9 августа, 2019, BIS Journal №3(34)/2019

Эссе о бизнесе, процессах и категорировании КИИ


Вихорев Сергей

заместитель руководителя направления информационной безопасности (ООО "НТЦ "Вулкан"")

Как это на самом деле делается.

Если начать «гуглить» на тему категорирование КИИ – вывалится огромное количество сайтов на эту тему. Но, к сожалению, все это будет в основном пересказ 127 постановления или вариации на тему известной «лестницы» процесса категорирования объектов КИИ из презентации ФСТЭК России. То есть все говорят ЧТО надо сделать, но почти никто не говорит КАК надо сделать. А хочется знать… Попробую в силу своего разуменья поговорить именно о том, КАК надо делать. 

Но, вначале оговорюсь. Уже в первых строках Правил категорирования объектов КИИ упоминаются некие процессы (управленческие, технологические, производственные, финансово-экономические и иные процессы в рамках выполнения функций или осуществления видов деятельности субъектов). И тут у многих технарей-ибэшников (а именно на их плечи, в основном, взваливают категорирование) возникает когнитивный диссонанс. Зачастую технарь за счет профессиональной деформации сознания связывает процесс с совокупностью последовательных действий некоей системы. На самом деле речь идет о более высокоуровневой модели процессов, непосредственно связанных именно с выполнением функций, возложенных на юридическое лицо,или осуществлением им определенных видов деятельности. Хотя и не люблю вводить новые сущности, но чтобы отделить мух от котлет, буду использовать термин «бизнес-процесс» (это наиболее близко отражает суть), но не совсем в классическом определении.

 

И ГДЕ ТА ПЕЧКА, ОТ КОТОРОЙ ТАНЦЕВАТЬ?

К задаче категорирования информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, как объектов КИИ (буду их обобщенно называть – системы, пока это еще не объекты КИИ – толкач муку покажет!) применим процессный (опять процесс!) подход. При этом априори будем считать, что юридическое лицо уже определилось со своей принадлежностью к областям (сферам) деятельности, установленных законом и аксиоматично является субъектом КИИ.Анализируя Правила категорирования, можно процесс категорирования рассматривать как совокупность ряда подпроцессов:

  • определение бизнес-процессов юридического лица и выделение критичных;
  • формирование Перечня объектов КИИ и выделение критичных;
  • категорирование значимых объектов КИИ.

 

Состав этих подпроцессов и их содержание приведен на рис. 1.

Рис. 1. Состав и содержание подпроцессов, осуществляемых в процессе категорирования

 

В рамках журнальной статьи, даже очень большой, рассмотреть весь процесс категорирования вряд ли получится. Но практический опыт показывает, что начало начал этого процесса – это выявление и систематизация именно бизнес-процессов, которые реализует юридическое лицо. На этом остановимся и с этого места будем говорить поподробнее.

Подпроцесс определения бизнес-процессов в деятельности юридического лица и выделения среди них критичных предполагает проведение анализа всех управленческих, технологических, производственных, финансово-экономических и иных бизнес-процессов юридического лица. Подпроцесс включает следующие процедуры:

  • составление перечня всех управленческих, технологических, производственных, финансово-экономических и иных бизнес-процессов в деятельности юридического лица;
  • высокоуровневую оценку негативных последствий от нарушения бизнес-процессов в деятельности юридического лица по каждому критерию, определенному постановлением Правительства РФ от 08.02.2018 г. № 127;
  • формирование Перечня критичных бизнес-процессов в деятельности юридического лица.

 

При составлении Перечня бизнес-процессов надо учитывать, что:

  • под управленческими бизнес-процессами понимаются любые процессы в деятельности юридического лица, направленные на управление выполнением функций (полномочий) или осуществления видов деятельности юридическим лицом. Управленческие бизнес-процессы представляют собой совокупность циклических действий, связанных с выявлением проблем, поиском и организацией выполнения принятых решений для управляемых объектов;
  • под технологическими бизнес-процессами понимаются любые процессы в деятельности юридического лица, которые обслуживают основные бизнес-процессы, направленные на выполнение функций (полномочий) или осуществление видов деятельности юридическим лицом;
  • под производственными бизнес-процессами понимаются любые процессы в деятельности юридического лица, направленные на достижение конечного результата выполняемых функций (полномочий) или видов деятельности юридического лица. Производственные процессы являются линейными процессами на выходе которых предполагается определенный результат;
  • под финансово-экономическими бизнес-процессами понимаются любые процессы в деятельности юридического лица, связанные с экономическими, финансово-денежными, учетными, фискальными аспектами деятельности юридического лица, а также с обеспечением текущей деятельности юридического лица посредством реализации финансовых прав и исполнения финансовых обязательств.

Рис. 2. Состав и содержание подпроцесса определения бизнес-процессов юридического лица

 

Ладно, какие бизнес-процессы анализировать вроде бы понятно (рис.2). Но где взять эти самые бизнес-процессы, какие из них характерны для конкретного юридического лица? И вот тут начинаются первые трудности процесса категорирования. Самое простое, это когда бизнес-процессы в организации уже описаны: бери, оценивай, выбирай критичные. Сейчас многие организации, используя опять-таки процессный подход, стремятся правильно наладить свой бизнес и составляют Реестры своих бизнес-процессов. Это характерно для многих организаций кредитно-финансовой сферы, организаций, оказывающих услуги связи и даже производственных предприятий. В этом случае, в качестве источника знаний о существующих бизнес-процессах могут выступать:

  • реестр бизнес-процессов организации;
  • регламенты выполнения функций;
  • технологические карты;
  • диаграммы потоков данных;
  • диаграммы потоков работ.

 

Но, к глубокому сожалению, описывают бизнес-процессы далеко не все организации. И что будем делать? Если подходить по-взрослому, если бизнес-процессы не описаны, необходимо использовать референтные[1] (типовые) модели бизнес-процессов. Слава Богу, сейчас таких моделей много, для примера:

  • Классификатор типовых бизнес-процессов (APQC);
  • Восьмипроцессная модель (ITSM);
  • Модель eTOM (сфера связи);
  • Референтнаямодель BIAN;
  • Отраслевые приложения стандартов серии ISO 9000;
  • Стандарты качества банковской деятельности (АРБ) 

 

Правда, надо отметить, что адаптация референтных моделей для нужд своей организации – дело хотя и полезное, и нужное, но достаточно хлопотное и затратное как по времени, так и по средствам. Всегда остается риск не успеть в срок.

И тогда придется включать смекалку, знания и опыт членов комиссии и пытаться упрощенно описать бизнес-процессы исходя из выполняемых юридическим лицом функций (полномочий) или осуществляемых им видов деятельности. Здесь надо будет на основе анализа учредительных документов, структуры организации, поставленных перед подразделениями задачами, выстроить реальную структуру взаимодействия, необходимую для решения поставленных задач и принять решение о наличии того или иного бизнес-процесса. Алгоритм упрощенного выявления бизнес-процессов в деятельности юридического лица приведен на рис. 3.

Важно чтобы попытаться выявить ВСЕ бизнес-процессы, которые реализуются в организации (пока на этом этапе об их критичности речь не идет). Важно ничего не упустить. И вот, когда эта титаническая работа закончена, выявлены все бизнес-процессы, составлен Реестр бизнес-процессов – первый этап можно считать завершенным.

Рис. 3. Алгоритм упрощенного выявления бизнес-процессов

 

ПЕЧКУ НАШЛИ. ЧТО ДАЛЬШЕ?

Но трудности только начинаются. Теперь, по идее, надо оценить насколько эти бизнес-процессы критичны и отбросить те, которые не представляют интерес, как некритичные. Но критериев оценки именно бизнес-процессов с точки зрения их критичности в Правилах категорирования – нет! А рассчитывать показатели критериев критичности, наверное, еще рано. И комиссия может впасть в ступор.

Давайте немного порассуждаем. Зачем мы определяем критичные бизнес-процессы? Чтобы определить, какие системы задействованы для их реализации, отбросить те системы, которые не задействованы и уж потом, на основе расчета показателей критериев значимости, определить насколько эти системы значимы. Следовательно, при оценке критичности бизнес-процесса сам показатель критерия – не важен, а требуется только определить: насколько потенциально этот бизнес-процесс может повлиять на причинение ущерба или нарушение функций. То есть на этом этапе нас интересует только высокоуровневая оценка критичности бизнес-процессов.

Итого: показатели критериев нас сейчас не интересуют (это мы будем считать позже), но мы должны учесть критерии, указанные в Правилах категорирования. Такую оценку можно провести на основе анализа влияния и потенциальных последствий от нарушения бизнес-процессана ту или иную критичную сферу, для которой определены группы критериев значимости (для высокоуровневой оценки этого достаточно):

  • социальной;
  • политической;
  • экономической;
  • экологической;
  • обеспечения обороны страны, безопасности государства и правопорядка.

 

И здесь, так как четких критериев нет, влияние бизнес-процесса на ту или иную значимую сферу придется оценивать интуитивно-экспертным методом с учетом критериев, установленных Правилами категорирования.

При оценке критичности бизнес-процесса с точки зрения социальной значимости оценивается влияние бизнес-процесса на возможный ущерб, причиняемый жизни или здоровью людей, возможность прекращения или нарушения функционирования объектов обеспечения жизнедеятельности населения, транспортной инфраструктуры, сетей связи, а также максимальное время отсутствия доступа к государственной услуге для получателей такой услуги.

Бизнес-процесс считается способным причинить ущерб жизни и здоровью людей, если он задействован (обеспечивает) в управлении или обеспечении работоспособности механизмов и устройств, нарушение функционирования которых может привести:

  • к авариям, катастрофам с человеческими жертвами;
  • к бактериологическому, радиационному или химическому заражению;
  • к отключению приборов, обеспечивающих жизненно важные функции организма;
  • к нарушению технологий производства и хранения фармацевтической и медицинской продукции;
  • к иным последствиям, пагубно влияющим на жизнь и здоровье людей.

 

Бизнес-процесс считается способным повлиять на прекращение или нарушение функционирования объектов обеспечения жизнедеятельности населения, транспортной инфраструктуры, сетей связи, если он задействован:

  • в управлении, контроле или мониторинге и эксплуатации объектами обеспечения жизнедеятельности населения, транспортной инфраструктуры, сетей связи;
  • в обеспечении бесперебойного функционирования объектов обеспечения жизнедеятельности населения, транспортной инфраструктуры, сетей связи;
  • в поддержании качества функционирования объектов обеспечения жизнедеятельности населения, транспортной инфраструктуры, сетей связи.

 

Бизнес-процесс считается способным привести к нарушению максимального времени отсутствия доступа в оказании государственных услуг, если он задействован:

  • в управлении, контроле или мониторинге и поддержании бесперебойного функционирования элементов инфраструктуры доступа к государственной услуге;
  • в аналитической, экспертной, учетной деятельности, необходимой для обеспечения функционирования государственных органов власти, оказывающих госуслуги;
  • в обеспечении взаимодействия государственных органов власти, оказывающих госуслуги.

 

При оценке критичности бизнес-процесса с точки зрения политической значимости, оценивается влияние бизнес-процесса на возможность причинения ущерба интересам Российской Федерации в вопросах внутренней и внешней политики. Бизнес-процесс считается оказывающим влияние на функционирование органа государственной власти, если он задействован:

  • в аналитической, экспертной, учетной деятельности, необходимой для принятия управленческих решений органом государственной власти;
  • в управлении, контроле или мониторинге и поддержании бесперебойного функционирования элементов инфраструктуры взаимодействия органов государственной власти;
  • в управлении, контроле или мониторинге и поддержании бесперебойного функционирования элементов инфраструктуры оповещения населения о чрезвычайных ситуациях;
  • в поддержании бесперебойного функционирования элементов системы управления, необходимой для реализации возложенных на орган государственной власти полномочий.

 

При оценке критичности бизнес-процесса с точки зрения экономической значимости оценивается влияние бизнес-процесса на возможность причинения прямого и косвенного ущерба субъектам критической информационной инфраструктуры или бюджетам Российской Федерации.

Бизнес-процесс считается оказывающим влияние на возможность причинения прямого и косвенного ущерба государственной корпорации, государственным унитарным предприятиям, государственной компании, стратегическому акционерному обществу, стратегическому предприятию, а также ущерба бюджетам Российской Федерации, если он задействован:

  • в аналитической, экспертной, учетной деятельности, необходимой для принятия управленческих решений руководством государственной корпорации, государственного унитарного предприятия, государственной компании, стратегического акционерного общества, стратегического предприятия;
  • в управлении, контроле или мониторинге технологическим циклом производства, включая поставки, логистику, взаимодействие с контрагентами;
  • в управлении, контроле или мониторинге комплексом программных и программно-аппаратных средств, предназначенных для контроля за технологическим или производственным оборудованием (исполнительными устройствами) и производимыми ими процессами;
  • в обеспечении взаимодействия с организациями кредитно-финансовой сферы, включая страховые компании, биржи, банки, казначейство, налоговые органы.

