Благодаря Павлу Луцику, удалось получить в неформальном порядке от ФСТЭК ответы на вопросы по нюансам выполнения субъектом КИИ ПП127 и Приказов по КИИ.
Сама готовность регулятора отвечать на вопросы, собранные в таком формате очень похвальна и позитивна.
Но вот качество и содержимое ответов печалит. Неопределенность трактования норм подзаконных актов только усилилась.
2 Например, как
понимать «Категорируются только те ОКИИ, которые обеспечивают основные виды деятельности
субъекта»? Основные – это какие?
Смотрим первоисточники:
ПП 127 «3. Категорированию подлежат объекты критической
информационной инфраструктуры, которые обеспечивают управленческие,
технологические, производственные, финансово-экономические и (или) иные
процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов
критической информационной инфраструктуры.»
Может быть это «критические
процессы»?
«выявление управленческих, технологических,
производственных, финансово-экономических и (или) иных процессов в рамках
выполнения функций (полномочий) или осуществления
видов деятельности субъектов критической информационной инфраструктуры,
нарушение и (или) прекращение которых может привести к негативным социальным,
политическим, экономическим, экологическим последствиям, последствиям для
обеспечения обороны страны, безопасности государства и правопорядка (далее -
критические процессы);
в) определение объектов критической информационной
инфраструктуры, которые обрабатывают информацию, необходимую для обеспечения
критических процессов, и (или) осуществляют управление, контроль или мониторинг
критических процессов;»
Ни в одном документе нет
упоминаний про «основные» виды деятельности.
Ответ ФСТЭК не внес никакой
ясности. Каждый субъект продолжит трактовать по своему разумению, что ему
включать в перечень объектов КИИ.
4 Позиция
по срокам выполнения требований Приказов 235/239 «в разумные сроки» - очень
опасная для субъекта. Особенно с однозначным утверждением, что срок реализации
данных мер не привязан к дате категорирования или внесения в реестр. Правда,
честно упоминают о том, что у прокуратуры мнение другое на это. Высокий риск
получить административную ответственность по п.6 ст.13.12 КоАП, с момента
утверждения акта категорирования.
Какие положительные моменты увидел для себя в ответах:
1. Нет
обязательности аттестации значимого объекта КИИ по требованиям 239 приказа, в
случаях с ГИС.
2. «Облачные» услуги не относятся к КИИ.
3. Объекты
ТЭК продолжают выполнять требования к КВО и КИИ.
4. Не
возражают против внутренней техподдержки для «самописного» прикладного ПО.
5. Можно
выпускать собственные инструкции по эксплуатации.
Из отрицательных моментов:
Требуют обязательное согласование модели угроз для объектов КИИ -ГИС.
По аналогии с ГИС. Расширяют сферу действия ПП 676 на КИИ.
Технические
средства из состава системы безопасности (скуд, видеонаблюдение, пожарная
сигнализация и т.д.) отнесли в состав значимого объекта КИИ, что приводит
к уголовной ответственности по 274.1 УК РФ при эксплуатации данных
средств.
8. Нет
однозначной позиции по ЦОД, в части отнесения его к объектам КИИ.
К 01.07.2018 обещают радикально поменять требования по ГИС/ИСПДн (изменение 17/21 приказа). Выпустить новые методические документы по КИИ. Ждем с большим нетерпением. Выход таких методических документов и их единообразие сильно облегчит жизнь специалистам на местах.
* Все новости блога на публичном Telegram-канале t.me/ruporsecurite
№
|
Вопрос
|
Частное мнение ФСТЭК
|
Мой комментарий
|
1
|
В отчете о результатах категорирования, который субъект КИИ должен
передать ФСТЭК в течении 5 дней, содержится информация о действующих
средствах защиты КИИ. Это есть Гостайна для субъекта КИИ?
|
Отнесение мер кии к ГТ будет по совокупности (за отрасль) или если
объект сам обрабатывает ГТ. Это определят ведомственные перечни
|
|
2
|
В какой срок субъектом должны быть реализованы меры по защите значимых
объектов КИИ? Привязан ли этот срок к сроку занесения ФСТЭК результатов
категорирования в Реестр ЗОКИИ или к моменту утверждения акта
категорирования?
