Технологическая независимость – это состояние науки, техники, технологий и производства, способное обеспечить национальную экономику необходимым уровнем развития без учета использования импорта. В числе основных целей обретения технологической независимости Илья Перевалов назвал конкурентоспособность национальной науки, технологий, производства, обеспечение потребностей национальной экономики за счет собственных средств производства, технологий и научного потенциала.
Спикер отметил, что первым этапом в процессе достижении технологической независимости является проведение мероприятий по категорированию объектов критической инфраструктуры (КИИ).
ФГУП «ЗащитаИнфоТранс» активно участвует в выполнении стоящей перед всеми отраслями российской экономики задачи – добиться технологического ИТ-суверенитета, и занимается этим вопросом в части информационных систем на объектах КИИ. На базе предприятия действует отраслевой центр компетенций по импортозамещению программного обеспечения в транспортной отрасли (ОЦК), который, в том числе, проводит методическую работу по вопросам категорирования объектов КИИ.
Основной целью категорирования объектов КИИ является устойчивость ИТ-инфраструктуры в случае возможных негативных событий, таких как компьютерные атаки и подобные деструктивные действия, подчеркнул спикер. Он подробно остановился на вопросах нормативного и методического обеспечения процесса категорирования КИИ, его этапах, рассказал о текущей ситуации и проблемных моментах.
В первую очередь Илья Перевалов рассказал о важнейших документах, непосредственно связанных с процессом категорирования объектов КИИ. Среди них Федеральный Закон №187-ФЗ от 26 июля 2017 года «О безопасности критической информационной инфраструктуры Российской Федерации», приказ ФСТЭК от 6 декабря 2017 года №227 «Об утверждении порядка ведения реестра значимых объектов КИИ», Постановление правительства РФ от 8 августа 2018 года №127 «Об утверждении Правил категорирования объектов КИИ, а также перечня показателей критериев значимости объектов КИИ и их значений». В декабре 2022 года к постановлению №127 вышли изменения, в части корректировки показателей критериев значимости.
Объекты КИИ – это информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов КИИ. А понятие субъекта КИИ очень часто становится элементом обсуждения и споров, отметил спикер и уточнил: субъектом КИИ является не только организация, у которой есть объекты КИИ соответствующей категории значимости или без категории, но также та организация, у которой есть информационные системы, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности.
Основные этапы непосредственно процесса категорирования объектов КИИ: создание комиссии, определение процессов субъекта КИИ, определение критических процессов субъекта КИИ, формирование перечня объектов КИИ и информирование ФСТЭК, подготовка форм сведений об объекте КИИ и акта о категорировании, отправка форм сведений во ФСТЭК.
Когда все этапы пройдены, подчеркнул спикер, возникают следующие обязательства: обеспечение безопасности значимых объектов критической информационной инфраструктуры, передача информации о компьютерных инцидентах в НКЦКИ, перекатегорирование раз в 5 лет или при изменении нормативно-правовых актов.
Для облегчения процесса категорирования объектов КИИ Минтрансом России были согласованы со ФСТЭК России и 24 января 2024 года утверждены Методические рекомендации по категорированию объектов КИИ, функционирующих в сфере транспорта.
Завершая выступление, лектор отметил ряд проблемных вопросов, которые встречаются при категорировании объектов КИИ. В первую очередь это отсутствие специалистов, которые могли бы провести этот процесс в конкретной организации, поскольку и вопросы категорирования достаточно непростые, и специалисты должны обладать компетенциями в области законодательства и в области информационной безопасности.
Многие организации стараются уйти от выполнения мероприятий по категорированию, понимая, что это только первые шаги к достаточно серьезным задачам, которые необходимо будет выполнять. И, что немаловажно, это связанно с дополнительными затратами для субъекта КИИ.
Также многие организации стараются занижать категорию значимости объекта КИИ либо в силу недостаточности понимания критериев и показателей значимости в нормативных документах, либо делают это сознательно. Но на этапе проверки документов такие случаю выявляются достаточно просто. Кроме того, отметил Илья Перевалов, субъекты КИИ не всегда знакомы с требованиями законодательства в области категорирования объектов КИИ и это тоже создает определенности сложности.
Лекция прошла в рамках серии вебинаров программы «Реализация проектов цифровой трансформации», посвященных вопросам технологического суверенитета и цифрового развития организаций в условиях глобальных вызовов. Организаторами программы выступают Дирекция приоритетных образовательных инициатив Президентской академии и Центр подготовки руководителей и команд цифровой трансформации сформированный ВШГУ Президентской академии.