CC BY
53УДК 004.001
Репьева В.Д.
студентка 4-го курса Северо-Кавказский горно-металлургический институт (г. Владикавказ, Россия)
Ханмагомедов А.Х.
кандидат технических наук, доцент кафедры промышленная электроника Северо-Кавказский горно-металлургический институт (г. Владикавказ, Россия)
ОСОБЕННОСТИ И ПРОБЛЕМЫ КАТЕГОРИРОВАНИЯ ОБЪЕКТОВ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ
Аннотация: статья показывает особенности, а также весьма распространенные проблемы в категорировании объектов критической информационной инфраструктуры. Рассматриваются вопросы анализа угроз и оценки негативных последствий инцидентов с объектом КИИ.
Ключевые слова: критическая информационная инфраструктура, категорирование, значимый объект, незначимый объект, система безопасности объектов.
В соответствии с требованиями Федерального закона от 26.07.2017 .№187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», субъекты КИИ должны провести категорирование своих объектов КИИ и уведомить о результатах ФСТЭК России. Категорирование объектов критической информационной инфраструктуры направлено на создание системы безопасности значимых объектов, предотвращение неправомерного
доступа к информации, обрабатываемой данными объектами, и вмешательства в функционирование объектов. Без категорирования объектов КИИ невозможно определить необходимые технические и организационные меры защиты. Именно от результатов категорирования зависят дальнейшие объемы работ в области информационной безопасности.
Категорирование представляет собой установление соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений, присвоение ему одной из категорий значимости. В общем объекты КИИ можно поделить на два вида - "значимый" и "незначимый", а значимые объекты - на три категории (в соответствии с ч. 3 ст. 7 187-ФЗ): самая высокая категория - первая, самая низкая - третья.
От "величины" категории значимого объекта КИИ зависит набор организационных и технических мер, обеспечивающих блокирование (нейтрализацию) угроз безопасности информации, последствиями которых может быть прекращение или нарушение функционирования объекта. Определение категорий значимости объектов КИИ осуществляется на основании показателей критериев значимости объектов КИИ и их значений, утвержденных Постановлением Правительства РФ от 8 февраля 2018 г. N 127.
Проводя категорирование, субъекты КИИ часто путают два понятия: анализ угроз, который проводится при создании системы безопасности значимого объекта КИИ в соответствии с приказом ФСТЭК России №239 от 25 декабря 2017 г., и оценка негативных последствий инцидента с объектом КИИ, которая проводится при категорировании. В первом случае решается задача выбора мер защиты и способов их реализации. Во втором случае определяются максимально возможные негативные последствия от неправомерного воздействия на объект КИИ. При этом, чтобы выбрать адекватную реализацию определенной меры защиты, нужно оценить все возможные способы проведения атак, для чего предписывается использовать Банк данных угроз и уязвимостей ФСТЭК России. Однако для оценки негативных последствий нарушения работы
объекта КИИ такая степень детализации бесполезна и с точки зрения выполнения требований законодательства не требуется.
Одной из основных проблем при категорировании является конфликт интересов с одной стороны — бизнеса, с другой — государства и общества. Как правило, при принятии решения о необходимости тех или иных мер защиты владелец объекта КИИ оценивает свои потери от возможных инцидентов и сравнивает их со стоимостью мер защиты от этих инцидентов. С его точки зрения защита нецелесообразна, если затраты на нее превышают возможные его потери при отсутствии такой защиты. К сожалению, при этом владельцы объектов КИИ чаще всего принимают в расчет только свои потери, игнорируя сопутствующий ущерб. Таким образом, зачастую происходит целенаправленное занижение категории значимости объекта КИИ, что уменьшает необходимые затраты на создание системы защиты. Однако, в случае возникновения и дальнейшего расследования инцидентов в области информационной безопасности возможна ситуация, когда контролирующие органы установят нарушения в защите объектов КИИ по причине отсутствия категорирования или его занижения. Это может повлечь за собой множество различных негативных последствий, вплоть до уголовной ответственности в соответствии с Уголовным Кодексом РФ (статья 274.1 - неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации).
СПИСОК ЛИТЕРАТУРЫ:
1. Федеральный закон от 26.07.2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» // [Электронный ресурс], Режим доступа: : //fstec.ru/tekhnicheskaya-zashchita-informatsii/obespechenie-bezopasnosti-kii/285-zakony/1610-federalnyj-zakon-ot-26-iyulya-2017-е-п-187-£г (дата обращения: 20.01.2023).
2. Приказ от 25 декабря 2017 г. N 239 «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры российской федерации» // [Электронный ресурс], Режим доступа: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/obespechenie-
bezopasnosti-kii/288-prikazy/1608-prikaz-fstek-rossii-ot-25-dekabrya-2017-g-n-239?highlight=WzIz0V0 (дата обращения: 23.01.2023).
3. Постановление от 8 февраля 2018 г. N 127 «Об утверждении правил категорирования объектов критической информационной инфраструктуры российской федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры российской федерации и их значений» // [Электронный ресурс], Режим доступа: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/obespechenie-bezopasnosti-kii/287-postanovleniya/1614-postanovlenie-pravitelstva-rossiiskoi-federatsii-ot-8-fevralya-2018-g-n-127?highlight=WzEyN10 (дата обращения: 19.01.2023).
Repeva V.D.
4rd year student North Caucasian Institute of Mining and Metallurgical (Vladikavkaz, Russia)
Khanmagomedov A.Kh.
Candidate of Technical Sciences, Associate Professor of the Department of Industrial Electronics North Caucasian Institute of Mining and Metallurgy (Vladikavkaz, Russia)
FEATURES & PROBLEMS OF CATEGORY OF OBJECTS OF CRITICAL INFORMATION INFRASTRUCTURE
Abstract: the article shows the features, as well as very common problems in the categorization of critical information infrastructure objects. The issues of threat analysis and assessment of the negative consequences of incidents with a critical information infrastructure object are considered.
Keywords: critical information infrastructure, categorization, significant object, insignificant object, object security system.
