Если вы разрабатываете ИТ-решение для банка, телеком-оператора, энергетики или госсектора, будьте готовы к неприятному сюрпризу:
Ваша система может оказаться частью объекта КИИ. В таких случаях автоматически накладывается ряд жестких требований по информационной безопасности.
Вместо базовых мер защиты вас ждет полноценный комплекс мероприятий в соответствии с 187-ФЗ, приказами ФСТЭК, категорированию, моделям угроз, журналированию, резервированию и прочей «взрослой» ИБ. И важно понимать, что это не рекомендации, а обязательные к исполнению нормы.
Ключевые меры, которые придется реализовать:
• категорирование — обязательное определение степени значимости объекта КИИ;
• модель угроз — разработка и актуализация под реальные риски;
• журналирование — фиксация всех событий безопасности для расследования инцидентов;
• резервирование — обеспечение отказоустойчивости на всех уровнях;
• регламентированное взаимодействие с ГосСОПКА и НКЦКИ по инцидентам.
• защищенная архитектура — встроенные, а не “накрученные сверху” механизмы безопасности.
Типовые ошибки из-за которых проекты сталкиваются с проблемами:
• архитектура проектируется без учета категории КИИ;
• меры безопасности не закладываются в ТЗ и проект с самого начала;
• ответственность за ИБ не закреплена официально.
Сегодня в нашей адвент-программе мы приложили чек-лист по КИИ: оцените перспективы вашего проекта и поймете тянет ли он на ОКИИ или нет, и что именно потребуется сделать.
👥 Включайте уведомления, зовите команду и не пропустите живую дискуссию о КИИ!
Вебинар, который состоится уже в эту пятницу, 12 декабря, соберет все материалы адвента недели, включая чек-лист по КИИ.
Там вы сможете сверить свои проекты с требованиями регулятора и подготовиться к проверкам 👨💻
Документы к нашему адвенту ищите здесь.
