ФСТЭК не требует сертификацию МСЭ и СОВ для КИИ

ФСТЭК не требует сертификацию МСЭ и СОВ для КИИ

Согласно Постановлению Правительства Российской Федерации от 08.02.2018 г. № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» субъекты КИИ обязаны самостоятельно категорировать принадлежащие им объекты в зависимости от масштаба возможных последствий объекту КИИ.

Количество объектов КИИ, зависит от решения самих организаций. Каждому объекту КИИ присваивается одна из трёх категорий значимости или устанавливается отсутствие необходимости присвоения категории. У субъекта КИИ может не быть объектов КИИ, подлежащих категорированию или каждый объект КИИ может быть незначимым. Более подробно есть у Евгения Царева.

Итак, у вас есть "Акт категорирования объекта КИИ", который подписан членами комиссии и утвержден руководителем субъекта КИИ. Нужно защищаться, и вопрос возникает нужны ли сертифицированные продукты или нет.

Самый простой случай - нет объектов КИИ или они все незначимые - никаких требований нет у правительства или ФСТЭК к ним, поэтому вы защищаете свою компанию как обычно, любыми доступными средствами соблюдая due diligence и due care. То есть сертификацию никто не требует.

Рассмотрим самый сложный случай: вас угораздило найти у себя значимый объект КИИ,  тогда нужно читать 239 приказ ФСТЭК или полное название: приказ ФСТЭК от 25.12.2017 №239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».

В 28 пункте 239 приказа написано, что есть два способа оценки соответствия продукта: сертификация и испытания (приемка). То есть снова сертифицированные устройства, такие как, МСЭ или СОВ не требуются даже для значимых объектов КИИ. Достаточно провести испытания, которые, вы наверняка и так проводите во время пилота оборудования и подписать акт о проведенных испытаниях.


Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

ksiva

Пусть будет утренний в честь того, что я его создал утром.