Инфофорум-2021

 

   Традиционно год открывает Инфофорум. Мероприятие достаточно пафосное и высокоуровневое, тем интереснее, что в этот раз получались вполне познавательные секции форума и для специалистов на местах.

   1. Первое место заслуженно занимает доклад Лютикова В.С. (ФСТЭК России). Очень много сказано по делу и без высоких слов. 

- За 2020 год в 2 раза увеличилось количество субъектов КИИ, подавших Перечни ОКИИ.

В 4,5 раза выросло количество ЗОКИИ в Реестре ФСТЭК.

  в 2018 году озвучивали 660 субъектов КИИ и 60 ЗОКИИ.

  за 2019 озвучили - 1800 субъектов и прогноз на 12 000 субъектов в стране.

 и 2025 ЗОКИИ

   Получается, что у нас сейчас 3600 субъектов КИИ и около 9000 ЗОКИИ? Тогда получается, что только 30 % субъектов КИИ провели категорирование за три года. А, если взять количество потенциальных субъектов КИИ не из публичных докладов ФСТЭК, а из официальных опубликованных пояснительных записок к законопроектам на https://regulation.gov.ru, в которых указывается 500 000 организаций, то статистика для ФСТЭК еще хуже - менее 1%. И это на фоне принудительного ускорения для госструктур в 2019 году.

- Усиливается тенденция на занижение субъектами КИИ показателей значимости. Нулевые показатели не пройдут.

 - ФСТЭК более не доверяет компенсирующим (дублирующим) мерам предотвращения компьютерных инцидентов, не подверженных компьютерным атакам. (противоаварийная автоматика, предохранительные клапана и т.д.). 

Вообще, это очень опасные вещи озвучены в обоснования. Надо бить во все колокола, если это действительно так. Ведь ФСТЭК коснулся темы промбезопасности только исходя из противодействия компьютерным атакам, а неисправность ПАЗ -это угроза аварии в любом момент.

 - Завершена разработка методических рекомендаций по применению показателей категорий значимости. В первую очередь опубликуют экокномические.

   Очень долго ФСТЭК работает с этими методиками. Они были анонсированы ФСТЭК еще на ТБ -форуме в 2019 году. Прошло два года, мы все также на уровне проектов документов.

Речь идет вот про эти методические документы ФСТЭК

Замечу, что тогда обещали для них пометку ДСП.

- Методику моделирования угроз обещают в этом году утвердить.

- Признано, что в законе не установлены конкретные сроки на категорирование для коммерческих субъектов КИИ. Принуждение к категорированию будет через прокуратуру, путем выписывания представлений на устранение нарушений законодательства.

  Очень взвешенно все сказано. Примеры разбирал - https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-prokurorskii-zapros-5e2c14c1ba281e00ae0d0f85

- Штрафы в проекте КоАП должны заставить должностных лиц задуматься об исполнении закона.

  Как это увязать с последующим утверждением, что никакие штрафы в России не работают - я не знаю. Вот прямо заявляют, что размеры штрафа можно и до миллиарда довести, но ничего не изменится. А зачем тогда КоАП так пробивают?

- В втором полугодии 2021 начнется проведение госконтроля за ЗОКИИ.

Это вполне закономерно, под него попали "счастливчики - первопроходчики", кто успел прокатегорироваться в 2018 году.

- Прокуратурой были указаны на пробелы в полномочиях ФСТЭК по оценке защищенности ГИС.

Вот и появился проект Порядка аттестации. Причем проблему ФСТЭК создал себе сам, когда изменил порядок сертификации. https://valerykomarov.blogspot.com/2020/03/blog-post_9.html

- Будет разработано типовое сертифицированное рабочее место для удаленного подключения к ГИС.

  2. Доклад НКЦКИ

  3. Доклад Торбенко Е.Б.

Негативное ощущение от доклада осталось. Много заявлений на эмоциях и напора, но никакого соответствия 187-ФЗ. Сложилось впечатление, что ФСТЭК никак не учитывает опыт трех лет применения 187-ФЗ и и линия на принуждение к исполнению останется без изменения.

- КСИИ как было, так и остается важным и опасным

КСИИ вообще формировались по другому принципу и далеко не все КСИИ стали ЗОКИИ.

- До сих пор встречаются организации, не знающие о 187-ФЗ.

Странное откровение, про провал разъяснительной политики уже столько написано. Хорошо хоть признали как факт.

- очень незначительная часть субъектов КИИ приступила к обеспечению безопасности ЗОКИИ

- Если вы осуществляете деятельность в 13 сферах КИИ, то вы субъект КИИ

Ну вот не так написано в 187-ФЗ, а менять определение субъекта КИИ в законе ФСТЭК не считает целесообразным. 

- ..Надо найти ОКИИ, определить необходимость их категорирования,...

Что значит определить необходимость категорирования объекта КИИ? В 187-ФЗ статья № 7 прямо указывает, что категорируются все объекты КИИ и не предусмотрено никаких исключений. Откуда появились ОКИИ, которые не требуется категорировать?

 - почему то медучреждения не относят к объектам КИИ медицинское оборудование

А почему они должны относить оборудование к объектам КИИ? Определение "объект КИИ" дано в ст.2 187-ФЗ. Там нет ни слова про оборудование.

