Саммит субъектов КИИ: вопросы и ответы

Тема КИИ волнует многих. И если в 2018 г., когда только-только появились первые нормативные правовые акты, связанные с 187-ФЗ "О безопасности критической информационной структуры Российской Федерации", организации в основном разбирались с теорией, то сейчас большинство субъектов КИИ приступило к практической реализации требований закона, и в ходе этого процесса возникают новые вопросы. Неудивительно, что в отрасли наблюдается интерес к круглым столам и практическим сессиям с участием регуляторов и более опытных коллег по цеху.

В ходе мозговых штурмов и обсуждений в группах участники мероприятия разбирали оптимальные управленческие и технологические подходы к реализации требований 187-ФЗ, а также делились своим опытом. Алексей Кубарев, представляющий ФСТЭК, рассказывал о том, что регулятор ожидает от субъектов КИИ, а также о наиболее распространенных ошибках и заблуждениях, связанных с процессом категорирования объектов КИИ.

По результатам предварительного опроса организаторы мероприятия сформировали пул наиболее волнующих аудиторию вопросов для обсуждения.

Участникам саммита удалось поделиться своим видением и опытом по части этих вопросов, обсудить различные точки зрения и получить комментарии регулятора. Приводим короткое резюме основных моментов.

Категорирование объектов КИИ

По словам Алексея Кубарева, 45% поданных форм возвращается на пересмотр. Почему это происходит и как оценивается правильность категорирования? Подход ФСТЭК очень прост: они проверяют правильность заполнения форм и оценивают адекватность присвоения классов объектам КИИ, исходя из здравого смысла. В случае откровенного завышения или занижения классов акты возвращают на пересмотр. Насколько подробно нужно сегментировать системы при категорировании, каждый субъект решает самостоятельно.

Некоторые субъекты КИИ, в ведении которых находится множество объектов, поделились практикой проведения категорирования параллельно с процессами проектирования и реализации подсистемы информационной безопасности для самых критичных объектов КИИ. Они подготовили примерный перечень ОКИИ, после чего начали проводить работы по категорированию и проектированию, в ходе которых состав ОКИИ будет определен более точно. Через год они направят во ФСТЭК уточненный перечень.

Моделирование угроз

На вопрос о том, какую методику нужно использовать при моделировании угроз, Алексей Кубарев в очередной раз подчеркнул, что любую. ФСТЭК не обязывает использовать какую-то конкретную методику. В информационном письме говорилось о том, что можно использовать методику КСИИ, но это не означает, что нужно. Уже имеющиеся в организации модели угроз, созданные для ПДн, ГИС, КСИИ и пр., можно использовать как основу и просто пересмотреть для ОКИИ.

При моделировании угроз необходимо использовать Банк данных угроз безопасности информации ФСТЭК и меры защиты из приказов ФСТЭК № 21, 17, 235 и 239. БДУ при этом можно дополнять как из указанных перечней, так и из других источников, а также своими мерами. Если в БДУ вносятся изменения, то формально это повод для пересмотра МУ.

Согласовывать модель угроз для объектов КИИ со ФСТЭК не нужно, такого требования нигде нет. По словам Алексея Кубарева, периодически приходят запросы на согласование модели угроз, но регулятор может предоставить только неформальное оценочное мнение, поскольку эта процедура необязательна.

Использование сертифицированных СЗИ для обеспечения безопасности ОКИИ

Вопрос об обязательном использовании сертифицированных СЗИ для обеспечения безопасности объектов КИИ регулярно поднимается субъектами КИИ. На саммите представитель регулятора подчеркнул, что можно использовать любую доступную форму оценки соответствия, поскольку сертификация добровольная. Оценку соответствия СЗИ можно проводить самостоятельно в виде испытаний или приемки, по окончании которой будет вынесено заключение комиссии, созданной в организации.

Сложности и проблемы по опыту субъектов КИИ

Участники саммита, представляющие субъекты КИИ, одной из главных проблем назвали отсутствие дополнительных ресурсов для деятельности по КИИ, что замедляет процесс категорирования. Многие сотрудники некомпетентны в этом вопросе, но дополнительных средств для привлечения профессионалов или дополнительного обучения имеющихся специалистов не выделяется.

Другая проблема заключается в том, что топ-менеджмент зачастую не видит рисков в несоответствии требованиям по КИИ. Далеко не во всех организациях ведется оценка рисков информационной безопасности и применяется риск-ориентированный подход к выделению ресурсов и бюджетов. Важно доносить информацию о выявленных рисках до первых лиц и обязательно добиваться либо их принятия, либо выделения ресурсов на их снижение.

Полный текст статьи доступен на сайте журнала: