Неофициальная позиция ФСТЭК по особенностям выполнения ПП127

Неофициальная позиция ФСТЭК по особенностям выполнения ПП127

         
          

          Благодаря Павлу Луцику, удалось получить в неформальном порядке от ФСТЭК ответы на вопросы по нюансам выполнения субъектом КИИ ПП127 и Приказов по КИИ. 
         Сама готовность регулятора отвечать на вопросы, собранные в таком формате очень похвальна и позитивна.
          Но вот качество и содержимое ответов печалит. Неопределенность трактования норм подзаконных актов только усилилась.

2              Например,  как понимать «Категорируются только те ОКИИ, которые обеспечивают основные виды деятельности субъекта»? Основные – это какие? 
Смотрим первоисточники:
     ПП 127 «3. Категорированию подлежат объекты критической информационной инфраструктуры, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры.» 
       Может быть это «критические процессы»?
«выявление управленческих, технологических, производственных, финансово-экономических и (или) иных процессов в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры, нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка (далее - критические процессы);
в) определение объектов критической информационной инфраструктуры, которые обрабатывают информацию, необходимую для обеспечения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов;»
Ни в одном документе нет упоминаний про «основные» виды деятельности.
Ответ ФСТЭК не внес никакой ясности. Каждый субъект продолжит трактовать по своему разумению, что ему включать в перечень объектов КИИ.
                     
4               Позиция по срокам выполнения требований Приказов 235/239 «в разумные сроки» - очень опасная для субъекта. Особенно с однозначным утверждением, что срок реализации данных мер не привязан к дате категорирования или внесения в реестр. Правда, честно упоминают о том, что у прокуратуры мнение другое на это. Высокий риск получить административную ответственность по п.6 ст.13.12 КоАП, с момента утверждения акта категорирования.


     Какие положительные моменты увидел для себя в ответах:
1.              Нет обязательности аттестации значимого объекта КИИ по требованиям 239 приказа, в случаях с ГИС.
2.           «Облачные» услуги не относятся к КИИ.
3.               Объекты ТЭК продолжают выполнять требования к КВО и КИИ.
4.              Не возражают против внутренней техподдержки для «самописного» прикладного ПО.
5.             Можно выпускать собственные инструкции по эксплуатации.

     Из отрицательных моментов:
     Требуют обязательное согласование модели угроз для объектов КИИ -ГИС. По аналогии с ГИС. Расширяют сферу действия ПП 676 на КИИ.
     Технические средства из состава системы безопасности (скуд, видеонаблюдение, пожарная сигнализация и т.д.) отнесли в состав значимого объекта КИИ, что приводит к уголовной ответственности по 274.1 УК РФ при эксплуатации данных средств.
8.             Нет однозначной позиции по ЦОД, в части отнесения его к объектам КИИ.



К 01.07.2018 обещают радикально поменять требования по ГИС/ИСПДн (изменение 17/21 приказа). Выпустить новые методические документы по КИИ. Ждем с большим нетерпением. Выход таких методических документов и их единообразие сильно облегчит жизнь специалистам на местах.

* Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

 Прокомментировал в табличке ответы ФСТЭК:




Вопрос
Частное мнение ФСТЭК
Мой комментарий
1
В отчете о результатах категорирования, который субъект КИИ должен передать ФСТЭК в течении 5 дней, содержится информация о действующих средствах защиты КИИ. Это есть Гостайна для субъекта КИИ?
Отнесение мер кии к ГТ будет по совокупности (за отрасль) или если объект сам обрабатывает ГТ. Это определят ведомственные перечни

2
В какой срок субъектом должны быть реализованы меры по защите значимых объектов КИИ? Привязан ли этот срок к сроку занесения ФСТЭК результатов категорирования в Реестр ЗОКИИ или к моменту утверждения акта категорирования?
Срок реализации мер - в разумные сроки. Прививки нет 
Разумные сроки для реальной организации – 5 лет (планирование, проектирование, закупка, обучение, внедрение и т.д.).
3
Является ли оператор связи, обслуживающий и поддерживающий информационную систему субъекта КИИ, сам таким субъектом? Или только его инфосистема является объектом КИИ?
По определению скорее всего нет, но нужно разбираться в конкретном случае
Кто будет разбираться? Минкомсвязь или ФСТЭК?
4
Нужна ли лицензия на гостайну для предоставления услуг субъекту КИИ по защите его объектов КИИ или достаточно лицензии ТЗКИ?
Лицензия нужна, если объект КИИ отнесён к ГТ

5
В каком формате (с указанием каких атрибутов) необходимо отправлять во ФСТЭК перечень объектов КИИ, подлежащих категорированию? 127-ПП и соответствующий приказ ФСТЭК говорят о формате передачи информации о результатах категорирования, но ничего не говорят о формате передачи перечня.
Формат перечня не определён (в любом)

6
Должно ли как-то учитываться и, если да, то как увеличение масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах КИИ при единовременном возникновении инцидентов на нескольких объектах одного субъекта КИИ?
В частности, этот вопрос важен в случаях, когда у субъекта будут выявлены критические процессы, но дальнейшая оценка масштаба возможных последствий для отдельных объектов КИИ будет недотягивать до значений, установленных для какой-либо категории. В результате, им не будет присвоена ни одна из категорий значимости
По законодательств рассматривается каждый объект в отдельности

7
Если в составе одного юр. лица есть несколько обособленных подразделений (филиалов), каждое их которых которые осуществляют часть видов деятельности юридического лица:
- Допустимо ли назначение нескольких комиссий по категорированию: одна в аппарате управления, отдельные - на уровне каждого филиала? При этом будут соблюдены требования к составу комиссии, установленные п. 11 ПП-127. Комиссия каждого филиала будет определять процессы в рамках осуществления видов деятельности соответствующего филиала, выявлять критические процессы, определять объекты и т.д. Для процессов, которые выходят за рамки видов деятельности отдельно взятых филиалов и/или охватывают все или часть филиалов одновременно, соответствующие мероприятия будут реализовываться комиссией на уровне аппарата управления.
- Если допустимо несколько комиссий, допустимо ли оформить перечень объектов КИИ, акты категорирования и формы направления сведений во ФСТЭК РФ в каждом обособленном подразделении и подавать документы в соответствующие обособленному подразделению территориальные подразделения ФСТЭК России?
Комиссия может быть создана в каждом подразделении. Но перечни и результаты направляются только субъектом кии, а значит центральным подразделением
Ничего не ответили про направление Перечней в территориальные органы ФСТЭК.
8
Если в составе группы компаний есть несколько юр. лиц, каждое их которых является субъектом КИИ (каждому на праве собственности и/или аренды принадлежат ИС и/или АСУ, функционирующие в одной из установленных сфер).
В ряде случаев отдельные ИС и АСУ принадлежат на праве собственности одному юр. лицу группы компаний и переданы в аренду по договору эксплуатации иному юр. лицу группы. Таким образом, с точки зрения определений ФЗ-187, оба юр. лица являются субъектами КИИ в отношении одних ИС/АСУ.
Устанавливаются ли какие-либо требования/ограничения в отношении того, какое из юридических лиц в данном случае должно включать указанные ИС и АСУ в перечень объектов КИИ, проводить процедуры категорирования, оформлять формы направления сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий? Или допустимо урегулировать это по согласованию сторон в рамках группы компаний?
Категорированием занимается лицо-владелец объекта (это есть в 127-ПП) 
Эксплуатанты могут только «К разработке и внедрению организационных и технических мер по обеспечению безопасности значимого объекта привлекается лицо, эксплуатирующее (планирующее эксплуатировать) значимый объект.» п.13 Приказ 239
9
Подпадает ли под действие 187-ФЗ (в качестве субъекта КИИ) госорганизация, которая не подходит ни под одну из 12 сфер, указанных в законе?
Попадают только те , которые имеют системы в 12 определённых сферах
Вообще то в 187-ФЗ указано 13 сфер деятельности, а не 12.
10
Какие нужны лицензии для следующих видов деятельности : 1) разработка АСУ ТП и её элементов , plc , автоматики и т.д 2) установка и гарантийное обслуживание собственного оборудования и систем АСУ ТП у Заказчика ( заказчики субъекты КИИ 1,2,3 категории).
2. Как ознакомиться с перечнем если нет своего РСО, на базе чего должно быть принято решение о оформлении лицензии по ГТ( компания занимается разработкой, производством и внедрением АСУ) 3. Какие формы (по ГТ) нужно будет оформлять максимально (необходимо знать что бы уже сейчас сформулировать требования для набора сотрудников) ? 4. Когда будут унифицированные общие требования - ПЗ или общее ЗБ на классы оборудования в энергетике.
Лицензии нужны только для оказания услуг по ТЗИ для объектов кии (здесь ничего не изменилось). В части ознакомления с перечнем по ГТ: см п.1 ГТ будет далеко не у всех

11
В пп-127 в п.17 говорится о том, что в составе сведений о результатах категорирования субъект должен в том числе направлять во ФСТЭК "информацию об организационых и технических мерах, применяемых для обеспечения безопасности объекта КИИ", т.е. о мерах защиты, применяемых на момент категорирования, когда система защиты по 235-му и 239-му приказах ФСТЭК еще не создана. А после создания системы защиты сведения о мерах защиты в рамках созданной системы защиты ЗОКИИ передавать во ФСТЭК законодательство субъекта не обязывает. Хотя по логике должно быть наоборот. Хотелось бы услышать мнение регулятора по этому поводу.
По п. 17 передаются сведения о мерах, принятых на момент категорирования. Далее субъект обязан выполнить требования законодательства. А правильность и полнота будут проверены в рамках госконтроля
Госконтроль через 3 года после внесения в Реестр (после утверждения результатов категорирования), получается, что «разумные сроки» - 4 года от настоящего момента.
Только непонятно, а что будет при внеплановом госконтроле?
Скорее всего п.6 ст.13.12 КоАП
12
ОКИИ это любые ИС/АСУ/ИТС субъекта или только те, которые относятся к критическим процессам в рамках основной деятельности субъекта? Категорировать нужно все окии или только относящиеся к критическим процессам в рамках основной деятельности? Если есть окии, которые не требуется категорировать, то к чему их относить - к незначимым окии или к какой-то отдельной группе окии?
Категорируются только те ОКИИ, которые обеспечивают основные виды деятельности субъекта
Категорировать все. К основным видам деятельности у организации относятся не только сферы деятельности из 187-ФЗ.
13
В статье 2 закона 187 ФЗ в п. 8 перечислены виды деятельности организаций, относящихся к субъектам КИИ, а также "российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей". Вопрос - относятся ли к субъектам КИИ различные интеграторы, которые обеспечивают сопровождение ИБ ИС в рамках договора с этими субъектами КИИ? Что вообще понимается под формулировкой "взаимодействие указанных систем или сетей"?
В ст.2 говорится о владельцах ОКИИ. Интеграторы ими не являются (как правило).
А кто такие владельцы объектов, обеспечивающих взаимодействие объектов КИИ?
14
Статус объектов КСИИ? Им продолжать выполнять требования методических документов ФСТЭК в области обеспечения безопасности КСИИ или только новые по КИИ?
Понятие КСИИ упразднено
Кем и когда упразднено?
15
Планирует ли ФСТЭК официально прекращать действие утвержденных методических документов ФСТЭК в области обеспечения безопасности КСИИ?
Да. Материалы об отмене готовятся 
Сроки?
16
Что с областью применения "ГОСТ Р 52069.0-2013. Национальный стандарт Российской Федерации. Защита информации. Система стандартов. Основные положения" (утв. и введен в действие Приказом Росстандарта от 28.02.2013 N 3-ст)? Возможно ли его применение для КИИ?
Необходимая работа по устранению нестыковок ведётся 
Кем и сроки?
17
Если значимый объект КИИ является ГИС, то необходимо ли направлять на согласование во ФСТЭК Модель угроз безопасности информации и (или) техническое задание на создание системы безопасности значимого объекта КИИ?
Да
Очень опасный пункт для субъекта КИИ. Но вот законность такого требования под вопросом.
18
Почему мера ИНЦ.6 «Хранение и защита информации о компьютерных инцидентах» только для 1 категории является базовой?
Защита информации о событиях ИБ критичней чем информация об ИНЦИДЕНТАХ ИБ?
Меры приняты исходя из практики их применения в иных системах
Интересно про какую практику речь? Раздел ИНЦ был только в 31 приказе, но там не предусмотрена защита информации о компьютерных инцидентах. В 17 приказе ИНЦ нет вообще, но есть РСБ.7 «Защита информации о событиях безопасности» и она обязательна для всех классов ГИС. Так же РСБ.7 обязательно для всех АСУ ТП.
ФСТЭК дала формальную отписку.
19
Для 1 категории внешний аудит обязательно проводить ежегодно? Внутренний ему просто не нужен становится? Подтверждать наличием договора  с лицензиатом?
Меры приняты исходя из практики их применения в иных системах
Интересно про какую практику речь?
ФСТЭК дала формальную отписку.
20
Требуется ли повышать категорию КИИ, если значимым объектом является ГИС более высокого класса? (п.24 Приказа 239)
Категория не повышается, но меры защиты применяются по максимальному варианту
Это как? Обязательное применение всех «усилений» к базовым мерам для данной категории? Что такое «максимальный вариант»?
21
Допускается ли использование субъектом инструкций по эксплуатации не от разработчика/производителя? (п.30 Приказа 239)
Да
Отлично, надеюсь, что эта позиция ФСТЭК станет официальной и не изменится. Пока в документах однозначно прописан вариант «нет».
22
Каким образом подтверждается наличие техподдержки для ПО собственной разработки? (п.31 Приказа 239)
Внутренними документами
Отлично, надеюсь, что эта позиция ФСТЭК станет официальной и не изменится.
23
Кто является субъектом КИИ для ИС субъектов РФ?
Все принадлежит региону, а конкретные ОИВ выполняют функции (заказчика создания, эксплуатации и т.д.) согласно Постановлениям Правительства субъекта РФ. Ни один из ОИВ не имеет прав собственности.
Владелец ИС по документам (это вопрос к бухгалтерии и хозяйственной службе)
ФСТЭК вопроса не поняли, жаль.

