понедельник, 16 сентября 2019 г.

Итоги "Инфоберег 2019" для субъектов КИИ

     

    В начале сентября традиционно прошла конференция "ИНФОБЕРЕГ -2019". Академия информационных систем (АИС) умеет привлечь топовых представителей регуляторов в области ИБ.  Посмотрим, что рассказали ФСТЭК и ФСБ по реализации 187-ФЗ.

   Секция 1. Круглый стол «Практическая реализация требований Федерального закона №187-ФЗ «О безопасности критической информационной инфраструктуры» и взаимодействия субъектов КИИ с ГосСОПКА. Первые итоги»
    1. ФСТЭК.  Доклад Е.Торбенко


       Забавно, но ФСТЭК указывает свое авторство для ПП127 и не указывает ПП 452.


        Самый ценный слайд в презентации, распределение объектов по сферам
   
         Как ФСТЭК кратко формулирует изменения в ПП127, приказы 235, 236, 239




   
   Отмечу, что требования по применению сертифицированных маршрутизаторов относится только
 "При проектировании вновь создаваемых или модернизируемых значимых объектов 1 категории значимости в качестве граничных маршрутизаторов, имеющих доступ к информационно-телекоммуникационной сети «Интернет», выбираются маршрутизаторы, сертифицированные на соответствие требованиям по безопасности информации (в части реализованных в них функций безопасности)."
   А требование по размещению компонентов ЗОКИИ аналогично конкретизированы :
"Входящие в состав значимого объекта 1 категории значимости программные и программно-аппаратные средства, осуществляющие хранение и обработку информации, должны размещаться на территории Российской Федерации (за исключением случаев, когда размещение указанных средств осуществляется в зарубежных обособленных подразделениях субъекта критической информационной инфраструктуры (филиалах, представительствах), а также случаев, установленных законодательством Российской Федерации и (или) международными договорами Российской Федерации)."



   А вот эти недостатки на слайде, они последствия излишне усложненного текста ПП127 и отсутствие внятных методик от регулятора по их выполнению.
"14(2). В случае если функционирование одного объекта критической информационной инфраструктуры зависит от функционирования другого объекта критической информационной инфраструктуры, оценка масштаба возможных последствий, предусмотренная подпунктом "е" пункта 14 настоящих Правил, проводится исходя из предположения о прекращении или нарушении функционирования вследствие компьютерной атаки объекта критической информационной инфраструктуры, от которого зависит оцениваемый объект.

14(3). В случае если осуществление критического процесса зависит от осуществления иных критических процессов, предусмотренная подпунктом "е" пункта 14 настоящих Правил оценка проводится исходя из совокупного масштаба возможных последствий от нарушения или прекращения функционирования всех выполняемых критических процессов.

Нарушение функционирования - Отклонение значений параметров критического процесса, в том числе временных параметров и параметров надежности, от проектных (штатных) режимов функционирования."

    В результате имеем "Возврат порядка 25-30% заявленных результатов категорирования", по основной причине "Причины - занижение категориии значимости и не знают вообще свой объект, не проводят прежде инвентаризацию". И вполне логичный вывод, что "Если только безопасники занимаются категорированием, то правильного результата по категорированию не добиться". Особенно с учетом того, что в проекте ПП127 в 2017 году безопасник вообще в состав комиссии не входил.


      Позиция ФСТЭК без изменений, перечень объектов КИИ составляет комиссия.


       Эти проблемы возникли по вине регуляторов. Нет квалифицированных кадров на местах, нет методических документов, нет СЗИ, нет нормального контроля за лицензиатами ТЗКИ. Зато закон приняли аврально и нормативку меняем на ходу. Результат вполне закономерный.

   Устно было дополнено, что "Уполномоченное лицо должно быть не старшим помощником младшего дворника, а тем, кто сможет свести разные подразделения для решения единой задачи".

     

    2. НКЦКИ. Доклад НКЦКИ (Раевский) традиционно был более формальным. Отдельно отмечено, что банковский субъект КИИ работает напрямую с НКЦКИ, а не через банк России.


   Устно озвучено обещание о появлении до конца 2019 года сайта НКЦКИ и ГосСОПКА.
Пока же, единственный вменяемый сайт у НКЦКИ предназначен для обывателя, но на нем размещают бюллетени  НКЦКИ. А официальный сайт НКЦКИ, указанный в приказе ФСБ никаких упоминаний о ГосСОПКА и НКЦКИ не содержит вообще.

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

7 комментариев:

  1. "Более 36000 объектов КИИ, подлежащих категорированию". Интересно, почему в этом заголовке слайда особенно подчёркнуто слово "подлежащих"?

    ОтветитьУдалить
  2. Видимо для разделения откатегорированных ОКИИ в количестве 4000, указанных на этом же слайде

    ОтветитьУдалить
  3. В этом случае можно было обойтись и без этого слова. Или можно было его не выделять. Странно это.

    ОтветитьУдалить
  4. Видимо, это по результатам полученных перечней. Результатов категорирования еще нет, поэтому они только подлежат категорированию,но еще не категорированы, на что отводится го в соответствии с 127-ПП.

    ОтветитьУдалить
  5. Указано, что перечни предоставили 3500 субъекта кии. И что 4000 объекта кии уже прокатегорированы.

    ОтветитьУдалить
  6. Только вот неясно, входят ли эти 4000 ОКИИ в 36000 или они дополнительно суммируются.

    ОтветитьУдалить
  7. И сколько из 4000 ОКИИ в результате тате включены в реестр ЗОКИИ

    ОтветитьУдалить