Обратил внимание, что разграничение ответственности между регуляторами КИИ в документах прописано не очень четко, и не всегда очевидно, что необходимо делать для объектов КИИ без категории значимости.
Я посмотрел уже утвержденные и разработанные проекты документов по КИИ и для себя сделал вот такую таблицу, думаю, что и вам она поможет разобраться:
- Требования по обеспечению безопасности (и гос.контроль) от ФСТЭК России на вас не распространяются, но вот проводить категорирование объектов КИИ и уведомлять ФСТЭК России об его результатах вы должны.
- У ФСБ России есть право организовывать и проводить оценку безопасности КИИ. Кстати, что подразумевает такая проверка (цели, периодичность, охват и прочее) в утвержденных документах и проектах не раскрывается. Будет сюрпризом...
- Взаимодействовать с ГосСОПКА придется, в проектах документов ФСБ России четко описана процедура взаимодействия, указана какая информация и в какой срок должна передаваться в НКЦКИ. Обратите внимание, что "Информация о компьютерных инцидентах, связанных с функционированием объектов КИИ направляется субъектом КИИ в НКЦКИ незамедлительно (не позднее 24 часов с момента обнаружения компьютерного инцидента)."
- Стоит отметить, что .согласно проектам документов ФСБ России, "Субъект КИИ согласовывает с НКЦКИ установку средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты. Согласование производится в срок до 45 календарных дней."
Но есть и спорный момент:
- В проектах документов ФСБ России определены требования к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты (ОПЛиРКИ), прописан их состав, функциональные требования и ограничения (например, "отсутствие НДВ"). Но в самом документе не четко прописана область его действия (в 187-ФЗ и в "общих положениях" проекта документа используется термин КИИ (т.е. для всех КИИ, а не только ЗКИИ), а дальше несколько раз упоминаются именно значимые КИИ), что в сумме с положением из 187-ФЗ (ст.6 п.4 пп.8) об "организации установки на значимых объектах КИИ средств ОПЛиРКИ" приводит нас к вопросу "а надо ли внедрять средства ОПЛиРКИ на объектах КИИ без категории значимости?". Можно трактовать и так и так. Но если есть требования по согласованию с НКЦКИ их состава и требования по обмену информацией, то, наверное, внедрять такие средства стоит... Надеюсь, что формулировку поправят в итоговой версии документов...
