Блог о нюансах и особенностях законодательства в области информационной безопасности
Страницы
▼
понедельник, 2 августа 2021 г.
Публичная активность ФСТЭК в регионах
Июль 2021 года отметился проявлением активности территориальных органов ФСТЭК по теме КИИ, сразу на двух региональных конференциях выступили представители отделов местных управлений.
Инфофорум-Сочи 2021
УФСТЭК по ЮиСКФО
Интересное название у отдела – "координация и оценка эффективности значимости объектов КИИ". Не очень ассоциирует с официальными полномочиями и задачами ФСТЭК по КИИ. Загадочно.
1.ФСТЭК заявляет, что знает всех «не признавшихся» субъектов КИИ и имеет все сведения по таким потенциальным субъектам КИИ. Осталось понять – по каким признакам отнесения сформирована такая уверенная позиция и сколько же всего субъектов КИИ в стране.
2.Опоздание на 2-2,5 года по категорированию субъектов КИИ. (непонятно от чего отсчет идет с категорированием, видимо от внесения изменений в ПП127 в апреле 2019 года)
3.150 субъектов КИИ с 800 ЗОКИИ в ЮФО и СКФО. (Интересно сравнить цифры, заявленные докладчиком в начале эпопеи с 187-ФЗ в 2019 году, жаль что нет разбивки по двум федеральным округам см.рис)
4.Угрозы реализуемы, но показатели значимости не применимы. ФСТЭК это очень сильно удивляет.
5.ФСТЭК продолжает отрицать влияние ПАЗ в промышленности. Хочет 100% надежности. На категорию значимости не влияет. (Интересно, что будет делать ФСТЭК, когда будет рассчитано что внедрение систем безопасности против компьютерных атак понизило надежность системы в целом?)
6.Единицы субъектов КИИ грамотно используют имеющиеся паспорта промышленной безопасности.
7.Большинство организаций КИИ в ОПК и ракетно-космической отрасли не признают себя субъектами КИИ. Опять тезисы про сферу деятельности организации, а не объектов.
8.Для всех предприятий ОПК применим показатель №13. Отсутствие ГОЗ на текущий момент не важно. Есть или нет, бегом применять 13 показатель.
9.Отнесение конструкторской документации к ГТ на предприятии ОПК не основание для отказа от категорирования.
10.ФСТЭК не понимает, почему на местах не понимают требования по отнесению станков ЧПУ к ОКИИ
11.Опять ФСТЭК приравнивает АСУ ТП к АСУ. (А ведь это разные определения. И субъект КИИ руководствуется определением из 187-ФЗ.)
12.Позиция ФСТЭК: станок ЧПУ – это ОКИИ тип АСУ, подлежит обязательному категорированию, как правило – это ЗОКИИ.
13.Экономический показатель применим ко всем, особенно п.9 (момент дискуссионный, методика Минздрава согласована с ФСТЭК и утверждает обратное)
14.Почему то рекомендуют обязательно использовать проект методики расчета экономических показателей, ссылаясь на номер информационного сообщения о размещении проекта на обсуждение. Признают, что специалист по ИБ этот проект применить не сможет.
15.Подтвердили подготовку аналогичной методики по социальным показателям. Обещают скорое опубликование.
16.Дали разъяснения по внесению в Перечень ОКИИ и Реестр ЗОКИИ.
17.СБ ЗОКИИ – никаких многолетних планов по внедрению. (Собственно, через месяц отсутствие системы безопасности ЗОКИИ – административное правонарушение и наказывается штрафом. Вообще не зависит от сроков внесения объекта в Реестр ЗОКИИ. Получили подтверждение 31 августа от ФСТЭК о внесении в Реестр ЗОКИИ, а на следующий день уже можете быть оштрафованы.)
18.Проблемы с персоналом ЗОКИИ. И опять АСУ ТП (ну вот нет АСУ ТП в 187-ФЗ)
19.Планы по НПА (на 2022 год запланировано очередное изменение ПП127, а вот про изменение ПП127 и 227 приказа в 2021 году ни слова)
20.Планы по передаче полномочий от ЦА в территориальные подразделения (даже по планам не все сферы КИИ передаются в территориальные органы).
В Екатеринбурге на "Код ИБ INDUSTRIAL" в рамках Иннопром-2021.
Здесь формат был без докладов ФСТЭК и НКЦКИ, зато была возможность задать вопросы.
Из примечательного отмечу, что представитель НКЦКИ прямо озвучил во время ответа представителя ФСТЭК - при получении информации о компьютерном инциденте на ЗОКИИ, сведения будут переданы в ФСТЭК для проведения внеплановой проверки.
* Раздел блога "Административная ответственность субъекта КИИ"на главной странице блога.
** Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
Комментариев нет:
Отправить комментарий