вторник, 13 августа 2013 г.

СОИБ. Безопасность критической информационной инфраструктуры (КИИ)

Недавно на публичное обсуждение был выложен проект Федерального закона РФ “о безопасности критической информационной инфраструктуры Российской Федерации”

Данный ФЗ в качестве недостающего звена дополняет структуру документов по КСИИ


Из наиболее интересного:
·        На уровне ФЗ вводятся необходимые новые термины. Что конечно хорошо, так как уменьшает количество разногласий и разночтений всей структуры документов по КСИИ
·        Определяются категории опасности КСИИ- высокой, средней и низкой
·        В отличие от ПДн, предполагается активное участие регуляторов в оценке, контроле, анализе безопасности КСИИ, так например ФСБ Р и ФСТЭК Р будут (не считаю разработки требований):
o   вести реестр объектов КСИИ
o   проводить проверку правильности классификации объектов КСИИ (для сравнения в ПДн оператор самостоятельно определяет уровни защищенности и нормами не предусмотрена проверка правильности классификации)
o   определять порядок проведения оценки защищенности, проводить оценку защищенности КСИИ самостоятельно, привлекать аккредитованные организации (для сравнения в ПДн оператор самостоятельно проводит оценку защищенности или использует услуги внешнего консалтера)
o   осуществлять государственный контроль в области обеспечения безопасности КСИИ
·        Между ФСБ Р и ФСТЭК Р следующее разделение ответственности:
o   ФСБ Р отвечает за КСИИ высокой категории опасности
o   ФСТЭК Р отвечает за КСИИ средней и низкой категорий опасности
·        Субъекты проводят категорирование своих КСИИ  и направляют информацию соответствующему регулятору
·        Для обнаружения и предупреждения компьютерных атак, ФСБ Р будет устанавливать в КСИИ свои сенсоры (“технические средства, предназначенные для поиска признаков компьютерных атак в сообщениях электросвязи ”)
·        Установлены требования по аккредитации (лицензия на ГТ, 3 тестера в штате), но критерии (по сути дополнительные требования) могут определяться регуляторами
·        Основные требования (дополнительные могут устанавливаться регуляторами) по защите КСИИ включают:
o   оргмеры
o   требования к персоналу
o   антивирусную защиту и защиту от компьютерных атак
o   защиту взаимодействия с ССОП
o   обеспечение ИБ при эксплуатации ИС
·        Новые обязанности субъектов КСИИ:
o   направлять сведения о выполненных мероприятиях по защите регуляторам
o   незамедлительно сообщать об инцидентах
o   выполнять предписания регуляторов
o   обеспечивать доступ регуляторов к КСИИ
·        Создается “Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак” в рамках которой действует “Национальный координационный центр по компьютерным инцидентам”  (его деятельность обеспечивает ФСБ Р)

Предложения и замечания можно отправлять до 23.08.2013 по адресу fzcii@fsb.ru


В целом документ неплох и ФЗ по защите КСИИ нам необходим.
Настораживают только фактически неограниченные полномочия регуляторов. В соответствии с данным ФЗ в их праве установить любые, в том числе невыполнимые требования. 
Ещё один нераскрытый момент, какие организации в принципе попадают под КСИИ? Ведь чтобы классифицировать КСИИ надо понимать что у тебя КСИИ. Тут, видимо, будут адресные рассылки регуляторов по конкретным перечням организаций.

PS: Смотрите так-же замечания и рекомендации к проекту ФЗ от Андрея Прозорова  и Алексея Лукацкого.



1 комментарий:

Andrey Prozorov комментирует...

Вот тебе в продолжение про возможность правок УК РФ в части безопасности КСИИ http://izvestia.ru/news/555175