Разъяснение ФСТЭК по Перечню объектов КИИ

ФСТЭК выпустила разъяснение по вопросам предоставления
Перечней объектов

Изменение требований ФСБ к средствам ГосСОПКи

В июне 2018 года ФСБ обновила формулировки требований.
Проект Приказа ФСБ России
"Об утверждении Требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты"

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

Меняется порядок обмена информацией между субъектами КИИ.

   Продолжение анализа изменений в проектах Приказов ФСБ по КИИ
   Проект Приказа ФСБ России
   "Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и Порядка получения субъектами критической информационной инфраструктуры Российской Федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения"

Изменения в порядке информирования ГосСОПКи для КИИ

     
      ФСБ  корректирует свои проекты  приказов.
      Сроки предоставления информации по п.6 Перечня теперь согласует НКЦКИ.
      Появилась "обратная связь" с подтверждением от НКЦКИ о получении информации.
      Четко прослеживается тенденция на снижение полномочий НКЦКИ:
1. Исчез Перечень технических параметров компьютерного инцидента от НКЦКИ.
2. Формат обмена информации с использованием технических средств ГосСОПКа просто устанавливается, но не утверждается НКЦКИ.
       ФинЦЕРТ?

И Ростехнадзор то же хочет проверять выполнение 187-ФЗ

     

     

     Почему то уже не удивлен, что даже Ростехнадзор устанавливает требования по информационной безопасности на промышленных объектах. Для субъектов КИИ (в части ОПО СПГ) это будет означать необходимость подтверждения выполнения 187-ФЗ по запросу Ростехнадзора. Странно, что нет упоминаний про выполнение 31 приказа ФСТЭК...

     Проект Приказа Ростехнадзора

    "Об утверждении Федеральных норм и правил в области промышленной безопасности              "Правила безопасности объектов сжиженного природного газа"

Проект изменений в 31 приказ ФСТЭК. Часть 2.

      

      ФСТЭК доработала по итогам общественного обсуждения проект приказа «О внесении изменений в Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 14 марта 2014 г. № 31, и в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239». http://regulation.gov.ru/projects#npa=82028

     Разбор первой версии приказа :

https://valerykomarov.blogspot.com/2018/07/31.html
Что же изменилось?

ОРИ не желают в СОРМ. А придется?

     Очередной отрицательный отзыв Минэкономразвития на иницативу Минкомсвязи и ФСБ.
     Заключение Минэкономразвития об оценке регулирующего воздействия на проект приказа Минкомсвязи «Об утверждении Требований к оборудованию и программно-техническим средствам, используемым организатором распространения информации в сети «Интернет» в эксплуатируемых им информационных системах, обеспечивающих выполнение установленных действий при проведении оперативно-разыскных мероприятий, включая систему хранения». http://regulation.gov.ru/projects#npa=18013
    Уровень аргументации на высоте, настолько грамотный текст, что практически нечего исключить или добавить при публикации в блоге. Объем текста большой, но он стоит времени на внимательное прочтение.
     Итог: типичная ситуация для страны- закон действует, ответственность на ОРИ возложена, а подзаконных актов нет. И характерные проблемы законотворческих инициатив "от силовиков": не проверена реализуемость требований, не учитывается особенность бюджетирования организаций, нет расчета стоимости исполнения требований, попытки перевести исполнение закона " в ручной режим".

Перспективы Fan ID

     Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации сообщает, что для посещения матчей Чемпионата мира по футболу FIFA 2018 года (ЧМ-2018) всего было заказано 1,83 млн паспортов болельщика (FAN ID).
Самыми активными пользователями паспортов болельщика стали граждане России, которые заказали 987 тысяч FAN ID. На втором месте — граждане Китая (68 тысяч паспортов), на третьем месте — США (52 тысячи паспортов). Также большой популярностью FAN ID пользовался у болельщиков таких стран, как Мексика (44 тысячи), Аргентина (37 тысяч), Бразилия (35 тысяч), Великобритания (31 тысяча), Колумбия (31 тысяча), Германия (30 тысяч), Перу (27 тысяч).

Сертификация. Живем по новому.

     С 1 августа 2018 сертификация средств защиты информации проводится по новому Положению ФСТЭК. Вступил в силу приказ ФСТЭК 55 от 03.04.18.

     Нюансы и особенности нового положения разбирал:
https://valerykomarov.blogspot.com/2018/05/blog-post_17.html

* Все новости блога на публичном Telegram-канале  t.me/ruporsecurite