Оглавление
Как с минимальными потерями провести категорирование объекта КИИ, если у вас на это есть полгода, три месяца или три недели?
Автор: Федор Музалевский, директор технического департамента RTM Group
Провести категорирование субъектам КИИ не самая сложная задача, если на нее есть время. А если есть еще и средства, то можно вообще ее не замечать. Но если об этом вспомнили внезапно (или того хуже – пришло срочное уведомление от регулятора), да еще и ресурсов на решение проблемы не слишком много, то важно все грамотно спланировать и сразу знать о нюансах, чтобы не терять время на них в процессе.
Трудности категорирования
В 2019 г. представители ФСТЭК говорили о том, что в России насчитывается до полумиллиона субъектов КИИ. Многие организации не считают себя субъектами КИИ, поэтому не выполняют требования, предъявляемые регулятором к этой категории. Усложняет дело информационное сообщение ФСТЭК России [1] о том, что об отсутствии объектов КИИ или о том, что организация не является субъектом КИИ, уведомлять не надо.
Главное, что нужно сделать каждому субъекту КИИ после того, как организация убедилась в этом статусе, – самостоятельно определить перечень своих объектов и провести их категорирование, в результате чего каждому объекту присваивается категория значимости либо обосновывается ее отсутствие. Это двухэтапный процесс. Оба этапа должны выполняться специальной комиссией, которую многим субъектам составить не из кого, так как зачастую в организации работает всего пять человек – еще одна трудность категорирования заключается в отсутствии людских квалифицированных ресурсов как в штате, так и на рынке.
Процесс категорирования регламентируется 127 ПП РФ; основные шаги перечислены общими фразами, часть пунктов дана в виде рекомендаций и примеров, в которых не так просто разобраться, не будучи погруженным в контекст законодательства. Необходимо учитывать не только постановление правительства, но и положения 187-ФЗ и отдельных приказов ФСТЭК России, утверждающих, в частности, формы предоставления сведений. Без специальных знаний здесь не обойтись.
Допустим, вам удалось решить проблему с кадрами. Далее необходимо выбрать технологические и бизнес-процессы. У крупных организаций это не вызывает сложностей. Небольшим субъектам потребуется понимание того, насколько детально надо прорабатывать классификаторы процессов или где это можно подсмотреть. Подобные трудности возникают почти на каждом шагу категорирования, вплоть до отправки документов во ФСТЭК России.
Упомянутые трудности приводят к тому, что процесс затягивается. В настоящее время, по оценке RTM Group, не более 50% субъектов выполнили категорирование, не более 25% из них выполнили его корректно. Примерные оценки все же позволяют судить о масштабе проблемы: половина критической инфраструктуры в стране еще не категорирована, а это более 200 тыс. субъектов.
Автоматизация в помощь
Для того чтобы помочь субъектам КИИ справиться с требованиями регуляторов, на рынке есть специальные программы, при помощи которых можно разобраться с перечнем документов и пройти пошагово основные процедуры. Такие средства автоматизации применяются либо крупными компаниями, которым необходима работа в команде, либо мелкими фирмами, ищущими в платформах уровень компетенций.
Сегодня подобный функционал можно обнаружить у таких сервисов, как SECURITM, АЛЬФА ДОК, MEDOED, НОТА КУПОЛ. Все они предлагают решить задачу категорирования по-разному, но заявляют о своем функционале автоматизации комплаенса по 187-ФЗ. Есть все основания полагать, что в ближайшее время будет всплеск интереса к таким инструментам: категорирования избежать не получится.
Платформы автоматизации создаются, как правило, при поддержке экспертов в области ИБ и содержат обобщение не только нормативки, но и практики, например:
методики расчета (в частности, экономических показателей значимости);
нормативные классификаторы (ОКВЭД, БДУ, способы взаимодействия с сетями электросвязи);
экспертные классификаторы (бизнес- и технологические процессы, обоснования неприменимости показателей значимости).