|
Срок реализации мер - в разумные сроки. Прививки нет
|
Разумные сроки для реальной организации – 5 лет (планирование,
проектирование, закупка, обучение, внедрение и т.д.).
|
3
|
Является ли оператор связи, обслуживающий и поддерживающий информационную
систему субъекта КИИ, сам таким субъектом? Или только его инфосистема
является объектом КИИ?
|
По определению скорее всего нет, но нужно разбираться в конкретном случае
|
Кто будет разбираться? Минкомсвязь или ФСТЭК?
|
4
|
Нужна ли лицензия на гостайну для предоставления услуг субъекту КИИ по
защите его объектов КИИ или достаточно лицензии ТЗКИ?
|
Лицензия нужна, если объект КИИ отнесён к ГТ
|
|
5
|
В каком формате (с указанием каких атрибутов) необходимо отправлять во
ФСТЭК перечень объектов КИИ, подлежащих категорированию? 127-ПП и
соответствующий приказ ФСТЭК говорят о формате передачи информации о
результатах категорирования, но ничего не говорят о формате передачи перечня.
|
Формат перечня не определён (в любом)
|
|
6
|
Должно ли как-то учитываться и, если да, то как увеличение масштаба
возможных последствий в случае возникновения компьютерных инцидентов на
объектах КИИ при единовременном возникновении инцидентов на нескольких
объектах одного субъекта КИИ?
В частности, этот вопрос важен в случаях, когда у субъекта будут выявлены критические процессы, но дальнейшая оценка масштаба возможных последствий для отдельных объектов КИИ будет недотягивать до значений, установленных для какой-либо категории. В результате, им не будет присвоена ни одна из категорий значимости |
По законодательств рассматривается каждый объект в отдельности
|
|
7
|
Если в составе одного юр. лица есть несколько обособленных подразделений (филиалов),
каждое их которых которые осуществляют часть видов деятельности юридического
лица:
- Допустимо ли назначение нескольких комиссий по категорированию: одна в аппарате управления, отдельные - на уровне каждого филиала? При этом будут соблюдены требования к составу комиссии, установленные п. 11 ПП-127. Комиссия каждого филиала будет определять процессы в рамках осуществления видов деятельности соответствующего филиала, выявлять критические процессы, определять объекты и т.д. Для процессов, которые выходят за рамки видов деятельности отдельно взятых филиалов и/или охватывают все или часть филиалов одновременно, соответствующие мероприятия будут реализовываться комиссией на уровне аппарата управления. - Если допустимо несколько комиссий, допустимо ли оформить перечень объектов КИИ, акты категорирования и формы направления сведений во ФСТЭК РФ в каждом обособленном подразделении и подавать документы в соответствующие обособленному подразделению территориальные подразделения ФСТЭК России? |
Комиссия может быть создана в каждом подразделении. Но перечни и
результаты направляются только субъектом кии, а значит центральным
подразделением
|
Ничего не ответили про направление Перечней в территориальные органы
ФСТЭК.
|
8
|
Если в составе группы компаний есть несколько юр. лиц, каждое их которых
является субъектом КИИ (каждому на праве собственности и/или аренды
принадлежат ИС и/или АСУ, функционирующие в одной из установленных сфер).
В ряде случаев отдельные ИС и АСУ принадлежат на праве собственности одному юр. лицу группы компаний и переданы в аренду по договору эксплуатации иному юр. лицу группы. Таким образом, с точки зрения определений ФЗ-187, оба юр. лица являются субъектами КИИ в отношении одних ИС/АСУ. Устанавливаются ли какие-либо требования/ограничения в отношении того, какое из юридических лиц в данном случае должно включать указанные ИС и АСУ в перечень объектов КИИ, проводить процедуры категорирования, оформлять формы направления сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий? Или допустимо урегулировать это по согласованию сторон в рамках группы компаний? |
Категорированием занимается лицо-владелец объекта (это есть в
127-ПП)
|
Эксплуатанты могут только «К разработке и внедрению организационных и
технических мер по обеспечению безопасности значимого объекта привлекается
лицо, эксплуатирующее (планирующее эксплуатировать) значимый объект.» п.13
Приказ 239
|
9
|
Подпадает ли под действие 187-ФЗ (в качестве субъекта КИИ)
госорганизация, которая не подходит ни под одну из 12 сфер, указанных в
законе?
