Под действие ФЗ №187 попадают организации многих отраслей, в том числе и транспортной.

Эксперты для читателей журнала RUБЕЖ рассказали, как правильно и по каким критериям нужно проводить категорирование объектов КИИ, на что нужно обратить внимание при обеспечении их безопасности.

Павел Терентьев, независимый эксперт IT-отрасли

Согласно п. 7 ст. 2 ФЗ № 187 от 26 июля 2018 г. «О безопасности критической информационной инфраструктуры Российской Федерации» под объектами, относящимися к критической информационной инфраструктуре, на которую распространяются положения данного закона, подразумеваются любые информационные системы, системы автоматизации управления и информационно-телекоммуникационные сети, в т.ч. применяемые на транспорте. Субъектами, обязанными выполнить требования ФЗ, признаются любые организации и индивидуальные предприниматели, являющиеся резидентами страны, и владельцами объектов КИИ на праве собственности, по договору аренды и на иных законных основаниях.

На основании п. 3 ст. 7 Закона принята классификация объектов КИИ на 3 группы: первую, вторую и третью.

Группы присваиваются в соответствии с утвержденным постановлением Правительства РФ №127 от 08.02.2017 г. перечнем показателей критериев значимости объектов РФ и их значения – п. 4. ст. 7 ФЗ № 187.На основании п. 1-4 ФЗ № 187 и перечня из ПП РФ № 127, при отнесении объекта КИИ к той или иной категории, необходимо учесть их социальную, политическую, экономическую, экологическую значимость, а также их значение для обеспечения обороноспособности страны.

Так, к 1 категории относятся социально значимые объекты, которые могут потенциально нести в себе опасность для жизни и здоровья граждан, приводить к нарушению работы объектов жизнеобеспечения населения России, сбоям в работе объектов транспортной инфраструктуры и связи, нарушениям функционирования органов государственной власти, отказу доступа к услугам государственного сектора.

Согласно разд. I п. 3 пп. а) и б) Постановления все объекты транспортной инфраструктуры должны быть оценены в соответствии с территориальным признаком и количеством обслуживаемого населения. К 1 категории относятся объекты КИИ, расположенные в одном территориальном образовании, при нарушениях работы которых доступ к объектам транспортной инфраструктуры будет ограничен населению в количестве от 50 до 999 человек. Во II категорию входят объекты КИИ, расположенные на территории 2 и более муниципальных образований, но в пределах 1 субъекта РФ, при нарушении доступа к которым лишится возможности пользования транспортной инфраструктурой от 1000 до 4999 человек. К последней, III категории, отнесена территория, выходящая за пределы субъекта РФ, при ограничении доступа населению в количестве от 5 000 человек и более.

В связи с принятием закона владельцы объектов транспортной инфраструктуры должны в обязательном порядке пройти процедуру категорирования находящихся в их ведомстве элементов КИИ в том случае, если по ОКВЭД сфера деятельности организации прямо или косвенно имеет отношение к транспорту на основании выписки ЕГРЮЛ.

Для выполнения новых требований закона организации обязаны присвоить объектам КИИ категории, провести интеграцию своих систем в Государственную систему ГосСОПКА, принять меры для обеспечения должного уровня безопасности каждого элемента внутренней КИИ.

Для того, чтобы провести категорирование объектов, необходимо проанализировать их по ряду критериев и присвоить каждому из них одну из 3 категорий. Даже если объекту не присвоена никакая категория, необходимо предоставить об этом данные в ФСТЭК.

После завершения процедуры присвоения категорий, данные по форме ФСТЭК передаются в ведомство для включения в общегосударственный реестр объектов критической инфраструктуры, содержащий такую информацию, как наименование объекта и организации, сведения о взаимодействии элемента с сетями, категорию объекта КИИ, данные о программном обеспечении, применяемом компанией, эксплуатирующей КИИ, а также меры для обеспечения безопасности пользования элементом КИИ.

Для того чтобы правильно провести категорирование объектов, нужно в первую очередь составить список бизнес-процессов, которые выполняются элементами КИИ, выделить из всех процессов те операции, которые потенциально несут в себе негативные последствия для населения и иных объектов инфраструктуры города. Далее необходимо установить конкретный перечень КИИ, которым нужно присвоить категорию - успеть это нужно сделать до 26 января 2018 г.

Провести комплексную оценку критериев каждого объекта на предмет социальной, политической и экономической значимости, присвоить категории элементам или принять решение о том, что они не относятся к объектам КИИ.

Необходимо уделить внимание не только действующим элементам бизнес-процессов, но также вновь создаваемым и модернизирующимся объектам, в т.ч. указанным в лицензиях организации на выполнение конкретных видов услуг или работ.

После внесения сведений в реестр ФТЭКС, комиссия ГосСОПКА на базе конкретного предприятия должна провести в течение года интеграцию в единую ведомственную систему всех объектов КИИ для оперативного информирования государственных структур о попытках несанкционированного доступа к элементам критической инфраструктуры отдельно взятого предприятия, а также для устранения возможных последствий хакерских атак в минимальные сроки.

Сотрудники ведомственной комиссии обязаны: провести инвентаризацию элементов КИИ, осуществить поиск слабых мест и комплексный анализ угроз безопасности каждого объекта, использовать системы шифрования данных, анализа и сбора информации, корреляции внутренних процессов и событий, происходящих на аппаратном уровне с применением современных аппаратных средств доступа.