КИИ: Информация от ФСТЭК России: Системные вопросы

КИИ: Информация от ФСТЭК России: Системные вопросы
26 ноября в центральном аппарате ФСТЭК России прошла 2-ая встреча с блогерами (в алфавитном порядке: Комаров А. , Комаров В. , Кузнецов А. , Луцик П. ) по актуальным вопросам в области обеспечения безопасности критической информационной инфраструктуры (КИИ) РФ.
В этот раз нам была представлена уникальная возможность, получить мнение (услышать позицию регулятора) именно по своему вопросу.
Важным условием было, что вопрос должен носить системный характер и их должно быть около 5 штук.
Со своей стороны подготовил 6 вопросов, какое мнение я получил, и почему именно эти вопросы я выбрал, указано ниже.
  1. Допускается ли в рамках определения процессов (выполнение пп. «а», п. 5 Правил, утв. ПП РФ № 127) использовать стандартизированные перечни процессов для соответствующих сфер из ГОСТ и/или ОСТ?
    Вопрос связан с тем, что возможность использования стандартизированного перечня упростила бы процедуру категорирования, а также позволило бы ФСТЭК России оперировать унифицированными понятиями в рамках ведения реестра (так называемый Benchmarking).
    Позиция по вопросу: да, допускается, даже приветствуется.
  2. Допускается ли в рамках категорирования (выполнение пп. «б», п. 5 Правил, утв. ПП РФ № 127) оперировать понятием «Процесс», не разделяя его на «Управленческие», «Технологические», «Производственные», «Финансово-экономические» и «Иные»?
    Вопрос связан с тем, что в федеральных законах отсутствуют определения для данных процессов, а в ГОСТ присутствуют определения только для терминов «Производственный процесс» (ГОСТ 14.004-83) и «Технологический процесс» (ГОСТ 3.1109-82), причем последний позиционируется как часть предшествующего.
    Использование одного понятия упростило бы процедуру категорирования.
    Позиция по вопросу: да, допускается.
  3. Допускается ли в качестве адресов размещения объекта КИИ типа «ИТС» и сведений о нём указывать в Сведениях, направляемых в ФСТЭК России (заполнение пп. 1.2 и п. 5 Формы, утв. приказом ФСТЭК России № 236), только адреса размещения и сведения о компонентах ядра сети (Core) и / или периметровых компонентах (Edge)?
    Вопрос связан с тем, что в ряде случаев все компоненты ИТС будут насчитывать сотни и даже тысячи адресов и узлов.
    Указание сведений только о предлагаемых компонентах упростило бы процедуру подготовки Сведений, направляемых в ФСТЭК России.
    Позиция по вопросу: да, допускается только о Core-компонентах.
  4. В случае если в рамках функционирования объекта КИИ он не обеспечивает автоматизацию в масштабе выше нижней границы значения показателя для III категории, то можно ли сразу же принимать решение об отсутствии необходимости присвоения данному объекту категории значимости (т.е. без оценки нарушителей, угроз и ущерба)?
    Если да, то как в данном случае заполнять Сведения, направляемые в ФСТЭК России (п. 6 и п. 7 Формы, утв. приказом ФСТЭК России № 236)?
    Вопрос связан с тем, что если масштаб функционирования объекта КИИ не достигает нижней границы по территориальному охвату или по количеству людей, то инцидент на данном объекте не сможет нанести ущерб в масштабе, требуемом для присвоения соответствующей категории.
    Возможность принятия данного решения упростила бы процедуры категорирования и подготовки Сведений, направляемых в ФСТЭК России.
    Позиция по вопросу: нет, нельзя, процедуру нужно соблюдать.
  5. Требуется ли в обязательном порядке проводить внешний аудит для значимых объектов КИИ (отдельных категорий значимости)?
    Вопрос связан с тем, что п. 36 Требований, утв. приказом ФСТЭК России № 239, предусмотрено, что внешняя оценка (внешний аудит) проводится только по решению руководителя субъекта КИИ, в то время как мера «АУД.11 Проведение внешних аудитов» является базовой для I категории значимости.
    Позиция по вопросу: только по решению руководителя.
  6. Для уже введённых в эксплуатацию ИС, ИТС и/или АСУ, обладающих ранее созданной и введённой в эксплуатацию системой безопасности (но без отдельного ЧТЗ, проектной и/или рабочей (эксплуатационной) документации), которые по итогам категорирования признаны значимыми объектами КИИ, требуется ли разработка всех документов, предусмотренных п. 10 и 11 Требованиями, утв. приказом ФСТЭК России № 239?
    Вопрос связан с тем, что ряд субъектов КИИ, системы безопасности которых введены в эксплуатацию до вступления в силу Федерального закона № 187-ФЗ, не имеет требуемый набор документации или её содержание не отвечает Требования, утв. приказом ФСТЭК России № 239.
    Позиция по вопросу: требуется для ЭД и ОРД, не требуется для ТП.
Большая часть вопросов, это закрытие вопросы, чтобы минимизировать разночтения и недопонимания озвученной позиции со стороны представителей регулятора.
Ответы на вопросы коллег, ждите в их блогах.
Надеюсь, что эта информация будет полезна многим субъектам КИИ.

Дополнительные моменты, которые были отмечены в ходе встречи, опубликую в отдельной заметке.

В заключении я хотел бы поблагодарить коллег из 5 отдела 2 управления ФСТЭК России за уделенное нам время и отдельно заместителя директора ФСТЭК России, Лютикова Виталия Сергеевича, за данное мероприятие, т.к. это действительно уникальная возможность.
Alt text

Александр Кузнецов

Заметки про управление в области информационной безопасности и не только

Какие зарубежные новостные сайты по информационной безопасности вы читаете?