|
Попадают только те , которые имеют системы в 12 определённых сферах
|
Вообще то в 187-ФЗ указано 13 сфер деятельности, а не 12.
|
10
|
Какие нужны лицензии для следующих видов деятельности : 1) разработка АСУ
ТП и её элементов , plc , автоматики и т.д 2) установка и гарантийное
обслуживание собственного оборудования и систем АСУ ТП у Заказчика (
заказчики субъекты КИИ 1,2,3 категории).
2. Как ознакомиться с перечнем если нет своего РСО, на базе чего должно быть принято решение о оформлении лицензии по ГТ( компания занимается разработкой, производством и внедрением АСУ) 3. Какие формы (по ГТ) нужно будет оформлять максимально (необходимо знать что бы уже сейчас сформулировать требования для набора сотрудников) ? 4. Когда будут унифицированные общие требования - ПЗ или общее ЗБ на классы оборудования в энергетике. |
Лицензии нужны только для оказания услуг по ТЗИ для объектов кии (здесь
ничего не изменилось). В части ознакомления с перечнем по ГТ: см п.1 ГТ будет
далеко не у всех
|
|
11
|
В пп-127 в п.17 говорится о том, что в составе сведений о результатах
категорирования субъект должен в том числе направлять во ФСТЭК
"информацию об организационых и технических мерах, применяемых для
обеспечения безопасности объекта КИИ", т.е. о мерах защиты, применяемых
на момент категорирования, когда система защиты по 235-му и 239-му приказах
ФСТЭК еще не создана. А после создания системы защиты сведения о мерах защиты
в рамках созданной системы защиты ЗОКИИ передавать во ФСТЭК законодательство
субъекта не обязывает. Хотя по логике должно быть наоборот. Хотелось бы
услышать мнение регулятора по этому поводу.
|
По п. 17 передаются сведения о мерах, принятых на момент категорирования.
Далее субъект обязан выполнить требования законодательства. А правильность и
полнота будут проверены в рамках госконтроля
|
Госконтроль через 3 года после внесения в Реестр (после утверждения
результатов категорирования), получается, что «разумные сроки» - 4 года от
настоящего момента.
Только непонятно, а что будет при внеплановом госконтроле?
Скорее всего п.6 ст.13.12 КоАП
|
12
|
ОКИИ это любые ИС/АСУ/ИТС субъекта или только те, которые относятся к
критическим процессам в рамках основной деятельности субъекта? Категорировать
нужно все окии или только относящиеся к критическим процессам в рамках
основной деятельности? Если есть окии, которые не требуется категорировать,
то к чему их относить - к незначимым окии или к какой-то отдельной группе
окии?
|
Категорируются только те ОКИИ, которые обеспечивают основные виды
деятельности субъекта
|
Категорировать все. К основным видам деятельности у организации относятся
не только сферы деятельности из 187-ФЗ.
|
13
|
В статье 2 закона 187 ФЗ в п. 8 перечислены виды деятельности
организаций, относящихся к субъектам КИИ, а также "российские
юридические лица и (или) индивидуальные предприниматели, которые обеспечивают
взаимодействие указанных систем или сетей". Вопрос - относятся ли к
субъектам КИИ различные интеграторы, которые обеспечивают сопровождение ИБ ИС
в рамках договора с этими субъектами КИИ? Что вообще понимается под
формулировкой "взаимодействие указанных систем или сетей"?
|
В ст.2 говорится о владельцах ОКИИ. Интеграторы ими не являются (как
правило).
|
А кто такие владельцы объектов, обеспечивающих взаимодействие объектов
КИИ?
