В начале 2021 года ФСТЭК России представил подробные «Рекомендации по оценке показателей критериев экономической значимости объектов критической информационной инфраструктуры (КИИ) Российской Федерации». И хотя методический документ пока не утвержден, в расчетах данного показателя на него вполне можно опираться при проведении работ по категорированию.
Поскольку «показатель № 9», согласно Постановлению правительства № 127 от 08.02. 2018 года, относится к критериям экономической значимости, в данной материале мы рассмотрим те проблемы, с которыми приходится сталкиваться организациям при расчетах ущерба от компьютерных атак, и дадим свои рекомендации.
Проблематика расчета экономических показателей
В соответствии с методическим документом ФСТЭК России рассчитывать показатель необходимо всем субъектам КИИ, независимо от отраслевой принадлежности. Это расчетное обоснование необходимо для того, чтобы подтвердить или опровергнуть актуальность этого критерия значимости для той или иной организации.
Вместе с тем, на расчет может накладывать отпечаток отраслевая специфика, структура компании (группы компаний), а также она влияет на масштаб работы экспертной группы и на сценарии моделирования компьютерных атак на объект КИИ.
При этом надо понимать, что оценки ущерба от реализации сценариев компьютерных атак носят экспертный характер, и чтобы не угодить в ментальные ловушки, связанные с излишним оптимизмом или пессимизмом экспертов, необходимо формализовать процедуру их работы.
Мы убеждены, что готовить расчетное обоснование значимости для организации показателя № 9 оптимальней всего по «Рекомендациям ФСТЭК…», в конечном итоге наработанный опыт может быть передан регулятору. Такая обратная связь должна помочь в подготовке новой, более совершенной редакции документа.
Рассмотрим необходимые шаги для корректного расчет ущерба.
Шаг 1. Сбор исходных данных
Начинать работу над расчетным обоснованием необходимо со сбора исходных данных. К ним можно отнести данные о возможных потерях и простоях. Их источником служит экспертное обсуждение с участием специалистов эксплуатирующих и обеспечивающих подразделений, т. е. тех, кто использует и поддерживает работоспособность программного обеспечения, программно-аппаратных комплексов и информационно-телекоммуникационные комплексы, составляющие объект КИИ и реализующих установленный бизнес-процесс.
Еще одна категория данных, которая требуется для расчетов, — данные о прогнозируемых доходах бюджета РФ, берутся из Федерального закона «О бюджете» на плановый период. Также они зачастую публикуются на ресурсах Минэкономразвития РФ или Государственной Думы РФ.
Данные о финансовой отчетности объекта КИИ организации и об ее налоговых отчислениях запрашиваются в финансово-экономическом отделе предприятия. При оценке ущерба от компьютерных атак также могут быть полезны данные об участии организации в цепочках поставок, которые дает анализ договорных отношений.
Шаг 2. Формирование экспертной группы
В зависимости от отраслевой специфики и масштаба обеспеченности ресурсами субъекта КИИ необходимо планировать ресурсы на работу экспертной группы, членов комиссии по категорированию, а также ключевых специалистов и экспертов.
В идеале в эту группу нужно привлекать профессионалов, имеющих широкий угол зрения на деятельность организации. На промышленных предприятиях это могут быть главный инженер, главный технолог, руководитель цеха. На технологических объектах — начальник смены службы эксплуатации. Для проектных институтов и научных организациях — главный конструктор. Если же такие специалисты недоступны для участия в вопросах категорирования, то в роли экспертов могут выступать их заместители и ведущие специалисты.
Также хорошей практикой будет привлечение в экспертную группу и специалистов отделов качества/внутреннего контроля; специалистов по охране труда/промышленной безопасности и конечно работников финансово-экономической службы. И, конечно, в ней должны участвовать инженеры, осуществляющие эксплуатацию таких объектов, и разбирающиеся в тонкостях их функционирования, и поддержания работоспособности.
