Страницы

суббота, 10 марта 2018 г.

Впечатления от посещения секции ФСТЭК на ТБ-форуме 2018

     Претензии к организаторам давно известны и не меняются с годами. Я понимаю, что размер помещения не увеличить, но обеспечить вентиляцию вполне реально, так же, как и нормальное озвучивание зала. Было очень душно и плохо слышно.
     Касательно содержательной части секции ФСТЭК:
     1. Понравился уровень докладов Шевцова и Торбенко, Alexey Lukatsky. Остальные докладчики не очень.
     2. Эксперимент с предварительным сбором вопросов и выделение отдельного времени на ответы считаю удачным. Правильным считаю, что Шевцов не предусмотрел в регламенте секции вопросы из зала – был бы базар. При этом, отмечу открытость представителей ФСТЭК к диалогу и ответам на вопросы. Получил возможность задать свои вопросы по КИИ публично и лично.
     3. ФСТЭК планирует выпустить новый перечень мер защиты информации, который потом распространит на 17 и 21 приказ. Обещает 2 квартал 2018 года, но в официальной выписке из плана на 2018 год этого нет. Остается верить на слово. Срок внесения изменений в 17 и 21 приказ не озвучен.
    4. Методические документы по Моделям угроз для КИИ обещают разработать, а пока предлагают «руководствоваться здравым смыслом». Повезло тем, кто имеет документы ФСТЭК по моделированию КСИИ, но они ДСП и не всем доступны. Остальным придется довольствоваться документами ФСТЭК по ИСПДн 2008 года. Дата утверждения моделей по КИИ не анонсирована. В плане на 2018 год так же отсутствуют.
    5. На этапе категорирования модель угроз не требуется, достаточно оценки угроз в «свободной форме». Пока не требуется, во всяком случае.
    6. В приказе 239 не будет приводится таблица соответствий требований 17/21 к категориям КИИ. Специалисты субъекта КИИ должны это самостоятельно делать.
    7. Для ГИС, являющихся значимыми объектами КИИ обязательна аттестация не только на соответствие 17 приказу, но и 239. Вопрос конкретизировал и задавал Шевцову персонально, вынесу обсуждение в отдельную заметку.
    8. Роль внешних лицензиатов не понятна. На слайдах презентации они были отражены отдельными квадратиками, никак не связанными с системой защиты у субъекта КИИ. Прозвучало, что использовать можно, но работники внешних организаций должны расписаться в ОРД субъекта. Сложилось впечатление, что никакого понимания как легализовать участие внешних организаций в обеспечении безопасности значимых объектов КИИ у регулятора нет. Все будет решаться при проверках в индивидуальном порядке.
    9. Все ведомственные/корпоративные центра госсопки обязаны получать лицензию ФСТЭК на работы по мониторингу ИБ.
    10. Заявлен срок плановых проверок – не ранее чем через 3 года, после категорирования. Но это не касается внеплановых проверок. Опять же, интересная коллизия – даже внепланово, проверять могут только значимые объекты. А на категорирование отведен год. Посмотрим на изменение штата ФСТЭК через год.
   11. По сертификации СЗИ много нового собираются внедрять. Пока все будет в «ручном режиме», пишите письма - официально ответим, в том числе по уровням НДВ.

Комментариев нет:

Отправить комментарий