|
14
|
Статус объектов КСИИ? Им продолжать выполнять требования методических
документов ФСТЭК в области обеспечения безопасности КСИИ или только новые по
КИИ?
|
Понятие КСИИ упразднено
|
Кем и когда упразднено?
|
15
|
Планирует ли ФСТЭК официально прекращать действие утвержденных
методических документов ФСТЭК в области обеспечения безопасности КСИИ?
|
Да. Материалы об отмене готовятся
|
Сроки?
|
16
|
Что с областью применения "ГОСТ Р 52069.0-2013. Национальный
стандарт Российской Федерации. Защита информации. Система стандартов.
Основные положения" (утв. и введен в действие Приказом Росстандарта от
28.02.2013 N 3-ст)? Возможно ли его применение для КИИ?
|
Необходимая работа по устранению нестыковок ведётся
|
Кем и сроки?
|
17
|
Если значимый объект КИИ является ГИС, то необходимо ли направлять на
согласование во ФСТЭК Модель угроз безопасности информации и (или)
техническое задание на создание системы безопасности значимого объекта КИИ?
|
Да
|
Очень опасный пункт для субъекта КИИ. Но вот законность такого требования
под вопросом.
|
18
|
Почему мера ИНЦ.6 «Хранение и защита информации о компьютерных
инцидентах» только для 1 категории является базовой?
Защита информации о событиях ИБ критичней чем информация об ИНЦИДЕНТАХ
ИБ?
|
Меры приняты исходя из практики их применения в иных системах
|
Интересно про какую практику речь? Раздел ИНЦ был только в 31 приказе, но
там не предусмотрена защита информации о компьютерных инцидентах. В 17
приказе ИНЦ нет вообще, но есть РСБ.7 «Защита информации о событиях
безопасности» и она обязательна для всех классов ГИС. Так же РСБ.7
обязательно для всех АСУ ТП.
ФСТЭК дала формальную отписку.
|
19
|
Для 1 категории внешний аудит обязательно проводить ежегодно? Внутренний
ему просто не нужен становится? Подтверждать наличием договора с
лицензиатом?
|
Меры приняты исходя из практики их применения в иных системах
|
Интересно про какую практику речь?
ФСТЭК дала формальную отписку.
|
20
|
Требуется ли повышать категорию КИИ, если значимым объектом является ГИС
более высокого класса? (п.24 Приказа 239)
|
Категория не повышается, но меры защиты применяются по максимальному
варианту
|
Это как? Обязательное применение всех «усилений» к базовым мерам для
данной категории? Что такое «максимальный вариант»?
|
21
|
Допускается ли использование субъектом инструкций по эксплуатации не от
разработчика/производителя? (п.30 Приказа 239)
|
Да
|
Отлично, надеюсь, что эта позиция ФСТЭК станет официальной и не изменится.
Пока в документах однозначно прописан вариант «нет».
|
22
|
Каким образом подтверждается наличие техподдержки для ПО собственной
разработки? (п.31 Приказа 239)
|
Внутренними документами
|
Отлично, надеюсь, что эта позиция ФСТЭК станет официальной и не изменится.
|
23
|
Кто является субъектом КИИ для ИС субъектов РФ?
Все принадлежит региону, а конкретные ОИВ выполняют функции (заказчика
создания, эксплуатации и т.д.) согласно Постановлениям Правительства субъекта
РФ. Ни один из ОИВ не имеет прав собственности.
|
Владелец ИС по документам (это вопрос к бухгалтерии и хозяйственной
службе)
|
ФСТЭК вопроса не поняли, жаль.
|
24
|
Субъекты КИИ имеют право:
получать от ФОИВ, уполномоченного в области обеспечения безопасности КИИ
РФ, информацию, в том числе об угрозах безопасности обрабатываемой значимыми
объектами информации и уязвимости ПО, оборудования и технологий, используемых
на таких объектах.
Как субъект может воспользоваться данным правом?
