Страницы

понедельник, 22 марта 2021 г.

"Кибербезопасность цифрового предприятия" 16.03.2021

 


Компания "Гротек" последний год радует новым форматом и количеством качественных онлайн-конференций из цикла "Кибербезопасность цифрового предприятия". Так, 16.03.2021 на очередной конференции прозвучал доклад директора Научно-образовательного центра новых информационно-аналитических технологий РГУ нефти и газа (НИУ) имени И.М. Губкина, в котором он отразил свой взгляд на утвержденную 05.02.2021 Методику оценки угроз от ФСТЭК России

Презентации докладчиков доступны для скачивания - ссылка

Полная видеозапись конференции - ссылка

Чем интересен этот доклад?

1. РГУ им. И.М.Губкина активно показывается в докладах Минэнерго и упоминается в докладах ФСТЭК как методический центр по 187-ФЗ в сфере ТЭК. Разработаны и выпущены методики категорирования для предприятий ТЭК, согласованные с ФСТЭК. То есть, это люди "в теме" КИИ.

2. Публичных позиций по новой методике просто мало. А здесь еще и конструктивная критика с выдвижением собственного подхода к оценке угроз у субъекта КИИ







Видео доклада


Лично для меня, данный доклад служит своеобразным маркером, показывающим что  и через три года действия 187-ФЗ не только у субъектов КИИ, но и в учебных отраслевых центров нет ясного понимания НПА по безопасности КИИ.

Постоянно идет в докладе на определение угроз в акте категорирования. Упоминается что есть утвержденная форма акта категорирования. Здесь либо путаница с формой по 236 приказу, либо продолжают оперировать недействующей редакцией ПП127.

С 24.04.20019 в ПП127 нет требования, что акт категорирования должен содержать "результаты анализа угроз безопасности информации объекта критической информационной инфраструктуры".

С другой стороны, докладчик совершенно прав:

236 приказ и ПП127 требует от субъекта КИИ провести оценку угроз безопасности информации, которые могут привести к возникновению компьютерных инцидентов на объектах критической информационной инфраструктуры, а ФСТЭК выпустила "МЕТОДИКУ ОЦЕНКИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ". И по сути, субъект КИИ на этапе категорирования вынужден использовать методику ФСТЭК.

Ведь Методика ФСТЭК не про создание моделей угроз, в п.1.2 Методики об этом прямо указано.

Более того, п.1.3 Методики практически дословно совпадает с требованиями к процедурам категорирования объектов КИИ

Таким образом, ФСТЭК создала очередную правовую коллизию для субъектов КИИ, не рассматривая в комплексе уже действующие НПА и новую Методику.

Видимо с этим и связан анонсированный выпуск рекомендаций ФСТЭК по организации работы постоянно действующей комиссии по категорированию субъектов КИИ, иначе эту проблему придется решать через внесение изменений в ПП127, а ФСТЭК желает избежать этого.

P.S. 8 апреля состоится конференция "Защита информации в АСУ ТП. Безопасность критической информационной инфраструктуры". Есть возможность заранее задать вопрос докладчику от ФСТЭК  - ссылка


* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite

Комментариев нет:

Отправить комментарий