В прошлом году исполнилось пять лет Постановлению Правительства РФ №127, определяющему правила и порядок категорирования КИИ. Это не просто круглая дата — по замыслу регулятора, через пять лет субъекты КИИ (критической информационной инфраструктуры) уже должны провести эту процедуру повторно.
Однако в этом направлении всё ещё много непонятного, начиная с того, какие организации считать объектами КИИ. Неудивительно поэтому, что некоторые из них до сих пор не провели категорирование даже однократно. Что всех их, а заодно и отрасль, ждёт дальше? Какие шаги предпримет регулятор? Разберёмся вместе.
КИИ ИЛИ НЕ КИИ?
ФСТЭК ещё в 2019 году заявлял о том, что общее число субъектов КИИ можно оценить примерно в 500 тысяч. При этом часть из них даже не догадывается о том, что должна следовать 187-ФЗ и, как следствие, проводить категорирование (не говоря уже о защите значимых объектов). Почему так? Прежде всего, из-за отсутствия чётких критериев принадлежности к КИИ. В упомянутом выше Постановлении есть единственная формулировка, но она может неоднозначно трактоваться, да ещё и содержит абсолютно нечёткие понятия, такие как «функционирование в отрасли». В результате случаются казусы. К примеру, к функционирующим в горнодобывающей отрасли предприятиям ФСТЭК отнёс водоканал (!), а предприятие, не имеющее ничего общего с оборонзаказом, Минпромторг включил в перечень оборонно-промышленного комплекса (ОПК). Когда перечень предприятий ОПК оказался у ФСТЭК, его специалисты просто разослали по нему письма с требованием провести категорирование. При этом часть предприятий, получивших такие сообщения, ранее даже не была в курсе, что является частью ОПК нашей страны.
Несмотря на сложности на этом этапе, больше половины субъектов КИИ всё же сделали первые шаги к исполнению законодательства, проведя категорирование. У некоторых в результате был обнаружен значимый объект (или объекты), и мероприятия должны были продолжиться соответствующими манипуляциями по его защите. Другие, кто не обнаружил значимых объектов, расслабились и успокоились. Причём до сих пор пребывают в уверенности, что им делать ничего не нужно. Однако это не так: все субъекты КИИ должны выполнять повторное категорирование через пять лет, а также актуализировать данные в случае ввода или вывода из эксплуатации объектов КИИ, получения гособоронзаказа, изменения финансовых результатов и так далее. И эта задача гораздо масштабнее по числу вовлечённых субъектов, чем защита значимых объектов, которых всего несколько тысяч.
НО ЕСТЬ НЮАНСЫ
Само категорирование провести оказалось не так просто. Для начала ведь необходимо создать комиссию по категорированию, поняв, кого в неё можно включить (а это непросто). Да, законодательство (например, пункт 11 Постановления Правительства) даёт на этот счёт пояснения, но они неактуальны для большей части субъектов (поскольку они не обрабатывают гостайну, не имеют подразделения гражданской обороны и так далее). А вот явно указать, что в комиссию должен входить бухгалтер или экономист, который владеет данными о налогах и сборах, законодатели по какой-то причине не захотели.
Конечно, в настоящее время ответы на распространённые вопросы по категорированию можно найти в сообществах, на информационных ресурсах и в системах автоматизации документов. В частности, могут помочь сервисы SECURITM, «АЛЬФА ДОК» и MEDOED. С помощью всего этого этапы работ, ранее у неподготовленного субъекта КИИ занимавшие недели, сейчас решаются за пару часов. Ну и справедливости ради следует отметить, что ФСТЭК крайне терпеливо реагирует на некорректные (по его мнению) документы, и о наказаниях субъектов, например, неправильно сформировавших комиссию, нам неизвестно. Но потраченное на согласование, создание неправильных документов и их переделку время этот факт, разумеется, не компенсирует.
Ещё один нюанс заключается в том, что все субъекты, независимо от значимости, подчиняются сразу двум регуляторам: ФСТЭК и тому, который соответствует их отрасли (Минпромторгу или Минтранспорту, например). Оба они могут проводить проверки, направленные (хотя бы теоретически) на повышение безопасности. Помимо этого, свой контроль осуществляет прокуратура. Заметно, что мощностей регуляторов не хватает: так, ФСТЭК провёл в 2023 году всего несколько десятков полноценных проверок (в основном по ЗОКИИ) — капля в море. Объём проверок на 2024 год вряд ли заметно масштабнее: у регуляторов просто ограничены ресурсы в плане персонала.
Отраслевые регуляторы пошли чуть дальше — они создают отраслевые центры компетенции. Один из таких центров (НПП «Гамма» — центр компетенций Минпромторга) провёл в 2023 году уже несколько тысяч проверок подведомственных субъектов (в основном по корректности категорирования). При этом данная организация уделяет внимание не только формальному соответствию букве закона, но и фактической вовлечённости персонала в процесс работы с КИИ. Обычный устный опрос членов комиссии по категорированию весьма показателен. Реакция регулятора на результаты проверки пока отсутствует, но очевидно, что им придётся принимать меры.
К ЧЕМУ ГОТОВИТЬСЯ?
Что ещё ждём в ближайшее время, помимо усиления деятельности регуляторов по проверкам? Должны появиться также требования по самооценке либо независимому аудиту. Так, уже известно об инициативах по разработке стандартов оценки зрелости субъектов КИИ, и активно циркулируют слухи о создании отдельного управления в структуре ФСТЭК, которое будет заниматься проверками КИИ.
Также сам процесс контроля должен в перспективе наладиться, уйдут несоответствия и вопросы, противоречия. Они иногда могут касаться неожиданных вещей. Обычно аудит (прокуратуры, ФСТЭК, центра компетенции) запрашивает различные бумажки. Так вот, есть случаи, когда прокурорская проверка требовала у ломбарда (!) результаты выполнения требований 187-ФЗ, ссылаясь на то, что эта организация работает в сфере финансового рынка. И формально прокуратура была права. Однако это противоречит реальности: суммарный оборот всех ломбардов, вместе взятых, вряд ли достигает нижней границы обороты значимых объектов КИИ, а их штат не позволяет компетентно проводить такие работы. Так что очевидно, что регуляторам необходимо поддерживать сведения в актуальном состоянии, да и просто не совершать противоречащих логике поступков.
Субъектам КИИ также необходимо заниматься комплаенсом, внимательно относиться к срокам и документам. Это довольно трудоёмкая задача, особенно с учётом меняющихся форм отчётности и даже состава показателей значимости. Для её решения можно привлекать аутсорс, содержать штат специалистов, а также использовать упомянутые уже средства автоматизации.
Разумеется, основной контроль рано или поздно переместится на субъекты КИИ, которые владеют значимыми объектами, и акцент будет сделан на их защиту. Но в этой части подводных камней пока не меньше — нет чёткого порядка согласования, шаблонов проектной документации, есть лишь скупые требования ФСТЭК с наборами мер и требований. Однако и здесь уже сформирована определённая практика, и она также нашла отражение в услугах аутсорсинга, профессиональных сообществах и средствах автоматизации.
Резюмируя всё вышесказанное, отметим, что КИИ идёт по пути плавного усиления контроля и ужесточения ответственности. Когда-то в сфере персональных данных даже после появления 152-ФЗ в течение нескольких лет практически не было наказаний, массовых проверок, а сейчас уже доросли до возможности отправить жалобу в РКН, появился проект закона об оборотных штрафах. Такая же судьба ждёт и КИИ. И меньше проблем будет (как и меньше расходов) у тех, кто начнёт раньше, — проект по категорированию, в 2018 году стоивший условные 100 рублей, в 2023-м стоит уже 350 тех же условных рублей. Сказывается и общее повышение цен, и уровень внимательности регулятора к результатам. Наступает время написания документации и превращения этой задачи в постоянный процесс.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных