Требования для объектов КИИ без категории значимости

Требования для объектов КИИ без категории значимости
Обратил внимание, что разграничение ответственности между регуляторами КИИ в документах прописано не очень четко, и не всегда очевидно, что необходимо делать для объектов КИИ без категории значимости. 

Я посмотрел уже утвержденные и разработанные проекты документов по КИИ и для себя сделал вот такую таблицу, думаю, что и вам она поможет разобраться:
На что стоит обратит внимание владельцам объектов КИИ без категории значимости:
  • Требования по обеспечению безопасности (и гос.контроль) от ФСТЭК России на вас не распространяются, но вот проводить категорирование объектов КИИ и уведомлять ФСТЭК России об его результатах вы должны.
  • У ФСБ России есть право организовывать и проводить оценку безопасности КИИ. Кстати, что подразумевает такая проверка (цели, периодичность, охват и прочее) в утвержденных документах и проектах не раскрывается. Будет сюрпризом...
  • Взаимодействовать с ГосСОПКА придется, в проектах документов ФСБ России четко описана процедура взаимодействия, указана какая информация и в какой срок должна передаваться в НКЦКИ. Обратите внимание, что "Информация о компьютерных инцидентах, связанных с функционированием объектов КИИ направляется субъектом КИИ в НКЦКИ незамедлительно (не позднее 24 часов с момента обнаружения компьютерного инцидента)."
  • Стоит отметить, что .согласно проектам документов ФСБ России, "Субъект КИИ согласовывает с НКЦКИ установку средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты. Согласование производится в срок до 45 календарных дней."
Но есть и спорный момент:
  • В проектах документов ФСБ России определены требования к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты (ОПЛиРКИ), прописан их состав, функциональные требования и ограничения (например, "отсутствие НДВ"). Но в самом документе не четко прописана область его действия (в 187-ФЗ и в "общих положениях" проекта документа используется термин КИИ (т.е. для всех КИИ, а не только ЗКИИ), а дальше несколько раз упоминаются именно значимые КИИ), что в сумме с положением из 187-ФЗ (ст.6 п.4 пп.8) об "организации установки на значимых объектах КИИ  средств ОПЛиРКИ" приводит нас к вопросу "а надо ли внедрять средства ОПЛиРКИ на объектах КИИ без категории значимости?". Можно трактовать и так и так. Но если есть требования по согласованию с НКЦКИ их состава и требования по обмену информацией, то, наверное, внедрять такие средства стоит... Надеюсь, что формулировку поправят в итоговой версии документов...
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ваша цифровая безопасность — это пазл, и у нас есть недостающие детали

Подпишитесь, чтобы собрать полную картину

Andrey Prozorov

Информационная безопасность в России и мире