вторник, 16 октября 2018 г.

Подсказки по выполнению 187-ФЗ. Начало.


       Время, отведенное организациям на выполнение требований 187-ФЗ истекает, решил сделать цикл заметок в помощь потенциальным субъектам КИИ.

      Важно: Данные материалы отражают мою личную позицию и требуют обязательного критического отношения при их рассмотрении. Любое конструктивное обсуждение, предложения и замечания строго приветствуются.

       Часть.1 Самоидентификация.

      Как уже не раз отмечалось ранее, в 187-ФЗ термины "объект КИИ" и "субъект КИИ", определены так, что практически все организации в стране вынуждены предпринимать действия по принятию решения о наличии/отсутствии у себя на законных основаниях объектов КИИ.

среда, 10 октября 2018 г.

Прогноз ФСТЭК по количеству объектов КИИ


    Для публичного обсуждения размещен проект Указа Президента РФ
http://regulation.gov.ru/projects#npa=84500
    Для нас интересен не сам текст Указа, а пояснительная записка к нему:
1. "Это вызвано увеличением по мере реализации Федерального закона количества объектов критической информационной инфраструктуры (в первом полугодии 2018 г. – 4200 объектов, во втором полугодии 2018 г. – 20 524 объектов, в 2019 году – более 25 000 объектов)."
    То есть, по прогнозу ФСТЭК, в стране ожидается около 25 000 объектов КИИ, по которым будут поданы формы уведомления о результатах категорирования. Значимых объектов, попадающих в Реестр будет значительно меньше.
    Еще интересно, что цифра в 20 254 объектов уже фигурирует в сентябрьских презентациях Кубарева А.В. И дали ее всего 482 субъекта КИИ. Получается, что ФСТЭК считает, что основная масса субъектов КИИ уже отчиталась. Тут правда можно сказать, что указано "более 25 000" и объектов в 2019 году может быть и 40 000 и 100 000.
2. Думаю, что будет создано новое управление по теме КИИ, больно уж численность большая персонала для существующего 5 отдела 2 управления (предлагается 35 сотрудников в ЦА и по 18 человек в округах).Серьезных успех для ФСТЭК, в случае подписания Указа.
"предполагается создание в ФСТЭК России и ее территориальных органах отдельных структурных подразделений, в связи с чем предлагается штатную численность центрального аппарата ФСТЭК России увеличить на 35 единиц, а территориальных органов ФСТЭК России – на 126 единиц."
   Правда непонятно, а зачем такая плотность надзора за субъектами КИИ. Количество сотрудников ФСТЭК будет примерно соответствовать количеству субъектов КИИ с значимыми объектами. По персональному куратору от ФСТЭК на каждую организацию?

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.


** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

понедельник, 8 октября 2018 г.

Уникальность 187-ФЗ


   Все чаше слышу от коллег и участников профильных конференций тезис о том, что 187-ФЗ ни чем не отличается от других законов по защите информации. На BISSummit 2018 это прозвучало со сцены, во время 4 панельной сессии.
   На мой взгляд, в 187-ФЗ есть такие "изюминки", которые делают его уникальным для российского законодательства в области ИБ и защиты информации.
1. Активная и наступательная позиция. Не уход в глухую оборону, а агрессивное противодействие компьютерным атакам.

Статья 4. Принципы обеспечения безопасности критической информационной инфраструктуры

Принципами обеспечения безопасности критической информационной инфраструктуры являются:

3) приоритет предотвращения компьютерных атак.

2. Появился объект, для которого нет требований по обеспечению безопасности. Не просто отсутствие мер защиты от ФСТЭК, а вообще нет такой обязанности у субъекта КИИ.
Ст.9 п.2. Субъекты критической информационной инфраструктуры обязаны:
1) незамедлительно информировать о компьютерных инцидентах ...;
2) оказывать содействие должностным лицам федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, в обнаружении, предупреждении и ликвидации последствий компьютерных атак, установлении причин и условий возникновения компьютерных инцидентов;
3. Государство считает, что повседневная деятельность субъекта КИИ по эксплуатации не значимого объекта КИИ представляет более существенную угрозу для страны , чем компьютерные атаки злоумышленников.  4. Антикомплайнс. Парадокс - выполнение требований 187-ФЗ приводит к увеличению рисков привлечения субъекта КИИ к уголовной ответственности. 4.1. Выполнение требований по обеспечению безопасности значимых объектов КИИ  с использованием технических средств приводит увеличению количества устройств, нарушение правил эксплуатации которых приводит к применению Ст.274.1. Более того, ФСТЭК высказывал позицию, что технические средства системы безопасности входят в состав объекта КИИ.4.2. При получении информации от субъекта КИИ о компьютерном инциденте, повлекшем нанесение вреда значимому объекту КИИ, НКЦКИ передаст ее во ФСТЭК, а ФСТЭК придет с внеплановой проверкой к субъекту и зафиксирует, что инцидент произошел по причине нарушения правил эксплуатации, повлекших.... ПП 162 
"20. Основаниями для осуществления внеплановой проверки являются:

б) возникновение компьютерного инцидента на значимом объекте критической информационной инфраструктуры, повлекшего негативные последствия;".Хотел еще добавить пункт о том, что это первый закон не о защите информации, а о защите железо+информация, но документами ФСТЭК все свелось к банальной защите информации. И дальнейшая работа ФСТЭК по приведению мер защиты из 21/17 приказов в соответствие к мерам из 239 это подтверждает. С 31 приказом это уже произошло. Вот здесь  - ничем не отличается уже 187-ФЗ от других законов.
Итог: в 187-ФЗ авторами (ФСБ) заложен очень здравый подход - пассивные меры защиты информации (ФСТЭК) малоэффективны, они всегда запаздывают и выполняются формально (см.Информационное сообщение ФСТЭК России от 2 июля 2017 г. N 240/22/3171). Главное - вовремя выявить подготовку компьютерной атаки, не важно даже кто цель. То есть, задача закона - обеспечить ГосСОПКа максимальной исходной информацией для успешного ПРЕДОТВРАЩЕНИЯ компьютерной атаки. Осталось оценить эффект от реализации...


* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.


** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

понедельник, 1 октября 2018 г.

Итоги ИНФОБЕРЕГ-2018 для субъектов КИИ. Часть 3



    Слайд с презентации УФСТЭК по СФО

    Начало. https://valerykomarov.blogspot.com/2018/09/2018-1.htmlhttps://valerykomarov.blogspot.com/2018/09/2018-2.html

     На Инфобереге выступал с докладом "От КСИИ к КИИ - как меняются требования регуляторов". К сожалению, на обсуждение проблем выполнения 187-ФЗ ушло все время, отведенное регламентом секции. И ключевые моменты перехода от КСИИ к КИИ обсудить не удалось.