7 Октября, 2018

Критический процесс и его роль в процессе категорирования объектов КИИ.

Павел Луцик




Критический процесс является одним из ключевых терминов законодательства о безопасности КИИ, наравне с такими понятиями как субъект и объект КИИ. И от правильной интерпретации данного термина напрямую зависит формирование перечня объектов КИИ и как следствие последующие результаты категорирования. Разберем что из себя представляет критический процесс и как он влияет на процесс категорирования. Для этого обратимся сначала к первоисточнику – Постановлению Правительства № 127 и рассмотрим последовательность, в которой выполняется процесс категорирования, обратив внимание на п.5б, в котором дается определение критическому процессу.

5. Категорирование включает в себя:

а) определение процессов, указанных в пункте 3 настоящих Правил, в рамках выполнения функций (полномочий) или осуществления видов деятельности субъекта КИИ;

б) выявление управленческих, технологических, производственных, финансово-экономических и (или) иных процессов в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов КИИ, нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка (далее – критические процессы);

в) определение объектов КИИ, которые обрабатывают информацию, необходимую для обеспечения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов;

г) формирование перечня объектов КИИ, подлежащих категорированию (далее – перечень объектов);

д) оценку в соответствии с перечнем показателей критериев значимости масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах КИИ;

е) присвоение каждому из объектов КИИ одной из категорий значимости либо принятие решения об отсутствии необходимости присвоения им одной из категорий значимости.

После прочтения определения критического процесса возникает первый вопрос. Как видим критические процессы как и обычные процессы рассматриваются в рамках выполнения функций субъекта (тут сразу вспоминаются Устав, Лицензии, ОКВЭВ, о которых ФСТЭК говорит на каждой конференции). А вот определение Субъекта КИИ в 187-ФЗ почему-то привязано к ИС/АСУ/ИТС (далее – ИС), функционирующих в одной из рассматриваемых в законе сфер. Какие проблемы может вызвать такое расхождение? Рассмотрим на примере. Условная Организация ЗАО «КРЮК инкорпорейтед», работающая в сфере ИТ-услуг, купила себе навигационную систему для удобства передвижения своих ТОП-менеджеров на авто с учетом их расписания, пробок, погоды, времени суток и настроения, потому как имеющиеся на рынке сервисы не предоставляют должного функционала и удобства эксплуатации и поэтому руководству постоянно приходится стоять в пробках или давать крюка. В этом случае данная Организация является субъектом КИИ, т.к. владеет ИС, функционирующей в сфере транспорта. Но при этом сама организация не выполняет функций в сфере транспорта, а выполняет их в сфере ИТ, оказывая соответствующие консалтинговые услуги. В рассматриваемом примере по формулировке из 127-ПП субъекту необходимо будет выделить критические процессы в рамках выполнения им ИТ-функций, а функционирование купленной навигационной системы в сфере транспорта с точки зрения 127-ПП останется невостребованным. Несложно предположить, что в рассматриваемом примере критических процессов у субъекта скорее всего не окажется и как следствие не окажется объектов КИИ, подлежащих категорированию. А значит во ФСТЭК ничего направлено не будет и защищать будет нечего. Возможно, у законодателя был какой-то особый замысел относительно этого момента, но тогда хотелось бы его узнать. Но не будем долго останавливаться на этом законодательном нюансе и пойдем дальше, т.к. в большинстве своем сферы, в которых функционирую ИС, которыми владеем субъект, и сферы, в которых субъект осуществляет свои виды деятельности, совпадают.

Поговорим теперь о том для кого или для чего процесс является критическим и вообще когда он переходит из разряда просто процесс в критический процесс. Тут важно следующее – по определению из 127-ПП критический процесс хоть и привязан к видам деятельности субъекта, но последствия нарушения данного процесса нужно оценивать не в отношении субъекта, а в отношении государства, общества и экологии. Т.е., например, если на интернет-магазин металлургического предприятия была совершена кибератака, и он не смог сбывать через интернет свою продукцию в течение нескольких часов или дней (и соответственно для его бизнеса это событие нанесло серьезный урон), то это еще не означает, что процесс продажи продукции через Интернет является критическим с точки зрения 127-ПП, а ИС Интернет-магазин является объектом, подлежащим категорированию или более того значимым объектом. С другой стороны, если, на данном предприятии произошел сбой в работе ИС Управления производством, в результате чего был нанесен серьезный ущерб экологии, то соответствующий процесс однозначно окажется критическим, а ИС Управления производством как минимум объектом, подлежащим категорированию. При том, что прямого финансового или иного ущерба само предприятие могло и не понести.

