Контакты
Подписка 2025
Статьи по информационной безопасности

Саммит субъектов КИИ: вопросы и ответы

Валерий Богдашов, 26/12/19

Снимок экрана 2019-12-26 в 10.38.55
Валерий Богдашов,
директор Центра экспертизы R-Vision

26 сентября компания Гротек провела саммит субъектов КИИ, в котором приняли участие представители ФСТЭК, Совета Федерации и крупнейших организаций, являющихся субъектами КИИ и уже имеющих практический опыт категорирования объектов и реализации других требований 187-ФЗ. Среди участников были представители НЛМК, Норникеля, СО ЕЭС, ЕВРАЗ, Ростелекома, Гринатома и других крупных компаний. Специалисты Центра экспертизы R-Vision также приняли участие в саммите.

Тема КИИ волнует многих. И если в 2018 г., когда только-только появились первые нормативные правовые акты, связанные с 187-ФЗ "О безопасности критической информационной структуры Российской Федерации", организации в основном разбирались с теорией, то сейчас большинство субъектов КИИ приступило к практической реализации требований закона, и в ходе этого процесса возникают новые вопросы. Неудивительно, что в отрасли наблюдается интерес к круглым столам и практическим сессиям с участием регуляторов и более опытных коллег по цеху.

В ходе мозговых штурмов и обсуждений в группах участники мероприятия разбирали оптимальные управленческие и технологические подходы к реализации требований 187-ФЗ, а также делились своим опытом. Алексей Кубарев, представляющий ФСТЭК, рассказывал о том, что регулятор ожидает от субъектов КИИ, а также о наиболее распространенных ошибках и заблуждениях, связанных с процессом категорирования объектов КИИ.

По результатам предварительного опроса организаторы мероприятия сформировали пул наиболее волнующих аудиторию вопросов для обсуждения. Вот некоторые из них:

  • последовательность управленческих решений для реализации требований;
  • категорирование: первый опыт, типовые ошибки, на что обратить внимание;
  • неясности и способы их разрешения в рамках действующих нормативных актов;
  • перечни: внесение изменений, уточнение;
  • определение границ систем и разграничение сфер ответственности. Определение прав собственности и создание моделей угроз;
  • сертификация продуктов. Политика закупок. Снижение неопределенности;
  • реагирование на компьютерные инциденты, внесение изменений в перечень ОКИИ по итогам;
  • отсутствие компетентных специалистов на объектах. Избыточность требований Постановления Правительства РФ № 127;
  • отнесение информационных систем к объекту КИИ, подлежащих категорированию;
  • порядок работ при создании территориально распределенных систем;
  • проектирование систем безопасности значимых КИИ.

Участникам саммита удалось поделиться своим видением и опытом по части этих вопросов, обсудить различные точки зрения и получить комментарии регулятора. Приводим короткое резюме основных моментов.

Категорирование объектов КИИ

По словам Алексея Кубарева, 45% поданных форм возвращается на пересмотр. Почему это происходит и как оценивается правильность категорирования? Подход ФСТЭК очень прост: они проверяют правильность заполнения форм и оценивают адекватность присвоения классов объектам КИИ, исходя из здравого смысла. В случае откровенного завышения или занижения классов акты возвращают на пересмотр. Насколько подробно нужно сегментировать системы при категорировании, каждый субъект решает самостоятельно.

48819694763_01df4da84c_c

Некоторые субъекты КИИ, в ведении которых находится множество объектов, поделились практикой проведения категорирования параллельно с процессами проектирования и реализации подсистемы информационной безопасности для самых критичных объектов КИИ. Они подготовили примерный перечень ОКИИ, после чего начали проводить работы по категорированию и проектированию, в ходе которых состав ОКИИ будет определен более точно. Через год они направят во ФСТЭК уточненный перечень.

Моделирование угроз

На вопрос о том, какую методику нужно использовать при моделировании угроз, Алексей Кубарев в очередной раз подчеркнул, что любую. ФСТЭК не обязывает использовать какую-то конкретную методику. В информационном письме говорилось о том, что можно использовать методику КСИИ, но это не означает, что нужно. Уже имеющиеся в организации модели угроз, созданные для ПДн, ГИС, КСИИ и пр., можно использовать как основу и просто пересмотреть для ОКИИ.

48820207707_9f134aaa96_c

При моделировании угроз необходимо использовать Банк данных угроз безопасности информации ФСТЭК и меры защиты из приказов ФСТЭК № 21, 17, 235 и 239. БДУ при этом можно дополнять как из указанных перечней, так и из других источников, а также своими мерами. Если в БДУ вносятся изменения, то формально это повод для пересмотра МУ.

Согласовывать модель угроз для объектов КИИ со ФСТЭК не нужно, такого требования нигде нет. По словам Алексея Кубарева, периодически приходят запросы на согласование модели угроз, но регулятор может предоставить только неформальное оценочное мнение, поскольку эта процедура необязательна.

К 20212022 г. регулятор планирует выпустить методические документы по моделированию угроз для объектов КИИ, которые будут учитывать отраслевую специфику и различные типы объектов.

