Надо ли выполнять требования по ИБ незначимым субъектам КИИ?

Аватар пользователя alukatsk
Автор: Лукацкий Алексей,
(3)
()
Иногда в разговорах с коллегами я слышу мысль, что вот выпустит Правительство постановление по процедуре категорирования объектов КИИ и можно будет осознанно выйти из под действия закона о БКИИ, прокатегорировав себя так, чтобы не иметь значимых объектов КИИ. Логичное предположение и я допускаю, что многие захотят занизить категорию своих объектов, чтобы меньше выполнять требований по защите. Но...

Я бы хотел обратить внимание на маленький нюанс, прописанный в законе, который заключается в том, что помимо требований по безопасности, предъявляемых к объектам КИИ, есть еще требования, предъявляемые к субъектам КИИ. Так вот регулятор по БКИИ устанавливает требования по ИБ только к значимым объектам, а регулятор по ГосСОПКЕ устанавливает требования к субъектам КИИ независимо от категории имеющихся объектов.


Иными словами, независимо от того, есть у вас или нет значимые объекты КИИ (любой из трех категорий), вы должны присоединиться к ГосСОПКЕ и выполнять требования ее регулятора, то есть ФСБ. Конечно, не всех требований, а только тех, что касается ГосСОПКИ, но и это немало. Эти требования касаются трех больших блоков:

  • подключение к ГосСОПКЕ и установка соответствующих технических решений, требования к которым, как и вся нормативная база по БКИИ, должны быть разработаны до 1-го января 2018 года. Это потребует определенных финансовых вложений.
  • уведомление об инцидентах на объектах КИИ, что потребует, если этого еще сделано, перестройки процесса управления инцидентами.
  • выполнение требований по реагированию на инциденты и компьютерные атаки, которые должен разработать регулятор по ГосСОПКЕ, то есть 8-й Центр ФСБ.



Ну и безусловно, я не исключаю появления иных требований по безопасности, которые могут быть выпущены отраслевыми регуляторами в рамках своей отрасли - МинЭнерго, Минтранс, Банк России и т.п. Тут я вступаю на скользкую дорожку предположений, но они скорее всего будут привязаны к категориям значимости (не случайно же сейчас все переходят на триаду уровней значимости, классов защищенности и т.п.).


Резюмируя сию короткую заметку, хочу еще раз обратить внимание, что:

категорирован ты можешь и не быть
но с СОПКОЙ ты дружить обязан!

ЗЫ. В заметке от 30-го августа я уже давал ссылку на вебинар, который я проводил по законодательству по безопасности КИИ, и в котором рассматривал этот и другие вопросы.
Оцените материал:
Total votes: 102
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя Атаманов Геннадий

Всё правильно, но, по-моему, это ещё не всё. Есть ещё законодательство по КВО. Как с ним быть? Согласно документам ФСТЭК к КСИИ относятся ИС на КВО. Если через призму этих документов взглянуть на проблему, вообще полная засада получается. Или я что-то не так понимаю?

up
6 users have voted.
Аватар пользователя alukatsk

Логично предположить, что документы по КСИИ отменят, заменив их на новые требования, аналогичные 31-му приказу.

up
5 users have voted.
Аватар пользователя Атаманов Геннадий

Видимо так. Подождём.

Ещё раз перечитал определение КИИ, приведенное в законе. Там нет ЖКХ, с/х, пищевой промышленности, экономики, правосудия и правоохранителей. К чему бы это?

up
5 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.