Межблогерский вебинар. Ответы на вопросы.

1 February
177 full reads
7,5 min.
537 story viewsUnique page visitors
177 read the story to the endThat's 33% of the total page views
7,5 minutes — average reading time
Межблогерский вебинар. Ответы на вопросы.

Сергей Борисов и Ксения Щудрова провели 28.01.2021 межблогерский вебинар по итогам трех лет действия 187-ФЗ. По приглашению организаторов принял участие в данном мероприятии.

Запись вебинара можно посмотреть здесь

На вебинаре не успел ответить на все поступившие вопросы, размещаю ответы в данной заметке. Если останутся неразъясненные моменты, то прошу уточнить в комментариях к заметке, либо задать вопрос в телеграм-группе "Дом советов" - ссылка.

1. Алексей Р. Что важнее (критичнее, более основное, более ключевое): КИИ, умершее КСИИ, КВО?

КВО продолжает жить и развиваться в системе МЧС. КСИИ формально никогда не было в законодательстве страны, ФСТЭК не смогла внести необходимые изменения в 149-ФЗ. Лично мне больше импонирует КСИИ КВО, более здравый подход к определению объектов защиты.

2. VVlad Kursk "План реагирования на компьютерные инциденты..." должен быть один на все ЗОКИИ или на каждый?

Приказ ФСБ России от 19.06.2019 N 282 "Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации" косвенно допускает формирование единого плана - "технические характеристики и состав значимых объектов критической информационной инфраструктуры;". Видим что ЗОКИИ указаны в множественном числе. Моя личная позиция - единый план реагирования допускается только для формального выполнения, для "галочки". Либо при наличии однотипных ЗОКИИ, размещенных в одном цеху. Слишком много нюансов и особенностей необходимо отразить в плане реагирования, если его разрабатывать для реальной бумажной безопасности.

3. 1lp1v есть ли уже законодательные барьеры для использования иностранного оборудования/ПО/АСУТП в ЗОКИИ? или пока владелец ЗОКИИ имеет возможность выбирать?

Прямых ограничений нет. Но есть косвенные ограничения- на удаленный доступ к оборудованию, на наличие техподдержки и т.д.

4. TheStebTV С моделью нарушителя тоже вопросы. Какие пути Вы видите при составлении модели нарушителя по КИИ в случае если ЗОКИИ не ИСПДн и не ГИС?

А для ГИС ситуация аналогичная. Законных путей решения нет. Есть прямое ограничение в 239 приказе "Для определения угроз безопасности информации и разработки модели угроз безопасности информации должны применяться методические документы, разработанные и утвержденные ФСТЭК России". Субъект КИИ не может применить проекты методик ФСТЭК - они не утверждены, не может применить свои, даже согласованные с ФСТЭК, - они не разработаны ФСТЭК. Остаются только древние методики ФСТЭК 2008 года, о чем нам ФСТЭК и разъясняет на конференциях. А так, в рабочем порядке договариваетесь с ФСТЭК и применяете. На свой страх и риск, что потом придется переделывать проект системы безопасности ЗОКИИ и прочее.

Слайд с презентации ФСТЭК России
Слайд с презентации ФСТЭК России
Слайд с презентации ФСТЭК России

5. Татьяна К. Проектируется объект кап.строительства и в его рамках будут ЗОКИИ, предварительные категории есть. Какой должна/может быть детализация требований к подрядчику?

В случае если значимый объект создается в рамках объекта капитального строительства, требования к обеспечению безопасности значимого объекта задаются застройщиком и оформляются в виде приложения к заданию на проектирование (реконструкцию) объекта капитального строительства. (239 приказ ФСТЭК).

6. TheStebTV Какие Ваши прогнозы по КИИ через 5-6 лет?

Окончательно превратится в аналог 152-ФЗ. Фактически закон уже выполнил свою задачу: создан НКЦКИ в ФСБ и новое 8 управление в ФСТЭК.

https://valerykomarov.blogspot.com/2019/10/blog-post_9.html

7. TheStebTV Осуществится ли переход на "преимущественно" российское ПО и аппаратуру? Будут ли внесены изменения в законодательство, которые явно утвердят или пояснят, что есть ОКИИ, что нет?