Использование сертифицированных СЗИ для обеспечения безопасности ОКИИ

Вопрос об обязательном использовании сертифицированных СЗИ для обеспечения безопасности объектов КИИ регулярно поднимается субъектами КИИ. На саммите представитель регулятора подчеркнул, что можно использовать любую доступную форму оценки соответствия, поскольку сертификация добровольная. Оценку соответствия СЗИ можно проводить самостоятельно в виде испытаний или приемки, по окончании которой будет вынесено заключение комиссии, созданной в организации.

Вопрос ответственности

Ответственность по ст. 274.1 УК распространяется за нарушения относительно любой инфраструктуры КИИ, необязательно значимой и даже категорированной. Субъект КИИ в любом случае несет ответственность за свои объекты перед регуляторами и законом, ее невозможно передать кому-то другому. В случае оказания услуг в отношении объектов КИИ инфраструктура подрядчика также становится частью КИИ на время договора.

Ответственность за непредоставление информации о свершившемся инциденте в отношении объекта КИИ в настоящий момент не предусмотрена. Однако, по информации от ФСТЭК, готовятся изменения в КоАП на этот счет. Стоит отметить, что инциденты в систему ГосСОПКА должны направляться как по значимым, так и незначимым объектам КИИ.

Сложности и проблемы по опыту субъектов КИИ

Участники саммита, представляющие субъекты КИИ, одной из главных проблем назвали отсутствие дополнительных ресурсов для деятельности по КИИ, что замедляет процесс категорирования. Многие сотрудники некомпетентны в этом вопросе, но дополнительных средств для привлечения профессионалов или дополнительного обучения имеющихся специалистов не выделяется.

Другая проблема заключается в том, что топ-менеджмент зачастую не видит рисков в несоответствии требованиям по КИИ. Далеко не во всех организациях ведется оценка рисков информационной безопасности и применяется риск-ориентированный подход к выделению ресурсов и бюджетов. Важно доносить информацию о выявленных риска до первых лиц и обязательно добиваться либо их принятия, либо выделения ресурсов на их снижение.
Темы:КИИКатегорирование

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Форум ITSEC 2025 (июнь) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 17-18 июня →
Статьи по той же темеСтатьи по той же теме

  • Особенности защиты данных в медицинских организациях
    Дмитрий Вощуков, GR-специалист "СёрчИнформ"
    Отрасль здравоохранения является одной из самых зарегулированных. Однако, число инцидентов ИБ растет, и цена нарушения в медучреждении высока. Разберем, с какими типовыми нарушениями сталкиваются медицинские организации и как на практике реализуются меры информационной безопасности в здравоохранении.
  • Изоляция как стратегия: однонаправленные шлюзы для промышленного сегмента сети
    Александр Пуха, начальник отдела аудита и консалтинга АМТ-ГРУП
    Обеспечение безопасности АСУ ТП является комплексной задачей часть из направлений которой так или иначе связана с мерами по сегментации сетевой инфраструктуры и выбором решений по изоляции АСУ ТП от внешних воздействий и несанкционированного доступа. Решением по сегментации являются однонаправленные шлюзы, они же диоды данных или инфодиоды.
  • Частые ошибки при проектировании системы защиты ОКИИ
    В 2025 году объекты КИИ, по-видимому, будут переживать этап значительных преобразований и модернизации, с фокусом на отечественные разработки и повышение уровня защиты. Вместе с экспертами рассмотрим основные риски для объектов КИИ, а также ошибки, которые часто допускаются при проектировании систем безопасности.
  • "Находка" для критической информационной инфраструктуры
    Евгений Пугач, руководитель отдела по информационной безопасности ООО “ИТЭК”
    Cубъекты КИИ постоянно сталкиваются с необходимостью учитывать широкий спектр факторов: от изменений в законодательстве до анализа актуальных угроз. Эти данные необходимо не только собрать, но и структурировать, обрабатывать и постоянно обновлять, чтобы поддерживать соответствие требованиям и обеспечить надежную защиту – частью этой работы является ведение так называемой "бумажной" составляющей информационной безопасности.
  • Защита КИИ: уроки 2023 года
    Дмитрий Беляев, директор управления безопасности ООО “АБТ”
    2023 год стал годом значительных испытаний для российской критической инфраструктуры. Два крупных инцидента, произошедших в этот период, продемонстрировали уязвимость даже самых подготовленных организаций перед изощренными кибератаками. Эти случаи дают нам ценные уроки, которые помогут улучшить защиту КИИ в будущем.
  • Актуальные вопросы защиты КИИ в 2025 году
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    В 2025 г. защита критической информационной инфраструктуры по-прежнему останется одной из приоритетных задач для организаций, работающих в ключевых отраслях экономики. Основные вызовы связаны с усилением требований регуляторов, необходимостью соблюдения новых нормативно-правовых требований, внедрением мер по импортозамещению в условиях ограниченного доступа к зарубежным технологиям и защитой от постоянно совершенствующихся компьютерных атак.

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 17-18 июня →

More...
ТБ Форум 2025
18 июня | Форум ITSEC Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"
Политики конфиденциальности