Недавно на публичное обсуждение был выложен проект Федерального закона РФ “о безопасности критической информационной инфраструктуры Российской Федерации”
Данный ФЗ в качестве недостающего звена дополняет структуру документов по КСИИ
Из наиболее интересного:
· На уровне ФЗ вводятся необходимые новые термины. Что конечно хорошо, так как уменьшает количество разногласий и разночтений всей структуры документов по КСИИ
· Определяются категории опасности КСИИ- высокой, средней и низкой
· В отличие от ПДн, предполагается активное участие государства в оценке, контроле, анализе безопасности КСИИ, так например ФСБ Р и ФСТЭК Р будут (не считаю разработки требований):
o вести реестр объектов КСИИ
o проводить проверку правильности классификации объектов КСИИ (для сравнения в ПДн оператор самостоятельно определяет уровни защищенности и нормами не предусмотрена проверка правильности классификации)
o определять порядок проведения оценки защищенности, проводить оценку защищенности КСИИ самостоятельно, привлекать аккредитованные организации (для сравнения в ПДн оператор самостоятельно проводит оценку защищенности или использует услуги внешнего консалтера)
o осуществлять государственный контроль в области обеспечения безопасности КСИИ
· Между ФСБ Р и ФСТЭК Р следующее разделение ответственности:
o ФСБ Р отвечает за КСИИ высокой категории опасности
o ФСТЭК Р отвечает за КСИИ средней и низкой категорий опасности
· Субъекты проводят категорирование своих КСИИ и направляют информацию соответствующему регулятору
· Для обнаружения и предупреждения компьютерных атак, ФСБ Р будет устанавливать в КСИИ свои сенсоры (“технические средства, предназначенные для поиска признаков компьютерных атак в сообщениях электросвязи ”)
· Установлены требования по аккредитации (лицензия на ГТ, 3 тестера в штате), но критерии (по сути дополнительные требования) могут определяться регуляторами
· Основные требования (дополнительные могут устанавливаться регуляторами) по защите КСИИ включают:
o оргмеры
o требования к персоналу
o антивирусную защиту и защиту от компьютерных атак
o защиту взаимодействия с ССОП
o обеспечение ИБ при эксплуатации ИС
· Новые обязанности субъектов КСИИ:
o направлять сведения о выполненных мероприятиях по защите регуляторам
o незамедлительно сообщать об инцидентах
o выполнять предписания регуляторов
o обеспечивать доступ регуляторов к КСИИ
· Создается “Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак” в рамках которой действует “Национальный координационный центр по компьютерным инцидентам” (его деятельность обеспечивает ФСБ Р)
Предложения и замечания можно отправлять до 23.08.2013 по адресу fzcii@fsb.ru
В целом документ неплох и ФЗ по защите КСИИ нам необходим. Настораживают только фактически неограниченные полномочия регуляторов. В соответствии с данным ФЗ в их праве установить любые, в том числе невыполнимые требования.
