На конференции BIS Summit 2022 генеральный директор Центра компетенций по импортозамещению в сфере ИКТ Илья Массух предложил возложить категорирование объектов критической информационной инфраструктуры с собственников на регуляторов или отраслевые ассоциации. Это, по его мнению, позволит устранить существующий конфликт интересов.
© ComNews
27.09.2022

В ходе дискуссии на конференции BIS Summit ряд участников обратили внимание, что в законодательстве по защите объектов критической информационной инфраструктуры (КИИ) заложен конфликт интересов. К примеру, генеральный директор Центра компетенций по импортозамещению в сфере ИКТ Илья Массух отметил, что в нынешней редакции закона 187-ФЗ задача по категорированию объектов возложена на собственников, которые прямо заинтересованы, чтобы целый ряд ключевых информационных систем не были отнесены к КИИ, поскольку их защита обойдется дороже, чем возможный ущерб. Он привел примеры, как не были категорированы средства проектирования в компании-застройщике или системы биллинга (но тут характер деятельности компании назван не был). Илья Массух предложил возложить задачи категорирования на регуляторов или отраслевые сообщества. Также он рекомендовал разработать перечень систем, которые автоматически следует относить к объектам КИИ.

Заместитель директора по развитию бизнеса Solar JSOC "РТК-Солар" Павел Гончаров напоминает, что такие предложения высказывались и ранее: "Например, предлагалось создавать отраслевые CERT (Центр реагирования на киберинциденты) и отраслевые центры ГосСОПКА на базе профильных министерств. В руках таких центров могла быть сосредоточена информация о существующих в отрасли объектах критической инфраструктуры, и они могли бы давать объективную оценку в рамках категорирования. Такие центры могли бы также координировать действия отрасли при реагировании на компьютерные инциденты. В целом ФСТЭК уже давно публично говорит о сложностях процесса категорирования объектов КИИ - в частности, о занижении категории при оценке. К тому же, несмотря на то что владельцы КИИ должны были завершить процесс категорирования еще в 2020 г., часть компаний, даже из госсектора, до сих пор этого не сделали".

Советник генерального директора Positive Technologies Артем Сычев согласен, что данная проблема известна и понятна специалистам по информационной безопасности. При этом, по его мнению, перекладывать задачу по категорированию на регуляторов в корне неправильно, поскольку регулятор не может, да и не должен знать в деталях все особенности инфраструктуры поднадзорных организаций. По мнению Артема Сычева, целесообразно возложить на отраслевых регуляторов контроль адекватности результатов категорирования с точки зрения угроз, которые характерны для каждой из отраслей.

Заместитель директора ФСТЭК Виталий Лютиков предостерег от разработки перечня систем, которые включались бы в разряд КИИ. Их будут просто называть так, чтобы они не совпадали с теми, которые будут содержаться в таком списке. Также, по мнению Виталия Лютикова, велик элемент субъективизма: руководители субъекта могут заявить, что от функционирования таких систем не будет зависеть работа всей компании. А регуляторы, по оценке заместителя руководителя ФСТЭК, и так перегружены.

По мнению ведущего блога "Бизнес без опасности" Алексея Лукацкого, указ №250 предлагает именно спросить у бизнеса, что важно для него, а потом уже транслировать это на область ИБ: "Необходимо не просто составить перечень угроз, опираясь на какой-либо каталог или воображение и опыт, а сначала узнать у бизнеса, что с его точки зрения может нанести ему значительный ущерб. Именно значительный, а не вообще любой".

Но при этом Виталий Лютиков анонсировал существенные изменения в порядке категорирования объектов: "Есть некоторые новые поручения по внесению изменений в ст.2 187-ФЗ. Они будут касаться категорирования объектов. Сроки озвучивать не буду пока, чтобы никого не смущать из коллег".

Новости из связанных рубрик