Дождался юбилейного 50-го ответившего в мини-опросе по выполнению требований 187-ФЗ и, как и обещал, прокомментирую его результаты.

1. Стадия реализации требований 187-ФЗ.

Отсутствие чётко установленного срока, к которому организация должна выполнить первый шаг из всей цепочки шагов по реализации требований закона (речь про составление Перечня объектов, подлежащих категорированию), понятным образом влияет на общую ситуацию: больше половины принявших участие в опросе пока даже не приступили к Категорированию.

По состоянию на 20 сентября 2018 года ФСТЭК говорила о 482 субъектах КИИ, приславших свои Перечни, что в масштабах страны - капля в море.

Статистика от ФСТЭК на 20 сентября 2018 года

Тем не менее, процесс уже пошёл и, вероятнее всего, ещё даже до введения жёстких сроков и установления ответственности за их несоблюдение, число приступивших к реализации требований 187-ФЗ (хотя бы в части проведения Категорирования) будет продолжать расти.

2. Реальность выполнения Категорирования силами  самой организации

Согласен с большинством, что организация вполне способна справиться с задачей Категорирования самостоятельно. С тем количеством статей, вебинаров, постов в блогах, наконец, учебных курсов, которые уже доступны и которые, естественно, будут продолжать появляться, разобраться в процессе Категорирования вполне реально.

Тем более, что Постановление Правительства №127, вообще-то, обязанность по Категорированию возлагает непосредственно на Субъекта КИИ:

Категорирование - обязанность субъекта КИИ

Так что любой привлечённый внешний консультант может только помочь, но непосредственно отвечает как за процесс, так и за его результаты только Субъект.

Вместе с тем, в случае наличия необходимости сбора и анализа информации (исходных данных) для существенного количества объектов КИИ внешний подрядчик может оказаться очень даже к месту. Опять же, опыт, который те же интеграторы уже получили, выполняя похожие проекты, позволит процесс ускорить, не останавливаясь на каждом спорном вопросе (а их по новому пулу нормативно-правовых актов, понятно, не мало). Но консультант/интегратор в любом случае может только посоветовать выбрать тот или иной подход (например, в вопросе учёта реализованных компенсирующих мер при оценке масштаба возможных последствий в случае возникновения компьютерных инцидентов), а выбор итогового варианта всё равно остаётся за Субъектом КИИ.

Для желающих пойти по пути привлечения стороннего исполнителя сделал подборку примеров технических заданий из опубликованных конкурсов по категорированию КИИ: https://forum.zlonov.ru/t/primery-tz-na-kategorirovanie-obektov-kii/399 Подборка дополнена рекомендуемым шаблоном от УЦСБ.

3. Какие средства защиты информации можно использовать на значимых объектах КИИ?

Распределение голосов получилось любопытным. Правильный же ответ на этот вопрос содержится в пункте 28 Приказа ФСТЭК №239 от 25.12.2017:

Средства защиты информации для обеспечения безопасности ЗО КИИ.png

Впрочем, на практике действительно бывает проще взять уже сертифицированное ФСТЭК решение, чем заниматься разработкой программ испытаний (приёмки). Ну, а перекос в ответах в пользу отечественных решений тоже понятен - они, как правило, имеют сертификаты с более высокими классами защиты.

4. Какие средства защиты информации можно использовать на значимых объектах КИИ?

С ГосСОПКА ситуация проще и сложнее одновременно. Проще - потому что на рынке уже есть компании, предлагающие услуги подключения, а само подключение, согласно опубликованным приказам ФСБ, не является обязательным:

Подключение к ГосСОПКА не обязательно

Сложнее же - по той причине, что ещё трёх приказов ФСБ всё ещё нет, а также потому, что как реализовать непрерывное взаимодействие с ГосСОПКА с помощью почтовой или факсимильной связью для сколько-нибудь крупного Субъекта КИИ - не особо понятно.


Сбор ответов в данном опросе закрыт. Любопытно будет вернуться и повторить его, например, через год. Добавлю-ка задачу в свой ToDo-лист.