С июля начались проверки соблюдения субъектами критический информационной инфраструктуры требований законодательства по обеспечению безопасности значимых объектов критической информационной инфраструктуры (ЗОКИИ). Об этом неоднократно предупреждали представители регулятора – ФСТЭК России.

Законодатели к началу проверок дополнили перечень нарушений в области обеспечения безопасности КИИ и предусмотрели административные меры ответственности за них.

По данным экспертов, тех, к кому данные меры могут применяться, достаточно. Так на сегодняшний день более чем по 1 700 объектам не соблюдены сроки представления сведений о результатах их категорирования, установленные в пункте 17 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации.

Пройти процедуру категорирования непросто. Около трети направленных сведений о результатах присвоения объекту КИИ категории значимости ФСТЭК России возвращает промышленным объектам на доработку. Причин для этого несколько:

• к объектам КИИ не применяются никакие показатели значимости, хотя есть модели угроз, где описаны последствия реализации угроз безопасности;
• субъекты считают, что если объекты КИИ автономны и не подключены к какой-либо сети, то на них не могут быть реализованы инциденты информационной безопасности, и либо не категорируют данные объекты, либо объекты определяют как незначимые;
• при категорировании не учитывается один из законодательно определенных источников данных – Декларация промышленной безопасности объекта, содержащая информацию о характере и масштабе возможных опасностей от объекта;
• показатели значимости не соотносятся друг с другом, и не учитывается влияние инцидента по одному из показателей на остальные;
• при расчете показателя «Причинение ущерба жизни и здоровью людей (человек)» не учитываются собственные сотрудники. Также не учитывается, что инцидент на одном объекте может привести к цепной реакции инцидентов по всем объектам, что может существенно увеличить значение показателей значимости.

Проблемы могут возникнуть и у тех, кто прошел процедуру категорирования и работает над модернизацией системы обеспечения безопасности или даже завершает этот процесс. Более чем у 60% из 860 субъектов, владеющих ЗОКИИ, системы обеспечения безопасности значимых объектов не соответствуют требованиям к созданию систем безопасности ЗОКИИ и обеспечению их функционирования (приказ ФСТЭК России от 21 декабря 2017 г. № 235) и требованиям по обеспечению безопасности ЗОКИИ РФ (приказ ФСТЭК России от 25 декабря 2017 г. № 239). ФСТЭК в ходе проверок оценивает реализацию организационных мер. Для соответствия требованиям необходимо не просто разработать или актуализировать пакет документов, регламентирующий работу с КИИ, но и ознакомить с ним всех ответственных сотрудников.

Сами сотрудники, непосредственно отвечающие за обеспечение безопасности объектов КИИ, а не только руководители, должны регулярно повышать свою квалификацию, чтобы быть подготовленными к актуальным угрозам и противодействовать злоумышленникам, число и уровень которых постоянно растет.

Подготовка к проверкам ФСТЭК России осложняется нехваткой методической документации. В частности, по-прежнему в разработке находятся Методики оценки показателей критериев экономической значимости объектов КИИ РФ, социальной значимости, по работе комиссий по категорированию объектов КИИ. Если у компании не хватает ресурсов для подготовки к проверке регулятора, рекомендуем обратиться за помощью к специалистам.

Материал подготовлен на основе выступления заместителя начальника управления ФСТЭК России Елены Торбенко в ходе IX конференции «Информационная безопасность АСУ ТП критически важных объектов».