Как правило, подобные платформы также предлагают элементы проектирования систем защиты, начиная от моделирования угроз и заканчивая обработкой выводов сканера уязвимостей. Однако для того, чтобы пользоваться ими эффективно, нужен некоторый опыт. Если нет квалифицированного специалиста, который разбирается в процессе категорирования и предъявляемых требованиях, процесс может затянуться. Сейчас мы поговорим о том, как можно справиться с задачами в условиях ограниченного времени.
Категорирование за полгода
Итак, в каких ситуациях начальнику службы информационной безопасности/системному администратору/юристу может понадобиться провести категорирование за полгода? Законодательно установлено ограничение на категорирование: один год с момента утверждения перечня объектов. Нельзя просто взять и откатегорировать свою 1С, надо еще внести ее в список. Для большинства субъектов срок в один год более чем достаточен, поэтому мы вообще не будем его рассматривать. В качестве самого простого варианта рассмотрим категорирование за полгода.
Первое, что необходимо сделать, – создать комиссию в произвольной форме. Крайне желательно, чтобы ее участники действительно были в курсе, какие обязанности на них возложены. В состав комиссии необходимо включить главного безопасника (информационной безопасности, а не физической), того, кто работает с системами (админа той же 1С), и представителя руководства компании. Дополнительно можно добавить кого угодно, даже подрядчика.
Создание комиссии, если делать это без опыта и как следует, может занять до месяца, тогда пять месяцев останется на сам процесс.
Следующий этап: составление перечня объектов КИИ. Важно учесть отраслевые перечни и постановление правительства № 127. Если не вдаваться в подробности, процесс для пары десятков объектов у исполнителя, как правило, занимает пару месяцев, особенно если компания, относящаяся к субъектам КИИ, территориально распределена.
Третий этап: переход непосредственно к категорированию, которое включает в себя инвентаризацию серверов, рабочих мест, софта и прочего, что используется при работе объекта КИИ, а также расчет показателей значимости. На это может уйти около трех месяцев при условии, что исполнитель за предыдущие два познакомился со всеми, кто отвечает за работу условной 1С, АСУ ТП и всех остальных объектов. Важно назначить на это направление сотрудника, обладающего хорошими коммуникативными навыками.
Итак, уложиться в полгода для среднего субъекта КИИ вполне реально без привлечения подрядчика, автоматизации и т.д. Причем из затрат будут только расходы на сотрудника, который этим будет заниматься, и накладные расходы на печать и отправку итоговых документов (ФСТЭК России принимает только бумагу и диски – никакого электронного документооборота).
За три месяца
В какой ситуации на категорирование может быть только три месяца? Чаще всего в одном из четырех перечисленных ниже случаях:
Вы пришли на новую работу, а там срок уже установлен до вас и заканчивается через три месяца.
Есть требование от регулятора или партнера по бизнесу уложиться в срок.
Руководство не совсем понимает трудоемкость и просто ставит задачу и срок, исходя из своих представлений.
Вы откладывали решение задачи, пока не осталось три месяца.
Итак, что можно и нужно сделать?
Во-первых, надо обзавестись материалами, а в идеале – советником. Как раз он и подскажет, кого включить в состав комиссии по категорированию, как донести до них значимость процесса и пр. Однако консультант – это дополнительные расходы, не менее 100 тыс. руб.
Во-вторых, можно подумать об автоматизации процесса. О специально пред-
назначенных для решения подобных задач сервисах мы рассказывали выше – попробуйте выбрать себе подходящий инструмент. Они в той или иной форме, более подробно, менее детально, но проводят по основным шагам.
Не имея опыта и специальных знаний с подсказками специального ПО, в котором предусмотрена бесплатная версия, можно будет уложиться с первым объектом в месяц, ведь даже с подсказками все равно придется потрудиться над перечислением актуальных угроз и т.д. Но, например, другие десять объектов мы будем обрабатывать по одному в день, по аналогии с предыдущим. И так легко уложимся в три месяца.
За… месяц?!
Ну и самая сложная задача – категорирование за месяц. Обычно она возникает из-за перегрузки задачами специалиста, ответственного за категорирование, по недосмотру начальства или из-за «попадания» на проверку прокуратуры. Отдельные письма ФСТЭК России также заставляют ускоряться до нескольких недель. Роль лица, на которое возложена ответственность за выполнение данных работ, незавидна, особенно если опыта в этом нет и иные задачи никто не снимал.
Итак, в первую очередь необходимо заручиться поддержкой высшего руководства и соответствующими полномочиями – для создания комиссии. Чтобы всем было очевидно, что задача важна и распоряжения от ответственного за нее – приоритетны. Чтобы не возникало пререканий на местах и торможения процесса. Ну и консалтинг здесь уже не рекомендация, а скорее необходимость, ведь, не имея опыта, уложиться в срок самостоятельно практически нереально.
Когда комиссия создана (рекорд в нашей практике – три часа при личном присутствии главного инженера завода), надо определиться с перечнем процессов предприятия и их критичностью. Здесь есть маленький лайфхак, который заключается в том, чтобы процессом назвать вид деятельности и указать соответствующий ОКВЭД. На полную отработку по всем уйдет несколько часов. В ряде случаев такой подход может не устроить ФСТЭК России, но даст фору по времени. Если работаете с подрядчиком и он использует такой метод, то требуйте от него согласия сопровождать вас до получения ответа из ФСТЭК России.
После того как все процессы обработаны, нужно выбрать объекты для категорирования. Придется потратить неделю для пары десятков объектов – это та часть, в которой подрядчик может дать только «свободные руки», а средствами автоматизации будут формы для ввода данных. На данном этапе требуется максимальная вовлеченность представителей самого субъекта КИИ.
После того как список сформирован, по правилам его необходимо отправить регулятору и ждать ответа. Но это может затянуться (от двух недель до двух месяцев), а времени нет. Что делать в такой ситуации? В принципе, хотя формально это и является нарушением, можно не отправлять список сразу, а послать его уже вместе с результатами категорирования.
Итак, остается три недели на присвоение категории. Здесь автоматизация, как и подряд, уже необходимы. Исключение составляет вариант, когда работы выполняет подрядчик и он может работать сутками. Почему именно в таком цейтноте важна автоматизация? Потому, что ответы по составу систем, объему налогов, экологии и прочим моментам (а показателей значимости полтора десятка) будут поступать не в том порядке, в каком они должны вноситься в акты, и автоматизация позволит переключаться между полями ввода и не запутаться. Последнее не гарантировано, но точно лучше, чем с кучкой текстовых документов или таблиц.
При цейтноте главное правило – давать тем, у кого запрашиваешь информацию, четкий срок и при нарушении сразу просить помощь руководства (помним, что мы ей заручились – иначе никак). И тогда за три недели заполнить данные вполне реально.
Разумеется, в таком авральном режиме возможны ошибки и даже помощь подрядчика – не панацея. Если будет некорректно заполнена форма, за этим последует просьба уточнить сведения в десятидневный срок, а если просто забыть направить ее, то могут последовать более серьезные меры. Поэтому после отправки можно выдохнуть, но не расслабиться. Это же касается и варианта с подрядчиком.
Таким образом, за полгода категорирование можно осуществить «между делом», за три месяца немного напрягаясь, и за месяц… Ну тоже завершить можно, хотя придется все делать в авральном режиме.
Наш рекорд – проведение категорирования промышленного предприятия с 23 объектами (три оказались значимыми) за семь рабочих дней. Это оказалось возможным только благодаря трем условиям:
Вовлеченность руководства субъекта КИИ.
Опыт проведения подобных работ.
Применение базы знаний и автоматизации.
Надеюсь, что в таких условиях вам работать не придется, а если такое и случится, то эти советы позволят хотя бы одной упаковке валерьянки остаться неначатой.
ITSec_articles