Рекомендации содержат свод правил, на основе которых операторы должны относить объекты КИИ к различным типам. Опубликованная версия документа согласована ФСТЭК России и 8-м Центром ФСБ России и может использоваться операторскими компаниями связи. При изменении нормативной базы, получении замечаний и предложений по результатам применения методических рекомендаций ассоциация планирует вносить изменения в текст методологии. Пожелавший остаться неизвестным федеральный чиновник сказал корреспонденту ComNews, что ассоциация, по сути — общественная организация, её рекомендации не имеют юридической силы. «Они де-факто являются общественным договором входящих в неё членов, которые руководствуются понятными коммерческими интересами и продвигают частные технические решения», — добавил он.
«При подготовке документа операторам необходимо было провести аналитическую работу по категорированию объектов. Рекомендации разработаны участниками рынка и в рабочем порядке согласованы с профильными органами. Категорирование является необходимым этапом реализации требований ФЗ-187. Цель методологии — определить критерии и унифицировать процедуру таким образом, чтобы результаты не вызывали вопросов у отраслевых регуляторов. Полагаем, что операторы начнут пользоваться документом, а практика покажет необходимость дальнейшего утверждения исполнительными органами», — сказал представитель пресс-службы Tele2 корреспонденту ComNews.
Представитель пресс-службы ПАО «МегаФон» сказал, что публикуемая версия документа согласована основными регуляторами по ФЗ-187 и может использоваться операторскими компаниями связи. Отраслевой документ необязателен к исполнению, но рекомендованный ФСТЭК и ФСБ к использованию в отрасли связи. «Прежде всего он призван помочь участникам рынка в исполнении ФЗ-187. Это консолидированное видение крупных игроков отрасли на реализацию требований НПА в области обеспечения безопасности КИИ. Рекомендации важны, так как ФЗ-187 и подзаконные акты формулируют общие принципы и меры по обеспечению безопасности КИИ, не вдаваясь в отраслевую специфику. Методика — это попытка применить сформулированные законодателем нормы к конкретной операторской инфраструктуре, она носит сугубо прикладной характер, и в этом ее ценность. Для операторов „большой четверки“, безусловно, документ будет основным. Для остальных операторов, надеемся, тоже, так как применение методических рекомендаций будет способствовать единому и понятному информационному полю в процессе взаимодействия операторского сообщества и регуляторов», — прокомментировал представитель пресс-службы «МегаФона».
Представитель пресс-службы ПАО «МТС» сказал, что рекомендации будут использованы операторами связи при категорировании объектов критической информационной инфраструктуры (КИИ) и построения систем безопасности этих объектов. «Представляется, что было бы целесообразнее принять документ в виде нормативного правового акта регулятора. Пока это, по сути, рекомендации. Операторы связи будут сами решать вопрос о возможности применения методики. Работы уже частично проведены. МТС разработала и направила во ФСТЭК России перечень объектов собственной КИИ. В соответствии с планом, к концу 2019 г. мы проведем категорирование этих объектов. Методика позволяет внести определенность и единообразие в подходе к категорированию объектов КИИ операторами связи. Затраты МТС будут понятны после проведения категорирования объектов КИИ», — сообщили в пресс-службе МТС.
Представитель пресс-службы «Акадо Телеком» сказал корреспонденту ComNews, что инициатива разработать рекомендации правильная и своевременная. «Но, вероятнее всего, документ нужно будет корректировать в соответствии с изменениями нормативно-правовых актов в части КИИ. Кроме того, на наш взгляд, рекомендации ориентированы больше на операторов мобильных, чем фиксированных сетей связи. Поэтому в их разработке мы не участвовали. При категорировании объектов КИИ наша компания руководствуется постановлением правительства № 127 и приказами ФСТЭК», — уточнил представитель пресс-службы «Акадо Телеком».
В Министерстве цифрового развития, связи и массовых коммуникаций про эту инициативу Ассоциации документальной электросвязи знают, но не согласовывали документ. «В случае необходимости Минкомсвязи выпустит свои рекомендации, согласованные с регуляторами», — ответил представитель пресс-службы ведомства. В АО «Эр-Телеком Холдинг», числящемся в организациях — членах АДЭ, отказались от комментариев. ПАО «Ростелеком», также значащееся на сайте как член ассоциации, не предоставило комментария.
Закон о безопасности КИИ (187-ФЗ), предусматривающий подключение этих объектов к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), вступил в силу 1 января 2018 г. По закону владельцы таких объектов обязаны соблюдать требования к безопасности, при этом, как указывала Федеральная служба по техническому и экспортному контролю (ФСТЭК) в обосновании законопроекта, ответственности за несоблюдение этой нормы нет, если оно не повлекло неправомерного воздействия на КИИ. С 2020 г. ФСТЭК планирует ввести административную ответственность за несоблюдение требований к безопасности объектов КИИ.