Журнал "Information Security/ Информационная безопасность" #6, 2020

Напомню что с 1 января 2021 г. всту- пает в силу требование об образовании сил обеспечения безопасности КИИ, а именно ответственных за обеспечение безопасности. Напомню также, что со следующего года начинается госконт- роль, и представители ФСТЭК России будут ездить на объекты КИИ. А в Гос- думе сейчас рассматривается законо- проект изменений в КОАП в части пра- вонарушений за несоблюдение норм законодательства в области обеспечения безопасности КИИ. – Вы упомянули о плановых и внеплановых проверках. Будет ли опубликован график таких проверок? – План проверок в области обеспече- ния безопасности закрытый, поэтому опубликован он не будет. Но в соответ- ствии с законодательством всем субъ- ектам, подпадающим под госконтроль в следующем году, до 1 января 2021 г. мы направим соответствующее уведомле- ние. – А как будут проходить вне- плановые проверки? – Внеплановые проверки будут прохо- дить в случае поступления обращения в ФСТЭК о произошедшем компьютер- ном инциденте. Если время позволяет, то мы заранее посылаем приказ субъекту КИИ, если нет, то ознакомим с приказом уже на месте. – Правильно ли считать, что ФСТЭК выступает против найма подрядных организаций в рамках процессов обеспечения безопас- ности КИИ? – Мы не приветствуем привлечение подрядных организаций для категори- рования, но для реализации мер обес- печения безопасности это вполне допу- стимо. – Но позиция ФСТЭК ведь не исключает использование кон- сультантов, то есть внешней ком- петенциии, и речь идет именно об ответственности за документ и об использовании внутренней экспертизы самого владельца КИИ? – Дело не только в ответственности. Субъекту КИИ в процессе выполнения требований 187-ФЗ необходимо оцени- вать свои информационные ресурсы, свои бизнес-процессы, и мы считаем, что лучше, чем сам субъект КИИ, в этом никто не разберется. Все эти сведения нужно сопоставить, и потом уже присту- пать к оценке возможных последствий, в этом лучше, чем субъект КИИ, тоже никто не разбирается. Существуют отраслевые методички в части выпол- нения норм закона, вот они и есть луч- шие консультанты. – Есть ряд вопросов о разгра- ничении ответственности. Стано- вятся ли контрагенты предприя- тия ВПК, выполняющие совмест- ные контракты в рамках гособо- ронзаказа, субъектами КИИ? Если да, то на какой срок? – При определении субъектов КИИ, которые осуществляют деятельность сфере оборонной промышленности, мы ориентируемся на перечень, утвержден- ный Минпромторгом. Если организация входит в состав этого перечня, то мы с ней работаем, более того, мы с ней уже поработали. Если же речь идет просто о подрядчике, который, скажем, привезет бетон или поставит дисплеи для общего использо- вания, то мы не считаем, что эта органи- зация осуществляет деятельность в сфере оборонной промышленности. – Как субъект КИИ, владелец ЗОКИИ должен определять тре- бования к сторонним организа- циям, пользователям ЗОКИИ? Достаточно ли указать категорию значимости? Или нужно указать конкретные меры защиты, кото- рые должны выполняться поль- зователями? Или необходимо ука- зывать актуальные угрозы, кото- рые должны быть нейтрализова- ны на стороне пользователей? – Нужно действовать в зависимости от ситуации. Но в любом случае ответ- ственность лежит на субъекте КИИ, которому объект принадлежит на закон- ном основании. И именно от субъекта КИИ мы будем требовать выполнение всех необходимых мер. Кем эти меры должны быть непосредственно реали- зованы, это уже второй вопрос. Но важно, чтобы меры были реализованы. Субъект КИИ вправе для этого заклю- чать договоры, распределять ответ- ственность, разграничивать обязанно- сти. Но, повторюсь, важно, чтобы без- опасность объекта КИИ была обес- печена. – При категорировании ОКИИ учитывается только ущерб феде- ральному бюджету? Или также и региональным бюджетам и вне- бюджетным фондам, например, ПФР? – В показателе написано: "ущерб бюд- жетам Российской Федерации" к кото- рым относятся и региональные, и иные бюджеты. 22 • СПЕЦПРОЕКТ Ответы на актуальные вопросы о безопасности объектов КИИ ервая заповедь ИБ гласит, что общая защищенность системы равняется защищенности наименее защищенной ее части. Как правило, наименее защищенной частью является человек – обычно это работник, который взаимодействует с системой, но иногда даже безопасник. Поэтому всем нам надо быть крайне внимательными и помогать друг другу. П Алексей Кубарев, заместитель начальника управления ФСТЭК России