вторник, 16 октября 2018 г.

Подсказки по выполнению 187-ФЗ. Начало.


       Время, отведенное организациям на выполнение требований 187-ФЗ истекает, решил сделать цикл заметок в помощь потенциальным субъектам КИИ.

      Важно: Данные материалы отражают мою личную позицию и требуют обязательного критического отношения при их рассмотрении. Любое конструктивное обсуждение, предложения и замечания строго приветствуются.

       Часть.1 Самоидентификация.

      Как уже не раз отмечалось ранее, в 187-ФЗ термины "объект КИИ" и "субъект КИИ", определены так, что практически все организации в стране вынуждены предпринимать действия по принятию решения о наличии/отсутствии у себя на законных основаниях объектов КИИ.

среда, 10 октября 2018 г.

Прогноз ФСТЭК по количеству объектов КИИ


    Для публичного обсуждения размещен проект Указа Президента РФ
http://regulation.gov.ru/projects#npa=84500
    Для нас интересен не сам текст Указа, а пояснительная записка к нему:
1. "Это вызвано увеличением по мере реализации Федерального закона количества объектов критической информационной инфраструктуры (в первом полугодии 2018 г. – 4200 объектов, во втором полугодии 2018 г. – 20 524 объектов, в 2019 году – более 25 000 объектов)."
    То есть, по прогнозу ФСТЭК, в стране ожидается около 25 000 объектов КИИ, по которым будут поданы формы уведомления о результатах категорирования. Значимых объектов, попадающих в Реестр будет значительно меньше.
    Еще интересно, что цифра в 20 254 объектов уже фигурирует в сентябрьских презентациях Кубарева А.В. И дали ее всего 482 субъекта КИИ. Получается, что ФСТЭК считает, что основная масса субъектов КИИ уже отчиталась. Тут правда можно сказать, что указано "более 25 000" и объектов в 2019 году может быть и 40 000 и 100 000.
2. Думаю, что будет создано новое управление по теме КИИ, больно уж численность большая персонала для существующего 5 отдела 2 управления (предлагается 35 сотрудников в ЦА и по 18 человек в округах).Серьезных успех для ФСТЭК, в случае подписания Указа.
"предполагается создание в ФСТЭК России и ее территориальных органах отдельных структурных подразделений, в связи с чем предлагается штатную численность центрального аппарата ФСТЭК России увеличить на 35 единиц, а территориальных органов ФСТЭК России – на 126 единиц."
   Правда непонятно, а зачем такая плотность надзора за субъектами КИИ. Количество сотрудников ФСТЭК будет примерно соответствовать количеству субъектов КИИ с значимыми объектами. По персональному куратору от ФСТЭК на каждую организацию?

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.


** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

понедельник, 8 октября 2018 г.

Уникальность 187-ФЗ


   Все чаше слышу от коллег и участников профильных конференций тезис о том, что 187-ФЗ ни чем не отличается от других законов по защите информации. На BISSummit 2018 это прозвучало со сцены, во время 4 панельной сессии.
   На мой взгляд, в 187-ФЗ есть такие "изюминки", которые делают его уникальным для российского законодательства в области ИБ и защиты информации.
1. Активная и наступательная позиция. Не уход в глухую оборону, а агрессивное противодействие компьютерным атакам.

Статья 4. Принципы обеспечения безопасности критической информационной инфраструктуры

Принципами обеспечения безопасности критической информационной инфраструктуры являются:

3) приоритет предотвращения компьютерных атак.

2. Появился объект, для которого нет требований по обеспечению безопасности. Не просто отсутствие мер защиты от ФСТЭК, а вообще нет такой обязанности у субъекта КИИ.
Ст.9 п.2. Субъекты критической информационной инфраструктуры обязаны:
1) незамедлительно информировать о компьютерных инцидентах ...;
2) оказывать содействие должностным лицам федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, в обнаружении, предупреждении и ликвидации последствий компьютерных атак, установлении причин и условий возникновения компьютерных инцидентов;
3. Государство считает, что повседневная деятельность субъекта КИИ по эксплуатации не значимого объекта КИИ представляет более существенную угрозу для страны , чем компьютерные атаки злоумышленников.  4. Антикомплайнс. Парадокс - выполнение требований 187-ФЗ приводит к увеличению рисков привлечения субъекта КИИ к уголовной ответственности. 4.1. Выполнение требований по обеспечению безопасности значимых объектов КИИ  с использованием технических средств приводит увеличению количества устройств, нарушение правил эксплуатации которых приводит к применению Ст.274.1. Более того, ФСТЭК высказывал позицию, что технические средства системы безопасности входят в состав объекта КИИ.4.2. При получении информации от субъекта КИИ о компьютерном инциденте, повлекшем нанесение вреда значимому объекту КИИ, НКЦКИ передаст ее во ФСТЭК, а ФСТЭК придет с внеплановой проверкой к субъекту и зафиксирует, что инцидент произошел по причине нарушения правил эксплуатации, повлекших.... ПП 162 
"20. Основаниями для осуществления внеплановой проверки являются:

б) возникновение компьютерного инцидента на значимом объекте критической информационной инфраструктуры, повлекшего негативные последствия;".Хотел еще добавить пункт о том, что это первый закон не о защите информации, а о защите железо+информация, но документами ФСТЭК все свелось к банальной защите информации. И дальнейшая работа ФСТЭК по приведению мер защиты из 21/17 приказов в соответствие к мерам из 239 это подтверждает. С 31 приказом это уже произошло. Вот здесь  - ничем не отличается уже 187-ФЗ от других законов.
Итог: в 187-ФЗ авторами (ФСБ) заложен очень здравый подход - пассивные меры защиты информации (ФСТЭК) малоэффективны, они всегда запаздывают и выполняются формально (см.Информационное сообщение ФСТЭК России от 2 июля 2017 г. N 240/22/3171). Главное - вовремя выявить подготовку компьютерной атаки, не важно даже кто цель. То есть, задача закона - обеспечить ГосСОПКа максимальной исходной информацией для успешного ПРЕДОТВРАЩЕНИЯ компьютерной атаки. Осталось оценить эффект от реализации...


* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.


** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

понедельник, 1 октября 2018 г.

Итоги ИНФОБЕРЕГ-2018 для субъектов КИИ. Часть 3



    Слайд с презентации УФСТЭК по СФО

    Начало. https://valerykomarov.blogspot.com/2018/09/2018-1.htmlhttps://valerykomarov.blogspot.com/2018/09/2018-2.html

     На Инфобереге выступал с докладом "От КСИИ к КИИ - как меняются требования регуляторов". К сожалению, на обсуждение проблем выполнения 187-ФЗ ушло все время, отведенное регламентом секции. И ключевые моменты перехода от КСИИ к КИИ обсудить не удалось.

четверг, 27 сентября 2018 г.

Регуляторы в сфере безопасности КИИ. Часть 2.


Часть 2. Принуждение к законопослушности

   Когда обсуждается обязательность исполнения 187-ФЗ, а так же ответственность  за его невыполнение и возможные действия государственных органов власти по контролю и принуждению к исполнению, то часто забывают о том, что в России форма правления  - "президентская республика". И в стране выстроена жесткая и беспощадная "вертикаль власти Президента". Рассмотрим как это влияет на жизнь субъекта КИИ.

среда, 26 сентября 2018 г.

понедельник, 24 сентября 2018 г.

Конференции для субъектов КИИ из банков и органов государственной власти. Итоги.


   20 сентября состоялась конференция "Информационная безопасность финансовой сферы" с секцией "Финансовая организация как субъект КИИ. Вопросы выполнения действующего законодательства". Участие приняли представители НКЦКИ и ФСТЭК.

среда, 19 сентября 2018 г.

Оборот "жучков". Что меняется?



   Статья 138.1. Незаконный оборот специальных технических средств, предназначенных для негласного получения информации

Незаконные производство, приобретение и (или) сбыт специальных технических средств, предназначенных для негласного получения информации, -

-  наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо

-  ограничением свободы на срок до четырех лет, либо

-  принудительными работами на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового, либо

-  лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.

понедельник, 17 сентября 2018 г.

Итоги ИНФОБЕРЕГ-2018 для субъектов КИИ. Часть 2.


Начало. https://valerykomarov.blogspot.com/2018/09/2018-1.html

     Начальник 5 отдела 2 управления ФСТЭК России Кубарев А.В. на Инфобереге сделал очень подробный доклад с обзором практики категорирования объектов КИИ.
     Рассмотрим основные моменты:

среда, 12 сентября 2018 г.

Изменился Перечень КИО для лицензиатов ФСТЭК


   В июне 2018 тихо и незаметно ФСТЭК внесла изменения в Перечень контрольно-измерительного и испытательного оборудования, программных (программно-технических) средств, необходимых для выполнения работ и оказания услуг, установленных Положением о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации, утвержденным постановлением Правительства Российской Федерации от 3 марта 2012 г. N 171
 https://fstec.ru/litsenzionnaya-deyatelnost/tekhnicheskaya-zashchita-informatsii/76-inye/1383-perechen-utverzhden-direktorom-fstek-rossii-29-avgusta-2017-g

    Правки в основном косметические:
1. Убрали дублирование требований к эквивалентам сети (раньше упоминались в п.15 и п.27).
2. Убрали требование о наличие «не менее 2 входов» у осциллографов
3. Для комплекта аттенюаторов и нагрузок добавили требования «Длина волны калибровки 850, 1310, 1550. Диапазон измерений оптической мощности от 0 до минус 80 дБ»

* Все новости блога на публичном Telegram-канале  t.me/ruporsecurite