У КИИ появились правила
Ассоциация документальной электросвязи (АДЭ) опубликовала методические рекомендации по категорированию объектов критической информационной инфраструктуры (КИИ). Документ разработан на базе материалов от операторов связи и других организаций - членов АДЭ. Методические рекомендации направлены на детализацию и стандартизацию процедуры категорирования объектов КИИ, которая предусмотрена ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" от 26 июля 2017 г. №187-ФЗ.
Рекомендации содержат свод правил, на основе которых операторы должны относить объекты КИИ к различным типам. Опубликованная версия документа согласована ФСТЭК России и 8-м Центром ФСБ России и может использоваться операторскими компаниями связи. При изменении нормативной базы, получении замечаний и предложений по результатам применения методических рекомендаций ассоциация планирует вносить изменения в текст методологии.
Пожелавший остаться неизвестным федеральный чиновник сказал корреспонденту ComNews, что ассоциация, по сути - общественная организация, её рекомендации не имеют юридической силы. "Они де-факто являются общественным договором входящих в неё членов, которые руководствуются понятными коммерческими интересами и продвигают частные технические решения", - добавил он.
"При подготовке документа операторам необходимо было провести аналитическую работу по категорированию объектов. Рекомендации разработаны участниками рынка и в рабочем порядке согласованы с профильными органами. Категорирование является необходимым этапом реализации требований ФЗ-187. Цель методологии - определить критерии и унифицировать процедуру таким образом, чтобы результаты не вызывали вопросов у отраслевых регуляторов. Полагаем, что операторы начнут пользоваться документом, а практика покажет необходимость дальнейшего утверждения исполнительными органами", - сказал представитель пресс-службы Tele2 корреспонденту ComNews.
Представитель пресс-службы ПАО "МегаФон" сказал, что публикуемая версия документа согласована основными регуляторами по ФЗ-187 и может использоваться операторскими компаниями связи. Отраслевой документ необязателен к исполнению, но рекомендованный ФСТЭК и ФСБ к использованию в отрасли связи. "Прежде всего он призван помочь участникам рынка в исполнении ФЗ-187. Это консолидированное видение крупных игроков отрасли на реализацию требований НПА в области обеспечения безопасности КИИ. Рекомендации важны, так как ФЗ-187 и подзаконные акты формулируют общие принципы и меры по обеспечению безопасности КИИ, не вдаваясь в отраслевую специфику. Методика - это попытка применить сформулированные законодателем нормы к конкретной операторской инфраструктуре, она носит сугубо прикладной характер, и в этом ее ценность. Для операторов "большой четверки", безусловно, документ будет основным. Для остальных операторов, надеемся, тоже, так как применение методических рекомендаций будет способствовать единому и понятному информационному полю в процессе взаимодействия операторского сообщества и регуляторов", - прокомментировал представитель пресс-службы "МегаФона".
Представитель пресс-службы ПАО "МТС" сказал, что рекомендации будут использованы операторами связи при категорировании объектов критической информационной инфраструктуры (КИИ) и построения систем безопасности этих объектов. "Представляется, что было бы целесообразнее принять документ в виде нормативного правового акта регулятора. Пока это, по сути, рекомендации. Операторы связи будут сами решать вопрос о возможности применения методики. Работы уже частично проведены. МТС разработала и направила во ФСТЭК России перечень объектов собственной КИИ. В соответствии с планом, к концу 2019 г. мы проведем категорирование этих объектов. Методика позволяет внести определенность и единообразие в подходе к категорированию объектов КИИ операторами связи. Затраты МТС будут понятны после проведения категорирования объектов КИИ", - ответил представитель пресс-службы МТС корреспонденту ComNews.
Представитель пресс-службы "Акадо Телеком" сказал корреспонденту ComNews, что инициатива разработать рекомендации правильная и своевременная. "Но, вероятнее всего, документ нужно будет корректировать в соответствии с изменениями нормативно-правовых актов в части КИИ. Кроме того, на наш взгляд, рекомендации ориентированы больше на операторов мобильных, чем фиксированных сетей связи. Поэтому в их разработке мы не участвовали. При категорировании объектов КИИ наша компания руководствуется постановлением правительства №127 и приказами ФСТЭК", - уточнил представитель пресс-службы "Акадо Телеком".
В Министерстве цифрового развития, связи и массовых коммуникаций про эту инициативу Ассоциации документальной электросвязи знают, но не согласовывали документ. "В случае необходимости Минкомсвязь выпустит свои рекомендации, согласованные с регуляторами", - ответил представитель пресс-службы ведомства.
В АО "Эр-Телеком Холдинг", числящемся в организациях - членах АДЭ, отказались от комментариев. ПАО "Ростелеком", также значащееся на сайте как член ассоциации, не предоставило комментария.
Закон о безопасности КИИ (187-ФЗ), предусматривающий подключение этих объектов к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), вступил в силу 1 января 2018 г.
По закону владельцы таких объектов обязаны соблюдать требования к безопасности, при этом, как указывала Федеральная служба по техническому и экспортному контролю (ФСТЭК) в обосновании законопроекта, ответственности за несоблюдение этой нормы нет, если оно не повлекло неправомерного воздействия на КИИ.
С 2020 г. ФСТЭК планирует ввести административную ответственность за несоблюдение требований к безопасности объектов КИИ.