Благодаря Павлу Луцику, удалось получить в неформальном порядке от ФСТЭК ответы на вопросы по нюансам выполнения субъектом КИИ ПП127 и Приказов по КИИ.
Сама готовность регулятора отвечать на вопросы, собранные в таком формате очень похвальна и позитивна.
Но вот качество и содержимое ответов печалит. Неопределенность трактования норм подзаконных актов только усилилась.
2 Например, как понимать «Категорируются только те ОКИИ, которые обеспечивают основные виды деятельности субъекта»? Основные – это какие?
Смотрим первоисточники:
ПП 127 «3. Категорированию подлежат объекты критической информационной инфраструктуры, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры.»
Может быть это «критические процессы»?
«выявление управленческих, технологических, производственных, финансово-экономических и (или) иных процессов в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры, нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка (далее - критические процессы);
в) определение объектов критической информационной инфраструктуры, которые обрабатывают информацию, необходимую для обеспечения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов;»
Ни в одном документе нет упоминаний про «основные» виды деятельности.
Ответ ФСТЭК не внес никакой ясности. Каждый субъект продолжит трактовать по своему разумению, что ему включать в перечень объектов КИИ.
4 Позиция по срокам выполнения требований Приказов 235/239 «в разумные сроки» - очень опасная для субъекта. Особенно с однозначным утверждением, что срок реализации данных мер не привязан к дате категорирования или внесения в реестр. Правда, честно упоминают о том, что у прокуратуры мнение другое на это. Высокий риск получить административную ответственность по п.6 ст.13.12 КоАП, с момента утверждения акта категорирования.
Какие положительные моменты увидел для себя в ответах:
1. Нет обязательности аттестации значимого объекта КИИ по требованиям 239 приказа, в случаях с ГИС.
2. «Облачные» услуги не относятся к КИИ.
3. Объекты ТЭК продолжают выполнять требования к КВО и КИИ.
4. Не возражают против внутренней техподдержки для «самописного» прикладного ПО.
5. Можно выпускать собственные инструкции по эксплуатации.
Из отрицательных моментов:
Требуют обязательное согласование модели угроз для объектов КИИ -ГИС. По аналогии с ГИС. Расширяют сферу действия ПП 676 на КИИ.
Технические средства из состава системы безопасности (скуд, видеонаблюдение, пожарная сигнализация и т.д.) отнесли в состав значимого объекта КИИ, что приводит к уголовной ответственности по 274.1 УК РФ при эксплуатации данных средств.
8. Нет однозначной позиции по ЦОД, в части отнесения его к объектам КИИ.
К 01.07.2018 обещают радикально поменять требования по ГИС/ИСПДн (изменение 17/21 приказа). Выпустить новые методические документы по КИИ. Ждем с большим нетерпением. Выход таких методических документов и их единообразие сильно облегчит жизнь специалистам на местах.
* Все новости блога на публичном Telegram-канале t.me/ruporsecurite
№ | Вопрос | Частное мнение ФСТЭК | Мой комментарий |
1 | В отчете о результатах категорирования, который субъект КИИ должен передать ФСТЭК в течении 5 дней, содержится информация о действующих средствах защиты КИИ. Это есть Гостайна для субъекта КИИ? | Отнесение мер кии к ГТ будет по совокупности (за отрасль) или если объект сам обрабатывает ГТ. Это определят ведомственные перечни | |
2 | В какой срок субъектом должны быть реализованы меры по защите значимых объектов КИИ? Привязан ли этот срок к сроку занесения ФСТЭК результатов категорирования в Реестр ЗОКИИ или к моменту утверждения акта категорирования? | Срок реализации мер - в разумные сроки. Прививки нет | Разумные сроки для реальной организации – 5 лет (планирование, проектирование, закупка, обучение, внедрение и т.д.). |
3 | Является ли оператор связи, обслуживающий и поддерживающий информационную систему субъекта КИИ, сам таким субъектом? Или только его инфосистема является объектом КИИ? | По определению скорее всего нет, но нужно разбираться в конкретном случае | Кто будет разбираться? Минкомсвязь или ФСТЭК? |
4 | Нужна ли лицензия на гостайну для предоставления услуг субъекту КИИ по защите его объектов КИИ или достаточно лицензии ТЗКИ? | Лицензия нужна, если объект КИИ отнесён к ГТ | |
5 | В каком формате (с указанием каких атрибутов) необходимо отправлять во ФСТЭК перечень объектов КИИ, подлежащих категорированию? 127-ПП и соответствующий приказ ФСТЭК говорят о формате передачи информации о результатах категорирования, но ничего не говорят о формате передачи перечня. | Формат перечня не определён (в любом) | |