Осуществится. Есть политическое решение Президента РФ о таком переходе. Минцифры и Минпромторг всего-лишь исполнители поручения, не имеющие своей позиции по данному вопросу.

Не будут. ФСТЭК и ФСБ официально указывают в свои ответах на подобные замечания, что считают нецелесообразным внесение каких-либо уточнений терминов и определений в 187-ФЗ. Они считают, что в 187-ФЗ все однозначно указано.

8. николай ма Почему нет на вебинаре представителей интеграторов, которые на этом делают / будут делать "живые" деньги и тем самым будут влиять на развитие / систему взглядом реализации К.И.И. ?

Вопрос к организаторам вебинара. Я приглашенный эксперт и не формирую список участников. Могу только отметить, что большинство серьезных интеграторов делает свои вебинары по 187-ФЗ, а также выступают с докладами на конференциях. Часть из них участвует в рабочих группах ФСТЭК и ФСБ по развитию темы КИИ.

9. TheStebTV Если поправки в КоАП примут, то нас ждет огромная волна административок по теме КИИ?

ФСТЭК заявляла, что основная цель внесения изменений в КоАП - профилактическая, массового применения они не планируют. Думаю, что у ФСТЭК просто нет физически столько ресурсов. Все эти штрафы необходимо оформлять по процедуре, участвовать с судах при обжаловании субъектами КИИ решений ФСТЭК об административном правонарушении. Работники территориальных управлений ФСТЭК просто не готовы к такому. Позиция ФСБ трудно прогнозируется, так как применять КоАП должны будут сотрудники на местах, а нарушаемые приказы в интересах НКЦКИ. Скорее всего, будет самым массовым применение органами прокуратуры. Так как, они уже активно проявили себя в прошлом году. В отличии от ФСТЭК, они более многочисленны и имеют огромный опыт привлечения к административной ответственности. Да и желающих обжаловать действия прокуратуры в суде будет меньше, чем действия ФСТЭК.

Подробно эти проблемы разобраны в заметках блога "Рупор бумажной безопасности"

https://valerykomarov.blogspot.com/2020/01/blog-post_27.html

10. Татьяна К.А планы проверок обещают публиковать? На сколько заранее должны прислать уведомление?

Планы проверок ФСТЭК публиковаться не будут, так как относятся к информации ограниченного доступа. Вся процедура проведения государственного контроля описана в Постановление Правительства РФ от 17.02.2018 N 162 "Об утверждении Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации". Документ открытый и общедоступный.

Ответ замначальника 8 управления ФСТЭК Кубарева А.В. по плану проверок ЗОКИИ

11. Евгений К Интересен пример категорирования ОКИИ с практической стороны... с последовательным алгоритмом применения требований и оформлением соответствующих обязательных документов субъектов при выполнении, возможно в виде практического выполнении подобного задания на легендированном объекте

Этому обычно учат на соответствующих курсах повышения квалификации или учебно-методических сборах. Алгоритмы и шаблоны документов представлены в заметках этого канала, а также описаны в различных методических рекомендациях

12. Евгений К как вы видите проблематику КИИ в разрезе ГосСОПКА

Формально, ГосСОПКА только в КИИ и существует. Основную проблему вижу в отсутствии четкой позиции ФСБ и ФСТЭК к техническим средствам ГосСОПКА. И в отсутствии явной легализации центров ГосСОПКА в законодательстве страны.

Подробно эти проблемы разобраны в заметках блога "Рупор бумажной безопасности"

https://valerykomarov.blogspot.com/2019/11/soc-2019.html

https://valerykomarov.blogspot.com/2019/11/blog-post_25.html

https://valerykomarov.blogspot.com/2019/11/blog-post_18.html

https://valerykomarov.blogspot.com/2019/11/2.html

13. Александр Аникин ЦОД регионального правительства на базе которого функционируют ОКИИ (ИС), является ли ОКИИ?

ЦОД от факта размещения на базе его инфраструктуры ОКИИ не становится ОКИИ.

Подробно эти проблемы разобраны в заметках блога "Рупор бумажной безопасности"

https://valerykomarov.blogspot.com/2020/07/v2.html

14. VVlad Kursk Функция обеспечения безопасности КИИ должно быть возложено на отдельное подразделение или же можно на существующий отдел ИБ?

