"Кибербезопасность цифрового предприятия" Декабрь 2020

 

  В рамках Форума All-over-IP  04.12.2020 прошла конференция "Кибербезопасность цифрового предприятия". Организаторам удалось второй раз собрать интересный состав докладчиков по КИИ. Как и в сентябре, сначала доклады субъектов КИИ о описанием мрачной картины выполнения 187-ФЗ на местах,а в конце бодрый доклад ФСТЭК. Очень наглядная демонстрация двух полюсов отношения к 187-ФЗ в стране.

Презентации участников доступны - https://www.all-over-ip.ru/2020/program/cybersecurity

1. За медицину отчитывалась сеть клиник "МЕДСИ"

Практика реализации 187-ФЗ на объектах здравоохранения

Алексей Богомолов, начальник управления ИТ инфраструктуры, Группа компаний "Медси"

Без презентации.

   Попытался получить от него ответы на вопросы:

1.       -  Какие требования к квалификации специалиста безопасности КИИ предъявили? Только 235 приказ ФСТЭК или профстандарты Минтруда и Приказом Минздравсоцразвития России от 22.04.2009 N 205? Ответ - мы до этой стадии еще не дошли. Месяц назад только приступили к категорирванию объектов?

-      - Рассматривали ли как объекты КИИ рентгеновские установки в стоматологии? Ответ - все будет объектами КИИ

Д     Собственно, доклад интересен только демонстрацией отношения субъектов КИИ к своей доле и осознанию важности законов, спускаемых сверху. На мой вопрос, а что же заставило приступить к выполнению 187-ФЗ, ведь три года ничего не делали? Внятного ответа не прозвучало. 

2. За транспортную сферу доложились представители железнодорожников.

  Особенности обеспечения киберзащищенности систем движения поездов

Борис Безродный, заместитель руководителя Центра кибербезопасности, АО «НИИАС» (ОАО "РЖД")

Презентация - https://www.all-over-ip.ru/hubfs/AoIP%20ADAPT/AoIP_4-12-2020_Безродный.pdf?hsLang=ru

  

   Тематики КИИ в докладе практически не было, но очень явно прозвучали возражения против концепции ФСТЭК по защите всего по максимуму. Касается всех областей защиты информации, установленных нашим законодательством. Явно у людей наболело.

  "Непродуманная защита информации убивает функциональную безопасность" и "лучше всего защищена та система, которая не работает" -можно в цитатник безопасника заносить

3. ФСТЭК

Вопросы реализации Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации"

Алексей Кубарев, заместитель начальника управления ФСТЭК России

Презентация https://www.all-over-ip.ru/hubfs/AoIP%20ADAPT/AoIP_4-12-2020_Кубарев.pdf?hsLang=ru

1.       

Озвучена позиция по подчиненности специалиста безопасности ЗОКИИ службе ИТ - нежелательно.

    Уже традиционная демонстрация негативного отношения ФСТЭК к привлечению сторонних организаций к категорированию объектов КИИ. По ходу доклада, было несколько попыток слушателей прояснить аргументацию, но ничего нового не прозвучало.

   Вполне ожидаемо, что субъекты КИИ ограничиваются категорированием уже существующих ОКИИ. Про вновь создаваемые такую процедуру в ПП127 и 239 приказе сотворили, что мало желающих связываться. Да и мало кто нормативку читает внимательно. Это вообще беда, очень много банальных вопросов возникает просто из-за незнания не то что содержания НПА, а даже самого факта существования документов. 

 Импортное ПО и оборудование - это очень плохо для защищенности ЗОКИИ!

  

    С момента издания 239 приказа утверждаю, для субъекта КИИ альтернатива сертифицированным СрЗИ декларативная. Подтверждать соответствие применяемых не сертифицированных СрЗИ -это лотерея. Подобное уже проходили с ИСПДн, когда вполне выписывались административные штрафы "за отсутствие подтверждения соответствия".

  

       Ответы на вопросы:

        Организаторам конференции отдельное спасибо за предварительный сбор вопросов и выделение отдельного времени на ответы ФСТЭК.