Определившись с тем, что последствия нарушения критических процессов рассматриваются в отношении государства, общества и экологии, теперь нужно определиться с масштабом последствий, при наступлении которых процесс становится критическим. Нужно ли для этого достичь определенного порога последствий или нет? И вообще на основании каких критериев оценивать эти последствия?

Логично предположить, что оценивать нужно на основании критериев и показателей, прописанных в 127-ПП для категорий значимости, но явно в 127-ПП об этом не сказано. И нужно ли при этом, чтобы последствия преодолели какой-то минимальный порог, чтобы процесс стал читаться критическим? Однозначного ответа на этот вопрос 127-ПП не дает. С одной стороны, некоторые субъекты справедливо считают, что для этого необходимо достичь последствий по 3-му уровню значимости и это вполне логично. Ведь если порог по 3-му уровню не достигнут, то такие процессы избыточно оказываются критическими, т.к. все объекты КИИ, обеспечивающие данные процессы, окажутся не значимыми и будут не особо интересны регулятору. С другой стороны, некоторые представители ФСТЭК в частном порядке высказывают мнение, что достижимость последствий по 3-му уровню не является обязательным критерием критичности процесса. Законодательство же по этому поводу молчит, поэтому каждый субъект должен сделать осознанный выбор либо самостоятельно, либо заручившись официальным ответом ФСТЭК на официальный запрос (с поправкой на то, что ФСТЭК формально не имеет полномочий на трактование 127-ПП). От данного выбора в дальнейшем будет напрямую зависеть содержимое перечня объектов КИИ, подлежащих категорированию. При этом, независимо от выбора - больше значимых объектов КИИ в итоге не станет, но может в целом стать больше объектов, подлежащих категорированию.

После того как критические процессы определены, необходимо сформировать и утвердить перечень объектов КИИ, обеспечивающих критические процесс ы и оформить их в перечень объектов КИИ, подлежащих категорированию (п.5в, 127-ПП). Здесь также как и на предыдущем шаге каждый субъект самостоятельно оценивает наличие влияния той или иной ИС на критические процессы и включает или не включает ее в Перечень объектов, не забывая про здравый смысл и разумную достаточность, о которых неоднократно говорили представителя ФСТЭК на разных конференциях. Так, например, на вопрос влияет ли система 1С (сотрудники потенциально могут вовремя не получить зарплату из-за кибератаки на 1С) или ИС Управления столовой (сотрудники потенциально могут остаться без обеда) на критический процесс по выплавке стали, можно ответить по-разному, но здравый смысл может подсказать определенный ответ.

Далее, когда перечень объектов КИИ сформирован, утвержден и отправлен во ФСТЭК, можно переходить к следующим этапам процесса категорирования – к оценке возможных последствий и присвоению объектам КИИ категорий значимости (пп.5 д,е 127-ПП).

Тут важным является следующий момент. Любой процесс может быть как полностью автоматизирован, так и частично (полностью ручные процессы не рассматриваем, т.к. они остаются за рамками 127-ПП). Т.е. неавтоматизированная часть может быть полноценной составляющей рассматриваемого процесса. А это означает, что если в отношении ИС, обеспечивающей автоматизированную часть процесса, будет совершена кибератака и данная ИС выйдет из строя, то процесс продолжит выполняться (полностью или частично), т.к. при правильном построении неавтоматизированная часть (ручное управление) процесса сможет продолжить реализацию процесса даже с вышедшей из строя ИС и исключить или снизить масштаб возможных негативных последствий. Формально, рассматриваемая неавтоматизированная часть критического процесса, может являться в данном случае не компенсирующими мерами ИС, а неотъемлемой частью самого процесса и поэтому можно рассчитывать на более низкую категорию значимости для данной ИС. Если же рассматривать неавтоматизированную часть процесса как компенсирующие меры ИС и не учитывать их при анализе масштаба последствий, то категория значимости ИС может оказаться выше. В данном случае субъект снова решает самостоятельно по какому пути ему идти. В конце концов, в составе отправляемых по форме 236 приказа ФСТЭК сведениях по результатам категорирования всегда можно подробно описать свои доводы по выбранному варианту, а ФСТЭК в свою очередь будет иметь право с ними не согласиться.

Подводя итог, хочется отметить, что все рассмотренные законодательные нюансы, касающиеся критических процессов и процесса категорирования в целом, могут быть спокойно нивелированы при соответствующем творческом подходе и том самом здравом смысле, о котором так часто с различных трибун говорит регулятор.