Каким документом регламентируется передача ПО, используемого на объекте КИИ,
в ФСТЭК на предмет выявления уязвимостей? Кому и в какие сроки
субъект может предать ПО для анализа?
|
Обратившись в ФОИВ
|
Никак не регламентировано.
|
25
|
Когда внесут изменения в 17,21 и 31 приказ по мерам защиты?
|
До конца 2-го квартала 2018 года. Проект уже разработан
|
Ждем 1 июля. С большим нетерпением.
|
26
|
Для определения угроз безопасности информации и разработки модели угроз
безопасности информации применяются методические документы, разработанные и
утвержденные ФСТЭК России.
Когда субъекты КИИ смогут воспользоваться данными методическими
документами?
|
Методические документы по угрозам для АСУ ТП и ИС уже существуют
|
По АСУ ТП обещают отменить, по ИС есть только для ИСПДн от 2008 года.
|
27
|
Анализ угроз безопасности информации должен включать:
в) определение возможных способов (сценариев) реализации
(возникновения) угроз безопасности информации;
Какая степень детализации описания сценария? По какой форме оформлять?
|
Описание: источник-способ реализации-последствия
|
|
28
|
Когда и каким способом будут исправлены «Значения показателей» в ПП 127
для п.6, п. 9, п. 14?
|
Это вопрос к правительству РФ
|
Лучше промолчу.
|
29
|
Что за «государственным органом или российским юридическим лицом,
выполняющим функции по разработке, проведению или реализации государственной
политики и (или) нормативно-правовому регулированию в установленной сфере в
части подведомственных им субъектов критической информационной
инфраструктуры»? Ответ желательно предоставить в виде таблицы
соответствия «сфера деятельности из 187 – согласующий орган».
Для горнорудной, науки несколько министерств осуществляют
нормативно-правовое регулирование. Среди госкорпораций у Ростеха не прописаны
полномочия по нормативно-правовому регулированию.
|
Указанное согласование осуществляется только для подведомственных
организаций (пример - ФГУПы).
|
Подведомственных кому?
|
30
|
Что такое «тип объекта защиты значимого объекта»?
п.11г Приказа 239
г) перечень типов объектов защиты значимого объекта;
|
Это объекты защиты
|
Тип объекта – это объект?
|
31
|
Какой срок отведен для реализации Требований Приказа 239 для значимых
объектов, уже находящихся в эксплуатации ?
|
Разумные сроки (но прокуратура трактует это как уже здесь
и сейчас)
|
Отлично. Административная ответственность с момента утверждения акта
категорирования.
|
32
|
Допускается ли связка «аттестат на соответствие на требования 17 приказа+
Акт приемки (вывод) внутренней комиссии о соответствии требованиям 239
приказа» для значимого объекта, который является ГИС? Или обязательно должен
быть аттестат на соответствие 17 и 239 приказа?
|
Да
|
Надеюсь, что «Да» относится к первому вопросу, а не к второму.
|
33
|
Когда будет выпущен методический документ, разъясняющий меры защиты из
Приказа 239 (аналог «Методического документе ФСТЭК России «Меры защиты
информации в ГИС»
|
До конца 2-го квартала 2018 года
|
Ждем 1 июля. С большим нетерпением.
|
34
|
Относятся ли средства защиты информации,
технические средства обеспечения безопасности (скуд, видео и т.д) к составу
значимого объекта КИИ? Применима ли к ним 274.1 УК?
|
Да
|
Очень печально. Прям очень-очень.
|
35
|
Относятся ли ЦОД к объектам КИИ, если их ресурсы по договору
предоставляются для использования другим субъектам КИИ?
|
Надо смотреть на предоставляемые услуги
|
Кто должен смотреть? ФСТЭК?
|
36
|
Являются ли субъектами КИИ «облачные провайдеры»?
|
Скорее всего нет (это не определено законодательством)
|
Их деятельность классифицируется законодательно как «сфера связи».
|
37
|
Субъекты в сфере ТЭК продолжают выполнять требования для КВО (по 256-ФЗ)
и для КИИ?
|
Да
|
А как же КСИИ?
|
Комментариев нет:
Отправить комментарий