Контакты
Подписка 2024

Саммит субъектов КИИ: вопросы и ответы

Валерий Богдашов, 26/12/19

Снимок экрана 2019-12-26 в 10.38.55
Валерий Богдашов,
директор Центра экспертизы R-Vision

26 сентября компания Гротек провела саммит субъектов КИИ, в котором приняли участие представители ФСТЭК, Совета Федерации и крупнейших организаций, являющихся субъектами КИИ и уже имеющих практический опыт категорирования объектов и реализации других требований 187-ФЗ. Среди участников были представители НЛМК, Норникеля, СО ЕЭС, ЕВРАЗ, Ростелекома, Гринатома и других крупных компаний. Специалисты Центра экспертизы R-Vision также приняли участие в саммите.

Тема КИИ волнует многих. И если в 2018 г., когда только-только появились первые нормативные правовые акты, связанные с 187-ФЗ "О безопасности критической информационной структуры Российской Федерации", организации в основном разбирались с теорией, то сейчас большинство субъектов КИИ приступило к практической реализации требований закона, и в ходе этого процесса возникают новые вопросы. Неудивительно, что в отрасли наблюдается интерес к круглым столам и практическим сессиям с участием регуляторов и более опытных коллег по цеху.

В ходе мозговых штурмов и обсуждений в группах участники мероприятия разбирали оптимальные управленческие и технологические подходы к реализации требований 187-ФЗ, а также делились своим опытом. Алексей Кубарев, представляющий ФСТЭК, рассказывал о том, что регулятор ожидает от субъектов КИИ, а также о наиболее распространенных ошибках и заблуждениях, связанных с процессом категорирования объектов КИИ.

По результатам предварительного опроса организаторы мероприятия сформировали пул наиболее волнующих аудиторию вопросов для обсуждения. Вот некоторые из них:

  • последовательность управленческих решений для реализации требований;
  • категорирование: первый опыт, типовые ошибки, на что обратить внимание;
  • неясности и способы их разрешения в рамках действующих нормативных актов;
  • перечни: внесение изменений, уточнение;
  • определение границ систем и разграничение сфер ответственности. Определение прав собственности и создание моделей угроз;
  • сертификация продуктов. Политика закупок. Снижение неопределенности;
  • реагирование на компьютерные инциденты, внесение изменений в перечень ОКИИ по итогам;
  • отсутствие компетентных специалистов на объектах. Избыточность требований Постановления Правительства РФ № 127;
  • отнесение информационных систем к объекту КИИ, подлежащих категорированию;
  • порядок работ при создании территориально распределенных систем;
  • проектирование систем безопасности значимых КИИ.

Участникам саммита удалось поделиться своим видением и опытом по части этих вопросов, обсудить различные точки зрения и получить комментарии регулятора. Приводим короткое резюме основных моментов.

Категорирование объектов КИИ

По словам Алексея Кубарева, 45% поданных форм возвращается на пересмотр. Почему это происходит и как оценивается правильность категорирования? Подход ФСТЭК очень прост: они проверяют правильность заполнения форм и оценивают адекватность присвоения классов объектам КИИ, исходя из здравого смысла. В случае откровенного завышения или занижения классов акты возвращают на пересмотр. Насколько подробно нужно сегментировать системы при категорировании, каждый субъект решает самостоятельно.

48819694763_01df4da84c_c

Некоторые субъекты КИИ, в ведении которых находится множество объектов, поделились практикой проведения категорирования параллельно с процессами проектирования и реализации подсистемы информационной безопасности для самых критичных объектов КИИ. Они подготовили примерный перечень ОКИИ, после чего начали проводить работы по категорированию и проектированию, в ходе которых состав ОКИИ будет определен более точно. Через год они направят во ФСТЭК уточненный перечень.

Моделирование угроз

На вопрос о том, какую методику нужно использовать при моделировании угроз, Алексей Кубарев в очередной раз подчеркнул, что любую. ФСТЭК не обязывает использовать какую-то конкретную методику. В информационном письме говорилось о том, что можно использовать методику КСИИ, но это не означает, что нужно. Уже имеющиеся в организации модели угроз, созданные для ПДн, ГИС, КСИИ и пр., можно использовать как основу и просто пересмотреть для ОКИИ.

48820207707_9f134aaa96_c

При моделировании угроз необходимо использовать Банк данных угроз безопасности информации ФСТЭК и меры защиты из приказов ФСТЭК № 21, 17, 235 и 239. БДУ при этом можно дополнять как из указанных перечней, так и из других источников, а также своими мерами. Если в БДУ вносятся изменения, то формально это повод для пересмотра МУ.

