1. Убрали в пункте 12 требования к уровню образования специалистов безопасности Субъекта. Так же удалили требование о повышение квалификации этих специалистов каждые 5 лет. Это приведет к очень простому результату: невыполнение требований по обеспечению безопасности значимых объектов. ФСТЭК пишет свои методические документы, исходя из того, что исполнять их на местах будут квалифицированные специалисты по ИБ. А некому их будет выполнять на местах. Убрав норму в Приказе, ФСТЭК убрал законное обоснование на выделение денег из бюджета Субъекта. Назначит Субъект того работника, кто есть под рукой. А обучить ИБ и поддерживать квалификацию – нет оснований для траты бюджетных денег. И консалтингом не воспользоваться –не пропустят финансисты договор на консалтинг, при наличии своего штатного ответственного специалиста за ИБ.
2. Убрали «штатных специалистов ИБ», теперь просто «специалисты»
3. Пропала ответственность у внешних подрядчиков. Убрали «В договорах должна быть предусмотрена обязанность привлекаемых организаций обеспечивать соблюдение требований субъекта критической информационной инфраструктуры, установленных организационно-распорядительными документами по безопасности значимых объектов, в той части, в которой они были ознакомлены.».
Такое ощущение, что все эти изменения направлены в пользу лицензиатов ТЗКИ. Создать условия, когда Субъекты самостоятельно не смогут выполнить, а с лицензиатов снимается вся ответственность при проверках регулятора. Отвечает то за все –Субъект.
4. п.9 Теперь масштаб и сложность значимых объектов не влияет на состав и структуру системы безопасности при создании, только количество объектов учитывается.
5. Неграмотные формулировки:
5.1. «п.3 Системы безопасности создаются в отношении всех значимых объектов критической информационной инфраструктуры субъектов критической информационной инфраструктуры. По решению субъекта критической информационной инфраструктуры для одного или группы значимых объектов критической информационной инфраструктуры могут создаваться отдельные системы безопасности.» - это как понимать? Субъект создает на каждый значимый объект систему безопасности, а потом на него же создает еще и отдельную систему безопасности? Подозреваю, что речь то идет о возможности создания отдельной системы безопасности на группу объектов, а не на каждый в отдельности.
5.2. «п.30 В план мероприятий включаются мероприятия по обеспечению функционирования системы безопасности, а также организационные и технические мероприятия по обеспечению безопасности значимых объектов критической информационной инфраструктуры, направленные на решение задач, установленных пунктом 6 настоящих Требований» - два раза что ли выполнять организационные и технические мероприятия? Смотрим определение «система безопасности» в п.2.
5.3. п.34 Оказывается, что реализация мероприятий – это результат выполнения плана. Всегда думал, что выполнение плана – это реализация мероприятий в заданные сроки, а результатом выполнения плана будет достижение целевых показателей. В данном случае, это «устойчивое функционирование при проведении в отношении ее компьютерных атак», а не «блокирование (нейтрализация) угроз безопасности информации».
5.4. п.37 Совершенствуют безопасность значимых объектов. Как можно совершенствовать безопасность не представляю, видимо речь, все-таки шла, об совершенствовании систем безопасности значимых объектов.
6. В п.32 контроль за выполнением плана мероприятий возложен на то же подразделение, которое его разработало, да и реализовывать будет оно же в основном. А как же независимость аудита? В п.33 предусмотрено включение этого плана в общий план деятельности Субъекта отдельным разделом, а кто, в таком случае должен контролировать его выполнение?
2. Убрали «штатных специалистов ИБ», теперь просто «специалисты»
3. Пропала ответственность у внешних подрядчиков. Убрали «В договорах должна быть предусмотрена обязанность привлекаемых организаций обеспечивать соблюдение требований субъекта критической информационной инфраструктуры, установленных организационно-распорядительными документами по безопасности значимых объектов, в той части, в которой они были ознакомлены.».
Такое ощущение, что все эти изменения направлены в пользу лицензиатов ТЗКИ. Создать условия, когда Субъекты самостоятельно не смогут выполнить, а с лицензиатов снимается вся ответственность при проверках регулятора. Отвечает то за все –Субъект.
4. п.9 Теперь масштаб и сложность значимых объектов не влияет на состав и структуру системы безопасности при создании, только количество объектов учитывается.
5. Неграмотные формулировки:
5.1. «п.3 Системы безопасности создаются в отношении всех значимых объектов критической информационной инфраструктуры субъектов критической информационной инфраструктуры. По решению субъекта критической информационной инфраструктуры для одного или группы значимых объектов критической информационной инфраструктуры могут создаваться отдельные системы безопасности.» - это как понимать? Субъект создает на каждый значимый объект систему безопасности, а потом на него же создает еще и отдельную систему безопасности? Подозреваю, что речь то идет о возможности создания отдельной системы безопасности на группу объектов, а не на каждый в отдельности.
5.2. «п.30 В план мероприятий включаются мероприятия по обеспечению функционирования системы безопасности, а также организационные и технические мероприятия по обеспечению безопасности значимых объектов критической информационной инфраструктуры, направленные на решение задач, установленных пунктом 6 настоящих Требований» - два раза что ли выполнять организационные и технические мероприятия? Смотрим определение «система безопасности» в п.2.
5.3. п.34 Оказывается, что реализация мероприятий – это результат выполнения плана. Всегда думал, что выполнение плана – это реализация мероприятий в заданные сроки, а результатом выполнения плана будет достижение целевых показателей. В данном случае, это «устойчивое функционирование при проведении в отношении ее компьютерных атак», а не «блокирование (нейтрализация) угроз безопасности информации».
5.4. п.37 Совершенствуют безопасность значимых объектов. Как можно совершенствовать безопасность не представляю, видимо речь, все-таки шла, об совершенствовании систем безопасности значимых объектов.
6. В п.32 контроль за выполнением плана мероприятий возложен на то же подразделение, которое его разработало, да и реализовывать будет оно же в основном. А как же независимость аудита? В п.33 предусмотрено включение этого плана в общий план деятельности Субъекта отдельным разделом, а кто, в таком случае должен контролировать его выполнение?
Радует, что выполнять его предстоит через год минимум. Надеюсь, что к этому времени, позиция у регулятора уже утрясется и будет однозначно озвучена.
Комментариев нет:
Отправить комментарий