ФСТЭК рассказал о проблемах категорирования объектов КИИ – занижении значимости и привлечении сторонних организаций

Из-за широты охвата ФЗ-187 государственных и коммерческих организаций вопросы правильной реализаций требований регуляторов при защите КИИ остаются одними из наиболее актуальных в отрасли. По мере погружения в нюансы законодательства у специалистов компаний возникают всё новые вопросы на стыке закона и практической реальности. Поэтому выступление на SOC-форуме заместителя начальника управления ФСТЭК России Елены Торбенко, касающееся нормативно-правового обеспечения вопросов категорирования объектов КИИ, – вызвало особый интерес.

«1 января 2018 ФЗ-187 вступил в силу. Закон действует, нормативная база есть. Определенные результаты по реализации мы увидели: практически все сферы уже попали в перечни, реестры; существенно увеличилось число организаций, признавших себя субъектами КИИ. Многие организации еще не завершили процедуру, но реализуют закон все сферы. С другой стороны, более 20% сведений, которые к нам поступают в заявках, возвращаются на доработку из-за серьезных замечаний: либо субъект неправильно определяет свою категорию, либо просто неправильно читает требования нормативно-правовых актов», – заявила спикер. Далее речь пошла о нюансах, которые должна учесть организация, которой необходимо пройти регистрацию объекта КИИ.

Напомним, субъект, который функционирует в одной из 13 сфер, определенных законом, должен себя отнести к объектам КИИ: определить перечни объектов, которые подлежат категорированию, провести это категорирование, осуществить взаимодействие с ГосСОПКА. Это обязательные требования для всех субъектов КИИ. Далее нужно создать или доработать систему обеспечения безопасности и принять меры по обеспечению безопасности объектов.

Нюансов у этой процедуры много. Например, они затрагивают объекты, которые эксплуатируются несколькими организациями, а также объекты в рамках территориально-распределенных организаций. Отдельно нужно учесть, что 187 законом не предписывается обязательная сертификация применяемого СЗИ – однако для многих категорий организаций (например, работающих с гостайной) есть иные регулирующие документы, предписывающие применение сертифицированных средств.

По данным спикера, основная причина отказа в категорировании – занижение значимости объекта, которое происходит как по причине невнимательного прочтения регламентов, так и из-за попыток сознательно занизить категорию объекта, и из-за сокрытия определенных факторов. Еще одна проблема – привлечение к категорированию сторонних организаций: действительно, можно привлечь стороннюю организацию как эксперта, но непосредственно категорирование реализуется по закону только субъектом КИИ.

«Закон о критической информационной инфраструктуре направлен на то, чтобы ваши объекты были защищены, чтобы у вас не было существенных последствий от кибератак. Наша задача как регулятора – не наказать кого-то, не призвать к чему-то, а помочь вам защитить объекты, повысить реальный уровень защищенности», – резюмировала Елена Торбенко.

19 ноября, 2019

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

03.07.2025
В Госдуме продолжают намекать на преимущества импортозамещения
03.07.2025
Котята отрастили щупальца. Kraken целится в Apple издалека?
03.07.2025
DLBI: До конца года стилеры могут парализовать поиск «удалёнки» в РФ
03.07.2025
Международный уголовный суд подвергается атакам хакеров
03.07.2025
17% компаний выбирает ноутбуки с предустановленными отечественными ОС
02.07.2025
Сотрудникам Microsoft не уйти от использования ИИ. Как и всем остальным…
02.07.2025
Полицейские констатируют резкий рост киберпреступности в Африке
02.07.2025
Мнение: Один «суверенный» процессор обойдётся в 5 млрд рублей
02.07.2025
Количество атак ClickFix выросло шестикратно за полгода
02.07.2025
Мигранты в США играют с «таможенниками» в киберпрятки

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных