Довольно оперативно ФСТЭК решил провести повторную встречу с тем же составом блогеров. И 26 ноября 2018 года мы (кроме меня - Комаров А. , Кузнецов А. , Луцик П.) прибыли в ФСТЭК для получения ответов на свои вопросы по выполнению 187-ФЗ. Сергей Борисов передал свои вопросы в письменном виде, так как не смог присутствовать лично. От ФСТЭК в состав участников дополнительно вошла Торбенко Е.Б. Отвечал на все вопросы Лютиков В.С.
По формату встречи предусматривалось по 5 вопросов от каждого блогера. Вопросы могли быть любые, без привязки к поданным при первой встрече. Чем я и воспользовался.
1. Указывает ли ФСТЭК отправителю Перечня о необходимости получения согласования от «государственным органом или российским юридическим лицом, выполняющим функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере в части подведомственных им субъектов критической информационной инфраструктуры» и в какой форме?
Ответ: Если у ФСТЭК понимание, что такое согласование должно было быть произведено, то будет направлено официальное письмо о нарушение процедуры ПП127 с требованием устранить (согласовать у ведомственного центра) и подать Перечень по новому.
Мой комментарий: ФСТЭК имеет на это полное право, так как это формальное нарушение процедуры категорирования, контроль за которой уже законодательно возложен на ФСТЭК. Были озвучены планы по внесению изменений в ПП127 по регламентированию действий субъета при составлении и отправки Перечней объектов, подлежащих категорированию.
1.1. Уточняющий вопрос: Возможно ли исключение объектов из уже поданного Перечня (вывели из эксплуатации и т.д.) и какая процедура?
Ответ: Да, возможно. Просто официальным письмом с указанием конкретного исключаемого объекта. Исправленный Перечень подавать по новому не требуется.
2. Можно ли получить определения и/или ссылки на соответствующие определения для понятий «Управленческий процесс», «Технологический процесс», «Производственный процесс» и «Финансово-экономический процесс», введённых в пп. «б», п. 5 Правил, утв. ПП РФ № 127? Вопрос связан с тем, что в федеральных законах данные определения отсутствуют, а в ГОСТ присутствуют определения только для терминов «Производственный процесс» и «Технологический процесс», причем последний позиционируется как часть предшествующего. Аналогично для «эксплуатации информационной системы» (объекта КИИ). В общедоступных и юридически значимых федеральных документах определение термина «эксплуатация информационной системы» или схожего термина найти не удалось. Согласно ГОСТ № 25866-83 эксплуатация изделия включает в себя в том числе транспортирование, хранение, техническое обслуживание и ремонт. Чем отличаются термины «эксплуатация» и «функционирование». В п.4 Приказа 235 ФСТЭК «подразделения (работники), эксплуатирующие значимые объекты критической информационной инфраструктуры;
подразделения (работники), обеспечивающие функционирование (сопровождение, обслуживание, ремонт) значимых объектов критической информационной инфраструктуры;
Ответ: Такие определения можно найти только в узко отраслевых документах. Необходимо смотреть в каждой конкретной ситуации.
3. Если в организации, информация необходимая для обеспечения критических процессов, обрабатывается на технических средствах, которые в данный момент документально не оформлены как {информационная система, автоматизированная система управления или информационно-телекоммуникационная сеть}; необходимо ли считать, что в организации есть объект КИИ?
Ответ: Да.
4. Ограничено ли количество циклов исправлений форм уведомления о результатах категорирования после получения мотивированного отказа ФСТЭК (подали-отказ-исправили–отказ-…..сколько будет длится)? До момента устранения всех недостатков, указанных ФСТЭК?
Ответ: Не ограничено. Будете устранять, пока не приведете в соответствие с требованиями подзаконных актов.
5. Каким образом предполагается выполнение требований Приказа ФСТЭК России от 21.12.2017г. №235 и Приказа ФСТЭК России от 25.12.2017г. №239 для информационных систем, являющихся ЗОКИИ, пользователями которых являются жители города Москвы, а не работники субъекта КИИ?
Вопрос вызван п.15 Приказа 235 ФСТЭК
15. Работники, эксплуатирующие значимые объекты критической информационной инфраструктуры (пользователи), а также работники, обеспечивающие функционирование значимых объектов критической информационной инфраструктуры, должны выполнять свои обязанности на значимых объектах критической информационной инфраструктуры в соответствии с правилами безопасности, установленными организационно-распорядительными документами по безопасности значимых объектов (инструкциями, руководствами).
До работников должны быть доведены положения организационно-распорядительных документов по безопасности значимых объектов в части, их касающейся.
