранее категорирование объектов КИИ необходимо было осуществить в течение одного календарного года с даты утверждения перечня объектов КИИ во ФСТЭК.
Документ будет использоваться как субъектами КИИ, так и ФСТЭК России для контроля за обеспечением безопасности объектов КИИ.
Согласно п. 11 Методики оценка показателя обеспечения безопасности должна проводиться не реже 1 раза в 6 месяцев, обязательно для всех значимых объектов КИИ.
В целом все изменения в законодательстве, произошедшие в 2024 году, направлены на ускорение построения реальной (не бумажной) ИБ объектов КИИ.
2 основные поправки 2024 года уже решили 2 главные проблемы индустрии: занижение категории значимости объектов КИИ и затягивание сроков перехода к проектированию системы защиты после подачи списка ЗОКИИ во ФСТЭК.
