четверг, 11 марта 2021 г.

"КИБЕРБЕЗОПАСНОСТЬ - НАШИ ДНИ. ПРОМЫШЛЕННЫЕ ТЕХНОЛОГИИ" 2021

 




Пандемия повлияла на традиционный банковский форум по безопасности банков. Февральский форум в Магнитогорске прошел для промышленности.

Презентации докладчиков можно скачать - https://ib-bank.ru/uralcyber/presentations.php

Главной фишкой конференции стал заранее организованный сбор вопросов к ФСТЭК от специалистов по ИБ. Я принял в нем активное участие и подал значительное количество вопросов. Не на все прозвучали ответы, но организаторы и ФСТЭК проделали большую работу  - достойно уважения и продолжения на других мероприятиях.

1. Диалог с ФСТЭК России, телемост с В.С. Лютиковым. Вопросы задает Лукацкий А.

Сам Алексей подвел итоги в заметках своего блога: https://lukatsky.blogspot.com/2021/02/21-1.html и https://lukatsky.blogspot.com/2021/02/2.html

Видео трансляции от организаторов 


3:50 Как будет проводиться информирование специалистов отрасли? Будет ли ФСТЭК проводить обучающие мероприятия? Как экспертное сообщество может участвовать в разработке методических документов?

Ответ: два направления: участие в конференциях и обучающие материалы. На базе Воронежа планируют делать видеозаписи учебных курсов.

Комментарий мой: ФСТЭК будет дальше замыкаться и максимально закрывать доступ к документам.

12:27 Как планируется проводить надзор в области КИИ? Есть ли уже наработки по методикам проверок, и будут ли он публичными? Будут ли данные о нарушениях передаваться в прокуратуру?

Ответ: в этом году будет проверено 5 ЗОКИИ, которые были первые внесены в Реестр ЗОКИИ в 2018 году. Методики проверок существуют, они служебные. Информация о части нарушений направляется в НКЦКИ (создающих предпосылки к КИ). В прокуратуру и в следственные органы не планируется.

Комментарий мой: https://valerykomarov.blogspot.com/2019/11/blog-post_11.html

18:56 Какими полномочиями обладает ФСТЭК для расследования и реагирования на инциденты, подобные несанкционированному проникновению в инфраструктуру РЖД?

Ответ: работа ведется, но она вне публичной плоскости.

Комментарий мой: подтверждаю, сталкивался с подобными ситуациями. ФСТЭК действительно реагирует и достаточно жестко.

21:48 Кто будет осуществлять надзор за импортозамещением в сфере КИИ в случае принятия проектов Указа Президента и Постановления Правительства?

Ответ: ФСТЭК за это не отвечает и проверять не будет.

Комментарий мой: лукавят. В первых версиях законопроекта не было требований об импортозамещения к СрЗИ ЗОКИИ. Они появились после согласования с ФСТЭК. То есть, ФСТЭК внес требования по импортозамещению не в 239 приказ и формально не причем.

26:05 Как развивается ситуация с принуждением со стороны ФСТЭК России производителей ПО, используемого в ЗОКИИ, которые не являются лицензиатами ФСТЭК (в рамках произошедших изменений в 239 приказе). Найдено ли решение?

Ответ: ФСТЭК будет проверять только факт выставления требований от субъекта КИИ. Никаких мер принуждения к производителям применятся не будут.

Комментарий мой: виноват во всем субъект КИИ.

38:35 Как определить границу между СрЗИ (в рамках выполнения 239 приказа ФСТЭК) и средствами ГосСОПКА?

Ответ: Исходить надо из функционала. Может относится к обоим сущностям. Особых проблем ФСТЭК не видит. Полностью разделить не получится. ФСТЭК надо решить проблему разграничения с НКЦКИ.

Комментарий мой: проблема острая. Отнесение техсредств ГосСОПКА к СрЗИ поставит вопрос об их сертификации для ОКИИ тип ГИС, а отнесение привычных СрЗИ к техсредствам ГосСОПКА приведет к необходимости подтверждать выполнение ими Приказа ФСБ России от 06.05.2019 N 196 "Об утверждении Требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты". А еще согласовать с ФСБ места их размещения  и т.д. "Для согласования установки средств субъект критической информационной инфраструктуры не позднее чем за 45 календарных дней до даты планируемой установки направляет в ФСБ России структурно-функциональную схему подключения средств к информационным системам, информационно-телекоммуникационным сетям, автоматизированным системам управления" уже по Приказу ФСБ России от 19.06.2019 N 281 "Об утверждении Порядка, технических условий установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, за исключением средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации"

47:58 Будут ли внесены изменения в ФЗ-187 и ПП-127 по результатам 3 лет применения?

