Особенности категорирования объектов КИИ оборонно-промышленного комплекса

В рамках этой статьи мы рассмотрим проведение категорирования объектов критической информационной инфраструктуры (КИИ) оборонно-промышленного комплекса (ОПК), подходы и методики, применяемые для различных предприятий промышленности, проблемные вопросы, существующие в данной предметной области, а также типовой процесс категорирования объектов КИИ ОПК.

В январе 2018 г. вступил в действие федеральный закон № 187-ФЗ "О безопасности критической информационной инфраструктуры" (далее 187-ФЗ). Начиная с 2013 г. данный законопроект обсуждался экспертами и вызывал множество вопросов относительно практической реализации выдвигаемых требований.

Многие профильные специалисты приняли активное участие в разработке подходов и методологий проведения работ по данному направлению. Однако создание единой методологии до настоящего времени не завершено. Разнородность производственных процессов различных отраслей промышленности не позволяет создать единый подход к определению конкретных категорий.

Методика категорирования с учетом дополнительных критериев оценки

На текущий момент самой эффективной является технология создания отраслевых методик, в которых появляется возможность учитывать дополнительные критерии оценки для конкретного производственного процесса, отрасли промышленности или иных особенностей функционирования субъекта.

Этот подход актуален в первую очередь для субъектов ОПК, которые представляют собой совокупность научно-исследовательских, испытательных организаций и производственных предприятий, выполняющих разработку, производство, хранение, постановку на вооружение военной и специальной техники, амуниции, боеприпасов и другой продукции преимущественно для вооруженных Сил Российской Федерации и других государственных силовых структур.

Обоснованность применения данной методики обусловлена проблемами категорирования, заключающимися в сложности процессов:

4) определения применимости и значений критериев значимости для объектов КИИ.

Специалистами Центра менеджмента компьютерных инцидентов ФГУП "НПП "Гамма" в 2021 г. была разработана методика категорирования объектов КИИ, учитывающая указанные выше особенности предприятий ОПК. На сегодняшний день методика продолжает совершенствоваться и дополняться на основании получаемого практического опыта.

Рис. 1. Процесс категорирования объектов КИИ

Процесс категорирования

Под категорированием понимается процесс установления соответствия объекта КИИ критериям значимости и показателям их значений, присвоения ему одной из категорий значимости, проверки сведений о результатах ее присвоения. При этом категорируются только те объекты, которые на праве собственности принадлежат субъекту.

Из вышеуказанного очевидно, что процесс категорирования итерационен для субъекта. Это означает, что при добавлении нового производственного или иного процесса он должен повторяться. Кроме того, существует понятие проверки сведений о результатах присвоения категории, а именно мониторинга процесса категорирования объектов КИИ, периодичность которого не определена, но может быть инициирована регулятором при необходимости.

На рис. 1 представлен типовой процесс категорирования любого объекта КИИ.

При выполнении категорирования субъектов ОПК нами было принято решение учитывать, помимо ключевых нормативно-правовых актов, требования российских стандартов, которые определяют жизненный цикл создаваемой продукции, а именно ГОСТ Р 56135–2014 "Национальный стандарт Российской Федерации. Управление жизненным циклом продукции военного назначения. Общие положения" и ГОСТ Р 56136–2014 "Национальный стандарт Российской Федерации. Управление жизненным циклом продукции военного назначения.
Термины и определения".

На основании рассмотренной выше нормативно-методической базы был разработан типовой алгоритм категорирования, представленный на рис. 2. Рассмотрим каждый этап категорирования подробнее.

Рис. 2. Типовой алгоритм категорирования объектов ОПК

Этап I. Определение принадлежности субъекта к отрасли ОПК

Субъекты ОПК при выпуске конечной продукции функционируют в рамках кооперации, при этом в зависимости от типа выпускаемых изделий могут относиться к различным отраслям промышленности, таким как:

• авиационная промышленность;
• ракетно-космическая промышленность;
• промышленность обычных вооружений;
• промышленность боеприпасов и спецхимии;
• судостроительная промышленность;
• радиоэлектронная промышленность;
• промышленность средств связи;
• электронная промышленность;
• машиностроение и др.

На первом этапе категорирования объекта КИИ необходимо определить его отраслевую принадлежность в рамках ОПК. Если предприятие выпускает продукцию различных отраслей, то классификация "по типу" является основанием для первичного выбора объектов для последующего анализа. На данном этапе категорирования выполняется только сбор исходной информации.

Рис. 3. Стадии жизненного цикла ПВН

Этап II. Определение принадлежности субъекта к стадиям жизненного цикла образцов продукции военного назначения

Каждое предприятие промышленности функционирует на определенных стадиях жизненного цикла продукции военного назначения (ПВН), которые представлены на рис. 3. В зависимости от стадии жизненного цикла состав объектов КИИ, подлежащих категорированию, может изменяться, так как состав информации и технологических процедур для образца различен. На данном этапе необходимо указать данную информацию для всех ранее выбранных объектов КИИ.

Этап III. Определение принадлежности субъекта к типу участника жизненного цикла образца ПВН

В зависимости от роли, которую предприятие выполняет в рамках жизненного цикла образца ПВН, оно может классифицироваться как:

• головной исполнитель;
• головной изготовитель;
• научно-исследовательский институт государственных заказчиков (НИИ);
• исполнитель составных частей.

Роль в первую очередь влияет на наличие обязательных объектов КИИ на различных этапах жизненного цикла продукции.

Головной исполнитель отвечает за реализацию всей работы, поддерживает систему управления качеством образца, обеспечивает долговременное хранение информации как о создании, так и о процессе его эксплуатации. для головного исполнителя особое внимание следует уделить автоматизированным системам, отвечающим за накопление и хранение данных.

Головной изготовитель проводит анализ рынка, внедряет новые технологические решения и участвует в формировании идеологии и технической политики в области производства, продаж и послепродажного обеспечения эксплуатации и ремонта ПВН. Автоматизированные системы управления технологическими процессами (АСУ ТП) являются наиболее критичными для данных предприятий и организаций.

НИИ государственных заказчиков участвуют в формировании идеологии и технической политики развития ПВН, принимают участие в проектировании изделий. При этом особое внимание следует уделить информационным системам сбора, анализа и проектирования. Исполнители составных частей могут выполнять различные роли. Рассматривать их надо индивидуально и обязательно в рамках общей кооперации.

Рис. 4. Типы процессов

Этап IV. Классификация подлежащих категорированию процессов

На основании рассмотренных выше критериев все выявленные процессы должны быть условно разделы на три типа (рис. 4).

Обеспечивающие и управленческие процессы всегда должны быть связаны с основным, критическим процессом. Каждый из выявленных объектов при этом может относиться к одному из трех типов. Он может быть или информационной системой (ИС), или автоматизированной системой управления (АСУ), или инженерно-телекоммуникационной сетью (ИТКС).

Этап V. Определение объектов, подлежащих категорированию

На следующем этапе необходимо определить, подлежит ли категорированию тот или иной объект КИИ. Для этого нужно воспользоваться данными из таблицы, которая была сформирована на основании опыта, полученного на практике.

Этап VI. Определение значений критериев значимости и присвоение категории объектам КИИ

Заключительным этапом категорирования является определение критериев значимости для выделенных объектов КИИ. Всего существует пять типов критериев значимости, которые нами были определены для ОПК. К ним относятся социальные, политические, экономические, экологические и критерии в области безопасности, связанные с обороной, безопасностью и правопорядком. Рассматривая их более подробно, мы сделали вывод, что не все критерии значимости могут быть применены в отрасли ОПК в полной мере.

С точки зрения критериев социальной значимости выбраны четыре основных:

4) отсутствие доступа к государственной услуге, оцениваемое в максимальном допустимом времени, в течение которого государственная услуга может быть недоступна для получателей такой услуги (часов).

Таблица. Определение объектов, подлежащих категорированию

К политическим критериям значимости для ОПК можно отнести:

• прекращение или нарушение функционирования государственного органа в части невыполнения возложенной на него функции;
• нарушение условий международного договора Российской Федерации, срыв переговоров или подписания планируемого для заключения международного договора Российской Федерации, оцениваемых по уровню международного договора Российской Федерации.

Из различных типов материального ущерба к экономическим критериям значимости относятся:

• возникновение ущерба субъекту КИИ, который является государственной корпорацией или компанией, стратегическим акционерным обществом или предприятием, оцениваемого в снижении уровня дохода (с учетом налога на добавленную стоимость, акцизов и иных обязательных платежей) по всем видам деятельности (процентов от годового объема доходов, усредненного за прошедший пятилетний период);
• возникновение ущерба бюджетам Российской Федерации, оцениваемого в снижении выплат (отчислений) в бюджеты, осуществляемых субъектом КИИ (процентов прогнозируемого годового дохода федерального бюджета, усредненного за планируемый трехлетний период).

К экологическим относится один критерий оценки вредных воздействий на окружающую среду.

Одними из самых важных критериев значимости являются критерии обеспечения обороны страны, безопасности государства и правопорядка. К ним относятся:

• прекращение или нарушение функционирования (невыполнение установленных показателей) пункта управления (ситуационного центра), оцениваемые в уровне (значимости) пункта управления или ситуационного центра;
• снижение показателей государственного оборонного заказа, выполняемого (обеспечиваемого) субъектом критической информационной инфраструктуры (критерий снижения ГОЗ);
• прекращение или нарушение функционирования (невыполнение установленных показателей) ИС в области обеспечения обороны страны, безопасности государства и правопорядка, оцениваемое в максимально допустимом времени, в течение которого ИС может быть недоступна пользователю (часов).

Определение значений критериев выполняется экспертным путем. Общая категория присваивается комиссией.

Проблемы и задачи при проведении категорирования субъектов ОПК

Разработка методики позволила выявить три основные проблемы при проведении категорирования субъектов ОПК:

1. Каждая из отраслей ОПК уникальна. без методик, учитывающих специфику разных производств, выполнить категорирование настолько большой отрасли очень затруднительно.
2. Процесс категорирования субъективен и зависит от компетенций специалистов и экспертов в комиссии.
3. Категорирование представляет собой процесс, а не разовую задачу. Комиссия должна быть постоянно действующей. Все изменения (добавление, удаление, изменения) элемента производственного жизненного цикла должны инициировать новый процесс категорирования. Поддержание в актуальном состоянии информации по критическим процессам и объектам необходимо как для построения, так и для последующего мониторинга информационной безопасности созданных объектов КИИ.

Кроме того, критерий снижения ГОЗ, который является значимым для категорирования на текущий момент, не учитывает реальную значимость в производственной цепочке выпуска продукции ОПК в рамках ГОЗ. Критерии значимости необходимо пересматривать вместе с развитием методического аппарата и на основании накопленного на практике опыта инициировать обновление законодательства в данной области.

Стоит отметить, что во многих сферах деятельности существуют свои центры компетенций, которые являются экспертами по технологическим процессам производства в данных сферах. Они должны принимать участие в создании нормативно-методической документации в промышленных сферах. Для формирования структуры с участием центров компетенций по всем отраслям промышленности и агрегации данных по ОКИИ должен быть организован единый центр (Promcert в сфере КИИ). Именно он может создавать и поддерживать в актуальном состоянии подходы и методики в области критической информационной инфраструктуры.

Опубликовано в журнале "Системы безопасности" №3/2022

Все статьи журнала "Системы безопасности"
доступны для скачивания в iMag >>