Добрый день, уважаемые коллеги! Конечно, данное мероприятие является в настоящее время у нас актуальным, т.к. объекты критической информационной инфраструктуры, как мы знаем, в 2017 году был принят Федеральный закон, который обязывал всех субъектов КИИ начать проводить категорирование и определять соответствующий перечень объектов КИИ.

На основании этого закона правительством Российской Федерации были выпущены правоустанавливающее документы. Основным документом стало постановление Правительства 127, где определялись правила категорирования объектов КИИ, и были выпущены нормативно-правовые акты регуляторов – это ФСТЭК России и ФСБ, которые начали обеспечивать безопасность объектов КИИ. И при заполнении КИИ выдвигались требования по выполнению защиты самих объектов КИИ.

Как мы знаем, что Постановление Правительства 127, оно подразделяется на два этапа. Первый этап – это когда создаётся комиссия по категорированию. Данная комиссия производит сбор необходимых данных. После получения данных комиссия определяет, какие объекты необходимо включить в перечень и последующим утвердить их и направить во ФСТЭК России. Здесь, конечно, можно обсуждать очень много, потому что существуют какие объекты? Это информационные системы, автоматизированные системы управления, информационно-телекоммуникационные сети.

В оборонно-промышленных предприятиях, по своему опыту и филиалах своих и представительствах, мы столкнулись с тем, что наши сотрудники, которые находятся в составе комиссий по категорированию объектов КИИ у себя в филиалах, немного начали затрудняться с определением, всё-таки какие объекты должны быть включены в перечень. Мы, например, настаиваем, чтобы все были объекты – информационные системы, АСУ и локально-вычислительные сети, а представители филиалов говорят, что при обращении в территориальное управление ФСТЭК России, ФСТЭК России говорит, что также необходимо включать, например, автономные автоматизированные рабочие места, которые осуществляют обработку сведений, составляющих государственную тайну.

Здесь, конечно, мы немножко были в шоке от такого, потому что если ARMA у нас аттестовываются по определенному, так скажем, требованию ФСТЭК России, мы считаем, что 187 Федеральный закон не распространяется на данные ARMA. Также возникает очень много вопросов с использованием информационных систем, что идёт позиция такая в территориальных управлениях – не во всех регионах, конечно, – ФСТЭК России.

И вы знаете прекрасно, ФСТЭК России говорит. Приведу простой пример. Сейчас у нас проходит проверка прокурорская совместно с представителями ФСТЭК России. У нас была включено 6 объектов – это были все информационные системы. Данные информационные системы, по нашим данным, являются незначимыми и не задействованными в работе и в производстве гособоронзаказов. Мне вопрос сразу задали: «А зачем вы их включили?» Здесь, конечно, Елена Борисовна была бы Карпенко, мы бы ей задали этот вопрос, чтоб она могла пояснить, конечно, в данном случае что делать.

Второй этап – это когда уже комиссия определила и направила перечень и необходимо теперь проводить в течение года категорирование данных объектов. Мы тоже начали в этом году проводить категорирование своих 6 объектов и начали изучать методические рекомендации, которые были размещены как на официальных сайтах органов исполнительной власти, в ассоциациях, которые решили помочь предприятиям, организациям упростить данное категорирование.

Конечно, методики были подспорьем нам, но мы, когда направили свои сведения во ФСТЭК России, ФСТЭК России нам их вернул с формулировкой о том, что, когда вы рассчитываете показатели, вы должны указывать конкретно цифры, а не писать, что, например, данные показатели к нам не применимы.

Мы устранили данное замечание и отправили повторно, как говорится, свои объекты КИИ. Нас, как говорится, включили в перечень, включили в базу свою. В октябре, 14 октября, нам опять вернули с формулировками о том, что необходимо пересмотреть показатели – это 13-й – в части именно оборонно-промышленных предприятий. Но когда мы повторно направляли, мы указывали, что ни один объект не относится к гособоронзаказам. Здесь такая у нас ситуация произошла.

Мы решили провести некую такую консультацию с другими оборонно-промышленными предприятиями, чтобы нам помогли, как все-таки рассчитываются, как люди подают данные. Опыт наших консультаций показал, что единого подхода категорирования объектов КИИ на оборонно-промышленных предприятиях нет. Причина тому, одно оборонно-промышленное предприятие сказало, что: «У нас приняли сведения без всяких обоснований». Другое предприятие сказало: «Мы писали цифру и у нас тоже приняли». А у нас немножко это происходит по-другому. Я немножко сейчас объясню, в чем ситуация.

Позиция, видимо, ФСТЭК России меняется, наверное, еженедельно, а, может быть, даже ежедневно. Теперь каждый показатель, который относится к оборонно-промышленным предприятиям, у нас их, так скажем, три – это 8 показатель, 9 показатель и 13 показатель, если вы пишите, что этот показатель не применим и даете аргументацию, то здесь ещё необходимо это обосновывать организационно-распорядительными своими документами.

Например, если по 13 показателю – о снижении правого заказа – мы писали, что наши объекты на производство не влияют, а ФСТЭК России говорит, что самый критичный момент – это инциденты, когда у вас все шифровальщик зашифровал. Мы ему говорим: «У нас есть резерв – резерв, например, состоит из средств вычислительной техники – и восстановить некие процессы работы этой информационной системой нам достаточно всего лишь 3 рабочих дней. ФСТЭК России задаёт вопрос: «А чем это у вас установлено?»

И в настоящее время у нас опять комиссия собиралась и было принято решение издать приказы, где выделить резерв денежных средств на обеспечение выполнения материальных запасов – средств вычислительной техники, в случае если какой-то произойдет у нас инцидент. И, конечно, начали осуществлять перерасчеты. Но формы и какого-то единого подхода до сих пор нет.

Изучив тоже методические рекомендации разные, в основном люди ссылаются на нормативные документы. Да, они переписываются одни и те же ссылки в законе, заполняют табличку, показывают пример, как заполнить сведения. Мы по таким же решили сведения также заполнить, однако у нас, увы, это не прошло, регулятор нам возвращает и просит это обосновывать.

В рамка, как сказали мои коллеги, что при Комитете создана рабочая группа по информационной безопасности, мне бы хотелось бы предложить рабочей группе создать методические рекомендации по категорированию объектов КИИ оборонно-промышленных предприятий. Это, как мне многие говорили, зачем, вроде бы всё это есть, берите изучайте. Нет, уважаемые коллеги. Одно дело, когда переписать закон в методичку, а второе, когда ты предоставляешь пользователю этой методички организационно-распорядительные документы, формы этих документов. Также предложить методику расчета данных показателей, чтобы было удобно и понятно человеку, который решил категорироваться либо решил категорировать объект. Он мог посмотреть и определить и рассчитать свои показатели.