Ответ: Нет. Еще не выполнены все статьи 187-ФЗ, правоприменительной практики недостаточно. ФСТЭК не видит проблемных моментов в ПП127, которые требуется изменить.

Комментарий мой: двойные стандарты наглядно. Нам отказывают в изменении 187-ФЗ и УК РФ под предлогом того, что "правоприменительная практика еще не достаточна" за три года применения, но это совершенно не мешает принимать новые законы (внесение изменений в КоАП) по ужесточению ответственности. Вот три года мук с категорированием ОКИИ - это недостаточно для изменения определений и терминов 187-ФЗ и порядка категорирования в ПП127, а вот мероприятий госконтроля ЗОКИИ вообще ни разу не провели - зато достаточно оснований вводить штрафы до 100 000 рублей.

54:17 Планируется ли в этом году вносить изменения в 235 и 239 приказы?

Ответ: нет.

Комментарий мой: https://fstec.ru/normotvorcheskaya/akty/54-inye/2140-vypiska-iz-plana-razrabotki-fstek-rossii-normativnykh-pravovykh-aktov-na-2021-god

56:18 Что с обновлением методических документов по определению актуальных угроз и Базой данных угроз (БДУ) ФСТЭК?

Ответ: в общих положениях Методики указаны переходные моменты. БДУ будет модернизироваться. ФСТЭК понимает, что текущая БДУ не соответствует новой Методике. Возможно средств автоматизации анализа угроз появятся в рамках "Цифровой экономике".

Комментарий мой: по сути это правило "обратной силы не имеет", а не организация переходной период.

1:00:35 Как ФСТЭК России оценивает поправки в КоАП о составах нарушений и размерах ответственности?

Ответ: ФСТЭК два года его готовил, вполне удовлетворен на текущий момент. Планов на ужесточение штрафов нет. Остальное покажет правоприменительная практика.

Комментарий мой: вопрос странный, поскольку ФСТЭК и есть автор этих поправок. Как Лютиков В.С. защищал законопроект на первом чтении в Госдуме можно увидеть здесь https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/liutikov-vs-doklad-po-kii-v-gosudume-6038cafefe5aef7eb1371b76

1:06:00 Буквальная трактовка ст. 2 ФЗ-187 говорит о том, что все ИС/АСУ/ИТКС субъекта КИИ являются объектами КИИ, вне зависимости от сфер их функционирования. Верно ли это утверждение?

Ответ: необходимо следовать 187-ФЗ. Позицию ФСТЭК, изложенную в ПП127, суды и прокуратура игнорирует.

Комментарий мой: косвенное признание, что ПП127 писался не по 187-ФЗ, а отражает авторский взгляд ФСТЭК на безопасность КИИ в целом. Не новость, но впервые публично озвучено на таком уровне. Для субъектов КИИ это печальные перспективы открывает, но такова жизнь. Спасти может только внесение изменений в 187-ФЗ и ПП127. Но совсем не факт, что результат нас обрадует.

1:10:07 Когда будет подготовлена новая редакция ГОСТ Р 56939 «Разработка безопасного программного обеспечения. Общие требования», и насколько сильная планируется переработка требований?

Ответ: радикальных изменений не будет.

1:15:44 Оценка соответствия своими силами для субъектов КИИ и разработчиков прикладного ПО: как получить официальные документы от ФСТЭК?

Ответ: написать для чего и сделать запрос. Засекречивать не прекратим документы.

Комментарий мой: https://fstec.ru/normotvorcheskaya/obespechenie-dokumentami

1:22:37 Какие новые документы ФСТЭК должны появиться в ближайшее время?

Ответ:

- проект методики оценки по расчету показателей критерия социальной значимости ОКИИ - порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации, не составляющей гостайну - требованиям по безопасности информации к средствам обеспечения безопасной дистанционной работы в информационных (автоматизированных) системах - изменения в 31-й приказ ФСТЭК - методика анализа и поиска уязвимостей и НДВ в аппаратных средствах - новая методика анализа и поиска уязвимостей в ПО - типовая модель угроз для аппаратных средств - методика по видам и методам испытаний при проведении аттестации - методика по управлению обновлениями


2. Доклад Е.Б. Торбенко (ФСТЭК) «Практика применения законодательства о безопасности критической информационной инфраструктуры Российской Федерации»

Видео трансляции от организаторов


В начале был доклад

Требования ФСТЭК по обоснованности изменений в Перечне или указание по отсутствию изменений сроков категорирования не соответствуют формулировкам в ПП127. Требования ФСТЭК понятны и логичны, но требуют внесения изменений в ПП127.
Алгоритм действия субъекта КИИ ппо изменению Перечня приведен - https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/pravim-perechen-okii-5fcf97a30a45a91cf4d7ba71


Какое отношение эта аргументация имеет к определению станков ЧПУ как объектов КИИ? Причем здесь методические документы ФСТЭК? Если это обоснования к отнесению станка ЧПУ к объекту КИИ тип "АСУ", то в 187-фз оно задано в ст.2. И станок ЧПУ под него не подходит. Если ФСТЭК относит к такому типу любое устройство, реализующее свои функции под управляющей программой в цифровой форме, то нам придется относить к ОКИИ автомобили (электронные блоки управления работы двигателя), источники бесперебойного питания, комплексы автоматической видеофиксации нарушений дорожного движения и т.д. Если упрощено, то подход ФСТЭК к станкам ЧПУ требует отнести к объектам КИИ железнодорожный локомотив или самолет, а не его бортовые системы.
"1) автоматизированная система управления - комплекс программных и программно-аппаратных средств, предназначенных для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими оборудованием и процессами;" - исполнительные механизмы не входят в состав АСУ! Только контроль и управление! Не устраивает - вносите изменения в ст.2 187-ФЗ.
Предложение объединения 30 однотипных станков ЧПУ в один объект КИИ просто противоречит 187-ФЗ. Записать то можно, но единой АСУ по управлению 30 станками не появится.

Странная аргументация. Специально существуют санитарно-защитные зоны вокруг предприятий, загрязнение которых не нанесет вреда людям, им просто ограничивают возможность проживания там.
Про персонал тоже. На опасных предприятиях весь персонал ходит с индивидуальными средствами защиты, проходит обучение по действиям в аварийных ситуациях.
Не вижу ничего странного, когда в результате инцидента на ЗОКИИ есть экологический показатель, но нет пострадавших людей. Работник просто одел противогаз и вышел из опасной зоны.
Варианты возможны разные, в том числе и с гибелью людей, но но это не самый распространенный вариант развития ситуации.

Уже писал ранее. Если ФСТЭК выявляет подобные случаи при выездах, то это повод бить во все колокола. 
Тупиковая ситуация. У субъекта КИИ вполне реально может не быть ущерба даже в результате проведенной компьютерной атаки. Нельзя зацикливаться на компьютерных атаках. Устойчивость предприятий нужна и при других неблагоприятных воздействиях. 

   а потом продолжение секции с ответами на вопросы

31:15 Какова статистика категорирования КИИ?

Ответ: статистика не радует. Завершили процесс категорирования по отраслям от 1,5% до 60 % субъектов КИИ.

Комментарий мой: но оснований для изменения в НПА не видим. Ничего не мешает субъектам выполнить в полном объеме.

31:41 Как актуализировать сведения о лице, эксплуатирующем объект КИИ?

Ответ: да , нужно направлять. Считаем, что срок направления - 30 дней.

Комментарий мой: https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/izmeneniia-v-reestre-zokii-5fd2768b40dbc009fc98b3a9

32:29 Нужны ли подробные расчёты показателей и их обоснования?

Ответ: нужны.

32:37 Что с нормами категорирования для вновь создаваемых объектов КИИ?

Ответ: для вновь создаваемых ОКИИ нет периода в 12 месяцев на категорирование.

Комментарий мой: нам просто пересказали требования ПП127. Ответ на вопрос о ситуации с ОКИИ, созданными после февраля 2019 года не последовал. Ответ на вопрос о внесении ФСТЭК несуществующих ЗОКИИ не последовал.

34:38 Каков порядок действий субъекта при выводе из эксплуатации объекта КИИ и нужно ли уведомлять НКЦКИ?

Ответ: обосновать и направить в ФСТЭК. ФСТЭК сам информирует НКЦКИ.

Комментарий мой: свой взгляд описал в https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/otkazyvaemsia-ot-neznachimogo-okii-5feaea73b17f202ff3925983

34:56 Как выглядит процедура перевода незначимого объекта КИИ в значимый?

Ответ: обосновать и направить информацию в ФСТЭК

Комментарий мой: https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/pust-budet-zokii-5fd8ad43e8f9a5481b3ae9e4

35:10 Какие подведомственные ФСТЭК России организации относятся к субъектам КИИ?

Ответ: все подведомственные организации

Комментарий мой: непонятно какие подведомственные организации имела в виду Е.Б. Торбенко. Смотрим сайт ФСТЭК https://fstec.ru/obshchaya-informatsiya/struktura, там никаких подведомственных учреждений не указано. Вопрос был конкретно по ГНИИИ ПТЗИ ФСТЭК России, а ответа не прозвучало.

35:30 Все ли участники оборонной, ракетно-космической и других сфер, указанных в ст. 2 187-ФЗ, являются субъектами КИИ?

Ответ: да, все.

Комментарий мой: не соответствует ст.2 187-ФЗ. Не указаны там виды экономической деятельности субъектов КИИ.

