Алексей Филиппов
Методолог AKTIV.CONSULTING
При мониторинге в организации могут проверять не только кто и как осуществлял категорирование (наполнение сведений), решения комиссии (и ее наличие, естественно) и т.д., но и актуальность состава технических средств, наличие описанных в сведениях средств защиты информации, реализации и регламентации организационных и технических мер.
Давайте разберем наиболее частые аспекты и документы, проверяемые при мониторинге:
- Приказ (распоряжение) о создании комиссии по категорированию, а также документы (регламенты/положения) о ее функциях/деятельности. Рекомендуем субъекту КИИ периодически актуализировать состав комиссии, избавляясь от «мертвых душ», добавляя в комиссию новых сотрудников организации и сверяя состав с предложенным в постановлении № 127-П.
Совет: действия и решения комиссии фиксировать документально в протоколах заседаний комиссии, актах категорирования, решений комиссии и других формах.
- Наличие перечня бизнес-процессов организации и списка критических процессов.
Даже если субъект не хочет отдельно оформлять перечни бизнес- и критических процессов, полезно оформить решения (протоколы) комиссии, в которых эти процессы будут перечислены или иметь ссылку на внутренний документ (например, Устав организации), содержащий нужные сведения. Непредоставление перечня процессов чревато тем, что проверяющие могут начать искать любые ИС, АСУ, ИТКС, не связанные с непосредственной деятельностью субъекта, и включать их в перечень ОКИИ (раздувание перечня).
- Перечень ОКИИ, подлежащих категорированию.
Если субъект считает, что в его организации нет ОКИИ/ЗОКИИ, т.к. отсутствуют ИС, АСУ, ИТКС, автоматизирующие критические процессы, даже в этом случае полезно оформить данное обоснование, как результат заседания комиссии.
Если же у субъекта есть ИС, АСУ, ИТКС, но действия злоумышленника в отношении них не могут привести к серьезным негативным последствиям, т.е. ОКИИ являются незначимыми, их все равно важно внести в перечень ОКИИ, подлежащих категорированию.
Одной из частых ошибок субъектов является нарушение сроков предоставления перечня ОКИИ во ФСТЭК России. Напомним, что регулятор устанавливает срок в 10 рабочих дней со дня утверждения документа. В случае, если субъект по какой-либо причине не успел отправить перечень ОКИИ в установленный срок, проверяющий эксперт имеет право снизить оценку по данному критерию.
- Акты (решения) по категорированию.
Рекомендуем подкреплять акты (решения) фактами и оценками членов комиссии по категорированию. Не просто писать «Не применим» для определенного показателя значимости, а обосновывать позицию комиссии о необходимости (отсутствии таковой) присвоения ОКИИ категории значимости, обозначать угрозы безопасности информации на ОКИИ, перечислять возможные действия нарушителей, негативные последствия и наихудшие сценарии воздействия на ОКИИ.
Акт(ы) категорирования должны быть утверждены не более чем через год со дня утверждения перечня ОКИИ. Также важно, чтобы акты были подписаны всеми членами постоянно действующей комиссии и утверждены руководителем субъекта КИИ.
- Сведения
Это основной документ, который больше всего влияет на результаты оценки мониторинга. Здесь полезно учесть несколько факторов:
— сведения, как и перечень ОКИИ, направляется во ФСТЭК России в течение 10 рабочих дней со дня утверждения актов категорирования (эти сроки проверяют эксперты группы мониторинга);
— форму и разделы сведений сверяют с формой, определенной в Приказе № 236 ФСТЭК России;
— в сведениях проверяется актуальность и достоверность представленных данных для проверки. Актуальность означает, что все разделы сведений должны быть актуальными на момент проверки группой мониторинга, не иметь устаревшей информации. Частой ошибкой является замена в организации должностного лица, ответственного за безопасности КИИ, и невнесение этих изменений в сведения, а также неуведомление об этом ФСТЭК России.
Достоверность означает, что на момент предоставления сведений во ФСТЭК России информация, описанная в версии этих сведений, была верна. Сложный для понимания аспект, который подразумевает правильность заполнения форм сведений и отсутствие грубых ошибок. Например, может быть неправильно определен тип ОКИИ, его архитектура, назначен неверный ответственный и т.д., которые на самом деле были на тот момент.
- Планы по импортозамещению
Отсутствие этого документа может и не привести к занижению оценки. Но т.к. субъектам КИИ, имеющим ЗОКИИ, так или иначе придется осуществлять импортозамещение в соответствии с Указами Президента № 166 и № 250, им уже сегодня пора начать прорабатывать этот вопрос.
- Документы, фиксирующие изменения в описанных выше документах/различные версии документов (старые и обновленные).
Зачастую у многих субъектов наблюдается перекатегорирование: забывая включить ОКИИ в перечень, кто-то находит новые или создает «с нуля». Вся эта информация должна пройти новый цикл каждый раз при очередном изменении. Т.е. на каждый обновленный перечень должны иметься акт категорирования и сведения. При этом требуется соблюдать сроки, как это было в «первом» процессе категорирования.
Совет: аккуратно храните все разработанные документы (хотя бы в электронном виде). Без предоставления наглядных доказательств о проделанной работе или даже потере важного документа, проверяющие имеют право снизить оценку.
И последняя рекомендация: при проведении отраслевого мониторинга соблюдайте деловую этику. Проверяющие эксперты — тоже люди, они выполняют свои рабочие обязанности. Не стоит воспринимать факт проведения мониторинга в отношении вашей организации как некое негативное событие и пытаться «вставлять палки в колеса» проверяющим еще до начала непосредственной проверки.
Подобные действия могут вызвать лишь обратную реакцию и в лучшем случае повлечь предвзятое отношение и занижение оценки. В худшем же, например, при отказе субъекта допустить экспертов до проверки, субъекту может быть проставлен заочный «неуд», что в дальнейшем выльется в наложение штрафов, предписаний и т.д.
Мониторинг может помочь организациям выявить недочеты, устранить недопонимание и повысить экспертизу специалистов, ответственных за категорирование КИИ.
Источник: AKTIV.CONSULTING