понедельник, 18 февраля 2019 г.

ТБ-форум2019. КИИ и сертификация СЗИ. Часть 2.


   Начало https://valerykomarov.blogspot.com/2019/02/2019-1.html

    На конференции выступали и коммерческие организации, не только ФСТЭК. Цифры трудозатрат по выполнению ПП127 ОДНИМ субъектом КИИ в сфере энергетики внушают трепет.
    От лица субъектов КИИ прозвучали доклады Норникеля и Минэнергетики (в лице подрядчика). Доклад Норникеля носил общий характер и отметил для себя только слайд с утверждением "обосновали расходы на выполнение 187-ФЗ", доклад В. Карантаева уже привлекал мое внимание на Инфофоруме-2019.

     А вот мои попытки задать вопросы докладчикам, вызвали довольно активную публичную дискуссию с В.С. Лютиковым.
1. По Норникелю задал вопрос: проводилась ли соотнесение уже совершенных затрат на выполнение 187-ФЗ с ущербом, который указан при расчете показателей значимости в их форме уведомления по 236 Приказу? Ведь фактически у субъекта КИИ уже есть все данные для оценки экономической обоснованности выполнения 187-ФЗ. Точно знают свои затраты и рассчитали потенциальный ущерб для своих ОКИИ.
  Ответ от Норникеля: экономически обосновано. 
  Позиция Лютикова В.С. - обосновано, особенно для сфер с угрозами жизни и здоровью человека.
 
2. По объекту энергетики задал вопрос: реально ли субъекту КИИ самостоятельно  выполнить ПП127? Без привлечения внешней высококвалифицированной услуги подрядчика.
  Ответ докладчика: возможно, при наличии грамотного управленца, способного "задать правильный вектор работы". 
   Позиция Лютикова В.С. - никаких лицензиатов, все работы способен выполнить сам субъект КИИ. Особенно, если  у него в штате есть подразделение ИБ. Внешняя организация потратит очень много времени на изучение процессов у субъекта КИИ. Проще и надежнее делать самим. Отдельно он отметил, что работы по ПП127 не подпадают по лицензируемые виды деятельности.
3. Представителем одного из субъекта КИИ был задан вопрос он необходимости согласования Перечня объектов, подлежащих категорированию с Ростехнадзором (основной регулятор для этого субъекта КИИ). Подобный вопрос уже звучал на СОК-форуме 2018. Видимо, проблема реально наболевшая в некоторых областях промышленности.

    Ответ Лютикова В.С.  - не требуется. Перечень направляется на согласование по ведомственной подчиненности, но не по регулированию.


4. Был отдельный вопрос от представителя субъекта КИИ со сложной управленческой структурой, в которой все ИБ сосредоточено в головном ПАО, а в дочерних структурах вообще нет специалистов ИБ в штате. Как им проводить категорирование без привлечения внешних специалистов?
   Ответ Лютикова В.С. - специалист по ИБ должен быть, иначе теряется весь смысл деятельности по обеспечению безопасности КИИ. Кто то должен ставить задачи и принимать работы, даже при привлечении внешних организаций.



5. Был задан вопрос представителем оборонки о необходимости повторного категорирования из-за изменений в НПА,а так же проблемы с самоидентификацией субъекта КИИ (неоднозначность с областями деятельности организации).

    Ответ Лютикова В.С.  - да, потребуется. С областями деятельности есть проблемы в законодательстве, надо решать в каждом конкретном случае.

  


* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.


** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

4 комментария:

  1. На самом деле, вопросы были достаточно наивными. С одной стороны хорошо, что их задают, лучше задать вопрос и получить компетентный ответ, но с другой стороны явно видно, что не все субъекты еще окунулись в категорирования.
    Разумеется, категорирование лучше проводить самостоятельно, тем более, что в ПП-127 Нет прямой отсылке к тому, что это можно кому-то поручить, но и нет прямого запрета, поэтому некоторые ушлые организации решили поспекулировать на данном рынке. Ничего против этого я не имею, но вся ответственность все равно останется на субъекте.
    Про согласование перечня где только не говорили, что это надо делать только тем субъектам, которые находятся в подведомстве, обычно, перечень подведомственных организаций имеется на сайте, так сказать, материнской организации. Однако, справедливости ради, стоит отметить, что в регуляторы некоторых сфер просят согласовывать перечни с ними, но в этом случае они заранее об этом оповестили организации, которые находятся в их регулировании.
    Про повторное категорирование, к сожалению, прямо прописано в крайнем тексте проекта изменений в ПП-127.

    ОтветитьУдалить
  2. Не все окунулись? Никто и не спорит. Сам ФСТЭК утверждает, что только 15% процентов что то сделало. Какой смысл спешить, если подзаконные акты так и не выпущены регуляторами полностью. А те, что выпустили - опять меняются.

    ОтветитьУдалить
  3. Про согласование Перечня надо было формулировку в ПП127 закладывать в нормальном виде. Половина субъектов ее читает - согласоватьс ФСТЭК, половина вообще не поймет про что речь. Особенно с учетом позиции министерств, которые пытаются увильнуть от ответственности при согласовании таких Перечней от подведов.

    ОтветитьУдалить
  4. Повторное категорирование не из-за фразы в последней версии проекта изменений ПП127, а из-за низкого качества утвержденного ПП127. За год снизить пороговое значение в 50 раз! Со 100 000 до 2 000. А ведь эти цифры кто то обосновал во всех трех случаях (для 100 000, для 50 000, для 2000). Подпись свою поставил. Он понесет ответственность за потери бюджетов организаций и страны? Это ведь не бесплатно - перекатегорироваться, это ведь минимум трудочасы потрачены впустую. И не только у субъектов КИИ. Какие трудозатраты понесла ФСТЭК? На разработку нового документа, его согласования и прохождение процедуры утверждения в Правительстве? Сколько представителей субъектов было отвлечено на эту работу и не выполняла свои прямые производственные обязанности?

    ОтветитьУдалить