Pages - Menu

Страницы

7.9.17

Надо ли выполнять требования по ИБ незначимым субъектам КИИ?

Иногда в разговорах с коллегами я слышу мысль, что вот выпустит Правительство постановление по процедуре категорирования объектов КИИ и можно будет осознанно выйти из под действия закона о БКИИ, прокатегорировав себя так, чтобы не иметь значимых объектов КИИ. Логичное предположение и я допускаю, что многие захотят занизить категорию своих объектов, чтобы меньше выполнять требований по защите. Но...

Я бы хотел обратить внимание на маленький нюанс, прописанный в законе, который заключается в том, что помимо требований по безопасности, предъявляемых к объектам КИИ, есть еще требования, предъявляемые к субъектам КИИ. Так вот регулятор по БКИИ устанавливает требования по ИБ только к значимым объектам, а регулятор по ГосСОПКЕ устанавливает требования к субъектам КИИ независимо от категории имеющихся объектов.


Иными словами, независимо от того, есть у вас или нет значимые объекты КИИ (любой из трех категорий), вы должны присоединиться к ГосСОПКЕ и выполнять требования ее регулятора, то есть ФСБ. Конечно, не всех требований, а только тех, что касается ГосСОПКИ, но и это немало. Эти требования касаются трех больших блоков:
  • подключение к ГосСОПКЕ и установка соответствующих технических решений, требования к которым, как и вся нормативная база по БКИИ, должны быть разработаны до 1-го января 2018 года. Это потребует определенных финансовых вложений.
  • уведомление об инцидентах на объектах КИИ, что потребует, если этого еще сделано, перестройки процесса управления инцидентами.
  • выполнение требований по реагированию на инциденты и компьютерные атаки, которые должен разработать регулятор по ГосСОПКЕ, то есть 8-й Центр ФСБ. Тут есть свой нюанс, связанный с тем, что впрямую требование по реагированию на инциденты прописано для значимых объектов, а невпрямую (через требование содействовать должностынм лицам ФСБ предотвращению, обнаружению и ликвидации последствий атак) для всех.

Ну и безусловно, я не исключаю появления иных требований по безопасности, которые могут быть выпущены отраслевыми регуляторами в рамках своей отрасли - МинЭнерго, Минтранс, Банк России и т.п. Тут я вступаю на скользкую дорожку предположений, но они скорее всего будут привязаны к категориям значимости (не случайно же сейчас все переходят на триаду уровней значимости, классов защищенности и т.п.).


Резюмируя сию короткую заметку, хочу еще раз обратить внимание, что:

категорирован ты можешь и не быть
но с СОПКОЙ ты дружить обязан!

ЗЫ. В заметке от 30-го августа я уже давал ссылку на вебинар, который я проводил по законодательству по безопасности КИИ, и в котором рассматривал этот и другие вопросы.

ЗЗЫ. К 1-му января 2018 года должны появиться все (ну или почти все) документы по БКИИ, включая и нормативку ФСБ. Ждемс...

Комментариев нет:

Отправить комментарий

Примечание. Отправлять комментарии могут только участники этого блога.