понедельник, 24 сентября 2018 г.

Конференции для субъектов КИИ из банков и органов государственной власти. Итоги.


   20 сентября состоялась конференция "Информационная безопасность финансовой сферы" с секцией "Финансовая организация как субъект КИИ. Вопросы выполнения действующего законодательства". Участие приняли представители НКЦКИ и ФСТЭК.
Алексей Кубарев, представитель ФСТЭК России
Практика реализации Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации»
https://20sep.ib-bank.ru/files/files/materials2018/20sep/01%20Kubarev.pdf

Анатолий Грачёв, представитель ФСБ России
Практика взаимодействия с Национальным координационным центром по компьютерным инцидентам
   Радует, что ФСТЭК оперативно обновляет свои презентации.
Если считать, что на Инфобереге https://valerykomarov.blogspot.com/2018/09/2018-2.html показывали данные на конец августа, то за 3 недели сентября количество учтенных субъектов КИИ выросло с 423 до 482, а количество объектов КИИ с 18 643 до 20 524. Но 6 банков по всей России или 7 транспортных организаций выглядят не очень. Так же интересно сравнить степень автоматизации процессов для банков и транспортников. На 7 транспортных субъектов КИИ приходится 16 объектов, а на 6 банков уже 47 объектов. Что то не верится в такую ИТ-отсталость транспортной сферы. И очень забавно наблюдать на презентациях регуляторов разный взгляд на количество сфер деятельности из 187-ФЗ.

   21 сентября принял участие в  круглом столе «Цифровое государство как критическая информационная инфраструктура»  на  V Всероссийском форуме в области информационных и коммуникационных технологий «IT-Диалог 2018. Цифровое равенство регионов». Форум имел ярко выраженную региональную особенность - большинство участников были с СЗФО, включая представителя управления ФСТЭК по данному федеральному округу. Модератор - Алексей Лукацкий.
Из интересного прозвучало:
1. ФСТЭК в получаемых от субъектов КИИ перечнях объектов КИИ контролирует только сроки, заявленные на категорирование. Никаких действий по согласованию, возврату на доработку для устранения недостатков не предпринимается.
  Думаю, что это не касается случая, когда Перечень не утвержден субъектом-здесь прямое нарушение ПП127.
2. ФСТЭК никак не реагирует на сроки категорирования, указанные субъектами в Перечне, если они не совпадают с сроками из решения коллегии ФСТЭК № 59. Главное, что бы не превышало 12 месяцев, согласно ПП127. (Задавал прямой вопрос) https://valerykomarov.blogspot.com/2018/07/187.html
3. ФСТЭК считает ошибкой, если субъект относит к объектам КИИ все свои ИС/АСУ/ТКС. Но не разъясняет  - как же отличать критические процессы от "ошибочных". 
   К сожалению, развить эту тему  и получить внятный ответ от ФСТЭК не получилось, так как публику интересовал только вопрос уголовной ответственности за невыполнение 187-ФЗ.
4. ФСТЭК очень просит субъектов КИИ прикладывать к переписке все Перечни и формы уведомления о результатах категорирования в электронном виде. Очень трудоемко для них вбивать в ручную. 
    Вообще, вкупе с отсутствием ответов о прогнозируемом количестве субъектов КИИ и значимых объектов КИИ в Реестре, это говорит о плохо проработанном подготовительном этапе к вводу в действие 187-ФЗ и ПП127. Что мешало форму Перечня и дублирование в электронной форме сразу прописать в подзаконных актах?

5. Представители транспортной сферы отчитались об успешном опыте "ухода" от категорий значимости своих объектов за счет использования "бумажных" компенсирующих мер.

   Форум проводился при поддержке Минкомсвязь, но представителей данного ведомства на секции по КИИ не было. А вопросов к ним ведь много, с учетом отсутствия внятной позиции по подзаконным актам к 187-ФЗ в сфере единой электросвязи.


* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.


** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

4 комментария:

  1. Добрый день. Вопрос

    "2. ФСТЭК никак не реагирует на сроки категорирования, указанные субъектами в Перечне, если они не совпадают с сроками из решения коллегии ФСТЭК № 59. Главное, что бы не превышало 12 месяцев, согласно ПП127"

    Если само согласование списков необходимо провести вначале у регионального (вышестоящего) ведомства (например здрав), а ведомство тянет (затянуло)? Все подтверждающие документы имеются. Как на это может реагировать регулятор, ведь сроки прошли!?

    Регулятор не давал комментариев в таком аспекте?

    ОтветитьУдалить
  2. Если вы не согласовали Перечень со своим центром, то ФСТЭК от вас ничего ещё не получил. Ему нечего контролировать.

    ОтветитьУдалить
    Ответы
    1. Спасибо. Перечень согласован и сразу же отправлен. Но согласование затянулось по вине верхнестоящего учреждения

      Удалить
  3. Регулятор давал комментарии только для сроков, которые субъект сам указал в Перечне. Формально вы вообще можете сроки категорирования в Перечне не указывать, форма Перечня от ФСТЭК -рекомендуемая, но не обязательная. Главное 12 месяцев выдержать, указанных в ПП127. Но наказания за это никакого не предусмотрено.

    ОтветитьУдалить