7 Сентября, 2017

Надо ли выполнять требования по ИБ незначимым субъектам КИИ?

Алексей Лукацкий
Иногда в разговорах с коллегами я слышу мысль, что вот выпустит Правительство постановление по процедуре категорирования объектов КИИ и можно будет осознанно выйти из под действия закона о БКИИ, прокатегорировав себя так, чтобы не иметь значимых объектов КИИ. Логичное предположение и я допускаю, что многие захотят занизить категорию своих объектов, чтобы меньше выполнять требований по защите. Но...

Я бы хотел обратить внимание на маленький нюанс, прописанный в законе, который заключается в том, что помимо требований по безопасности, предъявляемых к объектам КИИ, есть еще требования, предъявляемые к субъектам КИИ.


Иными словами, независимо от того, есть у вас или нет значимые объекты КИИ (любой из трех категорий), вы должны присоединиться к ГосСОПКЕ и выполнять требования ее регулятора, то есть ФСБ. Конечно, не всех требований, а только тех, что касается ГосСОПКИ, но и это немало. Эти требования касаются трех больших блоков:

  • подключение к ГосСОПКЕ и установка соответствующих технических решений, требования к которым, как и вся нормативная база по БКИИ, должны быть разработаны до 1-го января 2018 года. Это потребует определенных финансовых вложений.
  • уведомление об инцидентах на объектах КИИ, что потребует, если этого еще сделано, перестройки процесса управления инцидентами.
  • выполнение требований по реагированию на инциденты и компьютерные атаки, которые должен разработать регулятор по ГосСОПКЕ, то есть 8-й Центр ФСБ.



Ну и безусловно, я не исключаю появления иных требований по безопасности, которые могут быть выпущены отраслевыми регуляторами в рамках своей отрасли - МинЭнерго, Минтранс, Банк России и т.п. Тут я вступаю на скользкую дорожку предположений, но они скорее всего будут привязаны к категориям значимости (не случайно же сейчас все переходят на триаду уровней значимости, классов защищенности и т.п.).


Резюмируя сию короткую заметку, хочу еще раз обратить внимание, что:

категорирован ты можешь и не быть
но с СОПКОЙ ты дружить обязан!

ЗЫ. В заметке от 30-го августа я уже давал ссылку на вебинар, который я проводил по законодательству по безопасности КИИ, и в котором рассматривал этот и другие вопросы.
comments powered by Disqus