.jpg)
Из-за широты охвата ФЗ-187 государственных и коммерческих организаций вопросы правильной реализаций требований регуляторов при защите КИИ остаются одними из наиболее актуальных в отрасли. По мере погружения в нюансы законодательства у специалистов компаний возникают всё новые вопросы на стыке закона и практической реальности. Поэтому выступление на SOC-форуме заместителя начальника управления ФСТЭК России Елены Торбенко, касающееся нормативно-правового обеспечения вопросов категорирования объектов КИИ, – вызвало особый интерес.
«1 января 2018 ФЗ-187 вступил в силу. Закон действует, нормативная база есть. Определенные результаты по реализации мы увидели: практически все сферы уже попали в перечни, реестры; существенно увеличилось число организаций, признавших себя субъектами КИИ. Многие организации еще не завершили процедуру, но реализуют закон все сферы. С другой стороны, более 20% сведений, которые к нам поступают в заявках, возвращаются на доработку из-за серьезных замечаний: либо субъект неправильно определяет свою категорию, либо просто неправильно читает требования нормативно-правовых актов», – заявила спикер. Далее речь пошла о нюансах, которые должна учесть организация, которой необходимо пройти регистрацию объекта КИИ.
Напомним, субъект, который функционирует в одной из 13 сфер, определенных законом, должен себя отнести к объектам КИИ: определить перечни объектов, которые подлежат категорированию, провести это категорирование, осуществить взаимодействие с ГосСОПКА. Это обязательные требования для всех субъектов КИИ. Далее нужно создать или доработать систему обеспечения безопасности и принять меры по обеспечению безопасности объектов.
Нюансов у этой процедуры много. Например, они затрагивают объекты, которые эксплуатируются несколькими организациями, а также объекты в рамках территориально-распределенных организаций. Отдельно нужно учесть, что 187 законом не предписывается обязательная сертификация применяемого СЗИ – однако для многих категорий организаций (например, работающих с гостайной) есть иные регулирующие документы, предписывающие применение сертифицированных средств.
По данным спикера, основная причина отказа в категорировании – занижение значимости объекта, которое происходит как по причине невнимательного прочтения регламентов, так и из-за попыток сознательно занизить категорию объекта, и из-за сокрытия определенных факторов. Еще одна проблема – привлечение к категорированию сторонних организаций: действительно, можно привлечь стороннюю организацию как эксперта, но непосредственно категорирование реализуется по закону только субъектом КИИ.
«Закон о критической информационной инфраструктуре направлен на то, чтобы ваши объекты были защищены, чтобы у вас не было существенных последствий от кибератак. Наша задача как регулятора – не наказать кого-то, не призвать к чему-то, а помочь вам защитить объекты, повысить реальный уровень защищенности», – резюмировала Елена Торбенко.