Конференции для субъектов КИИ из банков и органов государственной власти. Итоги.

Конференции для субъектов КИИ из банков и органов государственной власти. Итоги.
https://20sep.ib-bank.ru/files/files/materials2018/20sep/01%20Kubarev.pdf

Анатолий Грачёв, представитель ФСБ России
Практика взаимодействия с Национальным координационным центром по компьютерным инцидентам
https://20sep.ib-bank.ru/files/files/materials2018/20sep/02%20Grachev.pdf
   Радует, что ФСТЭК оперативно обновляет свои презентации.
Если считать, что на Инфобереге  https://valerykomarov.blogspot.com/2018/09/2018-2.html  показывали данные на конец августа, то за 3 недели сентября количество учтенных субъектов КИИ выросло с 423 до 482, а количество объектов КИИ с 18 643 до 20 524. Но 6 банков по всей России или 7 транспортных организаций выглядят не очень. Так же интересно сравнить степень автоматизации процессов для банков и транспортников. На 7 транспортных субъектов КИИ приходится 16 объектов, а на 6 банков уже 47 объектов. Что то не верится в такую ИТ-отсталость транспортной сферы. И очень забавно наблюдать на презентациях регуляторов разный взгляд на количество сфер деятельности из 187-ФЗ.

   21 сентября принял участие в  круглом столе «Цифровое государство как критическая информационная инфраструктура»  на  V Всероссийском форуме в области информационных и коммуникационных технологий «IT-Диалог 2018. Цифровое равенство регионов». Форум имел ярко выраженную региональную особенность - большинство участников были с СЗФО, включая представителя управления ФСТЭК по данному федеральному округу. Модератор - Алексей Лукацкий.
Из интересного прозвучало:
1. ФСТЭК в получаемых от субъектов КИИ перечнях объектов КИИ контролирует только сроки, заявленные на категорирование. Никаких действий по согласованию, возврату на доработку для устранения недостатков не предпринимается.
  Думаю, что это не касается случая, когда Перечень не утвержден субъектом-здесь прямое нарушение ПП127.
2. ФСТЭК никак не реагирует на сроки категорирования, указанные субъектами в Перечне, если они не совпадают с сроками из решения коллегии ФСТЭК № 59. Главное, что бы не превышало 12 месяцев, согласно ПП127. (Задавал прямой вопрос)  https://valerykomarov.blogspot.com/2018/07/187.html
3. ФСТЭК считает ошибкой, если субъект относит к объектам КИИ все свои ИС/АСУ/ТКС. Но не разъясняет  - как же отличать критические процессы от "ошибочных". 
   К сожалению, развить эту тему  и получить внятный ответ от ФСТЭК не получилось, так как публику интересовал только вопрос уголовной ответственности за невыполнение 187-ФЗ.
4. ФСТЭК очень просит субъектов КИИ прикладывать к переписке все Перечни и формы уведомления о результатах категорирования в электронном виде. Очень трудоемко для них вбивать в ручную. 
    Вообще, вкупе с отсутствием ответов о прогнозируемом количестве субъектов КИИ и значимых объектов КИИ в Реестре, это говорит о плохо проработанном подготовительном этапе к вводу в действие 187-ФЗ и ПП127. Что мешало форму Перечня и дублирование в электронной форме сразу прописать в подзаконных актах?

5. Представители транспортной сферы отчитались об успешном опыте "ухода" от категорий значимости своих объектов за счет использования "бумажных" компенсирующих мер.

   Форум проводился при поддержке Минкомсвязь, но представителей данного ведомства на секции по КИИ не было. А вопросов к ним ведь много, с учетом отсутствия внятной позиции по подзаконным актам к 187-ФЗ в сфере единой электросвязи.


* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.


** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite
Alt text

Баги в софте могут влиять на судьбы заключенных в тюрьмах, недобросовестные полицейские находят слабые места в копирайт-защите соцсетей. Смотрите новый выпуск на нашем Yotube канале

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности