Нюансы требований 187-ФЗ: итоги опроса (теперь с комментариями)
Данный пост перенесён автоматически с предыдущего варианта сайта. Возможны артефакты. Если информация этого поста важна для вас, свяжитесь со мной для получения полного содержимого.
Дождался юбилейного 50-го ответившего в мини-опросе по выполнению требований 187-ФЗ и, как и обещал, прокомментирую его результаты.
1. Стадия реализации требований 187-ФЗ.
Отсутствие чётко установленного срока, к которому организация должна выполнить первый шаг из всей цепочки шагов по реализации требований закона (речь про составление Перечня объектов, подлежащих категорированию), понятным образом влияет на общую ситуацию: больше половины принявших участие в опросе пока даже не приступили к Категорированию.
По состоянию на 20 сентября 2018 года ФСТЭК говорила о 482 субъектах КИИ, приславших свои Перечни, что в масштабах страны - капля в море.
Тем не менее, процесс уже пошёл и, вероятнее всего, ещё даже до введения жёстких сроков и установления ответственности за их несоблюдение, число приступивших к реализации требований 187-ФЗ (хотя бы в части проведения Категорирования) будет продолжать расти.
2. Реальность выполнения Категорирования силами самой организации
Согласен с большинством, что организация вполне способна справиться с задачей Категорирования самостоятельно. С тем количеством статей, вебинаров, постов в блогах, наконец, учебных курсов, которые уже доступны и которые, естественно, будут продолжать появляться, разобраться в процессе Категорирования вполне реально.
Тем более, что Постановление Правительства №127, вообще-то, обязанность по Категорированию возлагает непосредственно на Субъекта КИИ:
Так что любой привлечённый внешний консультант может только помочь, но непосредственно отвечает как за процесс, так и за его результаты только Субъект.
Вместе с тем, в случае наличия необходимости сбора и анализа информации (исходных данных) для существенного количества объектов КИИ внешний подрядчик может оказаться очень даже к месту. Опять же, опыт, который те же интеграторы уже получили, выполняя похожие проекты, позволит процесс ускорить, не останавливаясь на каждом спорном вопросе (а их по новому пулу нормативно-правовых актов, понятно, не мало). Но консультант/интегратор в любом случае может только посоветовать выбрать тот или иной подход (например, в вопросе учёта реализованных компенсирующих мер при оценке масштаба возможных последствий в случае возникновения компьютерных инцидентов), а выбор итогового варианта всё равно остаётся за Субъектом КИИ.
Для желающих пойти по пути привлечения стороннего исполнителя сделал подборку примеров технических заданий из опубликованных конкурсов по категорированию КИИ: https://rucybersecurity.ru/t/primery-tz-na-kategorirovanie-obektov-kii/399 Подборка дополнена рекомендуемым шаблоном от УЦСБ.
3. Какие средства защиты информации можно использовать на значимых объектах КИИ?
Распределение голосов получилось любопытным. Правильный же ответ на этот вопрос содержится в пункте 28 Приказа ФСТЭК №239 от 25.12.2017:
Впрочем, на практике действительно бывает проще взять уже сертифицированное ФСТЭК решение, чем заниматься разработкой программ испытаний (приёмки). Ну, а перекос в ответах в пользу отечественных решений тоже понятен - они, как правило, имеют сертификаты с более высокими классами защиты.
4. Какой вариант подключения к ГосСОПКА лучше использовать?
С ГосСОПКА ситуация проще и сложнее одновременно. Проще - потому что на рынке уже есть компании, предлагающие услуги подключения, а само подключение, согласно опубликованным приказам ФСБ, не является обязательным:
Сложнее же - по той причине, что ещё трёх приказов ФСБ всё ещё нет, а также потому, что как реализовать непрерывное взаимодействие с ГосСОПКА с помощью почтовой или факсимильной связью для сколько-нибудь крупного Субъекта КИИ - не особо понятно.
Сбор ответов в данном опросе закрыт. Любопытно будет вернуться и повторить его, например, через год. Добавлю-ка задачу в свой ToDo-лист.
Комментарии из Telegram
Комментарии ВКонтакте