6 | Должно ли как-то учитываться и, если да, то как увеличение масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах КИИ при единовременном возникновении инцидентов на нескольких объектах одного субъекта КИИ? В частности, этот вопрос важен в случаях, когда у субъекта будут выявлены критические процессы, но дальнейшая оценка масштаба возможных последствий для отдельных объектов КИИ будет недотягивать до значений, установленных для какой-либо категории. В результате, им не будет присвоена ни одна из категорий значимости | По законодательств рассматривается каждый объект в отдельности | |
7 | Если в составе одного юр. лица есть несколько обособленных подразделений (филиалов), каждое их которых которые осуществляют часть видов деятельности юридического лица: - Допустимо ли назначение нескольких комиссий по категорированию: одна в аппарате управления, отдельные - на уровне каждого филиала? При этом будут соблюдены требования к составу комиссии, установленные п. 11 ПП-127. Комиссия каждого филиала будет определять процессы в рамках осуществления видов деятельности соответствующего филиала, выявлять критические процессы, определять объекты и т.д. Для процессов, которые выходят за рамки видов деятельности отдельно взятых филиалов и/или охватывают все или часть филиалов одновременно, соответствующие мероприятия будут реализовываться комиссией на уровне аппарата управления. - Если допустимо несколько комиссий, допустимо ли оформить перечень объектов КИИ, акты категорирования и формы направления сведений во ФСТЭК РФ в каждом обособленном подразделении и подавать документы в соответствующие обособленному подразделению территориальные подразделения ФСТЭК России? | Комиссия может быть создана в каждом подразделении. Но перечни и результаты направляются только субъектом кии, а значит центральным подразделением | Ничего не ответили про направление Перечней в территориальные органы ФСТЭК. |
8 | Если в составе группы компаний есть несколько юр. лиц, каждое их которых является субъектом КИИ (каждому на праве собственности и/или аренды принадлежат ИС и/или АСУ, функционирующие в одной из установленных сфер). В ряде случаев отдельные ИС и АСУ принадлежат на праве собственности одному юр. лицу группы компаний и переданы в аренду по договору эксплуатации иному юр. лицу группы. Таким образом, с точки зрения определений ФЗ-187, оба юр. лица являются субъектами КИИ в отношении одних ИС/АСУ. Устанавливаются ли какие-либо требования/ограничения в отношении того, какое из юридических лиц в данном случае должно включать указанные ИС и АСУ в перечень объектов КИИ, проводить процедуры категорирования, оформлять формы направления сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий? Или допустимо урегулировать это по согласованию сторон в рамках группы компаний? | Категорированием занимается лицо-владелец объекта (это есть в 127-ПП) | Эксплуатанты могут только «К разработке и внедрению организационных и технических мер по обеспечению безопасности значимого объекта привлекается лицо, эксплуатирующее (планирующее эксплуатировать) значимый объект.» п.13 Приказ 239 |
9 | Подпадает ли под действие 187-ФЗ (в качестве субъекта КИИ) госорганизация, которая не подходит ни под одну из 12 сфер, указанных в законе? | Попадают только те , которые имеют системы в 12 определённых сферах | Вообще то в 187-ФЗ указано 13 сфер деятельности, а не 12. |
10 | Какие нужны лицензии для следующих видов деятельности : 1) разработка АСУ ТП и её элементов , plc , автоматики и т.д 2) установка и гарантийное обслуживание собственного оборудования и систем АСУ ТП у Заказчика ( заказчики субъекты КИИ 1,2,3 категории). 2. Как ознакомиться с перечнем если нет своего РСО, на базе чего должно быть принято решение о оформлении лицензии по ГТ( компания занимается разработкой, производством и внедрением АСУ) 3. Какие формы (по ГТ) нужно будет оформлять максимально (необходимо знать что бы уже сейчас сформулировать требования для набора сотрудников) ? 4. Когда будут унифицированные общие требования - ПЗ или общее ЗБ на классы оборудования в энергетике. | Лицензии нужны только для оказания услуг по ТЗИ для объектов кии (здесь ничего не изменилось). В части ознакомления с перечнем по ГТ: см п.1 ГТ будет далеко не у всех | |
