Samojlova 7/14/22 9:56 PM Page 19
Особенности категорирования объектов КИИ обороннопромышленного комплекса В рамках этой статьи мы рассмотрим проведение категорирования объектов критической информационной инфраструктуры (КИИ) оборонно-промышленного комплекса (ОПК), подходы и методики, применяемые для различных предприятий промышленности, проблемные вопросы, существующие в данной предметной области, а также типовой процесс категорирования объектов КИИ ОПК
Юлия Самойлова Заместитель директора Департамента информационных технологий ФГУП "НПП "Гамма" январе 2018 г. вступил в действие федеральный закон № 187-фз "О безопасности критической информационной инфраструктуры" (далее 187-фз). начиная с 2013 г. данный законопроект обсуждался экспертами и вызывал множество вопросов относительно практической реализации выдвигаемых требований. Многие профильные специалисты приняли активное участие в разработке подходов и методологий проведения работ по данному направлению. Однако создание единой методологии до настоящего времени не завершено. Разнородность производственных процессов различных отраслей промышленности не позволяет создать единый подход к определению конкретных категорий.
В
Методика категорирования с учетом дополнительных критериев оценки на текущий момент самой эффективной является технология создания отраслевых методик, в которых появляется возможность учитывать дополнительные критерии оценки для конкретного производственного процесса, отрасли про-
мышленности или иных особенностей функционирования субъекта. Этот подход актуален в первую очередь для субъектов ОПК, которые представляют собой совокупность научно-исследовательских, испытательных организаций и производственных предприятий, выполняющих разработку, производство, хранение, постановку на вооружение военной и специальной техники, амуниции, боеприпасов и другой продукции преимущественно для вооруженных Сил Российской федерации и других государственных силовых структур. Обоснованность применения данной методики обусловлена проблемами категорирования, заключающимися в сложности процессов: 1) выявления критических процессов; 2) определения принадлежности субъекта к отраслям промышленности в рамках ОПК; 3) выявления обеспечивающих процессов объектов Кии и степени их влияния на него; 4) определения применимости и значений критериев значимости для объектов Кии. Специалистами Центра менеджмента компьютерных инцидентов фГУП "нПП "Гамма" в 2021 г. была разработана методика категорирования объектов Кии, учитывающая указанные выше особенности предприятий ОПК. на сегодняшний день методика продолжает совершенствоваться и дополняться на основании получаемого практического опыта.
Процесс категорирования Под категорированием понимается процесс установления соответствия объекта Кии критериям значимости и показателям их значений, присвоения ему одной из категорий значимости, проверки сведений о результатах ее присвоения. При этом категорируются только те объекты, которые на праве собственности принадлежат субъекту. из вышеуказанного очевидно, что процесс категорирования итерационен для субъекта. Это означает, что при добавлении нового производственного или иного процесса он должен повторяться. Кроме того, существует понятие проверки сведений о результатах присвоения категории, а именно мониторинга процесса категорирования объектов Кии, периодичность которого не определена, но может быть инициирована регулятором при необходимости. на рис. 1 представлен типовой процесс категорирования любого объекта Кии. При выполнении категорирования субъектов ОПК нами было принято решение учитывать, помимо ключевых нормативно-правовых актов, требования российских стандартов, которые определяют жизненный цикл создаваемой продукции, а именно ГОСТ Р 56135–2014 "национальный стандарт Российской федерации. Управление жизненным циклом продукции военного назначения. Общие положения" и ГОСТ Р 56136–2014 "национальный стандарт
Рис. 1. Процесс категорирования объектов КИИ www.secuteck.ru
июнь – июль 2022
СПЕЦПРОЕКТ ЦифРОвизаЦия ПРОизвОдСТв и бизнЕС-ПРОЦЕССОв
S E C U R I T Y A N D I T M A N A G E M E N T 19
