В последний день Уральского форума прошла сессия, посвященная критической информационной инфраструктуре в разрезе финансового рынка. Я не буду пересказывать все доклады этой сессии, коснусь только выступления Андрея Выборнова из ГУБиЗИ Банка России, который осветил взгляд регулятора на применение ФЗ-187 к финансовым организациям. Тезисно, я бы отметил следующее:
- Все финансовые организации без исключения являются субъектами КИИ и обязаны будут подключаться к ГосСОПКЕ
- Информационные системы банков, страховых, микрофинансовых организаций, бирж и т.п., включая АБС, ДБО, Интернет-банк, CRM, HRM и т.д. являются объектами КИИ. Часть из них является значимыми объектами, а часть нет. Для отнесения объектов к значимым или нет используется ПП-127, принятое 8 февраля, а вступающее в силу 20 февраля (через 7 дней после опубликования).
- Категорировать объекты надо не всем субъектам КИИ, а тем, кто перечислен в моей заметке .
- Все значимые объекты должны защищаться по требованиям ФСТЭК (приказы №235 и №239). По мнению ЦБ принятый СТО и планируемый к обязательному применению ГОСТ 57580.1 закрывают все требования приказов ФСТЭК. На мой взгляд это не совсем так - есть требования, которые документами ЦБ не закрываются (хотя в массе своей это так). Например, в части выбора средств защиты информации и компаний, оказывающих для этих средств техническую поддержку.
- Все финансовые организации как субъекты КИИ должны присоединиться к ГосСОПКЕ для отправки в нее информации об инцидентах.
- Есть тонкий момент, на который я бы хотел обратить внимание еще раз. В настоящий момент ФинЦЕРТ не является ни корпоративным, ни ведомственным центром ГосСОПКИ. С юридической точки зрения. На форуме прозвучало, что сейчас ведется работа по получению ФинЦЕРТом более официального статуса в ГосСОПКЕ. Пока же тема передачи информации об инцидентах остается незакрытой. Надо ли дублировать данные в ФинЦЕРТ и ГосСОПКУ или достаточно только передавать данные в ФинЦЕРТ, а он сам будет передавать данные в ФСБ? Будет ли ФСБ требовать жесткого соблюдения закона или даст возможность на переходный период работать финансовым организациям через ФинЦЕРТ? Нет ответа на эти вопросы. Представителей ГосСОПКИ на мероприятии вообще не было, а ЦБ пока не имеет готового ответа.
- Последний момент касается сюрприза, прозвучавшего на конференции ФСТЭК, о том, что субъекты КИИ должны отправить отраслевому регулятору перечень объектов КИИ до 23-го февраля 2018-го года. По версии регулятора этот перечень должен готовиться только подведомственными организациями, которые есть далеко не у всех (преимущественно ФОИВы и госкорпорации). Это, конечно, тоже не сахар, но хотя бы коммерческие субъекты КИИ останутся вне этого требования. Однако на Уральском форуме поправки в эту точку зрения внес Аппарат Правительства, представитель которого заявил, что все субъекты КИИ без исключения должны составлять перечень и отправлять его своему отраслевому регулятору. Правда, на вопрос, сколько времени нужно на составление перечня, "аппаратчик" заявил, что по его мнению, не менее шести месяцев (как и было в проекте ПП-127). На вопрос о 23-м февраля он не смог ничего ответить. В итоге мы имеем очередную темную зону законодательства о безопасности КИИ, которая возникла из-за низкого качества ФЗ и подзаконных актов, возникших в свою очередь из-за сверхмалых сроков подготовки всех НПА и нежелания инициаторов закона прислушиваться к мнению экспертов, которые указывали на многие косяки, которые мы сейчас разгребаем.
В качестве резюме просто порекомендую финансовым организациям внимательнее присмотреться к ФЗ-187 и подзаконным актам. Эта тема в ближайший год станет достаточно актуальной для многих финансовых структур.