Журнал "Information Security/ Информационная безопасность" #6, 2019

Тема КИИ волнует многих. И если в 2018 г., когда только-только появились первые нормативные правовые акты, связанные с 187-ФЗ "О безопасности критической информационной струк- туры Российской Федерации", органи- зации в основном разбирались с тео- рией, то сейчас большинство субъектов КИИ приступило к практической реа- лизации требований закона, и в ходе этого процесса возникают новые вопро- сы. Неудивительно, что в отрасли наблюдается интерес к круглым столам и практическим сессиям с участием регуляторов и более опытных коллег по цеху. В ходе мозговых штурмов и обсужде- ний в группах участники мероприятия разбирали оптимальные управленческие и технологические подходы к реализации требований 187-ФЗ, а также делились своим опытом. Алексей Кубарев, пред- ставляющий ФСТЭК, рассказывал о том, что регулятор ожидает от субъектов КИИ, а также о наиболее распростра- ненных ошибках и заблуждениях, свя- занных с процессом категорирования объектов КИИ. По результатам предварительного опроса организаторы мероприятия сфор- мировали пул наиболее волнующих аудиторию вопросов для обсуждения. Участникам саммита удалось поде- литься своим видением и опытом по части этих вопросов, обсудить различ- ные точки зрения и получить коммента- рии регулятора. Приводим короткое резюме основных моментов. Категорирование объектов КИИ По словам Алексея Кубарева, 45% поданных форм возвращается на пере- смотр. Почему это происходит и как оценивается правильность категориро- вания? Подход ФСТЭК очень прост: они проверяют правильность заполне- ния форм и оценивают адекватность присвоения классов объектам КИИ, исходя из здравого смысла. В случае откровенного завышения или заниже- ния классов акты возвращают на пере- смотр. Насколько подробно нужно сег- ментировать системы при категориро- вании, каждый субъект решает само- стоятельно. Некоторые субъекты КИИ, в ведении которых находится множество объектов, поделились практикой проведения кате- горирования параллельно с процессами проектирования и реализации подси- стемы информационной безопасности для самых критичных объектов КИИ. Они подготовили примерный перечень ОКИИ, после чего начали проводить работы по категорированию и проекти- рованию, в ходе которых состав ОКИИ будет определен более точно. Через год они направят во ФСТЭК уточненный перечень. Моделирование угроз На вопрос о том, какую методику нужно использовать при моделировании угроз, Алексей Кубарев в очередной раз подчеркнул, что любую. ФСТЭК не обязывает использовать какую-то кон- кретную методику. В информационном письме говорилось о том, что можно использовать методику КСИИ, но это не означает, что нужно. Уже имеющиеся в организации модели угроз, созданные для ПДн, ГИС, КСИИ и пр., можно использовать как основу и просто пере- смотреть для ОКИИ. При моделировании угроз необходи- мо использовать Банк данных угроз безопасности информации ФСТЭК и меры защиты из приказов ФСТЭК № 21, 17, 235 и 239. БДУ при этом можно дополнять как из указанных перечней, так и из других источников, а также своими мерами. Если в БДУ вносятся изменения, то формально это повод для пересмотра МУ. Согласовывать модель угроз для объектов КИИ со ФСТЭК не нужно, такого требования нигде нет. По сло- вам Алексея Кубарева, периодически приходят запросы на согласование модели угроз, но регулятор может пре- доставить только неформальное оце- ночное мнение, поскольку эта про- цедура необязательна. Использование сертифицированных СЗИ для обеспечения безопасности ОКИИ Вопрос об обязательном использова- нии сертифицированных СЗИ для обес- печения безопасности объектов КИИ регулярно поднимается субъектами КИИ. На саммите представитель регулятора подчеркнул, что можно использовать любую доступную форму оценки соот- ветствия, поскольку сертификация доб- ровольная. Оценку соответствия СЗИ можно проводить самостоятельно в виде испытаний или приемки, по окончании которой будет вынесено заключение комиссии, созданной в организации. Сложности и проблемы по опыту субъектов КИИ Участники саммита, представляющие субъекты КИИ, одной из главных про- блем назвали отсутствие дополнитель- ных ресурсов для деятельности по КИИ, что замедляет процесс категорирования. Многие сотрудники некомпетентны в этом вопросе, но дополнительных средств для привлечения профессиона- лов или дополнительного обучения имею- щихся специалистов не выделяется. Другая проблема заключается в том, что топ-менеджмент зачастую не видит рисков в несоответствии требованиям по КИИ. Далеко не во всех организациях ведется оценка рисков информационной безопасности и применяется риск-ори- ентированный подход к выделению ресурсов и бюджетов. Важно доносить информацию о выявленных рисках до первых лиц и обязательно добиваться либо их принятия, либо выделения ресур- сов на их снижение. l Полный текст статьи доступен на сайте журнала: 8 • В ФОКУСЕ Саммит субъектов КИИ: вопросы и ответы сентября компания “Гротек” провела саммит субъектов КИИ, в котором приняли участие представители ФСТЭК, Совета Федерации и крупнейших организаций, являющихся субъектами КИИ и уже имеющих практический опыт категорирования объектов и реализации других требований 187-ФЗ. Среди участников были представители НЛМК, “Норникеля”, СО ЕЭС, ЕВРАЗ, “Ростелекома”, Гринатома и других крупных компаний. Специалисты Центра экспертизы R-Vision также приняли участие в саммите. 26 Валерий Богдашов, директор Центра экспертизы R-Vision Ваше мнение и вопросы присылайте по адресу is@groteck.ru