       1. Судьба Методики моделирования угроз?

        Судьба тяжелая и не ясная. Поступило еще много замечаний и предложений. Сроки готовности не называются.

2.       2. Позиция ФСТЭК по проекту ПП РФ от Минцифры по обеспечению технологической независимости КИИ РФ? В приложении 2 указано, что ПО и оборудование СрЗИ ЗОКИИ подпадает под требования импортозамещения. Запрет на импортные СрЗИ для ЗОКИИ, даже сертифицированные ФСТЭК? Что закладывать в контракты на проектирование СБ ЗОКИИ?

          ФСТЭК согласовал данный законопроект. Так что, иностранные средства защиты информации не желательны в ЗОКИИ, даже сертифицированные.

3.         3. Как выглядит процедура перевода незначимого ОКИИ в ЗОКИИ (прошла модернизация и ПДКК приняла решение пересмотреть решение об отсутствии категории значимости для этого объекта- присвоена категория значимости). В 187-ФЗ и ПП127 это никак не описано. Сроки и последовательность действий?

        Почему то прозвучал ответ, что это законодательно прописано. Напомню ФСТЭК, что в 187-ФЗ прописана процедура исключительно для ЗОКИИ: 

12   Категория значимости, к которой отнесен значимый объект критической информационной инфраструктуры, может быть изменена в порядке, предусмотренном для категорирования

        В ПП127 ситуация аналогичная.

4.       4. Надо ли включать в Перечень ОКИИ, подлежащих категорирования, вновь создаваемые ОКИИ (на стадии утверждения ТЗ к созданию системы) и направлять Перечень в ФСТЭК? По ПП127 направляются сразу результаты категорирования. А что с Перечнем делать?

         Нет, в Перечень включать не требуется.

5.       5. Ранее вы обещали подумать над мерами принуждения производителей ПО, используемого в ЗОКИИ и которые не являются лицензиатами ФСТЭК (в рамках произошедших изменений в 239 приказе). Найдено ли решение?

         Нет, еще не найдено.

6.       6. Будут ли проводится в 2021 году проводится плановые проверки ЗОКИИ? Если да, то будет ли опубликован план проверок на сайте ФСТЭК?

             Плановые проверки в 2021 году будут. Планы проверок публиковаться не будут.

7.       7. Какие планы по изменению приказов ФСТЭК на 2021 год?

           Запланированы очередные изменения 31 приказа.

        8. Как ФСТЭК определяет предприятия, относящиеся к оборонной промышленности?

            По перечню Минпромторга. Выполнение заказов для предприятий ОПК не делает поставщика организацией, функционирующей в сфере оборонной промышленности.

         9. Будет ли ФСТЭК проверять требования по импортозамещению?

         Вопрос был неправильно понят докладчиком. Прозвучал ответ, что ФСТЭК не субъект КИИ и на него эти требования по импортозамещению не распространяются. Сжатый регламент конференции не позволил уточнить вопрос.

         10. Будет ли меняться 187-ФЗ?

         ФСТЭК против изменения 187-ФЗ. Считает недостаточной накопленную правоприменительную практику для внесения правок. 

        Вот интересно, вносить изменения в закон от 30.12.2001 N 195-ФЗ и вводить многотысячные штрафы без внятного обоснования и несоразмерности нарушения, практики достаточно у ФСТЭК. 

        Про документы ФСТЭК, анонсированные еще в 2018 году, уже и не спрашивают

           

  Ладно, методической помощи от ФСТЭК субъекты КИИ не дождались.

        А вот моделировать угрозу и строить систему безопасности ЗОКИИ по древним методичкам для КСИИ и ИСПДН..... Но виноваты во в всем только несознательные субъекты КИИ, как то так.

          

 

P.S. Презентация НКЦКИ "О сервисах НКЦКИ в интересах участников ГосСОПКА" c SOC-форума 2020 - https://ib-bank.ru/codes/doc/296

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite