Алексей Ветров
Эксперт по защите данных IC-TECH
В логике 187-ФЗ ущерб от нарушения функционирования КИИ — это масштаб последствий, если объект “встанет” или начнёт работать с серьёзными сбоями.
Считают не только деньги, но и:
- пострадавших людей (жизнь и здоровье);
- перебои в услугах для населения (свет, вода, транспорт, связь, госуслуги);
- влияние на государственные органы, международные обязательства;
- экономические потери самой организации и бюджета;
- вред окружающей среде;
- влияние на оборону, безопасность государства и правопорядок.
Формально это описывается через показатели критериев значимости, утверждённые Правительством РФ. Комиссия по категорированию не “на глазок” решает, много это или мало, а подставляет прогнозные (или фактические) значения в утверждённую таблицу показателей и видит, к какой “ступеньке” ущерба относится объект: I, II или III категория либо вообще вне категорий.
Считают не только деньги, но и:
- пострадавших людей (жизнь и здоровье);
- перебои в услугах для населения (свет, вода, транспорт, связь, госуслуги);
- влияние на государственные органы, международные обязательства;
- экономические потери самой организации и бюджета;
- вред окружающей среде;
- влияние на оборону, безопасность государства и правопорядок.
Формально это описывается через показатели критериев значимости, утверждённые Правительством РФ. Комиссия по категорированию не “на глазок” решает, много это или мало, а подставляет прогнозные (или фактические) значения в утверждённую таблицу показателей и видит, к какой “ступеньке” ущерба относится объект: I, II или III категория либо вообще вне категорий.
Что говорит законодательство
- 187-ФЗ
- Правительство РФ определяет критерии значимости объектов КИИ и показатели их значений (ч. 2 ст. 6 187-ФЗ). На основе этих критериев субъекты КИИ присваивают объектам категории значимости. xn--186-mdddl3ee.xn--p1ai+1
- При категорировании оценивается масштаб возможных последствий компьютерных инцидентов — т.е. потенциальный ущерб от нарушения или прекращения функционирования объектов КИИ. rppa.pro+1
- Постановление Правительства РФ № 127 от 08.02.2018
- Утверждает:
- Правила категорирования объектов КИИ;
- Перечень показателей критериев значимости объектов КИИ и их значений.
- Комиссия по категорированию обязана оценивать в соответствии с Перечнем масштаб возможных последствий в случае компьютерных инцидентов, определять значения каждого показателя либо обосновывать их неприменимость.
- Перечень показателей делит последствия (ущерб) на пять блоков:
- социальная значимость;
- политическая значимость;
- экономическая значимость;
- экологическая значимость;
- значимость для обороны страны, безопасности государства и правопорядка.
- Утверждает:
- Примеры показателей, через которые измеряют ущерб (из Перечня № 127):
- социальная:
- “Причинение ущерба жизни и здоровью людей (человек)” — с порогами по количеству пострадавших;
- длительность и масштаб прекращения работы объектов жизнеобеспечения, транспорта, связи, доступности госуслуг;
- политическая:
- прекращение или нарушение функционирования госорганов;
- нарушение условий международных договоров;
- экономическая:
- “Возникновение ущерба субъекту КИИ, оцениваемого в снижении уровня дохода, % от годового дохода”;
- “Возникновение ущерба бюджетам РФ, % от доходов бюджета”;
- объём операций, которые становятся невозможны (банковские, платёжные и т.д.);
- экологическая:
- территория и численность населения, на которые распространяются вредные воздействия, и их уровень;
- оборона/безопасность:
- недоступность ситуационных центров, ИС в сфере обороны и безопасности;
- снижение показателей ГОЗ (объёмы, сроки).
- социальная:
Таким образом, ущерб в КИИ-подходе формализован через набор количественных и качественных показателей, а не только через “сумму в рублях”.
Как это работает на практике
На практике оценка ущерба происходит в двух основных контекстах:
- При категорировании объектов КИИ
Комиссия по категорированию:
- Описывает критические процессы: что именно делает объект (управляет подстанцией, обеспечивает расчёты, даёт населению услуги и т.п.).
- Моделирует наихудшие сценарии инцидентов (п. 14.1 Правил):
- полный отказ объекта;
- длительный простой;
- сильное нарушение параметров работы.
- Для каждого сценария оценивает, что произойдёт:
- сколько людей может пострадать;
- сколько людей останется без услуги;
- насколько сильно просядут доходы/налоги;
- какая территория и экосистема попадут под воздействие;
- как это повлияет на оборону и управление государством.
- Эти оценки “переводятся” в значения показателей по Перечню (попадает ли ситуация в вилки III/II/I категории).
- По наивысшему значению показателя присваивается категория значимости объекта.
Фактически комиссия отвечает на вопрос:
“Если этот объект ‘упадёт’, насколько больно будет людям, экономике, государству и окружающей среде?”
И именно так формально измеряется ущерб — через попадание в ту или иную “ступеньку” показателей значимости.
- При анализе реальных инцидентов
Когда инцидент уже произошёл, субъект КИИ:
- фиксирует фактические последствия (по тем же показателям: люди, время простоя, территория, деньги, влияние на органы власти и т.д.);
- сопоставляет их с тем, что было заложено в категорировании:
- не “недооценили” ли потенциальный ущерб;
- нужно ли пересматривать категорию значимости или меры защиты;
- использует эти данные при:
- внутренних расследованиях и управленческих решениях;
- обосновании инвестиций в ИБ и отказоустойчивость;
- взаимодействии с регуляторами (ФСТЭК, профильные ведомства).
При необходимости организация может дополнительно считать прямой и косвенный финансовый ущерб (по ГК РФ, отраслевым методикам), но для задач КИИ-регулирования опорной точкой остаётся именно перечень показателей критериев значимости.
Выводы и рекомендации
В КИИ-регулировании ущерб от нарушения функционирования не придумывается “на глаз” и не сводится только к рублям. Он формализован через систему показателей, утверждённую ПП РФ № 127, по пяти блокам значимости.
Для субъекта КИИ ключевая задача — качественно отработать этап категорирования:
-
- честно описать критические процессы и зависимости;
- корректно оценить последствия по всем применимым показателям;
- зафиксировать принятые допущения и расчёты в акте категорирования и ЛНА.
Для внутреннего управления рисками имеет смысл дополнить “государственные” показатели:
-
- собственной методикой оценки финансовых потерь (простой производства, штрафы, репутационные эффекты);
- матрицей рисков, где ущерб из Перечня № 127 “прошивается” с корпоративными критериями.
Возникли трудности с категорированием КИИ?
Выявим объекты КИИ, проведем категорирование, разработаем полный пакет документации и проконсультируем по взаимодействию с органами.
