Кому категорировать объекты КИИ

27 сен 2022 02:40 #111479 от ICT
В ходе дискуссии на конференции BISSummit ряд участников обратил внимание на то, что в законодательстве по защите объектов критической информационной инфраструктуры (КИИ) заложен конфликт интересов. К примеру, генеральный директор Центра компетенций по импортозамещению в сфере ИКТ Илья Массух обратил внимание на то, что в нынешней редакции закона 187-ФЗ задача по категорированию объектов возложена на собственников, которые прямо заинтересованы в том, чтобы целый ряд ключевых информационных систем не были отнесены к КИИ, поскольку их защита обойдется дороже, чем возможный ущерб. Он привел примеры того, как не были категорированы средства проектирования в компании-застройщике или системы биллинга (но тут характер деятельности компании назван не был). Илья Массух предложил возложить задачи категорирования на регуляторов или отраслевые сообщества. Также он рекомендовал разработать перечень систем, которые автоматически следует относить к объектам КИИ. Заместитель директора по развитию бизнеса Solar JSOC "РТК-Солар" Павел Гончаров напоминает, что такие предложения высказывались и ранее: "Например, предлагалось создавать отраслевые CERT (Центр реагирования на киберинциденты) и отраслевые центры ГосСОПКА на базе профильных министерств. В руках таких центров могла быть сосредоточена информация о существующих в отрасли объектах критической инфраструктуры, и они могли бы давать объективную оценку в рамках категорирования. Такие центры могли бы также координировать действия отрасли при реагировании на компьютерные инциденты. В целом ФСТЭК уже давно публично говорит о сложностях процесса категорирования объектов КИИ, в частности, о занижении категории при оценке. К тому же, несмотря на то, что владельцы КИИ должны были завершить процесс категорирования еще в 2020 году, часть компаний, даже из госсектора, до сих пор этого не сделали". Советник генерального директора Positive Technologies Артем Сычев согласен с тем, что данная проблема известна и понятна специалистам по информационной безопасности. При этом, по его мнению, перекладывать задачу по категорированию на регуляторов в корне неправильно, поскольку регулятор не может да и не должен знать в деталях все особенности инфраструктуры поднадзорных организаций. По мнению Артема Сычева, целесообразно возложить на отраслевых регуляторов контроль адекватности результатов категорирования с точки зрения тех угроз, которые характерны для каждой из отраслей. Заместитель директора ФСТЭК Виталий Лютиков предостерег от разработки перечня систем, которые включались бы в разряд КИИ. Их будут просто называть так, чтобы они не совпадали с теми, которые будут содержаться в таком списке. Также, по мнению Виталия Лютикова, велик элемент субъективизма: руководители субъекта могут заявить, что от функционирования таких систем не будет зависеть работа всей компании. А регуляторы, по оценке заместителя руководителя ФСТЭК, и так перегружены. По мнению ведущего блога "Бизнес без опасности" Алексея Лукацкого, указ №250 предлагает именно спросить у бизнеса, что важно для него, а потом уже транслировать это на область ИБ: "Необходимо не просто составить перечень угроз, опираясь на какой-либо каталог или воображение и опыт, а сначала узнать у бизнеса, что с его точки зрения может нанести ему значительный ущерб. Именно значительный, а не вообще любой". Но при этом Виталий Лютиков анонсировал существенные изменения в порядке категорирования объектов: "Есть некоторые новые поручения по внесению изменений в Статью 2 187-ФЗ. Они будут касаться категорирования объектов. Сроки озвучивать не буду пока, чтобы никого не смущать из коллег". Ссылка на источник


  • Сообщений: 103416

  • Пол: Не указан
  • Дата рождения: Неизвестно
  • Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    Мы в соц. сетях