11 | В пп-127 в п.17 говорится о том, что в составе сведений о результатах категорирования субъект должен в том числе направлять во ФСТЭК "информацию об организационых и технических мерах, применяемых для обеспечения безопасности объекта КИИ", т.е. о мерах защиты, применяемых на момент категорирования, когда система защиты по 235-му и 239-му приказах ФСТЭК еще не создана. А после создания системы защиты сведения о мерах защиты в рамках созданной системы защиты ЗОКИИ передавать во ФСТЭК законодательство субъекта не обязывает. Хотя по логике должно быть наоборот. Хотелось бы услышать мнение регулятора по этому поводу. | По п. 17 передаются сведения о мерах, принятых на момент категорирования. Далее субъект обязан выполнить требования законодательства. А правильность и полнота будут проверены в рамках госконтроля | Госконтроль через 3 года после внесения в Реестр (после утверждения результатов категорирования), получается, что «разумные сроки» - 4 года от настоящего момента. Только непонятно, а что будет при внеплановом госконтроле? Скорее всего п.6 ст.13.12 КоАП |
12 | ОКИИ это любые ИС/АСУ/ИТС субъекта или только те, которые относятся к критическим процессам в рамках основной деятельности субъекта? Категорировать нужно все окии или только относящиеся к критическим процессам в рамках основной деятельности? Если есть окии, которые не требуется категорировать, то к чему их относить - к незначимым окии или к какой-то отдельной группе окии? | Категорируются только те ОКИИ, которые обеспечивают основные виды деятельности субъекта | Категорировать все. К основным видам деятельности у организации относятся не только сферы деятельности из 187-ФЗ. |
13 | В статье 2 закона 187 ФЗ в п. 8 перечислены виды деятельности организаций, относящихся к субъектам КИИ, а также "российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей". Вопрос - относятся ли к субъектам КИИ различные интеграторы, которые обеспечивают сопровождение ИБ ИС в рамках договора с этими субъектами КИИ? Что вообще понимается под формулировкой "взаимодействие указанных систем или сетей"? | В ст.2 говорится о владельцах ОКИИ. Интеграторы ими не являются (как правило). | А кто такие владельцы объектов, обеспечивающих взаимодействие объектов КИИ? |
14 | Статус объектов КСИИ? Им продолжать выполнять требования методических документов ФСТЭК в области обеспечения безопасности КСИИ или только новые по КИИ? | Понятие КСИИ упразднено | Кем и когда упразднено? |
15 | Планирует ли ФСТЭК официально прекращать действие утвержденных методических документов ФСТЭК в области обеспечения безопасности КСИИ? | Да. Материалы об отмене готовятся | Сроки? |
16 | Что с областью применения "ГОСТ Р 52069.0-2013. Национальный стандарт Российской Федерации. Защита информации. Система стандартов. Основные положения" (утв. и введен в действие Приказом Росстандарта от 28.02.2013 N 3-ст)? Возможно ли его применение для КИИ? | Необходимая работа по устранению нестыковок ведётся | Кем и сроки? |
17 | Если значимый объект КИИ является ГИС, то необходимо ли направлять на согласование во ФСТЭК Модель угроз безопасности информации и (или) техническое задание на создание системы безопасности значимого объекта КИИ? | Да | Очень опасный пункт для субъекта КИИ. Но вот законность такого требования под вопросом. |
18 | Почему мера ИНЦ.6 «Хранение и защита информации о компьютерных инцидентах» только для 1 категории является базовой? Защита информации о событиях ИБ критичней чем информация об ИНЦИДЕНТАХ ИБ? | Меры приняты исходя из практики их применения в иных системах | Интересно про какую практику речь? Раздел ИНЦ был только в 31 приказе, но там не предусмотрена защита информации о компьютерных инцидентах. В 17 приказе ИНЦ нет вообще, но есть РСБ.7 «Защита информации о событиях безопасности» и она обязательна для всех классов ГИС. Так же РСБ.7 обязательно для всех АСУ ТП. ФСТЭК дала формальную отписку. |
19 | Для 1 категории внешний аудит обязательно проводить ежегодно? Внутренний ему просто не нужен становится? Подтверждать наличием договора с лицензиатом? | Меры приняты исходя из практики их применения в иных системах | Интересно про какую практику речь? ФСТЭК дала формальную отписку. |
20 | Требуется ли повышать категорию КИИ, если значимым объектом является ГИС более высокого класса? (п.24 Приказа 239) | Категория не повышается, но меры защиты применяются по максимальному варианту | Это как? Обязательное применение всех «усилений» к базовым мерам для данной категории? Что такое «максимальный вариант»? |
21 | Допускается ли использование субъектом инструкций по эксплуатации не от разработчика/производителя? (п.30 Приказа 239) | Да | Отлично, надеюсь, что эта позиция ФСТЭК станет официальной и не изменится. Пока в документах однозначно прописан вариант «нет». |
22 | Каким образом подтверждается наличие техподдержки для ПО собственной разработки? (п.31 Приказа 239) | Внутренними документами | Отлично, надеюсь, что эта позиция ФСТЭК станет официальной и не изменится. |
23 | Кто является субъектом КИИ для ИС субъектов РФ? Все принадлежит региону, а конкретные ОИВ выполняют функции (заказчика создания, эксплуатации и т.д.) согласно Постановлениям Правительства субъекта РФ. Ни один из ОИВ не имеет прав собственности. | Владелец ИС по документам (это вопрос к бухгалтерии и хозяйственной службе) | ФСТЭК вопроса не поняли, жаль. |
24 | Субъекты КИИ имеют право: получать от ФОИВ, уполномоченного в области обеспечения безопасности КИИ РФ, информацию, в том числе об угрозах безопасности обрабатываемой значимыми объектами информации и уязвимости ПО, оборудования и технологий, используемых на таких объектах. Как субъект может воспользоваться данным правом? Каким документом регламентируется передача ПО, используемого на объекте КИИ, в ФСТЭК на предмет выявления уязвимостей? Кому и в какие сроки субъект может предать ПО для анализа? | Обратившись в ФОИВ | Никак не регламентировано. |
25 | Когда внесут изменения в 17,21 и 31 приказ по мерам защиты? | До конца 2-го квартала 2018 года. Проект уже разработан | Ждем 1 июля. С большим нетерпением. |
26 | Для определения угроз безопасности информации и разработки модели угроз безопасности информации применяются методические документы, разработанные и утвержденные ФСТЭК России. Когда субъекты КИИ смогут воспользоваться данными методическими документами? | Методические документы по угрозам для АСУ ТП и ИС уже существуют | По АСУ ТП обещают отменить, по ИС есть только для ИСПДн от 2008 года. |
27 | Анализ угроз безопасности информации должен включать: в) определение возможных способов (сценариев) реализации (возникновения) угроз безопасности информации; Какая степень детализации описания сценария? По какой форме оформлять? | Описание: источник-способ реализации-последствия | |
28 | Когда и каким способом будут исправлены «Значения показателей» в ПП 127 для п.6, п. 9, п. 14? | Это вопрос к правительству РФ | Лучше промолчу. |
29 | Что за «государственным органом или российским юридическим лицом, выполняющим функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере в части подведомственных им субъектов критической информационной инфраструктуры»? Ответ желательно предоставить в виде таблицы соответствия «сфера деятельности из 187 – согласующий орган». Для горнорудной, науки несколько министерств осуществляют нормативно-правовое регулирование. Среди госкорпораций у Ростеха не прописаны полномочия по нормативно-правовому регулированию. | Указанное согласование осуществляется только для подведомственных организаций (пример - ФГУПы). | Подведомственных кому? |
30 | Что такое «тип объекта защиты значимого объекта»? п.11г Приказа 239 г) перечень типов объектов защиты значимого объекта; | Это объекты защиты | Тип объекта – это объект? |
31 | Какой срок отведен для реализации Требований Приказа 239 для значимых объектов, уже находящихся в эксплуатации ? | Разумные сроки (но прокуратура трактует это как уже здесь и сейчас) | Отлично. Административная ответственность с момента утверждения акта категорирования. |
32 | Допускается ли связка «аттестат на соответствие на требования 17 приказа+ Акт приемки (вывод) внутренней комиссии о соответствии требованиям 239 приказа» для значимого объекта, который является ГИС? Или обязательно должен быть аттестат на соответствие 17 и 239 приказа? | Да | Надеюсь, что «Да» относится к первому вопросу, а не к второму. |
33 | Когда будет выпущен методический документ, разъясняющий меры защиты из Приказа 239 (аналог «Методического документе ФСТЭК России «Меры защиты информации в ГИС» | До конца 2-го квартала 2018 года | Ждем 1 июля. С большим нетерпением. |
34 | Относятся ли средства защиты информации, технические средства обеспечения безопасности (скуд, видео и т.д) к составу значимого объекта КИИ? Применима ли к ним 274.1 УК? | Да | Очень печально. Прям очень-очень. |
35 | Относятся ли ЦОД к объектам КИИ, если их ресурсы по договору предоставляются для использования другим субъектам КИИ? | Надо смотреть на предоставляемые услуги | Кто должен смотреть? ФСТЭК? |
36 | Являются ли субъектами КИИ «облачные провайдеры»? | Скорее всего нет (это не определено законодательством) | Их деятельность классифицируется законодательно как «сфера связи». |
37 | Субъекты в сфере ТЭК продолжают выполнять требования для КВО (по 256-ФЗ) и для КИИ? | Да | А как же КСИИ? |