Контакты
Подписка
МЕНЮ
Контакты
Подписка

Саммит субъектов КИИ: вопросы и ответы

Валерий Богдашов, 26/12/19

Снимок экрана 2019-12-26 в 10.38.55
Валерий Богдашов,
директор Центра экспертизы R-Vision

26 сентября компания Гротек провела саммит субъектов КИИ, в котором приняли участие представители ФСТЭК, Совета Федерации и крупнейших организаций, являющихся субъектами КИИ и уже имеющих практический опыт категорирования объектов и реализации других требований 187-ФЗ. Среди участников были представители НЛМК, Норникеля, СО ЕЭС, ЕВРАЗ, Ростелекома, Гринатома и других крупных компаний. Специалисты Центра экспертизы R-Vision также приняли участие в саммите.

Тема КИИ волнует многих. И если в 2018 г., когда только-только появились первые нормативные правовые акты, связанные с 187-ФЗ "О безопасности критической информационной структуры Российской Федерации", организации в основном разбирались с теорией, то сейчас большинство субъектов КИИ приступило к практической реализации требований закона, и в ходе этого процесса возникают новые вопросы. Неудивительно, что в отрасли наблюдается интерес к круглым столам и практическим сессиям с участием регуляторов и более опытных коллег по цеху.

В ходе мозговых штурмов и обсуждений в группах участники мероприятия разбирали оптимальные управленческие и технологические подходы к реализации требований 187-ФЗ, а также делились своим опытом. Алексей Кубарев, представляющий ФСТЭК, рассказывал о том, что регулятор ожидает от субъектов КИИ, а также о наиболее распространенных ошибках и заблуждениях, связанных с процессом категорирования объектов КИИ.

По результатам предварительного опроса организаторы мероприятия сформировали пул наиболее волнующих аудиторию вопросов для обсуждения. Вот некоторые из них:

  • последовательность управленческих решений для реализации требований;
  • категорирование: первый опыт, типовые ошибки, на что обратить внимание;
  • неясности и способы их разрешения в рамках действующих нормативных актов;
  • перечни: внесение изменений, уточнение;
  • определение границ систем и разграничение сфер ответственности. Определение прав собственности и создание моделей угроз;
  • сертификация продуктов. Политика закупок. Снижение неопределенности;
  • реагирование на компьютерные инциденты, внесение изменений в перечень ОКИИ по итогам;
  • отсутствие компетентных специалистов на объектах. Избыточность требований Постановления Правительства РФ № 127;
  • отнесение информационных систем к объекту КИИ, подлежащих категорированию;
  • порядок работ при создании территориально распределенных систем;
  • проектирование систем безопасности значимых КИИ.

Участникам саммита удалось поделиться своим видением и опытом по части этих вопросов, обсудить различные точки зрения и получить комментарии регулятора. Приводим короткое резюме основных моментов.

Категорирование объектов КИИ

По словам Алексея Кубарева, 45% поданных форм возвращается на пересмотр. Почему это происходит и как оценивается правильность категорирования? Подход ФСТЭК очень прост: они проверяют правильность заполнения форм и оценивают адекватность присвоения классов объектам КИИ, исходя из здравого смысла. В случае откровенного завышения или занижения классов акты возвращают на пересмотр. Насколько подробно нужно сегментировать системы при категорировании, каждый субъект решает самостоятельно.

48819694763_01df4da84c_c

Некоторые субъекты КИИ, в ведении которых находится множество объектов, поделились практикой проведения категорирования параллельно с процессами проектирования и реализации подсистемы информационной безопасности для самых критичных объектов КИИ. Они подготовили примерный перечень ОКИИ, после чего начали проводить работы по категорированию и проектированию, в ходе которых состав ОКИИ будет определен более точно. Через год они направят во ФСТЭК уточненный перечень.

Моделирование угроз

На вопрос о том, какую методику нужно использовать при моделировании угроз, Алексей Кубарев в очередной раз подчеркнул, что любую. ФСТЭК не обязывает использовать какую-то конкретную методику. В информационном письме говорилось о том, что можно использовать методику КСИИ, но это не означает, что нужно. Уже имеющиеся в организации модели угроз, созданные для ПДн, ГИС, КСИИ и пр., можно использовать как основу и просто пересмотреть для ОКИИ.

48820207707_9f134aaa96_c

При моделировании угроз необходимо использовать Банк данных угроз безопасности информации ФСТЭК и меры защиты из приказов ФСТЭК № 21, 17, 235 и 239. БДУ при этом можно дополнять как из указанных перечней, так и из других источников, а также своими мерами. Если в БДУ вносятся изменения, то формально это повод для пересмотра МУ.

Согласовывать модель угроз для объектов КИИ со ФСТЭК не нужно, такого требования нигде нет. По словам Алексея Кубарева, периодически приходят запросы на согласование модели угроз, но регулятор может предоставить только неформальное оценочное мнение, поскольку эта процедура необязательна.

К 20212022 г. регулятор планирует выпустить методические документы по моделированию угроз для объектов КИИ, которые будут учитывать отраслевую специфику и различные типы объектов.

Использование сертифицированных СЗИ для обеспечения безопасности ОКИИ

Вопрос об обязательном использовании сертифицированных СЗИ для обеспечения безопасности объектов КИИ регулярно поднимается субъектами КИИ. На саммите представитель регулятора подчеркнул, что можно использовать любую доступную форму оценки соответствия, поскольку сертификация добровольная. Оценку соответствия СЗИ можно проводить самостоятельно в виде испытаний или приемки, по окончании которой будет вынесено заключение комиссии, созданной в организации.

Вопрос ответственности

Ответственность по ст. 274.1 УК распространяется за нарушения относительно любой инфраструктуры КИИ, необязательно значимой и даже категорированной. Субъект КИИ в любом случае несет ответственность за свои объекты перед регуляторами и законом, ее невозможно передать кому-то другому. В случае оказания услуг в отношении объектов КИИ инфраструктура подрядчика также становится частью КИИ на время договора.

Ответственность за непредоставление информации о свершившемся инциденте в отношении объекта КИИ в настоящий момент не предусмотрена. Однако, по информации от ФСТЭК, готовятся изменения в КоАП на этот счет. Стоит отметить, что инциденты в систему ГосСОПКА должны направляться как по значимым, так и незначимым объектам КИИ.

Сложности и проблемы по опыту субъектов КИИ

Участники саммита, представляющие субъекты КИИ, одной из главных проблем назвали отсутствие дополнительных ресурсов для деятельности по КИИ, что замедляет процесс категорирования. Многие сотрудники некомпетентны в этом вопросе, но дополнительных средств для привлечения профессионалов или дополнительного обучения имеющихся специалистов не выделяется.

Другая проблема заключается в том, что топ-менеджмент зачастую не видит рисков в несоответствии требованиям по КИИ. Далеко не во всех организациях ведется оценка рисков информационной безопасности и применяется риск-ориентированный подход к выделению ресурсов и бюджетов. Важно доносить информацию о выявленных риска до первых лиц и обязательно добиваться либо их принятия, либо выделения ресурсов на их снижение.

Темы:КИИ

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
Стать автором
Комментарии

More...