- Низкое качество сведений о результатах категорирования. От 40% до 60% возврат на доработку.

Если не обеспечить процесс методическими документами и шаблонами, то так и будет. Результат бездействия самой ФСТЭК. Раньше озвучивали 40% возврата, количество брака выросло.

- Экономический показатель не может быть нулевым.

Спорное утверждение, но подождем публикации метрек ФСТЭК по их расчету.

- В лидеры по исполнению 187-ФЗ вышли сферы Космоса и ОПК. Сфера ТЭК перестала заслуживать похвалы. Наихудшие показатели - здравоохранение, транспорт, химия.

- Первым делом составьте План по внедрению мер обеспечения безопасности ЗОКИИ.

 - Организационные меры безопасности ЗОКИИ должны быть реализованы сразу, без отсрочек.

- Некоторые проблемы исполнения 187-ФЗ замалчиваются субъектами КИИ и ФСТЭК не может вовремя на них отреагировать.

    4. Секция ПРОБЛЕМЫ ИМПОРТОЗАМЕЩЕНИЯ И ПЕРСПЕКТИВНЫЕ ТЕХНОЛОГИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 

- получено разъяснение, почему в проекте Указа Президента РФ по обеспечению технологической независимости КИИ произошли изменения сроков. Приведены сканы официальной переписки.

Речь про вот это:

2.Субъектам критической информационной инфраструктуры, руководствуясь Порядком, утверждаемым Правительством Российской Федерации, до 1 января 2024 г. до 1 января 2023 г. осуществить переход на преимущественное использование российского программного обеспечения и до 1 января 2025 г до 1 января 2024 г. осуществить переход на преимущественное использование российского телекоммуникационного оборудования и радиоэлектронной продукции.

   Замечу, что распространено мнение о переходе к отечественному с учетом сроков амортизации иностранного оборудования. Это не так. Порядок перехода указывают:

"текущих сроков амортизации, используемых субъектом КИИ телекоммуникационного оборудования и радиоэлектронной продукции и срока действия прав на использование ПО в отношении используемого ПО, телекоммуникационного оборудования и радиоэлектронной продукции, сведения о которых не включены в РПО, РЕП и РРП;"

  Но учитывается он только при разработке Плана перехода, конечный же срок по импортозамещению указан в проекте Указа и никак не зависит от срока амортизации.

по итогам реализованных мероприятий, с учетом сроков перехода на преимущественное использование российского ПО, телекоммуникационного оборудования и радиоэлектронной продукции, установленных Указом Президента Российской Федерации от «__» ______ 20__ г. № ____ «О мерах экономического характера по обеспечению технологической независимости и безопасности объектов критической информационной инфраструктуры», подготовить и до 1 июля 2021 г. утвердить план перехода на преимущественное использование российского ПО, телекоммуникационного оборудования и радиоэлектронной продукции (далее – План);

   Еще очень интересный момент: импортозамещение не коснется оборудования сетей электросвязи, поскольку оно не относится к объектам КИИ.

- озвучены очень правильные идеи по приведению к единству терминологии в законодательстве страны. Как одно из первоочередных - дать определение для ГИС. Последняя попытка ФСТЭК выпустить ГОСТ по компьютерным атакам вызвала полное недоумение - https://valerykomarov.blogspot.com/2020/08/blog-post_25.html

  5. Принял участие в работе секции "«ФИНЦИФРА-21»: КИБЕРУСТОЙЧИВОСТЬ И КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ В ЦИФРОВУЮ ЭПОХУ

 - было очень интересно услышать практически единогласную позицию банков по экономической целесообразности ЕБС. Клиентам она не интересна, а принудительные расходы банков на поддержание ее функционирования очень высоки.

- прозвучал широко распространенный тезис, что государство никак не борется с "пробивальщиками" ПДн в банках, операторах связи и т.д.

Это не так. Правоохранительные органы в последние два года активно "работают" по нерадивым работникам таких организаций и доводят дела до суда, с последующими обвинительными приговорами. ФСБ квалифицирует такие действия работников операторов связи как нанесение вреда КИИ и применяет ст.274.1 УК РФ. Сотрудники МВД квалифицируют по классическим 272-274 УК РФ статья о компьютерных преступлениям, в том числе и при выявлении преступников в своих рядах. Приговоров сотни, часть из них я освещал в блоге.

Базы РЖД: https://valerykomarov.blogspot.com/2020/11/blog-post_23.htm

Мегафон: https://valerykomarov.blogspot.com/2020/11/blog-post_13.html

МТС: https://valerykomarov.blogspot.com/2020/09/2741.html

МВД: https://valerykomarov.blogspot.com/2020/05/blog-post_6.html

МВД: https://valerykomarov.blogspot.com/2018/11/blog-post_22.html

P.S. Если вы не получили ответы на свои вопросы по КИИ во время межблогерского вебинара по КИИ 28 января 2021 года, то рекомендую ознакомится с заметкой - https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/mejblogerskii-vebinar-otvety-na-voprosy-601694bfd3c91450c620892b.

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite