Кибербезопасность АСУ ТП критически важных объектов -09/2020

 

   Десять дней назад прошла примечательная для субъектов КИИ онлайн-конференция. Привлекла она мое внимание докладами федерального (Минэнерго) и регионального (Сахалинский ОЦИ), а также  докладом ФСТЭК России.

    Доклад представителя Минэнерго был типовой, интерес представили ответы на вопросы:

1. Будет ли обновляться приказ Приказ Минэнерго России от 06.11.2018 N 1015 "Об утверждении требований в отношении базовых (обязательных) функций и информационной безопасности объектов электроэнергетики при создании и последующей эксплуатации на территории Российской Федерации систем удаленного мониторинга и диагностики энергетического оборудования" ?

Ответ:скорее всего приказ будет отменен после ввода в эксплуатацию ФГИС ТЭК.

2. Почему методические рекомендации по категорированию в ТЭК не подлежат применению в органах власти?

Ответ не поступил из-за технических проблем с связью.

3. Какими документами руководствовались при проведении категорирования в Минэнерго?

Ответ: фактически этими метреками и руководствовались.

 

4. Отнесли ли себя авторы этих методических рекомендаций (Минэнерго и РГУ нефти и газа (НИУ) имени И.М. Губкина) к субъектам КИИ?

Ответ: Минэнерго отнесло (заседание комиссии прошло в августе), про Университет не известно. Обещали узнать и сообщить.

    Доклад от регионального субъекта КИИ - просто крики о помощи.

Совершенно верно отмечено докладчиком, что выполнение 187-ФЗ ничем не обеспечено.

В блоге этому был посвящен цикл заметок:

https://valerykomarov.blogspot.com/2020/01/187.html

https://valerykomarov.blogspot.com/2020/01/187_10.html

Как же видят это на другом краю нашей страны?

  Совсем как то с торжественными выступлениями об успехах выполнения 187-ФЗ в стране не стыкуется. Три года прошло с момента принятия закона. продолжаем делать вид, что все у нас хорошо.

Виноградов Алексей Владимирович

Начальник отдела ИБ ГБУ «Сахалинский областной центр информатизации»

Видеозапись выступления

    Доклад ФСТЭК России (А.В. Кубарев).

   Представитель регулятора не стал уделять внимание результатам этапа категорирования, считая это пройденным этапом. Доклад посвящен созданию СБ ЗОКИИ и разъяснениям по новым приказам ФСТЭК.

   1. Если ранее ФСТЭК просто озвучивала свое негативное отношение к привлечению сторонних организаций для проведения категорирования ОКИИ, то теперь это конкретизировано в состав уголовного преступления -"нецелевое расходование средств" Статья 285.1 УК РФ (может быть расценено).

  2. ФСТЭК продолжает удивляться уровню назначаемых исполнителей субъекта КИИ. Слишком низок.

  3. Непонятно удивление ФСТЭК текущему состоянию дел с обеспечением безопасности ЗОКИИ. Такое ощущение, что ФСТЭК ожидали увидеть в уведомлениях о результах категорирования выполненные требования 239 приказа.

   4. ФСТЭК недовольно занижением потенциала нарушителя. Считает, что есть прямая связь между категорией значимости и потенциалом нарушителя. Почему бы об этом прямо не написать в приказах ФСТЭК? Или пусть и дальше ответственность за принятые решения лежит на субъекте, а ФСТЭК будет настойчиво рекомендовать?

   5. Пр разборе новых приказов ФСТЭК получился некий онлайн-ответ ФСТЭК на заметки в моем блоге https://valerykomarov.blogspot.com/2020/09/239.html и блоге Алексея Лукацкого

https://lukatsky.blogspot.com/2020/09/blog-post_16.html

вполне оперативно и конструктивно. Полностью поддерживаю подобную реакцию и открытость регулятора. Но к сожалению, взаимопонимания стороны не нашли. Каждая сторона озвучила свою позицию и не более. К тому же прозвучало, что общественность плохо упрекало авторов за качество разработки проектов приказов на стадии общественного обсуждения. Ну что же, повысим градус обсуждения последующих нормотворческих инициатив ФСТЭК.

  6.ФСТЭК не видит ничего проблематичного в оценке соответствия СЗИ. Может проводиться собственными силами.

  7. Обсуждение 75 приказа я отразил в отдельной заметке https://valerykomarov.blogspot.com/2020/09/75.html#more

  8. А. Кубарев  уточнил ситуацию с Методикой моделирования угроз. Сейчас рассматриваются все замечания и предложения, поступившие после размещения проекта Методики на сайте ФСТЭК. Примерно через месяц планируется размещение доработанного проекта Методики на сайте ФСТЭК.

  9. Проект КоАП по КИИ на рассмотрении в Правительстве. Ожидания у ФСТЭК оптимистичные.

Видезаписи доклада ФСТЭК

Видеозаписи и презентации от организаторов конференции http://www.itsec.ru/adapt/conference17.09

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite