Журнал "Information Security/ Информационная безопасность" #2, 2023

ФСТЭК России допускает предоставление сведений только той части, которая касается именно внесенных в объект КИИ изменений. Если же масштаб органи- зации большой и изменения в системах происходят часто, то, помимо требова- ний в организационно-рас- порядительных документах, потребуется также внедре- ние автоматизированной системы контроля измене- ний в объектах КИИ. Вопросы, которые возникают в части предоставления ука- занных изменений: нужно отправлять всю форму или толь- ко те ее части, которые касают- ся внесенных изменений (напри- мер, изменился состав компо- нентов объекта КИИ); нужно отправлять снова все сведения или только раздел 5 "Сведения о программных и программно- аппаратных средствах, исполь- зуемых на объекте критической информационной инфраструк- туры"? В самих Правилах кате- горирования не указано, как правильно делать. Моя практика в части взаимодействия с регу- лятором по данному вопросу показывает, что ФСТЭК России допускает предоставление толь- ко той части сведений, которая касается именно внесенных в объект КИИ изменений (в ука- занном примере это означает, что достаточно отправить лишь раздел 5 сведений). Следующий вопрос, который возникает у субъектов КИИ: как выстроить процесс актуализа- ции этих сведений? Если орга- низация/орган/учреждение имеют небольшое количество объектов КИИ или эти объекты КИИ относятся к автоматизи- рованным системам управления технологическими процессами, в которых изменения происхо- дят нечасто, то достаточно включения в локальные норма- тивные акты требования к под- разделениям владельцами этих объектов о немедленном уве- домлении об изменениях спе- циалистов по информационной безопасности и проведения периодической инвентаризации этих объектов. Если же масштаб организации большой и изменения в системах происходят часто (обычно харак- терно для информационных и информационно-телекоммуника- ционных систем), то, помимо требований в организационно- распорядительных документах, потребуется также внедрение автоматизированной системы контроля изменений в объектах КИИ, а также значительное уве- личение трудозатрат специали- стов по информационной без- опасности на работу со сведе- ниями о категорировании, что можно использовать как осно- вание для увеличения штатной численности. Еще один вопрос – монито- ринг своевременного и полного предоставления сведений об объектах КИИ. Здесь важно обратить внимание на следую- щие момент: l мониторинг проводится отрас- левыми регуляторами (Мин- промторгом России, Минэнерго России, Минцифры России и т.п.) в отношении субъектов КИИ, функционирующих в регу- лируемой ими отрасли, и своих подведомственных организа- ций, являющихся субъектами КИИ, то есть не "подведы" осу- ществляют мониторинг, а сами отраслевые регуляторы; l мониторинг осуществляется регулярно путем запроса све- дений о категорировании и их анализа отраслевым регулято- ром, то есть, по сути, это своего рода документарные проверки; l актуальность и достоверность сведений об объектах КИИ может подтверждаться отрас- левым регулятором путем озна- комления с объектами КИИ по месту их нахождения, то есть, по сути, при наличии вопросов, появившихся в ходе "докумен- тарной проверки", отраслевой регулятор вправе осуществить выездную; l при выявлении нарушений отраслевой регулятор направ- ляет сведения об этом во ФСТЭК России не позднее 30 дней со дня выявления; l к мониторингу (в части оцен- ки актуальности и достоверно- сти сведений) отраслевые регу- ляторы могут привлекать под- ведомственные им организа- ции, имеющие лицензию на работу со сведениями, состав- ляющими государственную тайну, и/или деятельность по технической защите конфиден- циальной информации, инфор- мация о которых размещена на официальном сайте отрас- левого регулятора, то есть "под- веды" не обязаны (и не вправе) проводить мониторинг субъек- тов КИИ, а могут быть участ- никами этого процесса совместно с отраслевым регу- лятором, причем только в части оценки, то есть правом запра- шивать информацию они не наделены; l порядок проведения оценки актуальности и достоверности сведений определяется отрас- левым регулятором, то есть дол- жен быть нормативно-правовой акт отраслевого регулятора, который определяет порядок проведения оценки. Аккредитация центров ГосСОПКА Вопрос, который волнует мно- гих, – это нужна ли аккредита- ция корпоративных (ведом- ственных) центров ГосСОПКА. В 2022 г., после выхода Указа Президента РФ от 01.05.2022 г. № 250 "О дополнительных мерах по обеспечению инфор- мационной безопасности Рос- сийской Федерации", ФСБ Рос- сии объявила о необходимости аккредитации центров ГосСОП- КА. Аккредитация должна стан- дартизовать действия сотруд- ников центров и улучшить взаи- модействие между ними. В силу того что аккредитация несет для владельцев центров ГосСОПКА дополнительные трудовые и финансовые издержки, многие субъекты КИИ негативно восприняли необходимость аккредитации. Однако следует отметить, что нормы Указа Президента РФ от 01.05.2022 г. № 250 не обязы- • 17 Защита аСУ тП и IOT www.itsec.ru 3 См. пункт 1 Указа Президента РФ от 01.05.2022 № 250.

RkJQdWJsaXNoZXIy Mzk4NzYw