Проверки объектов КИИ начнутся во втором полугодии 2021 года

Первые проверки объектов КИИ начнутся уже во втором полугодии этого года. Пока запланировано проверить пять объектов. Об этом рассказал замдиректора ФСТЭК России Виталий Лютиков во время телемоста «Москва — Урал», проходящего в рамках Форума «Кибербезопасность — наши дни. Промышленные технологии». 

«Что касается проверок, со второго полугодия этого года у нас начинаются первые проверки по вопросам обеспечения безопасности значимых объектов КИИ. В этом году у нас пять объектов, которые первыми были включены в реестр», — сказал он. 

Вместе с тем ИБ-сообщество поинтересовалось, будут ли опубликованы методики для того, чтобы объекты могли подготовиться. И Виталий Лютиков честно ответил, что до этого момента не думал про публикацию каких-то методик контроля, потому что считал, что требования у публичные и находятся в открытом доступе. Кроме того, ФСТЭК России много и на мероприятиях говорил, и отвечал на вопросы, и участвовал в обсуждениях по реализации этих требований. Однако Виталий Лютиков отметил, что он над этим вопросом ещё подумает и доложит об этом руководителю. 

«Я не буду обещать сейчас. Отвечая на ваш вопрос, скажу, методики контроля существуют. Пока эти методики носят внутренний характер. Они построены на открытых требованиях 235 и 239 Приказов ФСТЭК России. Что касается порядка проведения общего контроля — это Постановление Правительства, тоже публичный документ. Там тоже определено, как готовится акт, какие разделы в акте и так далее. Более детально я бы сделал так — я бы этот год посмотрел, набрал определённое понимание необходимости этого опубликования, что-то доработал, потому что чтобы методики опубликовать, их нужно довести до определённого формата», — пояснил замдиректора регулятора. 

Также присутствующих крайне интересовало, что будет делать ФСТЭК России по результатам проверок. Например, будут ли результаты о несоответствии требованиям передаваться в следственные органы? И по закону, как отметил Виталий Лютиков, они направляют сведения о результатах государственного контроля по нарушению требований по безопасности, которые создают предпосылки для возникновения инцидента компьютерного, в НКЦКИ. 

«Больше не предусмотрено информирование никаких госорганов ни по каким вопросам. Поэтому мы будем находиться в парадигме норм Федерального закона. И что мы будем точно делать — это информировать НКЦКИ по тем нарушениям, которые создают предпосылки для возникновения компьютерных инцидентов. Что касается информирования по нарушениям требований по безопасности в части каких-то следственных органов — это пока не предполагается. Запрос от следственных органов к нам не поступает», — ответил Виталий Лютиков. 

Он также добавил, что следственные органы заинтересованы в возбуждении дела только когда речь идёт не о факте нарушения требований, а при причинении вреда или разного рода ущерба.

17 февраля, 2021