ФСТЭК рассказал о проблемах категорирования объектов КИИ – занижении значимости и привлечении сторонних организаций

Из-за широты охвата ФЗ-187 государственных и коммерческих организаций вопросы правильной реализаций требований регуляторов при защите КИИ остаются одними из наиболее актуальных в отрасли. По мере погружения в нюансы законодательства у специалистов компаний возникают всё новые вопросы на стыке закона и практической реальности. Поэтому выступление на SOC-форуме заместителя начальника управления ФСТЭК России Елены Торбенко, касающееся нормативно-правового обеспечения вопросов категорирования объектов КИИ, – вызвало особый интерес.

«1 января 2018 ФЗ-187 вступил в силу. Закон действует, нормативная база есть. Определенные результаты по реализации мы увидели: практически все сферы уже попали в перечни, реестры; существенно увеличилось число организаций, признавших себя субъектами КИИ. Многие организации еще не завершили процедуру, но реализуют закон все сферы. С другой стороны, более 20% сведений, которые к нам поступают в заявках, возвращаются на доработку из-за серьезных замечаний: либо субъект неправильно определяет свою категорию, либо просто неправильно читает требования нормативно-правовых актов», – заявила спикер. Далее речь пошла о нюансах, которые должна учесть организация, которой необходимо пройти регистрацию объекта КИИ.

Напомним, субъект, который функционирует в одной из 13 сфер, определенных законом, должен себя отнести к объектам КИИ: определить перечни объектов, которые подлежат категорированию, провести это категорирование, осуществить взаимодействие с ГосСОПКА. Это обязательные требования для всех субъектов КИИ. Далее нужно создать или доработать систему обеспечения безопасности и принять меры по обеспечению безопасности объектов.

Нюансов у этой процедуры много. Например, они затрагивают объекты, которые эксплуатируются несколькими организациями, а также объекты в рамках территориально-распределенных организаций. Отдельно нужно учесть, что 187 законом не предписывается обязательная сертификация применяемого СЗИ – однако для многих категорий организаций (например, работающих с гостайной) есть иные регулирующие документы, предписывающие применение сертифицированных средств.

По данным спикера, основная причина отказа в категорировании – занижение значимости объекта, которое происходит как по причине невнимательного прочтения регламентов, так и из-за попыток сознательно занизить категорию объекта, и из-за сокрытия определенных факторов. Еще одна проблема – привлечение к категорированию сторонних организаций: действительно, можно привлечь стороннюю организацию как эксперта, но непосредственно категорирование реализуется по закону только субъектом КИИ.

«Закон о критической информационной инфраструктуре направлен на то, чтобы ваши объекты были защищены, чтобы у вас не было существенных последствий от кибератак. Наша задача как регулятора – не наказать кого-то, не призвать к чему-то, а помочь вам защитить объекты, повысить реальный уровень защищенности», – резюмировала Елена Торбенко.

19 ноября, 2019

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

01.10.2022
Банк России финализирует стратегию обеспечения ИБ на 2022–2024 годы
01.10.2022
Российские хакеры атакуют российские компании
30.09.2022
Минцифры — о дополнительных мерах в отношении мобилизованных айтишников
30.09.2022
Apple релоцировала большую часть российских сотрудников в Киргизию
30.09.2022
Список софта для обязательного размещения в RuStore расширен
30.09.2022
Эльвира Набиуллина попала под британские и американские санкции
30.09.2022
Минобрнауки рассказало о рассылке от «Минобороны»
29.09.2022
Штрафы за утечку ПДн могут пойти не в бюджет, а на компенсацию пострадавшим от утечек
29.09.2022
ИТ-исход 2.0. Рынок — о возможном количестве айтишников, покидающих РФ прямо сейчас
29.09.2022
Минцифры собирается срезать поток спамерских звонков

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных