По информации ФСТЭК, к объектам КИИ относятся информационные системы, обеспечивающие управление важными процессами. Проект затрагивает безопасность ключевых отраслей: здравоохранения, науки, транспорта, связи, банковской сферы, промышленности и других. В нем систематизированы критерии значимости для IT-систем, сетей и автоматизированных систем управления. Постановление вступит в силу с 1 сентября этого года.
"Сама инициатива - шаг в сторону унификации подходов к обеспечению безопасности объектов КИИ. Раньше существовали определенные правила, но их часто трактовали по-разному. Когда надзорные органы выпускают конкретные рекомендации, требования и стандарты, это значительно упрощает ситуацию", - отмечает директор департамента реализации инфраструктурных проектов "Софтлайн Решения" (ГК Softline) Виталий Попов.
Эксперт добавляет, что к положительным сторонам проекта можно отнести стандартизацию процессов, более понятное категорирование объектов, а также наличие четких чек-листов, по которым можно определить, является ли тот или иной объект к КИИ.
Появление типовых перечней и упрощение процесса категорирования позволит более четко выделять объекты КИИ и правильно их защищать. Это особенно важно для небольших и средних компаний, а также для региональных организаций, у которых нет больших бюджетов на привлечение внешних консультантов или развитие собственных компетенций в этой области.
"Система защиты будет более контролируемой и объективной. Оценка рисков станет прозрачнее, что повысит общий уровень безопасности критической инфраструктуры. В целом - очень нужная и конструктивная инициатива. Ранее собственники объектов искусственно занижали категории значимости, что мешало обеспечить реальную защищенность. Новый подход ФСТЭК - это способ навести порядок", - рассказал заведующий кафедрой защиты информации МФТИ, научный руководитель ОКБ САПР Валерий Конявский.
В ГК Softline отмечают, что у такой инициативы могут быть и минусы: если подход к реализации будет излишне жестким, типовые перечни могут лишить систему гибкости. В некоторых случаях возможен формальный подход, когда важные объекты не будут включены в перечень и, соответственно, не будут защищаться должным образом. Или, наоборот - объекты, которые не являются критическими, по формальному признаку будут отнесены к КИИ.
"Крайне важно, чтобы типовые перечни имели актуальный жизненный цикл - их необходимо регулярно обновлять и пересматривать с учетом изменений в отраслях и технологиях. За этим процессом кто-то должен постоянно следить", - добавляет Виталий Попов.
Руководитель группы аналитики L1 GSOC "Газинформсервис" Андрей Жданухин указывает, что, если взглянуть на проект через "призму" ИБ-специалиста, стандартизация поможет выстроить более системную защиту КИИ, так как угрозы для типовых объектов уже изучены. Но при этом слишком жесткая регламентация может ограничить гибкость в адаптации защиты под конкретные риски.
"Инициатива ФСТЭК полезна для систематизации защиты КИИ, но ее успех зависит от гибкости и актуальности перечней. А бизнесу стоит активнее участвовать в обсуждении, чтобы избежать избыточного регулирования", - отметил эксперт.