СОИБ. Безопасность критической информационной инфраструктуры (КСИИ)

Недавно на публичное обсуждение был выложен проект Федерального закона РФ “о безопасности критической информационной инфраструктуры Российской Федерации”. Данный ФЗ в качестве недостающего звена дополняет структуру документов по КСИИ

Из наиболее интересного:

  • На уровне ФЗ вводятся необходимые новые термины. Что конечно хорошо, так как уменьшает количество разногласий и разночтений всей структуры документов по КСИИ
  • Определяются категории опасности КСИИ- высокой, средней и низкой
  • В отличие от ПДн, предполагается активное участие государства в оценке, контроле, анализе безопасности КСИИ, так например ФСБ Р и ФСТЭК Р будут (не считаю разработки требований):
    • вести реестр объектов КСИИ
    • проводить проверку правильности классификации объектов КСИИ (для сравнения в ПДн оператор самостоятельно определяет уровни защищенности и нормами не предусмотрена проверка правильности классификации)
    • определять порядок проведения оценки защищенности, проводить оценку защищенности КСИИ самостоятельно, привлекать аккредитованные организации (для сравнения в ПДн оператор самостоятельно проводит оценку защищенности или использует услуги внешнего консалтера)
    • осуществлять государственный контроль в области обеспечения безопасности КСИИ
  • Между ФСБ Р и ФСТЭК Р следующее разделение ответственности:
    • ФСБ Р отвечает за КСИИ высокой категории опасности
    • ФСТЭК Р отвечает за КСИИ средней и низкой категорий опасности
  • Субъекты проводят категорирование своих КСИИ  и направляют информацию соответствующему регулятору
  • Для обнаружения и предупреждения компьютерных атак, ФСБ Р будет устанавливать в КСИИ свои сенсоры (“технические средства, предназначенные для поиска признаков компьютерных атак в сообщениях электросвязи”)
  • Установлены требования по аккредитации (лицензия на ГТ, 3 тестера в штате), но критерии (по сути дополнительные требования) могут определяться регуляторами
  • Основные требования (дополнительные могут устанавливаться регуляторами) по защите КСИИ включают:
    • оргмеры
    • требования к персоналу
    • антивирусную защиту и защиту от компьютерных атак
    • защиту взаимодействия с ССОП
    • обеспечение ИБ при эксплуатации ИС
  • Новые обязанности субъектов КСИИ:
    • направлять сведения о выполненных мероприятиях по защите регуляторам
    • незамедлительно сообщать об инцидентах
    • выполнять предписания регуляторов
    • обеспечивать доступ регуляторов к КСИИ
  • Создается “Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак” в рамках которой действует “Национальный координационный центр по компьютерным инцидентам”  (его деятельность обеспечивает ФСБ Р)

В целом документ неплох и ФЗ по защите КСИИ нам необходим. Настораживают только фактически неограниченные полномочия регуляторов. В соответствии с данным ФЗ в их праве установить любые, в том числе невыполнимые требования. 

Если вы заметили ошибку, выделите необходимый текст и нажмите Ctrl+Enter, чтобы сообщить об этом редакции    Система Orphus

RSS: Новое в блогах на Anti-Malware.ru Новое в блогах