Закон о КИИ вступил в силу: проблемы исполнения

Дата публикации: 3 февраля 2018

Вадим Владимирович Петров
Ведущий эксперт по защите информации

119

Уже месяц в России действует закон об обеспечении безопасности объектов КИИ. Несмотря на то, что уже год идут бурные обсуждения этого закона и активная разработка подзаконных актов, конкретики по-прежнему нет. Ранее мы писали о проблемах реализации закона о безопасности критической информации. До сегодняшнего дня они не решены.

На форуме по инфорбезопасности представитель ФСТЭК пояснил, что сегодня разрабатываются 18 подзаконных актов, регламентирующих порядок исполнения и контроля над реализацией требований закона, один из основополагающих уже направлен на рассмотрение в Правительство РФ — в случае его принятия начнётся отнесение объектов к КИИ и установление над ними государственного контроля в сфере обеспечения безопасности информации.

Проблемы исполнения закона о КИИ

Несмотря на то, что разъяснений и практических рекомендаций ещё нет, замглавы ФСТЭК призвал специалистов по информбезопасности уже сейчас начинать работать над реализацией требований закона. Начть предлагают с категорирования объектов, используя Требования по безопасности и Требования к системам обеспечения информационной безопасности на объектах КИИ, разработанные ФСТЭК. Несмотря на то, что данные акты существуют ещё в виде проектов, не приняты и не вступили в силу, именно на них призывает опираться регулятор. Отнесение объекта к той или иной категории, определение значимости систем и оценку обеспечения безопасности передали в ведение владельца объекта.

Специалисты и владельцы объектов озадачены: закон нужно выполнять, но как и что именно нужно делать — никто не знает. Рекомендации, на которые ссылается ФСТЭК, имеют довольно «рамочный» характер и могут несколько раз измениться до принятия их за основу работы. Неясно также, какие именно субъекты подпадают под действие закона о КИИ и как это определить. Понятно, что в первую очередь требования о повышенной защите ИС относятся к государственным предприятиям, однако при буквальном толковании текста закона его действие может распространиться, например, и на фирмы с лицензией ФСБ, работающие с государственной тайной как подрядчики.

Если допустить автоматическое распространение обязанностей, предусмотренных законом о КИИ, на частный бизнес, их исполнение может оказаться неподъёмным: не каждая фирма имеет собственный отдел информационной безопасности, а значит, новые работы придётся отдать на аутсорс. Кроме того, постоянный контроль со стороны ФСТЭК, оперативное уведомление об уязвимостях и кибератаках вынуждают нести дополнительные затраты на оборудование, программное обеспечение, тратить время и, возможно, расширять штат для найма специалистов по ИБ.

Учитывая рост киберпреступности и количества хакерских атак, защита от них особо важных информационных систем становится первоочередной задачей государства. Конечно, эта работа потребует значительных финансовых вложений и усилий со стороны как госкомпаний, так и бизнеса. В итоге создание информационного «щита» сохранит критически важные ИС.

Контрольные мероприятия со стороны регулятора планируются лишь через 3 года. За это время специалисты надеются получить утверждённые подзаконные акты, регламентирующие действия субъектов КИИ и порядок контроля со стороны ФСТЭК.

Есть вопросы о получении лицензии ФСБ на гостайну? Спросите специалиста, это бесплатно. Звоните!

Нужна косультация по лицензированию ФСБ?

Проконсультироваться