В России на различных стадиях категорирования находятся около 25 тыс. объектов, это примерно 10 процентов от их общего количества. Об этом рассказал заместитель директора ФСТЭК России Виталий Лютиков на форуме InfoSecurity Russia 2018.
Данные объекты находятся на первом этапе выполнения Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» – определение объектов КИИ и проведение категорирования.
В лидерах — предприятия топливно-энергетического и оборонно-промышленного комплексов, организации здравоохранения. Не спешат проводить процедуру категорирования, по словам представителя ФСТЭК, кредитно-финансовые организации и операторы связи. Мало обращений во ФСТЭК и со стороны организаций сферы транспорта.
По мнению Виталия Лютикова, размытость формулировок позволяет субъектам КИИ умышленно занижать оценку объектов, чтобы не проводить их категорирование. Это не устраивает регулятора — ожидается, что в первом квартале 2019 года требования к категорированию объектов КИИ, приведенные в приказах ФСТЭК России № 236 от 22.12.2017, № 239 от 25.11.2017 и в постановлении Правительства РФ № 127 от 08.02.2018, будут доработаны. Помимо этого, в течении года ФСТЭК планирует выпустить методические рекомендации по категорированию объектов КИИ.
В настоящее время категории присвоены только ста объектам КИИ и на данный момент они приступили к дальнейшей реализации 187-ФЗ. В масштабах страны это очень мало.
По мнению Председателя правления АРСИБ Виктора Минина, у низкой активности субъектов есть несколько причин.
Прежде всего, это инерционность. У государственных организаций действует процедура бюджетирования — финансирование работ по КИИ зачастую не было заложено в план работ на 2018 год. Да и сами министерства, ведомства, предприятия ОПК и ТЭК стали достаточно осторожно относиться к нововведениям, опасаясь зря потратить деньги. Не хочет нести дополнительные расходы частный сектор. Ждут организации финансовой сферы, прежде всего ориентирующиеся на распоряжения Центробанка.
Закон вступил в силу 1 января текущего года, но и по сей день не закончилось формирование нормативных правовых актов. Нет методических рекомендаций, позволяющих безопасникам разобраться в потоке зачастую дублирующих друг друга документов. «Белым пятном» в регулировании является взаимодействие субъектов КИИ с ГосСОПКА и недавно появившимся Национальным координационным центром по компьютерным инцидентам (НКЦКИ).
В отсутствии методических документов регулятора вакуум пытаются заполнить экспертные сообщества. Так, АРСИБ подготовила методическое пособие с общими рекомендациями по выполнению ФЗ-187 и получила ответы от ФСТЭК на наиболее часто задаваемые специалистами вопросы. В настоящее время ассоциация ждет ответов от ФСБ, после чего документ будет опубликован.
В целом процесс реализации 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» пошел, хотя подавляющее число игроков рынка по-прежнему занимают выжидательную позицию.
.jpg)
.jpg)
.jpg)