27 Ноября, 2018

Итоги второй встречи блогеров с представителями ФСТЭК России по теме КИИ

Павел Луцик



26 декабря состоялась уже вторая встреча представителей ФСТЭК России (во главе с В.С. Лютиковым) и ИБ-блогеров, освещающих тему КИИ ( Комаров А. , Комаров В. , Кузнецов А. , Луцик П. ). В этот раз у каждого блогера была возможность задать регулятору по 5 вопросов, плюс некоторые вопросы родились уже по ходу диалога. Спасибо коллегам из ФСТЭК за предоставленную возможность поучаствовать в таких встречах и не только услышать мнение регулятора, но и высказаться по беспокоящим вопросам законодательства. Ниже публикую мнение регулятора по заданным мной (первые пять в таблице) и смежным вопросам. 
Остальные участники встречи думаю тоже отпишутся в своих блогах по своим вопросам.

Вопрос
Мнение ФСТЭК
1
Согласно 127-ПП процесс становится критическим, если его нарушение может привести к негативным социальным,.. последствия. При этом не указано о каких именно последствиях идет речь – о тех, которые указаны в показателях критериев категорирования или вообще о любых?
 
Если негативные последствия нарушение процесса возможны, но по своему масштабу не дотягивают до значений показателей 3-й категории значимости, то такой процесс необходимо считать критическим или нет?
 
Например, если по социальному критерию значение показателя б) по количеству людей, условия жизнедеятельности которых могут быть нарушены (тыс. человек) – будет равно 10, в то время когда третья категория начинается с цифры более или равно 50.
Речь идет о соответствующих последствиях, определяемых показателями критериев значимости в 127-ПП. В исходной версии проекта 127-ПП такое пояснение было, но в итоговый документ не вошло.
 
Если указанные в показателях критериев значимости негативные последствия нарушения процесса возможны, то его необходимо считать критическим, даже если по своему масштабу последствия не дотягивают до 3-й категории значимости
2
Как реагировать субъектам на письма относительно необходимости категорирования объектов КИИ со стороны лиц, не имеющих на то полномочий?
Стараться прислушиваться и реагировать конструктивно. Если Организация является субъектом КИИ, то рекомендуется приступить к категорированию или сообщить текущий статус категорирования, ели процесс категорирования уже идет. Если Организация субъектом КИИ себя не считает или не имеет объектов КИИ, подлежащих категорированию, то необходимо сообщить об этом автору письма, приложив к ответу необходимые пояснения.
3
На какие моменты будет обращать внимание ФСТЭК при рассмотрении полученных от Субъекта заполненных форм «Сведения о результатах..» и принятии решений об отправке обратно на доработку?
Регулятор планирует обращать внимание на все пункты заполненных форм, но особое внимание будет уделяться обоснованию присвоения той или иной категории либо отсутствия необходимости присвоения категории. При этом регулятор будет обращать внимание на адекватность и грамотность заполнения формы по 236 приказу. Это должна быть не отписка, а осознанно проделанная работа по проведению категорирования.
4
Рекомендуемая на текущий момент последовательность действий субъекта при появлении изменений, касающихся перечня объектов КИИ и/или результатов категорирования (произошло слияние с другой организацией, поглощение, покупка, появились или выявились новые ОКИИ, произошел вывод из эксплуатации существующих ОКИИ и т.д.), если до этих изменений перечень объектов КИИ и/или сведения по результатам категорирования субъектом уже были отправлены во ФСТЭК?
Если произошли изменения в части результатов категорирования, то необходимо провести повторное категорирование, касающееся изменившихся объектов КИИ и далее направить во ФСТЭК только изменения в результатах категорирования. Направлять повторно полные сведения не требуется.
 
При этом направлять во ФСТЭК изменения в перечне объектов КИИ, подлежащих категорированию, на текущий момент не требуется. В этой связи планируются изменения в 127-ПП, согласно которым субъект должен будет не только разработать упомянутый перечень, но и вести его. Если после разработки исходного перечня какие-то объекты добавились или удалились, то субъект должен будет направлять во ФСТЭК изменения, произошедшие в перечне.
5
Рекомендуемая последовательность действий субъекта при отправке во ФСТЭК перечня объектов КИИ и далее Сведений по результатам категорирования (Адрес? На чье имя? Что вкладывать в отправляемый конверт помимо Перечня/Сведений? Нужно ли вкладывать реестр/опись? Заказное письмо? Нужно ли вкладывать в конверт электронную копию, на каком носителе – USB, CD? и т.д.)
Единой рекомендованной последовательности нет. Каждый субъект вправе направить перечень и сведения по результатам категорирования в соответствии с принятыми в Организации правилами делопроизводства. Если говорить о минимальном наборе действий, то достаточно направить Перечень/Сведения и сопроводительное письмо.
 
Направлять перечень и сведения можно и на Лютикова и на Шевцова, но рекомендуется на ФСТЭК России, без указания ФИО и должностей адресатов.
6
Есть ли взаимосвязь между величиной ущерба по показателям критериев значимости в 127-ПП и тяжкими последствиями в ст. 274.1 УК РФ
Нет, такой взаимосвязи нет
7
Планируется ли в ближайшее время выпуск информационных сообщений по КИИ со стороны ФСТЭК?
Да, планируется - до конца 2018 года.
8
Необходимо ли будет провести повторное категорирование объектов КИИ после внесения изменений в 127-ПП, касающихся значений показателей критериев значимости?
Да, необходимо будет провести повторное категорирование по изменившимся показателям
9
Что в 187-ФЗ означает, что объект КИИ должен принадлежать субъекту … на ином законном основании?
Это в том числе (но не ограничиваясь) означает «право пользования» объектом КИИ. В свою очередь любое использование объекта КИИ для получения прибыли подпадает под понятие «право пользования».
10
Требуется ли при описании средств защиты в рамках заполнения формы по 236 приказу ФСТЭК учитывать требования 235 и 239 приказов?
Нет, не требуется. В камках категорирования описывается текущая картина по ИБ, а не целевая.
11
Какой замысел был у   ФСТЭК при включении Модели угроз в этап разработки мер (а не в этап установления требований) в 239 приказе ФСТЭК?
На этапе установления требований детально смоделировать угрозы проблематично. Можно только высокоуровнево, но это не очень эффективно. Эффективнее моделировать угрозы на этапе проектирования, когда определяется архитектура. Кроме этого основанием для создания системы защиты как правило является уже разработанное ТЗ на всю систему, когда Модели угроз еще нет.
12
Какой методики по моделированию угроз стоит придерживаться для моделирования угроз на значимых объектах КИИ?
До утверждения отдельных методических документов для моделирования угроз на значимых объектах КИИ рекомендуется придерживаться соответствующих методических документов по КСИИ (это в том числе указано в информационном сообщении ФСТЭК от 4 мая 2018 г. N 240/22/2339: Базовая модель угроз и Методика определения актуальных угроз.
Снимать пометку ДСП с данных документов не планируется.
13
Ожидаемые сроки выхода методических документов ФСТЭК?
Методические рекомендации по проведению категорирования: вторая половина 2019 года;
 
Методический документ по применению мер защиты в 17/21/31/239 приказах ФСТЭК: конец 2018 - начало 2019.
 
Методические документы по моделированию угроз на значимых объектах КИИ: сроки пока не определены
14
Рекомендуемая последовательность действий, если организация не считает себя субъектом или считает себя объектом, но у нее нет объектов КИИ, подлежащих категорированию
Если организация не считает себя субъектом КИИ, то, например, по запросу руководства юридическая служба организации, изучив соответствующие нормы законодательства по КИИ, может написать соответствующую докладную записку и хранить ее в организации для собственного спокойствия, хотя это не требуется.
 
Если организация является субъектом, но считает, что у нее нет объектов КИИ, то для этого необходимо организовать комиссию, провести соответствующие работы по подтверждению того, что объектов КИИ, подлежащих категорированию, в организации нет и отразить данный факт в соответствующем внутреннем Акте и дальше хранить этот Акт внутри организации, направлять во ФСТЭК его не нужно.
15
Просьба детальнее прокомментировать прозвучавшую на первой встрече необходимость категорирования распределенных систем со стороны организаций, использующих данные системы, но не владеющих ими
Этот вопрос еще будет прорабатываться ФСТЭК. В этой связи планируются соответствующие изменения в 127-ПП. В настоящее время единого подхода нет. Подобные случаи будут рассматриваться регулятором индивидуально в ответ на официальные запросы со стороны субъектов КИИ
16
На какие адреса электронной почты можно обращаться с официальными и рабочими запросами по теме КИИ?
Официальные запросы необходимо присылать на адрес: postin@fstec.ru
Запросы на разъяснения в рабочем порядке необходимо присылать на адрес: otd25@fstec.ru