Для того, чтобы максимально эффективно использовать время ключевых сотрудников и специалистов, работу экспертной группы нужно тщательно готовить: разрабатывать и рассылать повестки совещаний и материалы для рассмотрения. Также необходимо заранее разрабатывать проекты вспомогательных материалов, технических решений, пояснительных записок, сценариев, различных расчетов, обоснований и заключений.
Протоколирование заседаний экспертной группы будет хорошей практикой, особенно для объектов КИИ, имеющих длительный жизненный цикл или требующих капитального строительства, когда происходит динамичное изменение всего — от проектных решений, до подрядчиков.
Шаг 3. Анализ финансовой отчетности
Для выполнения данного шага необходимо запросить данные в финансово-экономическом отделе организации. По форме бухгалтерской отчетности субъекта КИИ определяются:
- прибыль субъекта КИИ,
- доля акций компании, принадлежащих РФ или ее субъекту,
- доля выплат отчислений (дивидендов), произведенных субъектом КИИ,
- объем выплат отчислений (дивидендов).
Затем эти данные необходимо вставить в расчетные формулы, определенные в методическом документе.
Шаг 4. Рассмотрение наихудших сценариев атак
Самый интересный процесс подготовки расчетного обоснования — определение последствий компьютерной атаки на объект КИИ. Во внимание стоит брать компенсирующие меры защиты объекта, снижающих максимально возможный ущерб. При этом допускается рассматривать только те меры, реализация которых не может быть нарушена в результате самой компьютерной атаки.
Для моделирования атак рекомендуется использовать сценарный анализ, описанный в методике моделирования компьютерных угроз ФСТЭК России от 2021 года. Определение сценариев подразумевает установление последовательности всевозможных тактик и соответствующих им техник, актуальных для нарушителей и соответствующих уровню их возможностей, а также доступность для злоумышленников интерфейсов для реализации угроз. Перечень тактик и типовых техник приведен в Приложении 11 методики ФСТЭК России.
В «Рекомендации по оценке показателей критериев экономической значимости объектов критической информационной инфраструктуры (КИИ) Российской Федерации» приводится 15 категорий затрат на возмещение ущерба. И задача экспертной группы состоит в том, чтобы определить актуальные для организации категории. Например, для финансовых организаций неактуальными будут затраты на медицинское обслуживание, так как нарушение работы объекта КИИ, в данном случае финансовой организации, в ходе атак не приводит к ущербу здоровья сотрудников.
Также при оценке экспертами значения ущерба для актуальных категорий важно понимать, что некоторые их них зависят от времени простоя объекта КИИ, поэтому их значения необходимо умножить на единицу времени. В качестве примера можно привести затраты на оплату персонала за время простоя или затраты на оплату его сверхурочной работы, которая потребовалась для ликвидации последствий компьютерной атаки.
Данные, полученные по результатам проделанных шагов, вставляются в соответствующие формулы и рассчитывается оценка снижения налоговых выплат.
Несколько советов по оформлению обоснования
Итоговое расчетное обоснование мы рекомендуем оформлять обособленным документом, на реквизиты которого можно сослаться. В этом случае хорошим тоном будет привести в его первой части описание методики расчета, чтобы облегчить работу проверяющим.
Во второй части документа следует вести расчетные табличные данные, по нашему мнению, лучше сверстать их таким образом, чтобы из электронной версии документа Word табличные значения можно было сразу вставить в Excel и всегда быстро сопоставить, а также проверить результаты.
В заключительной, третьей части по формальным признакам сопоставления числовых значений выносится заключение о превышении или не превышении пороговых значений показателя ущерба бюджетам РФ на объекте КИИ.
Готовое расчетное обоснование приобщается к проектной документации на объект КИИ и материалы категорирования. Оно может понадобиться при ведомственном контроле, мониторинге или проверке регулятора, которого прежде всего будут интересовать обоснованность выводов, свидетельские записи по процессам и работа экспертной группы.