Если начать «гуглить» на тему категорирование КИИ – вывалится огромное количество сайтов на эту тему. Но, к сожалению, все это будет в основном пересказ 127 постановления или вариации на тему известной «лестницы» процесса категорирования объектов КИИ из презентации ФСТЭК России. То есть все говорят ЧТО надо сделать, но почти никто не говорит КАК надо сделать. А хочется знать… Попробую в силу своего разуменья поговорить именно о том, КАК надо делать.
Но, вначале оговорюсь. Уже в первых строках Правил категорирования объектов КИИ упоминаются некие процессы (управленческие, технологические, производственные, финансово-экономические и иные процессы в рамках выполнения функций или осуществления видов деятельности субъектов). И тут у многих технарей-ибэшников (а именно на их плечи, в основном, взваливают категорирование) возникает когнитивный диссонанс. Зачастую технарь за счет профессиональной деформации сознания связывает процесс с совокупностью последовательных действий некоей системы. На самом деле речь идет о более высокоуровневой модели процессов, непосредственно связанных именно с выполнением функций, возложенных на юридическое лицо,или осуществлением им определенных видов деятельности. Хотя и не люблю вводить новые сущности, но чтобы отделить мух от котлет, буду использовать термин «бизнес-процесс» (это наиболее близко отражает суть), но не совсем в классическом определении.
И ГДЕ ТА ПЕЧКА, ОТ КОТОРОЙ ТАНЦЕВАТЬ?
К задаче категорирования информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, как объектов КИИ (буду их обобщенно называть – системы, пока это еще не объекты КИИ – толкач муку покажет!) применим процессный (опять процесс!) подход. При этом априори будем считать, что юридическое лицо уже определилось со своей принадлежностью к областям (сферам) деятельности, установленных законом и аксиоматично является субъектом КИИ.Анализируя Правила категорирования, можно процесс категорирования рассматривать как совокупность ряда подпроцессов:
Состав этих подпроцессов и их содержание приведен на рис. 1.
Рис. 1. Состав и содержание подпроцессов, осуществляемых в процессе категорирования
В рамках журнальной статьи, даже очень большой, рассмотреть весь процесс категорирования вряд ли получится. Но практический опыт показывает, что начало начал этого процесса – это выявление и систематизация именно бизнес-процессов, которые реализует юридическое лицо. На этом остановимся и с этого места будем говорить поподробнее.
Подпроцесс определения бизнес-процессов в деятельности юридического лица и выделения среди них критичных предполагает проведение анализа всех управленческих, технологических, производственных, финансово-экономических и иных бизнес-процессов юридического лица. Подпроцесс включает следующие процедуры:
При составлении Перечня бизнес-процессов надо учитывать, что:
Рис. 2. Состав и содержание подпроцесса определения бизнес-процессов юридического лица
Ладно, какие бизнес-процессы анализировать вроде бы понятно (рис.2). Но где взять эти самые бизнес-процессы, какие из них характерны для конкретного юридического лица? И вот тут начинаются первые трудности процесса категорирования. Самое простое, это когда бизнес-процессы в организации уже описаны: бери, оценивай, выбирай критичные. Сейчас многие организации, используя опять-таки процессный подход, стремятся правильно наладить свой бизнес и составляют Реестры своих бизнес-процессов. Это характерно для многих организаций кредитно-финансовой сферы, организаций, оказывающих услуги связи и даже производственных предприятий. В этом случае, в качестве источника знаний о существующих бизнес-процессах могут выступать:
Но, к глубокому сожалению, описывают бизнес-процессы далеко не все организации. И что будем делать? Если подходить по-взрослому, если бизнес-процессы не описаны, необходимо использовать референтные[1] (типовые) модели бизнес-процессов. Слава Богу, сейчас таких моделей много, для примера:
Правда, надо отметить, что адаптация референтных моделей для нужд своей организации – дело хотя и полезное, и нужное, но достаточно хлопотное и затратное как по времени, так и по средствам. Всегда остается риск не успеть в срок.
И тогда придется включать смекалку, знания и опыт членов комиссии и пытаться упрощенно описать бизнес-процессы исходя из выполняемых юридическим лицом функций (полномочий) или осуществляемых им видов деятельности. Здесь надо будет на основе анализа учредительных документов, структуры организации, поставленных перед подразделениями задачами, выстроить реальную структуру взаимодействия, необходимую для решения поставленных задач и принять решение о наличии того или иного бизнес-процесса. Алгоритм упрощенного выявления бизнес-процессов в деятельности юридического лица приведен на рис. 3.
Важно чтобы попытаться выявить ВСЕ бизнес-процессы, которые реализуются в организации (пока на этом этапе об их критичности речь не идет). Важно ничего не упустить. И вот, когда эта титаническая работа закончена, выявлены все бизнес-процессы, составлен Реестр бизнес-процессов – первый этап можно считать завершенным.
Рис. 3. Алгоритм упрощенного выявления бизнес-процессов
ПЕЧКУ НАШЛИ. ЧТО ДАЛЬШЕ?
Но трудности только начинаются. Теперь, по идее, надо оценить насколько эти бизнес-процессы критичны и отбросить те, которые не представляют интерес, как некритичные. Но критериев оценки именно бизнес-процессов с точки зрения их критичности в Правилах категорирования – нет! А рассчитывать показатели критериев критичности, наверное, еще рано. И комиссия может впасть в ступор.
Давайте немного порассуждаем. Зачем мы определяем критичные бизнес-процессы? Чтобы определить, какие системы задействованы для их реализации, отбросить те системы, которые не задействованы и уж потом, на основе расчета показателей критериев значимости, определить насколько эти системы значимы. Следовательно, при оценке критичности бизнес-процесса сам показатель критерия – не важен, а требуется только определить: насколько потенциально этот бизнес-процесс может повлиять на причинение ущерба или нарушение функций. То есть на этом этапе нас интересует только высокоуровневая оценка критичности бизнес-процессов.
Итого: показатели критериев нас сейчас не интересуют (это мы будем считать позже), но мы должны учесть критерии, указанные в Правилах категорирования. Такую оценку можно провести на основе анализа влияния и потенциальных последствий от нарушения бизнес-процессана ту или иную критичную сферу, для которой определены группы критериев значимости (для высокоуровневой оценки этого достаточно):
И здесь, так как четких критериев нет, влияние бизнес-процесса на ту или иную значимую сферу придется оценивать интуитивно-экспертным методом с учетом критериев, установленных Правилами категорирования.
При оценке критичности бизнес-процесса с точки зрения социальной значимости оценивается влияние бизнес-процесса на возможный ущерб, причиняемый жизни или здоровью людей, возможность прекращения или нарушения функционирования объектов обеспечения жизнедеятельности населения, транспортной инфраструктуры, сетей связи, а также максимальное время отсутствия доступа к государственной услуге для получателей такой услуги.
Бизнес-процесс считается способным причинить ущерб жизни и здоровью людей, если он задействован (обеспечивает) в управлении или обеспечении работоспособности механизмов и устройств, нарушение функционирования которых может привести:
Бизнес-процесс считается способным повлиять на прекращение или нарушение функционирования объектов обеспечения жизнедеятельности населения, транспортной инфраструктуры, сетей связи, если он задействован:
Бизнес-процесс считается способным привести к нарушению максимального времени отсутствия доступа в оказании государственных услуг, если он задействован:
При оценке критичности бизнес-процесса с точки зрения политической значимости, оценивается влияние бизнес-процесса на возможность причинения ущерба интересам Российской Федерации в вопросах внутренней и внешней политики. Бизнес-процесс считается оказывающим влияние на функционирование органа государственной власти, если он задействован:
При оценке критичности бизнес-процесса с точки зрения экономической значимости оценивается влияние бизнес-процесса на возможность причинения прямого и косвенного ущерба субъектам критической информационной инфраструктуры или бюджетам Российской Федерации.
Бизнес-процесс считается оказывающим влияние на возможность причинения прямого и косвенного ущерба государственной корпорации, государственным унитарным предприятиям, государственной компании, стратегическому акционерному обществу, стратегическому предприятию, а также ущерба бюджетам Российской Федерации, если он задействован:
Бизнес-процесс считается оказывающим влияние на возможность прекращения или нарушения проведения банковских операций, если он задействован в выполнении любых операций по банковским счетам или без открытия банковского счета, включая билинговые и клиринговые операции.
При оценке критичности бизнес-процесса с точки зрения экологической значимости оценивается уровень воздействия бизнес-процесса опасных производственных объектов на окружающую среду. Бизнес-процесс считается оказывающим воздействие на окружающую среду, если он задействован в управлении или обеспечении работоспособности механизмов и устройств опасных производственных объектов, нарушение функционирования которых может привести к авариям, инцидентам или катастрофам в результате которых возможны:
При оценке критичности бизнес-процесса с точки зрения значимости для обеспечения обороны страны, безопасности государства и правопорядка оценивается уровень воздействия бизнес-процесса на прекращение или нарушение функционирования пункта управления (ситуационного центра) государственных органов власти или государственной корпорации, информационных систем в области обеспечения обороны страны, безопасности государства и правопорядка, снижение показателей государственного оборонного заказа.
Бизнес-процесс считается оказывающим влияние на прекращение или нарушение функционирования пункта управления (ситуационного центра) государственных органов власти или государственной корпорации, информационных систем в области обеспечения обороны страны, безопасности государства и правопорядка, если он задействован:
Бизнес-процесс считается оказывающим влияние на снижение показателей государственного оборонного заказа, если он задействован:
в управлении, контроле или мониторинге технологическим циклом производства, включая поставки, логистику, взаимодействие с контрагентами;
в управлении, контроле или мониторинге комплексом программных и программно-аппаратных средств, предназначенных для контроля за технологическим или производственным оборудованием (исполнительными устройствами) и производимыми ими процессами.
Бизнес-процесс считается критичным, если в ходе высокоуровневой оценки возможных последствий от нарушения бизнес-процесса установлено что, он задействован и оказывает влияние хотя бы по одной группе критериев значимости.
Оценка критичности бизнес-процессов позволит исключить из Реестра бизнес-процессов, те, которые не являются критичными и тем самым в дальнейшем сократить объем расчетов показателей критериев значимости систем.
ОТ АВТОРА
Это далеко не весь процесс категорирования объектов КИИ. Каждый этап можно декомпозировать и попытаться есть слона по частям. Автор попытался остановиться только на самом, на его взгляд, главном – на начальной точке отсчета. Не знаю, насколько получилось, но хотелось показать, что краеугольным камнем, точкой опоры в процессе категорирования объектов КИИ является не информационная система и даже не величина показателей критериев значимости, а правильное выстраивание бизнес-процессов организации и оценка их влияния на ту или иную критичную сферу. Вот та самая печка, от которой надо танцевать.