35:53 К какой дате субъекты КИИ из промышленной сферы должны представить перечень объектов КИИ?

Ответ: надо сделать в кратчайшее сроки

Комментарий мой: формально этого срока нет. Появление редакции ПП127 с сроками 01.09.2019 для госучреждений "убила" юридическое обоснование для аргумента - закон вступил в силу в 2018 году и вы должны были сделать сразу. То есть, для коммерческих субъектов КИИ отсчет разумности сроков должен идти от конца 2019, а не от начала 2018. Прокуратуре на это обычно все равно, но она требует только начать выполнение - создать комиссию, сформировать перечень и отправить в ФСТЭК. https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-prokurorskii-zapros-5e2c14c1ba281e00ae0d0f85

36:24 Какие показатели критериев значимости применимы к субъектам КИИ в промышленности?

Ответ:1,7,8,9,11,13


37:05 Каковы сроки ответа ФСТЭК на результаты категорирования?

Ответ: у нас 30+10 на ответ. Ответ - нельзя.

Комментарий мой: Это неверно. У ФСТЭК есть всего 10 дней на проверку и возврат сведений на доработку, а вовсе не 30. "ст.7 187-ФЗ -в десятидневный срок со дня поступления представленных сведений возвращает их в письменном виде субъекту критической информационной инфраструктуры с мотивированным обоснованием причин возврата.". И причем здесь реестр ЗОКИИ не понятно, субъект КИИ мог подать сведения о незначимых ОКИИ.

37:55 В какие сроки субъект КИИ должен информировать при изменениях в составе?

Ответ: в разумные сроки, 30 дней.

Комментарий мой: все это необходимо прописывать в НПА, иначе возможны эксцессы после поправок КоАП.

38:05 Каков сценарий расчёта потерь при оценке показателей экономической значимости?

Ответ: конкретная атака, а не среднегодововые.


38:21 Какой период времени необходимо закладывать при оценке потерь, наступающих в случае успешной реализации кибератаки на КИИ?

Ответ: время, выходящее за время допустимой остановки. До выхода на плановое функционирование.


Отдельная видеозапись секция ответов Торбенко Е.Б.


3. Интересные доклады были от Ростеха
Алексей Трунин, начальник отдела информационной безопасности ОКБ им. А.М. Люльки «Практический опыт проведения категорирования объектов КИИ на промышленном предприятии»
Приведен пример с привлечением к категорированию крупного предприятия ОПК сторонней организации







и
Виктор Вихорев, директор по информационной безопасности РТ-ИНФОРМ «Проблемы категорирования объектов КИИ. Методики»


4. Доклады от ФСБ

Андрей Елистратов, сотрудник ФСБ России «О новых требованиях по информационной безопасности государственных информационных систем»



Алексей Петров, сотрудник ФСБ России «АСТ ГОЗ: технология, безопасность, сервис»




* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite

7 комментариев:

  1. Лично я считаю, что уже настало время внесения изменений в ФЗ в части касающейся обязательного требования о создании СУКИИ подразделения, именно подразделения, а не отдельного специалиста, по обеспечению безопасности ОКИИ, а не только ЗОКИИ, поскольку все мы знаем, что ОКИИ тоже нужно защищать, если этого захочет их владелец. Вопрос заключается в том, что так как процесс категорирования ОКИИ цикличен и практически бесконечен, а бумаги необходимо измарать так много, что этим кто-то должен заниматься на нормальном уровне, а не факультативном и если по результатам категорирования будет выявлен хотя бы 1 ЗОКИИ, то подразделение создавать уже не нужно, можно сразу переходить к следующему этапу создания СЗИ. Всё упрощается, только расходы у СУКИИ конечно увеличатся(((

    ОтветитьУдалить
    Ответы
    1. сейчас в 235 приказе очень комичная ситуация с подразделением ИБ. Если назначаешь специалиста, то минимальные требования по квалификации и отсутствие требований к опыту. Более-менее вменяемые требования появляются только к руководителю организации.

      Удалить
  2. Этот комментарий был удален автором.

    ОтветитьУдалить
  3. сейчас к субъектам КИИ относятся ИП. Ему тоже создавать у себя отдельное подразделение?

    ОтветитьУдалить
    Ответы
    1. Ну ИП может скоро вообще отмереть, но конечно нет. Это также можно предусмотреть в ФЗ. Но то,что человек или подразделение должно быть сформировано до выявления ЗОКИИ это однозначно!!!

      Удалить
    2. проще тогда сделать независимые центры по категорированию или возложить эту задачу на ФОИВ. Это более эффективно экономически, да и управляемость процессом повысится.

      Удалить
    3. или пойти по китайскому пути в области КИИ...

      Удалить