Rambler's Top100
Все новости Новости отрасли

Защите от кибератак не хватает подзаконных актов

19 января 2018

Закон «О критической информационной инфраструктуре» (КИИ), вступивший в силу 1 января 2018 года, полноценно пока не заработал. Причина - в отсутствии подзаконных актов.

Принятие закона потребовало внесения изменений в действующие правовые акты и разработки еще около 20 новых нормативных документов, пояснил в разговоре с "Коммерсантом" специалист по информационной безопасности Group-IB Сергей Золотухин. Часть документов уже принята, а ряд проектов еще находится в финальной стадии подготовки, говорит руководитель операционного направления центра мониторинга и реагирования на кибератаки Solar JSOC Антон Юдаков. Среди них — документы, касающиеся категорирования, требований к защите и контролю безопасности объектов критической информационной инфраструктуры (КИИ). Они окажут большое влияние на отрасль, поэтому тщательность проработки должна превалировать над затраченным временем, считает господин Юдаков.

По данным портала regulation.gov.ru, на рассмотрении находится проект постановления правительства о порядке госконтроля за обеспечением безопасности значимых объектов КИИ, разработанный Федеральной службой по техническому и экспортному контролю (ФСТЭК). В нем указано, что госконтроль осуществляется путем плановых и внеплановых выездных проверок со сроками проведения до 20 и 10 рабочих дней соответственно. О плановой проверке субъект КИИ уведомляется не позднее чем за три рабочих дня, о внеплановой — за 24 часа.

Торгово-промышленная палата (ТПП) РФ предлагала скорректировать сроки проведения плановой проверки и уведомлений о внеплановой, следует из ее отзыва к проекту. Цель — уменьшить влияние этих процедур на значимые объекты КИИ, поясняет “Ъ” вице-президент ТПП Максим Фатеев. Уведомления о внеплановой проверке за 24 часа может оказаться недостаточно для подготовительных мероприятий и корректировки внутренних процессов с целью высвобождения ресурсов, необходимых для сопровождения проверки, констатирует он. Но разработчик не учел эти предложения, указано в сводке поступивших предложений.

Можно ожидать появления в разработке и новых документов, прежде всего в направлении предупреждения атак, а также более широкого использования существующей на рынке экспертизы в рамках государственно-частных партнерств, говорит господин Золотухин. В части обнаружения и ликвидации компьютерных атак на уровне государства уже наработан опыт, а вот в части предупреждения «предстоит сделать еще очень многое», поясняет он.

Источник: КоммерсантЪ

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.