Возможные подходы к присвоению объектам КИИ категорий значимости

В последнее время на разных информационных площадках все чаще поднимается вопрос о том, как проводить категорирование объектов КИИ (ОКИИ). Ранее уже схематично изображал весь процесс категорирования ОКИИ. В этом же посте решил остановиться на основных по моему мнению возможных подходах к реализации ключевого этапа процесса категорирования – этапа присвоения ОКИИ категории значимости (КЗ).

Итак, какие видятся основные возможные подходы к присвоению КЗ:

1.       Рекомендуемый подход. Присвоение КЗ на основании масштаба возможных последствий в случае возникновения компьютерных инцидентов на ОКИИ, без учета существующих средств защиты  и компенсирующих мер, которые могут существенно снизить масштаб возможных последствий и как следствие – снизить КЗ или вообще привести к отсутствию необходимости присвоения КЗ. Это наиболее правильный и непротиворечивый с сточки зрения 127-ПП подход. Если у субъекта уже используются какие-то СЗИ или компенсирующие меры, которые могут снизить масштаб возможных последствий, они не учитываются при определении КЗ, но их можно будет учесть при формировании базового набора мер для определенной КЗ и дальнейшей его адаптации с учетом моделирования угроз. При этом субъекту можно с большой долей вероятности быть уверенным, что у ФСТЭК не будет вопросов по присвоению КЗ ни при согласовании результатов категорирования, ни при проверках.

2.       Нерекомендуемый (неживой) подход. Присвоение КЗ на основании масштаба возможных последствий, с учетом существующих на ОКИИ средств защиты (например, уже внедрен «джентельменский набор» СЗИ) или компенсирующих мер (например, вручную открывается калитка для прохода пассажиров на платформы на ЖД станции в случае атаки на систему управления турникетами). Данный подход имеет существенный недостаток, но при определенной трансформации (см.подход 3) тоже может использоваться. Что касается основного недостатка - в 127-ПП нет никаких указаний на то, что при определении масштаба возможных последствий могут учитываться существующие СЗИ или компенсирующие меры. Но если субъект все же решит их учесть на свой страх и риск, то в этом случае он каким-то образом должен доказать ФСТЭК, что применяемые им СЗИ или компенсирующие меры позволяют защититься от актуальных угроз и соответственно снизить масштаб возможных последствий и как итог присвоить более низкую КЗ или вообще обойтись без ее присвоения. В 127-ПП есть п.17, который определяет состав сведений о результатах категорирования, который субъект должен направить на согласование во ФСТЭК по результатам категорирования. В состав данных сведений в том числе входят:

a.       Сведения о программных и программно-аппаратных средствах, используемых на ОКИИ, в том числе о средствах, используемых для обеспечения безопасности ОКИИ

b.      Возможные последствия в случае возникновения компьютерных инцидентов на ОКИИ

c.       Сведения об угрозах безопасности информации и о категориях нарушителей.

d.      Организационные и технические меры, применяемые для обеспечения безопасности ОКИИ

При данном подходе субъект указывает в составе сведений о результатах категорирования угрозы, категории нарушителей и возможные последствия от реализации угроз, а также применяемые для нейтрализации угроз СЗИ и компенсирующие меры. В случае использования субъектом при категорировании данного подхода у ФСТЭК могут возникнуть к субъекту вопросы как на этапе согласования результатов категорирования, так и на этапе проведения проверок.

3.       Приемлемый (в теории) подход. Присвоение КЗ на основании масштаба возможных последствий с учетом существующих СЗИ и компенсирующих мер, которые могут существенно снизить масштаб возможных последствий и как следствие – снизить КЗ или вообще привести к отсутствию необходимости присвоения КЗ. Этот подход очень похож на предыдущий подход, но отличается от него очень важным нюансом – существующие СЗИ и/или компенсирующие меры включаются в состав ОКИИ. Т.е. упомянутая выше калитка включается в состав ОКИИ в качестве одного из режимов работы ОКИИ. Но с данным подходом нужно обращаться аккуратно и со здравым смыслом, т.к. та же калитка может не справиться, например, с большим потоком пассажиров в час-пик и может начаться давка, которой не было бы при работающих турникетах или ее кто-то может по какой-то причине закрыть, как это случилось во время недавней трагедии в кинотеатре в Кемерово. Данный подход не противоречит 127-ПП, но все же может вызвать вопросы у ФСТЭК при согласовании результатов категорирования или при проведении проверок. Поэтому в результаты категорирования, отправляемые на согласование во ФСТЭК, стоит включить соответствующее обоснование включения СЗИ или компенсирующих мер в состав ОКИИ.

Вывод: Лучше всего присваивать КЗ без учета имеющихся на ОКИИ СЗИ и компенсирующих мер, но если субъект готов обосновать перед ФСТЭК их включение в состав ОКИИ, то такой подход теоретически возможен.

P.S. Уверен, что по данным подходам могут быть разные мнения, да и самих подходов может быть гораздо больше. Интересно увидеть другие варианты и поучаствовать в дискуссии.