24
Субъекты КИИ имеют право:
получать от ФОИВ, уполномоченного в области обеспечения безопасности КИИ РФ, информацию, в том числе об угрозах безопасности обрабатываемой значимыми объектами информации и уязвимости ПО, оборудования и технологий, используемых на таких объектах.
Как субъект может воспользоваться данным правом?
Каким документом регламентируется передача ПО, используемого на объекте КИИ, в ФСТЭК на предмет выявления уязвимостей? Кому и  в какие сроки субъект может предать ПО для анализа?
Обратившись в ФОИВ
Никак не регламентировано.
25
Когда внесут изменения в 17,21 и 31 приказ по мерам защиты?
До конца 2-го квартала 2018 года. Проект уже разработан 
Ждем 1 июля. С большим нетерпением.
26
Для определения угроз безопасности информации и разработки модели угроз безопасности информации применяются методические документы, разработанные и утвержденные ФСТЭК России.
Когда субъекты КИИ смогут воспользоваться данными методическими документами?
Методические документы по угрозам для АСУ ТП и ИС уже существуют
По АСУ ТП обещают отменить, по ИС есть только для ИСПДн от 2008 года.
27
Анализ угроз безопасности информации должен включать:
 в) определение возможных способов (сценариев) реализации (возникновения) угроз безопасности информации;
Какая степень детализации описания сценария? По какой форме оформлять?
Описание: источник-способ реализации-последствия

28
Когда и каким способом будут исправлены «Значения показателей» в ПП 127 для п.6, п. 9, п. 14?
Это вопрос к правительству РФ
 Лучше промолчу.
29
Что за «государственным органом или российским юридическим лицом, выполняющим функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере в части подведомственных им субъектов критической информационной инфраструктуры»?  Ответ желательно предоставить в виде таблицы соответствия «сфера деятельности из 187 – согласующий орган».
Для горнорудной, науки несколько министерств осуществляют нормативно-правовое регулирование. Среди госкорпораций у Ростеха не прописаны полномочия по нормативно-правовому регулированию.
Указанное согласование осуществляется только для подведомственных организаций (пример - ФГУПы).
Подведомственных кому?
30
Что такое «тип объекта защиты значимого объекта»?
п.11г Приказа 239
г) перечень типов объектов защиты значимого объекта;
Это объекты защиты 
Тип объекта – это объект?

31
Какой срок отведен для реализации Требований Приказа 239 для значимых объектов, уже находящихся в эксплуатации ?
Разумные сроки (но прокуратура трактует это как уже здесь и сейчас)
Отлично. Административная ответственность с момента утверждения акта категорирования.
32
Допускается ли связка «аттестат на соответствие на требования 17 приказа+ Акт приемки (вывод) внутренней комиссии о соответствии требованиям 239 приказа» для значимого объекта, который является ГИС? Или обязательно должен быть аттестат на соответствие 17 и 239 приказа?
Да
Надеюсь, что «Да» относится к первому вопросу, а не к второму.
33
Когда будет выпущен методический документ, разъясняющий меры защиты из Приказа 239 (аналог «Методического документе ФСТЭК России «Меры защиты информации в ГИС»
До конца 2-го квартала 2018 года
Ждем 1 июля. С большим нетерпением.
34
Относятся ли средства защиты информации, технические средства обеспечения безопасности (скуд, видео и т.д) к составу значимого объекта КИИ? Применима ли к ним 274.1 УК?
Да
Очень печально. Прям очень-очень.
35
Относятся ли ЦОД к объектам КИИ, если их ресурсы по договору предоставляются для использования другим субъектам КИИ?
Надо смотреть на предоставляемые услуги 
Кто должен смотреть? ФСТЭК?
36
Являются ли субъектами КИИ «облачные провайдеры»?
Скорее всего нет (это не определено законодательством) 
Их деятельность классифицируется законодательно как «сфера связи».
37
Субъекты в сфере ТЭК продолжают выполнять требования для КВО (по 256-ФЗ) и для КИИ?
Да
А как же КСИИ?





Alt text

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности