Провели 10 апреля семинар, посвященный обсуждению требований законодательства о безопасности КИИ, а также подходов и технических решений, позволяющим их реализовать.
В рамках подготовки и проведения семинара в частном порядке удалось уточнить мнение представителей ФСТЭК и ФСБ по наиболее актуальным вопросам, собранным в Facebook и интересующим в настоящее время профессиональное сообщество. В таблице ниже публикую в неизменном виде вопросы, находящиеся в компетенции ФСТЭК, и ответы на них регулятора. Не стоит рассматривать их как официальную позицию регулятора, но можно использовать в качестве ориентира.
После утверждения документов ФСБ планируем провести семинар повторно, но уже в более публичном формате, с онлайн-трансляцией, после чего надеюсь можно будет со спокойной совестью опубликовать ответы и от представителей ФСБ.
Оставшиеся вопросы по КИИ к регуляторам предлагаю публиковать в комментариях, включим их в повестку следующего семинара.
№
|
Вопрос
|
Частное мнение ФСТЭК
|
1
|
В отчете о результатах категорирования, который субъект
КИИ должен передать ФСТЭК в течении 5 дней, содержится информация о
действующих средствах защиты КИИ. Это есть Гостайна для субъекта КИИ?
|
Отнесение мер кии к ГТ будет по совокупности (за отрасль)
или если объект сам обрабатывает ГТ. Это определят ведомственные перечни
|
2
|
В какой срок субъектом должны быть реализованы меры по
защите значимых объектов КИИ? Привязан ли этот срок к сроку занесения ФСТЭК
результатов категорирования в Реестр ЗОКИИ или к моменту утверждения акта
категорирования?
|
Срок реализации мер - в разумные сроки. Прививки нет
|
3
|
Является ли оператор связи, обслуживающий и поддерживающий
информационную систему субъекта КИИ, сам таким субъектом? Или только его
инфосистема является объектом КИИ?
|
По определению скорее всего нет, но нужно разбираться в
конкретном случае
|
4
|
Нужна ли лицензия на гостайну для предоставления услуг
субъекту КИИ по защите его объектов КИИ или достаточно лицензии ТЗКИ?
|
Лицензия нужна, если объект КИИ отнесён к ГТ
|
5
|
В каком формате (с указанием каких атрибутов) необходимо
отправлять во ФСТЭК перечень объектов КИИ, подлежащих категорированию? 127-ПП
и соответствующий приказ ФСТЭК говорят о формате передачи информации о
результатах категорирования, но ничего не говорят о формате передачи перечня.
|
Формат перечня не определён (в любом)
|
6
|
Должно ли как-то учитываться и, если да, то как увеличение
масштаба возможных последствий в случае возникновения компьютерных инцидентов
на объектах КИИ при единовременном возникновении инцидентов на нескольких
объектах одного субъекта КИИ?
В частности, этот вопрос важен в случаях, когда у субъекта будут выявлены критические процессы, но дальнейшая оценка масштаба возможных последствий для отдельных объектов КИИ будет недотягивать до значений, установленных для какой-либо категории. В результате, им не будет присвоена ни одна из категорий значимости |
По законодательств рассматривается каждый объект в
отдельности
|
7
|
Если в составе одного юр. лица есть несколько обособленных
подразделений (филиалов), каждое их которых которые осуществляют часть видов
деятельности юридического лица:
- Допустимо ли назначение нескольких комиссий по категорированию: одна в аппарате управления, отдельные - на уровне каждого филиала? При этом будут соблюдены требования к составу комиссии, установленные п. 11 ПП-127. Комиссия каждого филиала будет определять процессы в рамках осуществления видов деятельности соответствующего филиала, выявлять критические процессы, определять объекты и т.д. Для процессов, которые выходят за рамки видов деятельности отдельно взятых филиалов и/или охватывают все или часть филиалов одновременно, соответствующие мероприятия будут реализовываться комиссией на уровне аппарата управления. - Если допустимо несколько комиссий, допустимо ли оформить перечень объектов КИИ, акты категорирования и формы направления сведений во ФСТЭК РФ в каждом обособленном подразделении и подавать документы в соответствующие обособленному подразделению территориальные подразделения ФСТЭК России? |
Комиссия может быть создана в каждом подразделении. Но
перечни и результаты направляются только субъектом кии, а значит центральным
подразделением
|
8
|
Если в составе группы компаний есть несколько юр. лиц,
каждое их которых является субъектом КИИ (каждому на праве собственности
и/или аренды принадлежат ИС и/или АСУ, функционирующие в одной из
установленных сфер).
В ряде случаев отдельные ИС и АСУ принадлежат на праве собственности одному юр. лицу группы компаний и переданы в аренду по договору эксплуатации иному юр. лицу группы. Таким образом, с точки зрения определений ФЗ-187, оба юр. лица являются субъектами КИИ в отношении одних ИС/АСУ. Устанавливаются ли какие-либо требования/ограничения в отношении того, какое из юридических лиц в данном случае должно включать указанные ИС и АСУ в перечень объектов КИИ, проводить процедуры категорирования, оформлять формы направления сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий? Или допустимо урегулировать это по согласованию сторон в рамках группы компаний? |
Категорированием занимается лицо-владелец объекта (это
есть в 127-ПП)
|
9
|
Подпадает ли под действие 187-ФЗ (в качестве субъекта КИИ)
госорганизация, которая не подходит ни под одну из 12 сфер, указанных в
законе?
|
Попадают только те , которые имеют системы в 12
определённых сферах
|
10
|
Какие нужны лицензии для следующих видов деятельности : 1)
разработка АСУ ТП и её элементов , plc , автоматики и т.д 2) установка и
гарантийное обслуживание собственного оборудования и систем АСУ ТП у
Заказчика ( заказчики субъекты КИИ 1,2,3 категории).
2. Как ознакомиться с перечнем если нет своего РСО, на базе чего должно быть принято решение о оформлении лицензии по ГТ( компания занимается разработкой, производством и внедрением АСУ) 3. Какие формы (по ГТ) нужно будет оформлять максимально (необходимо знать что бы уже сейчас сформулировать требования для набора сотрудников) ? 4. Когда будут унифицированные общие требования - ПЗ или общее ЗБ на классы оборудования в энергетике. |
Лицензии нужны только для оказания услуг по ТЗИ для
объектов кии (здесь ничего не изменилось). В части ознакомления с перечнем по
ГТ: см п.1 ГТ будет далеко не у всех
|
11
|
В пп-127 в п.17 говорится о том, что в составе сведений о
результатах категорирования субъект должен в том числе направлять во ФСТЭК
"информацию об организационых и технических мерах, применяемых для
обеспечения безопасности объекта КИИ", т.е. о мерах защиты, применяемых
на момент категорирования, когда система защиты по 235-му и 239-му приказах
ФСТЭК еще не создана. А после создания системы защиты сведения о мерах защиты
в рамках созданной системы защиты ЗОКИИ передавать во ФСТЭК законодательство
субъекта не обязывает. Хотя по логике должно быть наоборот. Хотелось бы
услышать мнение регулятора по этому поводу.
|
По п. 17 передаются сведения о мерах, принятых на момент
категорирования. Далее субъект обязан выполнить требования законодательства.
А правильность и полнота будут проверены в рамках госконтроля
|
12
|
ОКИИ это любые ИС/АСУ/ИТС субъекта или только те, которые
относятся к критическим процессам в рамках основной деятельности субъекта?
Категорировать нужно все окии или только относящиеся к критическим процессам
в рамках основной деятельности? Если есть окии, которые не требуется
категорировать, то к чему их относить - к незначимым окии или к какой-то
отдельной группе окии?
|
Категорируются только те ОКИИ, которые обеспечивают
основные виды деятельности субъекта
|
13
|
В статье 2 закона 187 ФЗ в п. 8 перечислены виды
деятельности организаций, относящихся к субъектам КИИ, а также
"российские юридические лица и (или) индивидуальные предприниматели,
которые обеспечивают взаимодействие указанных систем или сетей". Вопрос
- относятся ли к субъектам КИИ различные интеграторы, которые обеспечивают
сопровождение ИБ ИС в рамках договора с этими субъектами КИИ? Что вообще
понимается под формулировкой "взаимодействие указанных систем или
сетей"?
|
В ст.2 говорится о владельцах ОКИИ. Интеграторы ими не
являются (как правило).
|
14
|
Статус объектов КСИИ? Им продолжать выполнять требования
методических документов ФСТЭК в области обеспечения безопасности КСИИ или
только новые по КИИ?
|
Понятие КСИИ упразднено
|
15
|
Планирует ли ФСТЭК официально прекращать действие
утвержденных методических документов ФСТЭК в области обеспечения безопасности
КСИИ?
|
Да. Материалы об отмене готовятся
|
16
|
Что с областью применения "ГОСТ Р 52069.0-2013.
Национальный стандарт Российской Федерации. Защита информации. Система
стандартов. Основные положения" (утв. и введен в действие Приказом
Росстандарта от 28.02.2013 N 3-ст)? Возможно ли его применение для КИИ?
|
Необходимая работа по устранению нестыковок ведётся
|
17
|
Если значимый объект КИИ является ГИС, то необходимо ли
направлять на согласование во ФСТЭК Модель угроз безопасности информации и
(или) техническое задание на создание системы безопасности значимого объекта
КИИ?
|
Да
|
18
|
Почему мера ИНЦ.6 «Хранение и защита информации о
компьютерных инцидентах» только для 1 категории является базовой?
Защита информации о событиях ИБ критичней чем информация
об ИНЦИДЕНТАХ ИБ?
|
Меры приняты исходя из практики их применения в иных
системах
|
19
|
Для 1 категории внешний аудит обязательно проводить
ежегодно? Внутренний ему просто не нужен становится? Подтверждать наличием
договора с лицензиатом?
|
Меры приняты исходя из практики их применения в иных
системах
|
20
|
Требуется ли повышать категорию КИИ, если значимым
объектом является ГИС более высокого класса? (п.24 Приказа 239)
|
Категория не повышается, но меры защиты применяются по
максимальному варианту
|
21
|
Допускается ли использование субъектом инструкций по
эксплуатации не от
разработчика/производителя? (п.30 Приказа 239)
|
Да
|
22
|
Каким образом подтверждается наличие техподдержки для ПО
собственной разработки? (п.31 Приказа 239)
|
Внутренними документами
|
23
|
Кто является субъектом КИИ для ИС субъектов РФ?
Все принадлежит региону, а конкретные ОИВ выполняют
функции (заказчика создания, эксплуатации и т.д.) согласно Постановлениям
Правительства субъекта РФ. Ни один из ОИВ не
имеет прав собственности.
|
Владелец ИС по документам (это вопрос к бухгалтерии и
хозяйственной службе)
|
24
|
Субъекты КИИ имеют право:
получать от ФОИВ, уполномоченного в области обеспечения
безопасности КИИ РФ, информацию, в том числе об угрозах безопасности
обрабатываемой значимыми объектами информации и уязвимости ПО, оборудования и
технологий, используемых на таких объектах.
Как субъект может воспользоваться данным правом?
Каким документом регламентируется передача ПО,
используемого на объекте КИИ, в ФСТЭК на предмет выявления уязвимостей? Кому
и в какие сроки субъект может предать
ПО для анализа?
|
Обратившись в ФОИВ
|
25
|
Когда внесут изменения в 17,21 и 31 приказ по мерам
защиты?
|
До конца 2-го квартала 2018 года. Проект уже
разработан
|
26
|
Для определения угроз безопасности информации и разработки
модели угроз безопасности информации применяются методические документы,
разработанные и утвержденные ФСТЭК России.
Когда субъекты КИИ смогут воспользоваться данными
методическими документами?
|
Методические документы по угрозам для АСУ ТП и ИС уже
существуют
|
27
|
Анализ угроз безопасности информации должен включать:
в) определение
возможных способов (сценариев) реализации (возникновения) угроз безопасности
информации;
Какая степень детализации описания сценария? По какой
форме оформлять?
|
Описание: источник-способ реализации-последствия
|
28
|
Когда и каким способом будут исправлены «Значения
показателей» в ПП 127 для п.6, п. 9, п. 14?
|
Это вопрос к правительству РФ
|
29
|
Что за «государственным органом или российским юридическим
лицом, выполняющим функции по разработке, проведению или реализации
государственной политики и (или) нормативно-правовому регулированию в
установленной сфере в части подведомственных им субъектов критической
информационной инфраструктуры»? Ответ
желательно предоставить в виде таблицы соответствия «сфера деятельности из
187 – согласующий орган».
Для горнорудной, науки несколько министерств осуществляют
нормативно-правовое регулирование. Среди госкорпораций у Ростеха не прописаны
полномочия по нормативно-правовому регулированию.
|
Указанное согласование осуществляется только для
подведомственных организаций (пример - ФГУПы).
|
30
|
Что такое «тип объекта защиты значимого объекта»?
п.11г Приказа 239
г) перечень типов объектов защиты значимого объекта;
|
Это объекты защиты
|
31
|
Какой срок отведен для реализации Требований Приказа 239
для значимых объектов, уже находящихся в эксплуатации ?
|
Разумные сроки (но прокуратура трактует это как уже здесь
и сейчас)
|
32
|
Допускается ли связка «аттестат на соответствие на
требования 17 приказа+ Акт приемки (вывод) внутренней комиссии о соответствии
требованиям 239 приказа» для значимого объекта, который является ГИС? Или
обязательно должен быть аттестат на соответствие 17 и 239 приказа?
|
Да
|
33
|
Когда будет выпущен методический документ, разъясняющий
меры защиты из Приказа 239 (аналог «Методического документе ФСТЭК России
«Меры защиты информации в ГИС»
|
До конца 2-го квартала 2018 года
|
34
|
Относятся ли средства защиты информации, технические
средства обеспечения безопасности (скуд, видео и т.д) к составу значимого
объекта КИИ? Применима ли к ним 274.1 УК?
|
Да
|
35
|
Относятся ли ЦОД к объектам КИИ, если их ресурсы по
договору предоставляются для использования другим субъектам КИИ?
|
Надо смотреть на предоставляемые услуги
|
36
|
Являются ли субъектами КИИ «облачные провайдеры»?
|
Скорее всего нет (это не определено
законодательством)
|
37
|
Субъекты в сфере ТЭК продолжают выполнять требования для
КВО (по 256-ФЗ) и для КИИ?
|
Да
|