Возможно на существующий отдел ИБ, но необходимо внести соответствующие изменения в положение об отделе и должностные инструкции и пересмотреть условия оплаты.

15. Евгений К вопрос про наличие лицензии у проектировщика и какой вид работ

Стандартные лицензии ФСТЭК на ТЗКИ на проектирование в защищенном исполнении и ФСБ, при наличии работ с использованием СКЗИ.

16. Lagba Arakchaa Какие имеются общие рекомендации по реализации удаленного доступа для сотрудников к ИС, являющимися ЗОКИИ (в частности, 3 категории), учитывая требования п.31 239-го приказа?

Дополнительно учитывать требования ФСТЭК и НКЦКИ.

17. Алексей Р.1. Может ли быть субъект КИИ без объектов КИИ? 2. Объекты КИИ - это все ИС/ИТС/АСУ субъекта КИИ или нет?

1. Может. Через владение сетей электросвязи, которые не относятся к объектам КИИ.

2. Общепринятая трактовка 187-ФЗ -только ИС/АСУ/ИТКС в 13 сферах. К формальной трактовке = все ИС/АСУ/ИТКС, ФСТЭК перейдет на следующем этапе развития 187-ФЗ. Когда субъекты КИИ смирятся с своей участью. Иначе будет массовый саботаж закона, особенно с учетом требований по импортозамещению. Да и сама ФСТЭК не готова "переварить" такой объем информации сразу. Все впереди.

18. Алексей Р.3. Категорированию подлежат все ОКИИ субъекта КИИ или какие-то определённые? 4. Могут ли у субъекта КИИ существовать ОКИИ, которые не включаются в Перечень ОКИИ, подлежащих категорированию?

3. Ст.7 187-ФЗ не содержит никаких исключений. Категорированию подлежат все ОКИИ.

https://valerykomarov.blogspot.com/2019/06/blog-post.htm

4. Могут. Это ОКИИ, созданные после вступления в силу 187-ФЗ, то есть - после 01.01.2018. Они категорируются на этапе создания и их не требуется вносить в Перечень ОКИИ, подлежащих категорированию.

19. Алексей Р. Что включают в себя меры по обнаружению, предупреждению и ликвидации последствий компьютерных атак, есть ли перечень таких мер?

Для этого необходимо ознакомиться с методическими документами НКЦКИ. Они ограниченного доступа.

20. Алексей Р. Cможет (и будет ли?) ФСБ наказывать ФСТЭК за невыполнение приказа ФСБ № 367, который о предоставлении информации в ГосСОПКА (это про планируемую административную ответственность)?

Нет, ФСТЭК не сможет оформлять правонарушение по такому составу, поскольку в КоАП разделены полномочия ФСТЭК и ФСБ по рассмотрению составов правонарушений проектируемой статьи КоАП.

Но есть такой момент в 239 приказе - "13.5. Реагирование на компьютерные инциденты осуществляется в порядке, установленном в соответствии с пунктом 6 части 4 статьи 6 Федерального закона от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации"." Вот за нарушение требований 282 приказа ФСБ сможет наказывать и ФСТЭК, только оформлять она это будет как невыполнение требований п.13.5 239 приказа ФСТЭК.

https://valerykomarov.blogspot.com/2019/11/blog-post_11.html

21. TheStebTV Как выполнять требования пунктов 29.2 - 29.4 приказа № 239, для приклад ПО. С позиции когда разработчик сам не проводит необходимые испытания и не предоставляет исходные коды для проведения испытаний?

Известна позиция ФСТЭК на такой отказ - субъекту КИИ не надо иметь дело с таким поставщиком.

Я вижу проблему в другой плоскости. Требования ФСТЭК пишутся под нормальные ОКИИ, а не под приборы и готовые изделия. Если вы заказываете создание ИС/АСУ/ИТКС, то получаете исходники разрабатываемого ПО и можете предъявлять требования по подтверждению соответствия требованиям безопасности. А вот как это сделать при покупке готового изделия с встроенным ПО непонятно. И чем дальше, тем острее проблема будет вставать.

22. Татьяна К. Проверять будут только ЗОКИИ? или всех субъектов?

Государственный контроль установлен только для значимых объектов КИИ. Осуществляет государственный контроль ЗОКИИ - ФСТЭК. Общий надзор за исполнением законодательства об обеспечении безопасности КИИ РФ осуществляет прокуратура. Прокуратура может проверять любого субъекта КИИ, вне зависимости от наличия ЗОКИИ.

23. Алексей Р. В каком НПА указано, что субъект это тот, кому принадлежат объекты КИИ? В 187-ФЗ такого нет, в нем указано, что субъект - это тот, кому принадлежит хотя бы одна из ИС/ИТС/АСУ из 13 определенных сфер.

Да, вы все правильно указываете. Но смотрим подзаконные акты к 187-ФЗ и видим однозначную связку типа ОКИИ (ИС/АСУ/ИТКС) и сферы функционирования ОКИИ. Если смотреть в комплексе на все НПА, то можно сделать обобщающий вывод - субъект это тот, кому принадлежат объекты КИИ. Отдельного НПА, указывающего на это, - нет.

24. Andrey Mikhaylov Незначимые объекты КИИ должны взаимодействовать с НКЦКИ?

С НКЦКИ взаимодействуют все субъекты КИИ. Законодательно установлены обязанности для субъекта КИИ взаимодействовать с НКЦКИ для информирования о произошедших компьютерных инцидентах на незначимых ОКИИ.

25. Евгений К Что-то есть актуальное в НПА с точки зрения выполнения мер ЗИ по виртуализации?

Вопрос актуальности требований носит субъективный характер. Все требования по защите информации в среде виртуализации размещены на сайте ФСТЭК.

26. TheStebTV В 235м приказе вступили в силу требования к специалистам по защите ЗОКИИ. Не в рамках рекламы, что посоветуете специалистам: пройти платные курсы повышения квалификации или изучать и задавать вопросы?

Без подтверждения соответствия требованиям к квалификации не обойтись. У специалистов безопасности нет выбора, надо иметь удостоверение о повышении квалификации каждые 5 лет. Другое дело, что они могут быть и бесплатные. Самообразование это не заменяет. Мой совет: изучайте бизнес-процессы и технологические цепочки своих организаций. Голая теория по КИИ ничего не даст. На курсы ИБ лучше идти уже с этими знаниями своей специфики деятельности. Тогда вы сможете выделять нужное в массиве даваемых знаний и задавать конкретные, а главное корректные вопросы преподавателю.

https://valerykomarov.blogspot.com/2019/12/blog-post_13.html

27. николай ма по факту ИБ ЗОКИИ это более глобальный процесс чем ИБ ИСПДн, КТ, ВТ и т.п., применяются теже тех средства ЗИ, также документация, но этот процесс не отменяет требования 152фз и иных НПА. Так?)

Да, так. 187-ФЗ это специальный закон, формально направленный не на защиту информации, а на обеспечение непрерывности бизнес-процессов или по ст.1 ст.187 "в целях ее устойчивого функционирования при проведении в отношении ее компьютерных атак". И это прямо подтверждается в 239 приказе ФСТЭК, когда указывается что для защиты ГТ данный приказ не применяется, а требования для ИСПДн и ГИС действуют параллельно.

P.S. Алексей Лукацкий собирает вопросы для ФСТЭК (Лютиков В.С.) по 187-ФЗ. "17 февраля на Магнитке замдиректора ФСТЭК Виталий Лютиков будет отвечать на самые острые вопросы профессионального сообщества. Если вам есть, что спросить регулятора, то задайте свой вопрос по ссылке , а уже на форуме вопрос будет озвучен регулятору"

* Более подробно эти вопросы рассмотрены в материалах блога "Рупор бумажной безопасности" и телеграм-канале

** Подборка методических и вспомогательных материалов для субъектов КИИ - https://dzen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-bagaj-znanii-5e1e20f5e4fff000adc2aebf

*** Если вы не хотите быть субъектом КИИ - https://dzen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-protivnikam-chlenstva-v-klube-posviascaetsia-5e23304fc05c7100ae88019