Субъект критической информационной инфраструктуры должен проводить не реже одного раза в год организационные мероприятия, направленные на повышение уровня знаний работников по вопросам обеспечения безопасности критической информационной инфраструктуры и о возможных угрозах безопасности информации.
Ответ: Не предполагается.
Так как блогеров стало меньше, то появилось возможность для дополнительных вопросов.
6. Организация работает в сфере информационных технологий (ОКВЭД 2 «63 - Класс «Деятельность в области информационных технологий» и 62 - Класс «Разработка компьютерного программного обеспечения, консультационные услуги в данной области и другие сопутствующие услуги»). Лицензий РКН на оказание услуг связи не имеет, соответственно не проводит работ по предоставлению:
1. Услуги местной телефонной связи, за исключением услуг местной телефонной связи с использованием таксофонов и средств коллективного доступа.
2. Услуги междугородной и международной телефонной связи.
3. Услуги телефонной связи в выделенной сети связи.
4. Услуги внутризоновой телефонной связи.
5. Услуги местной телефонной связи с использованием таксофонов.
6. Услуги местной телефонной связи с использованием средств коллективного доступа.
7. Услуги телеграфной связи.
8. Услуги связи персонального радиовызова.
9. Услуги подвижной радиосвязи в сети связи общего пользования. 10. Услуги подвижной радиосвязи в выделенной сети связи.
11. Услуги подвижной радиотелефонной связи.
12. Услуги подвижной спутниковой радиосвязи.
13. Услуги связи по предоставлению каналов связи.
14. Услуги связи по передаче данных, за исключением услуг связи по передаче данных для целей передачи голосовой информации.
15. Услуги связи по передаче данных для целей передачи голосовой информации.
16. Телематические услуги связи.
17. Услуги связи для целей кабельного вещания.
18. Услуги связи для целей эфирного вещания.
19. Услуги связи для целей проводного радиовещания.
20. Услуги почтовой связи.
Вопрос: Относится ли сфера ИТ к сферам, регулируемых 187-ФЗ?
Вопрос вызван рекомендациями ФСТЭК по использованию кодов деятельности организации ОКВЭД для идентификации субъектов КИИ. В действующем ОКВЭД 2 указан РАЗДЕЛ J. Деятельность в области информации и связи, в который входят следующие коды классов:
Код ОКВЭД 58 - Деятельность издательская
Код ОКВЭД 59 - Производство кинофильмов, видеофильмов и телевизионных программ, издание звукозаписей и нот
Код ОКВЭД 60 - Деятельность в области телевизионного и радиовещания
Код ОКВЭД 61 - Деятельность в сфере телекоммуникаций
Код ОКВЭД 62 - Разработка компьютерного программного обеспечения, консультационные услуги в данной области и другие сопутствующие услуги
Код ОКВЭД 63 - Деятельность в области информационных технологий
Непонятно что относится к сфере «Связь» из этих указанных классов деятельности.
6.1. Если в организации используется лабораторная установка (химическая, бактериологическая, неразрушающего контроля и т.д.), то в организации осуществляется научная деятельность? Что относится к сфере «Наука»?
Вопрос вызван рекомендациями ФСТЭК по использованию кодов деятельности организации ОКВЭД для идентификации субъектов КИИ. В действующем ОКВЭД 2 указан РАЗДЕЛ M. Деятельность профессиональная, научная и техническая
Код ОКВЭД 69 - Деятельность в области права и бухгалтерского учета
Код ОКВЭД 70 - Деятельность головных офисов; консультирование по вопросам управления
Код ОКВЭД 71 - Деятельность в области архитектуры и инженерно-технического проектирования; технических испытаний, исследований и анализа
Код ОКВЭД 72 - Научные исследования и разработки
Код ОКВЭД 73 - Деятельность рекламная и исследование конъюнктуры рынка
Код ОКВЭД 74 - Деятельность профессиональная научная и техническая прочая
Код ОКВЭД 75 - Деятельность ветеринарная
Ответ: Коды ОКВЭД это просто маркеры. Один из признаков. И ничего более.
На попытку повторно поднять вопрос про распределенные ИС, был получен комментарий, что проблемы видят и ищут пути их решения.
Очень напрягло изменение позиции представителей ФСТЭК по вопросу использования методических документов для моделирования угроз. Ранее на конференциях упоминалось, что можно использовать методики ФСТЭК для ИСПДн без всяких ограничений. На встрече прозвучало, что только для тех ОКИИ, в которых обрабатываются ПДн. Для всех остальных ОКИИ необходимо использовать документы согласно инф.письму (КСИИ). ДСП с них никто снимать не будет.
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
** Все новости блога на публичном Telegram-канале t.me/ruporsecurite
Ждёмс следующей заметки,спасибо коллеги
ОтветитьУдалить