Согласовывать модель угроз для объектов КИИ со ФСТЭК не нужно, такого требования нигде нет. По словам Алексея Кубарева, периодически приходят запросы на согласование модели угроз, но регулятор может предоставить только неформальное оценочное мнение, поскольку эта процедура необязательна.

К 20212022 г. регулятор планирует выпустить методические документы по моделированию угроз для объектов КИИ, которые будут учитывать отраслевую специфику и различные типы объектов.

Использование сертифицированных СЗИ для обеспечения безопасности ОКИИ

Вопрос об обязательном использовании сертифицированных СЗИ для обеспечения безопасности объектов КИИ регулярно поднимается субъектами КИИ. На саммите представитель регулятора подчеркнул, что можно использовать любую доступную форму оценки соответствия, поскольку сертификация добровольная. Оценку соответствия СЗИ можно проводить самостоятельно в виде испытаний или приемки, по окончании которой будет вынесено заключение комиссии, созданной в организации.

Вопрос ответственности

Ответственность по ст. 274.1 УК распространяется за нарушения относительно любой инфраструктуры КИИ, необязательно значимой и даже категорированной. Субъект КИИ в любом случае несет ответственность за свои объекты перед регуляторами и законом, ее невозможно передать кому-то другому. В случае оказания услуг в отношении объектов КИИ инфраструктура подрядчика также становится частью КИИ на время договора.

Ответственность за непредоставление информации о свершившемся инциденте в отношении объекта КИИ в настоящий момент не предусмотрена. Однако, по информации от ФСТЭК, готовятся изменения в КоАП на этот счет. Стоит отметить, что инциденты в систему ГосСОПКА должны направляться как по значимым, так и незначимым объектам КИИ.

Сложности и проблемы по опыту субъектов КИИ

Участники саммита, представляющие субъекты КИИ, одной из главных проблем назвали отсутствие дополнительных ресурсов для деятельности по КИИ, что замедляет процесс категорирования. Многие сотрудники некомпетентны в этом вопросе, но дополнительных средств для привлечения профессионалов или дополнительного обучения имеющихся специалистов не выделяется.

Другая проблема заключается в том, что топ-менеджмент зачастую не видит рисков в несоответствии требованиям по КИИ. Далеко не во всех организациях ведется оценка рисков информационной безопасности и применяется риск-ориентированный подход к выделению ресурсов и бюджетов. Важно доносить информацию о выявленных риска до первых лиц и обязательно добиваться либо их принятия, либо выделения ресурсов на их снижение.

Темы:КИИКатегорирование

Инструменты и решения для защиты информации и предотвращения кибератак
Конференция | 2 апреля 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

  • Решения для криптографической защиты сетевого взаимодействия объектов КИИ на базе платформы m-TrusT
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    Специализированный компьютер с аппаратной защитой данных m-TrusT выпускается серийно и предоставляется вендорам СКЗИ для сертификации своих СКЗИ
  • Мантра о неизвлекаемом ключе. Криптографическая защита в КИИ
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    Остановимся на одном, на первый взгляд самоочевидном, требовании регулятора к СКЗИ высокого класса – неизвлекаемом ключе. Казалось бы, эта тема должна быть раскрыта в современных СКЗИ в полной мере, однако в ней есть важные для применения в КИИ особенности.
  • Проблемы импортозамещения компонентов объектов КИИ в 2024 году
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    В ноябре 2023 года практически завершилось формирование нормативно-правовой базы в части импортозамещения компонентов объектов КИИ.
  • Обзор изменений в ИБ-законодательстве. Сентябрь, октябрь 2023 г.
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Перечень НПА для оценки применения по ПДн. Требования по защите информации для провайдеров хостинга. Проекты стандартов по КИИ.  Сертификация безопасной разработки ПО для изготовителей СрЗИ. Изменения в порядке ведения реестра значимых объектов КИИ. 
  • Подходы и проблематика моделирования угроз для объектов КИИ
    Александр Пуха, начальник отдела аудита и консалтинга АМТ-ГРУП
    Необходимость анализа угроз для ОКИИ обусловлена как требованиями законодательства, так и практической значимостью для построения системы безопасности.
  • Обзор изменений в законодательстве в июле и августе 2023 г.
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Новые субъекты КИИ,  индикаторы риска нарушения требований при обработке ПДн, сертификация МЭ уровня сети и СУБД, импортозамещение в финансовой сфере, рекомендации Роскомнадзора, защита цифрового рубля, изменения в закон об ЭП

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать