В феврале 2021 года ТБ-Форум прошел в оригинальном формате. Не только за счет онлайн трансляции, но и участием ФСТЭК в двух секциях "Защита информации в АСУ ТП. Безопасность критической информационной инфраструктуры" и "Актуальные вопросы защиты информации".
Из интересного на секции про безопасность КИИ:
Полня запись от организаторов
Презентации докладчиков можно скачать по ссылке
Выделю три доклада в секции особо:
1. Доклад Кубарева А.В. (ФСТЭК России)
1.1. Заявлен крайне низкий показатель выполнения требований по формированию Перечней объектов КИИ и последующего категорирования потенциальными субъектами КИИ. Цифры ФСТЭК больше не озвучивает. Обещают радикально все порешать. (Проблема в текущей редакции 187-ФЗ решения не имеет. Определения "субъект КИИ", "объект КИИ" настолько туманны, а отсутствие органа власти с должными полномочиями только усугубляют ситуацию. Давно уже назрела необходимость внесения правок в ст.2 187-ФЗ._
Ответ на недоумение регулятора - https://valerykomarov.blogspot.com/2020/09/75.html
Полугодовая практика подтвердила верность выводов в заметке. Жаль.
1.5. ФСТЭК решил значительно повысить показатели выполнения 187-ФЗ. Вот инструменты
2. Доклад Е. Новикова (Минэнерго)
Основное достижение Минэнерго -выпустили методику категорирования ТЭК.
Как уже отмечал в заметке по итогам Инфофорума 2021, ФСТЭК больше не относит сферу ТЭК к лидерам по выполнению 187-ФЗ.
Для меня остается основной вопрос с сферой энергетики, а не с ТЭК.
Из доклада понятно, что три отрасли относятся к ТЭК. А остальные энергетические отрасли? Куда отнести теплоснабжение? Распоряжение Правительства РФ от 09.06.2020 N 1523-р "Об утверждении Энергетической стратегии Российской Федерации на период до 2035 года" указывает "Топливно-энергетический комплекс Российской Федерации включает в себя нефтяную, газовую, угольную и торфяную отрасли, электроэнергетику и теплоснабжение"
или 256-ФЗ
"объекты топливно-энергетического комплекса (далее также - объекты) - объекты электроэнергетики, нефтедобывающей, нефтеперерабатывающей, нефтехимической, газовой, угольной, сланцевой и торфяной промышленности, а также объекты нефтепродуктообеспечения, теплоснабжения и газоснабжения;"
2.1. Прозвучал тезис доклада, что по 187-ФЗ никто не имеет права определять что относится к объекту КИИ, а что нет. Включая руководителя организации. К сожалению, подход к определению субъекта КИИ был вообще пропущен докладчиком. Перешли сразу к срокам направления сведений.
2.2. До сих пор много организаций ТЭК, которые просто не в курсе существования 187-ФЗ.
2.3. Мероприятия внутреннего контроля с участием ФСТЭК, показали отсутствие единого подхода к обеспечению безопасности ЗОКИИ у предприятий ТЭК.
2.4. ФСТЭК в комментариях к докладу сказала, что согласовали методику Минздрава. С согласованным ФСТЭК проектом можно ознакомится - https://portal.egisz.rosminzdrav.ru/materials/3635
2.5. Минэнерго хочет внести себя как регулятора для субъектов КИИ из сферы ТЭК в 187-ФЗ, по аналогии с ЦБ РФ.
3. Доклад М.Богатырева (Сибинтек)
Очень полезный и грамотный доклад с практической составляющей.
Секция по вопросам защиты информации.
Полная запись от организаторов
Презентации докладчиков можно скачать по ссылке
4. Доклад Лютикова В.С.(ФСТЭК России)
Сама секция была посвящена безопасности удаленного режима работы. Анонсировано внесение изменений в приказ ФСТЭК № 17 и методический документ «Меры защиты в государственных информационных системах» в части применения средств, обеспечивающих безопасную дистанционную работу в информационной системе с использованием средств вычислительной техники, не входящих в ее состав. Выражена озабоченность, что никто из операторов ГИС не прислал модели угроз, доработанные с учетом аврального перехода на удаленку в 2020 году.
4.1. Общественные эксперты попросили ФСТЭК не публиковать планы деятельности, а ставить специалистов ИБ перед фактом - "документ принят, все побежали исполнять". ФСТЭК прислушатся и решил последовать заветам общественности.
4.2. У ФСТЭК не было необходимых НПА для регулирования аттестации ИС. Пришлось в прошлом году выпускать Указ Президента и вносить полномочия в Положение о ФСТЭК. (замечу, что это произошло из-за изменения положения о сертификации ФСТЭК).
4.3. Проект положения по аттестации дорабатывается по замечаниям общественности.
4.4. Посчитали что ГИС более широкое понятие чем ИСПДн, но теперь включат в Положение об аттестации. (странная точка зрения. Видимо из-за того, что в ГИС разрешается обрабатывать ПДн соответствующего УЗ.)
4.5. Наблюдения ФСТЭК показывают, что вся оценка рисков сводится к одному - не применять средства защиты информации за счет занижения оценки рисков.
4.6. Законопроект изменения КоАП принят Госдумой в первом чтении. Ожидаем принятие в втором чтении. Видеозапись заседания Госдумы и выступление Лютикова В.С. на нем -
4.7. Рекомендации ФСТЭК по обеспечению защиты информации в режиме удаленного доступа, выданные весной 2020 года, оказались экономически не обоснованы и не выполнимы операторами ГИС по объективным причинам.
4.8. Требования раздела "Защита информации" для системы дистанционного надзора за промышленной безопасности пока только в начале пути.
4.9. Территориальные органы ФСТЭК проверяют пакет документов при аттестации. Если что не нравится, то возвращают. А заказчик идет судится с исполнителем. (это по проекту положения об аттестации). Выдача аттестата с ФСТЭК не согласуется.
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
*** YouTube - канал блога
**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1
***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite
Комментариев нет:
Отправить комментарий