 

Бизнес-процесс считается оказывающим влияние на возможность прекращения или нарушения проведения банковских операций, если он задействован в выполнении любых операций по банковским счетам или без открытия банковского счета, включая билинговые и клиринговые операции.

При оценке критичности бизнес-процесса с точки зрения экологической значимости оценивается уровень воздействия бизнес-процесса опасных производственных объектов на окружающую среду. Бизнес-процесс считается оказывающим воздействие на окружающую среду, если он задействован в управлении или обеспечении работоспособности механизмов и устройств опасных производственных объектов, нарушение функционирования которых может привести к авариям, инцидентам или катастрофам в результате которых возможны:

  • сброс загрязняющих веществ в водоемы и на территории;
  • повышение уровня вредных загрязняющих веществ, в том числе радиоактивных веществ, в атмосфере;
  • ухудшение состояния земель;
  • иные вредные воздействия.

 

При оценке критичности бизнес-процесса с точки зрения значимости для обеспечения обороны страны, безопасности государства и правопорядка оценивается уровень воздействия бизнес-процесса на прекращение или нарушение функционирования пункта управления (ситуационного центра) государственных органов власти или государственной корпорации, информационных систем в области обеспечения обороны страны, безопасности государства и правопорядка, снижение показателей государственного оборонного заказа.

Бизнес-процесс считается оказывающим влияние на прекращение или нарушение функционирования пункта управления (ситуационного центра) государственных органов власти или государственной корпорации, информационных систем в области обеспечения обороны страны, безопасности государства и правопорядка, если он задействован:

  • в аналитической, экспертной, учетной деятельности, необходимой для принятия управленческих решений органом государственной власти или государственной корпорации в рамках пункта управления (ситуационного центра);
  • в управлении, контроле или мониторинге и поддержании бесперебойного функционирования элементов инфраструктуры пункта управления (ситуационного центра) государственного органа власти или государственной корпорации;
  • в управлении, контроле или мониторинге и поддержании бесперебойного функционирования информационно-телекоммуникационной сети, обеспечивающей деятельность пункта управления (ситуационного центра) государственного органа власти или государственной корпорации по взаимодействию с управляемыми объектами (субъектами);
  • в управлении, контроле или мониторинге и поддержании бесперебойного функционирования элементов инфраструктуры оповещения населения о чрезвычайных ситуациях.

 

Бизнес-процесс считается оказывающим влияние на снижение показателей государственного оборонного заказа, если он задействован:

в управлении, контроле или мониторинге технологическим циклом производства, включая поставки, логистику, взаимодействие с контрагентами;
в управлении, контроле или мониторинге комплексом программных и программно-аппаратных средств, предназначенных для контроля за технологическим или производственным оборудованием (исполнительными устройствами) и производимыми ими процессами.

Бизнес-процесс считается критичным, если в ходе высокоуровневой оценки возможных последствий от нарушения бизнес-процесса установлено что, он задействован и оказывает влияние хотя бы по одной группе критериев значимости.

Оценка критичности бизнес-процессов позволит исключить из Реестра бизнес-процессов, те, которые не являются критичными и тем самым в дальнейшем сократить объем расчетов показателей критериев значимости систем.

 

ОТ АВТОРА

Это далеко не весь процесс категорирования объектов КИИ. Каждый этап можно декомпозировать и попытаться есть слона по частям. Автор попытался остановиться только на самом, на его взгляд, главном – на начальной точке отсчета. Не знаю, насколько получилось, но хотелось показать, что краеугольным камнем, точкой опоры в процессе категорирования объектов КИИ является не информационная система и даже не величина показателей критериев значимости, а правильное выстраивание бизнес-процессов организации и оценка их влияния на ту или иную критичную сферу. Вот та самая печка, от которой надо танцевать.

 

Смотрите также

Подпишись на новости!
Подписаться