В прошлом
Начнем, как и в прошлый раз с определений.
По 187-ФЗ:
- «Объекты КИИ - ИС, ИТС, АСУ ТП субъектов КИИ».
- «Категорирование ОКИИ представляет собой установление соответствия ОКИИ критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения».
- «Категорированию подлежат ОКИИ, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов КИИ».
- Все ли ИС, ИТС, АСУ ТП субъекта являются ОКИИ?
- Все ли ОКИИ подлежат категорированию?
Как видим, по определению из 187-ФЗ объектами КИИ являются все без исключения ИС, ИТС, АСУ ТП (далее, обобщенно - ИС) субъекта КИИ, в том числе никак не влияющие на критические процессы субъекта КИИ, например, тестовые, игровые ИС и т.д.
При этом, с одной стороны, по 187-ФЗ, категорированию подлежат все ОКИИ, т.к. в законе ничего не сказано про критические процессы и их обеспечение категоризируемыми ОКИИ.
С другой стороны, в 127-ПП приведена конкретизация, согласно которой категорированию подлежат только те ОКИИ, которые обеспечивают критические процессы субъекта в рамках его основной деятельности.
По этому поводу есть два мнения и соответственно два подхода к категоризации, не противоречащие законодательству:
- Категоризировать нужно все ОКИИ согласно формулировке в 187-ФЗ
- Категоризировать нужно только те ОКИИ, которые обеспечивают критические процессы, согласно формулировке в 127-ПП
Во втором случае во ФСТЭК передается информация только об объектах, обеспечивающих критические процессы. И тут возникает вопрос – а с остальными ОКИИ, которые не подлежали в этом случае категорированию что делать? Они вроде являются ОКИИ, но ФСТЭК о них ничего не знает и скорее всего никогда не узнает. При этом в ГосСОПКА информация о компьютерных инцидентах на этих ОКИИ должна передаваться, потому что по крайней мере в текущей редакции проектов приказов ФСБ объекты делятся только на значимые и не являющиеся значимыми и не делятся на подлежащие категорированию и не подлежащие категорированию.
На самом деле есть еще и третий вариант, который отходит от текущих формулировок в законе, но на мой личный взгляд является наиболее адекватным. По информации от одного из активных участников тематического чата "КИИ 187-ФЗ" - Айгиза Сафиуллина, данный вариант был озвучен представителями ФСТЭК по Поволжью и представителями ФСБ на прошедшей недавно конференции ITSF и рекомендован к исполнению субъектами КИИ. Он базируется на том, что объектами КИИ являются не все ИС, а только те, которые обеспечивают критические процессы. Все остальные ИС не являются ОКИИ и не интересуют ни ФСТЭ, ни ФСБ!
При таком подходе все встает на свои места и само законодательство начинает играть новыми логичными красками, в результате чего субъект имеет следующую стратегию дальнейшего поведения:
- только ИС, обеспечивающие критические процессы субъекта (и только они) признаются ОКИИ
- только из этих ИС составляется перечень ОКИИ, подлежащих категорированию
- только эти ИС подлежат категорированию
- только об этих ИС передается информация во ФСТЭК по результатам категорирования
- только о компьютерных инцидентах на этих ИС передается информация в ГосСОПКА
- только за компьютерные инциденты на этих ИС может светить до 10 лет лишения свободы по ст.274.1 УК РФ.
Все три описанные выше варианта изображены на схеме ниже, предоставленной Айгизом Сафиуллиным.
P.S.: В следующем посте обсудим особенности категорирования ОКИИ.