СОИБ. Безопасность критической информационной инфраструктуры (КИИ)
Недавно на публичное обсуждение
был выложен проект Федерального закона РФ “о безопасности критической информационной
инфраструктуры Российской Федерации”
Данный ФЗ в качестве
недостающего звена дополняет структуру документов по КСИИ
Из наиболее интересного:
·
На уровне ФЗ вводятся необходимые новые термины.
Что конечно хорошо, так как уменьшает количество разногласий и разночтений всей
структуры документов по КСИИ
·
Определяются категории опасности КСИИ- высокой, средней
и низкой
·
В отличие от ПДн, предполагается активное
участие регуляторов в оценке, контроле, анализе безопасности КСИИ, так например
ФСБ Р и ФСТЭК Р будут (не считаю разработки требований):
o
вести реестр объектов КСИИ
o
проводить проверку правильности классификации
объектов КСИИ (для сравнения в ПДн оператор самостоятельно определяет уровни
защищенности и нормами не предусмотрена проверка правильности классификации)
o
определять порядок проведения оценки
защищенности, проводить оценку защищенности КСИИ самостоятельно, привлекать
аккредитованные организации (для сравнения в ПДн оператор самостоятельно
проводит оценку защищенности или использует услуги внешнего консалтера)
o
осуществлять государственный контроль в области
обеспечения безопасности КСИИ
·
Между ФСБ Р и ФСТЭК Р следующее разделение
ответственности:
o
ФСБ Р отвечает за КСИИ высокой категории
опасности
o
ФСТЭК Р отвечает за КСИИ средней и низкой
категорий опасности
·
Субъекты проводят категорирование своих
КСИИ и направляют информацию
соответствующему регулятору
·
Для обнаружения и предупреждения компьютерных
атак, ФСБ Р будет устанавливать в КСИИ свои сенсоры (“технические средства,
предназначенные для поиска признаков компьютерных атак в сообщениях
электросвязи ”)
·
Установлены требования по аккредитации (лицензия
на ГТ, 3 тестера в штате), но критерии (по сути дополнительные требования)
могут определяться регуляторами
·
Основные требования (дополнительные могут
устанавливаться регуляторами) по защите КСИИ включают:
o
оргмеры
o
требования к персоналу
o
антивирусную защиту и защиту от компьютерных
атак
o
защиту взаимодействия с ССОП
o
обеспечение ИБ при эксплуатации ИС
·
Новые обязанности субъектов КСИИ:
o
направлять сведения о выполненных мероприятиях
по защите регуляторам
o
незамедлительно сообщать об инцидентах
o
выполнять предписания регуляторов
o
обеспечивать доступ регуляторов к КСИИ
·
Создается “Государственная система обнаружения,
предупреждения и ликвидации последствий компьютерных атак” в рамках которой
действует “Национальный координационный центр по компьютерным инцидентам” (его деятельность обеспечивает ФСБ Р)
Предложения и замечания можно
отправлять до 23.08.2013 по адресу fzcii@fsb.ru
В целом документ неплох и ФЗ по
защите КСИИ нам необходим.
Настораживают только фактически неограниченные полномочия регуляторов. В соответствии с данным ФЗ в их праве установить любые, в том числе невыполнимые требования.
Ещё один нераскрытый момент, какие организации в принципе попадают под КСИИ? Ведь чтобы классифицировать КСИИ надо понимать что у тебя КСИИ. Тут, видимо, будут адресные рассылки регуляторов по конкретным перечням организаций.
Настораживают только фактически неограниченные полномочия регуляторов. В соответствии с данным ФЗ в их праве установить любые, в том числе невыполнимые требования.
Ещё один нераскрытый момент, какие организации в принципе попадают под КСИИ? Ведь чтобы классифицировать КСИИ надо понимать что у тебя КСИИ. Тут, видимо, будут адресные рассылки регуляторов по конкретным перечням организаций.
Комментарии