Специалист по информационной безопасности крупного промышленного холдинга нередко сталкивается с ситуацией: руководство считает категорирование по 187-ФЗ бюрократической формальностью. Мол, есть межсетевой экран, антивирус, резервное копирование — чего ещё надо. Реальность обрушивается на такие компании внезапно. Отсутствие акта о присвоении категории или ошибка в расчёте ущерба при проверке ФСТЭК превращается в административное дело, а в критических случаях — в уголовную ответственность для ответственных лиц.

Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры РФ» ввёл понятие объектов КИИ и обязал их владельцев проводить чётко регламентированную оценку. Категорирование информационных систем — это базовый этап, который нельзя пропустить или выполнить «для галочки». Процедура включает расчёт возможного ущерба от компьютерных атак по шести показателям, утверждённым постановлением Правительства № 127. Полученная категория (особо важная, важная или значимая) определяет весь дальнейший объём требований по защите и периодичность государственного контроля. Игнорирование этого этапа автоматически переводит объект в разряд некатегорированных, а значит — эксплуатируемых с нарушением закона.

Кто обязан играть по правилам 187-ФЗ

Субъектами КИИ признаны государственные органы, юридические лица и даже индивидуальные предприниматели, чьи информационные системы обеспечивают работу критически важных сфер. Список этих сфер закреплён в статье 2 закона. Если компания занимается добычей полезных ископаемых, генерацией электроэнергии, оборонным заказом, банковскими операциями или управляет сетями связи — она почти гарантированно попала под действие нормативного акта.

Автор беседовал с аудиторами, которые проверяли небольшие региональные ТЭЦ. Руководители этих предприятий искренне удивлялись, узнав, что их устаревшая АСУ ТП на базе SCADA-системы является объектом КИИ первой категории. Объектом КИИ признаётся не только программное обеспечение, но и телекоммуникационное оборудование, автоматизированные системы управления технологическими процессами и даже отдельные помещения, где всё это размещено. Инвентаризация на первом этапе часто становится открытием для ИТ-департамента.

Три уровня значимости: арифметика рисков

Эксперты по защите информации знают: присвоить категорию объекту невозможно без детального расчёта ущерба. Методика ФСТЭК требует оценить последствия нештатной ситуации по шести направлениям. Социальный ущерб — это количество пострадавших или погибших людей. Политический — снижение доверия к органам власти и урон репутации государства. Экономический ущерб измеряется в рублях и включает прямые потери плюс затраты на восстановление. Экологический — площадь загрязнения территории. Отдельно считаются последствия для обеспечения обороны и государственной безопасности.

На основе этих показателей объект получает одну из трёх меток.

• Третья категория (значимый объект). Присваивается, если ущерб приводит к нарушению штатной деятельности субъекта КИИ, но не выходит за его периметр. Простой в несколько часов, потерянные деньги — но без угрозы жизни людей или стабильности региона.
• Вторая категория (важный объект). Ущерб носит региональный масштаб. Нарушается работа целого сектора в субъекте федерации: пропадает связь в городе-миллионнике, останавливается выдача кредитов в нескольких отделениях крупного банка.
• Первая категория (особо важный объект). Последствия выходят на федеральный или межгосударственный уровень. Остановка магистрального нефтепровода, катастрофа на химическом производстве с жертвами, коллапс платёжной системы страны. Таких объектов в реестре единицы, но требования к их защите максимальные.

Специалисты советуют при расчётах опираться не на худшие фантазии, а на реалистичные сценарии, подтверждённые моделированием угроз. Завышение категории влечёт излишние затраты на дорогостоящие средства защиты информации. Занижение — административный штраф по статье 19.7.15 КоАП РФ.

Подводные камни в оценке экономического ущерба

Самые жаркие споры внутри рабочих групп по категорированию разгораются вокруг экономического показателя. Бухгалтерия считает прямые потери от часа простоя оборудования. ИТ-отдел добавляет стоимость восстановления баз данных. А юристы напоминают про упущенную выгоду и репутационные издержки, которые взыщут контрагенты через суд. Методика ФСТЭК чётко разделяет ущерб бюджету и ущерб самой организации. Путать эти цифры нельзя, от этого зависит итоговый балл.

Ещё один нюанс — объекты КИИ могут находиться в составе одной сети и влиять друг на друга. Если второстепенный сервер печати подключён к технологической сети управления реактором, его компрометация способна привести к катастрофе. Приходится проводить категорирование информационных систем с учётом всех функциональных и логических связей, а не только изолированно по паспорту оборудования. Ошибка в топологии сети — частая причина возврата уведомления на доработку.

Процедура от и до: комиссия, акт и реестр

Владелец объекта КИИ создаёт приказом внутреннюю комиссию. В неё обязательно включают специалистов по защите информации, технологов производства и финансистов. Заседания комиссии протоколируются, все расчёты ущерба подкрепляются справками и выкладками. Результатом работы становится акт категорирования, где фиксируется присвоенный уровень значимости или решение об отсутствии необходимости категорирования (если объект реально не влияет на критические процессы).

Объектам первой категории уделяется особое внимание. Сведения о них в обязательном порядке направляются во ФСТЭК России для проверки и согласования. Регулятор может не утвердить представленный акт и запросить дополнительные обоснования. По объектам второй и третьей категорий действует уведомительный порядок: данные просто вносятся в реестр, но это не освобождает владельца от ответственности за достоверность расчётов.

После внесения сведений в реестр начинается отсчёт времени на реализацию требований по защите. Для каждой категории приказом ФСТЭК № 239 установлен свой набор мер: от базового антивирусного контроля до криптографической защиты каналов связи и сертифицированных межсетевых экранов четвёртого класса.

Когда категорию нужно пересматривать заново

Перекатегорирование — не менее ответственная процедура. Закон требует пересмотреть уровень значимости не реже одного раза в пять лет. Но чаще поводом становится изменение самого объекта. Провели модернизацию, заменили контроллеры, увеличили мощность линии, подключили новый производственный участок — всё это повод собрать комиссию снова. Изменение технологического процесса способно поднять объект со второй на первую категорию незаметно для руководителя ИТ-службы.

Специалист по КИИ из компании энергосбыта рассказывал автору: после внедрения системы удалённого диспетчерского управления подстанциями ущерб от возможного отказа вырос в десятки раз. Представьте зимний вечер и обесточенный городской район с десятками тысяч жителей. Старая категория уже не соответствовала реальной угрозе. Пришлось экстренно запускать процесс перекатегорирования, параллельно усиливая защиту каналов телеметрии.

Завершающий этап любого цикла — внесение актуальных данных в государственную систему. Уведомление подаётся через личный кабинет на портале ГосСОПКА. Молчание владельца КИИ приравнивается к сокрытию сведений о состоянии защищённости инфраструктуры.