Пять признаков ошибочного категорирования критической информационной инфраструктуры (КИИ)
Признак №1: "То пусто, то густо"
Очень часто попадаются случаи, либо когда компания формирует перечень объектов КИИ, запихивая туда все подряд: информационные системы, компьютерную технику сотрудников, мобильные телефоны, станки и оборудование без автоматизированных систем управления, либо наоборот, указывая какую-нибудь одну информационную систему и забывая про чпу станки, системы проектирования и т.д.
Для этого, в рамках новых поправок, уже однозначно сказали: смотрите в типовые отраслевые перечни и сопоставляйте, что из этого есть у компании в наличии.
Признак №2: Отсутствие комплексного анализа взаимосвязанных систем
Многие объекты КИИ связаны друг с другом технологическими цепочками и зависят от общего взаимодействия. Неправильно оценивать угрозу отдельно стоящего элемента вне контекста всей экосистемы. Неверное категорирование часто проявляется в игнорировании сложных взаимозависимых связей и упрощенном представлении рисков.
Признак №3: Недостаточно глубокий анализ технологий и оборудования
При неправильной классификации специалисты могут недооценивать реальные характеристики используемых технологий и программного обеспечения. Это касается, например, устаревших устройств, отсутствие поддержки производителями или недостаточность встроенной защиты от хакерских атак. Ошибка возникает, когда оценка базируется лишь на общих характеристиках, а не конкретных технических особенностях каждой системы.
Признак №4: Недостаточная прозрачность процедур и результатов
Открытость и ясность являются залогом качественного категорирования. Если процедуры оценки непрозрачны, не согласованы между различными подразделениями или отсутствуют конкретные механизмы обратной связи и верификации, это приводит к возникновению ошибок и разногласий среди заинтересованных сторон.
Признак №5: Несоответствие реальных условий формальным требованиям нормативных документов
Регулярно возникают ситуации, когда органы власти устанавливают жесткие требования к защите КИИ, однако реальная практика показывает невозможность соблюдения этих требований. Например, согласно требованиям отраслевые перечни должны быть утверждены Правительством Российской Федерации, но время идет, а их так еще и нет. И кто-то решает пока отложить процедуру категорирования, хотя понимает, что подвергает серьезному риску реальные системы и реальные компании.
Заключение
Отсутствие четкого подхода к категорированию КИИ грозит серьезным риском, способным привести к финансовым потерям, нарушению бизнес-процессов и проблемам в сфере безопасности. Правильный подход предполагает проведение глубокого анализа рисков, детального изучения технологических особенностей, открытого диалога между всеми участниками процесса и регулярного обновления подходов к защите.
Обеспечение высокого качества категорирования – одна из основных задач любого субъекта КИИ, выполнение которой гарантирует надежность и эффективность функционирования объектов критичной инфраструктуры.
Запишитесь на консультацию по Информационной безопасности — и давайте сделаем ваш бизнес надежным и безопасным.
Переходите на сайт агентства — там вас ждут кейсы, которые уже работают, и стратегии, которые выстроят ваш путь к росту.
О технологиях, кибербезопасности и о том, как компаниям повысить свою эффективность. Подписывайся!