30 Ноября, 2018

ФСТЭКvsБлогеры. Раунд 2.

Валерий Комаров



 
   Довольно оперативно ФСТЭК решил провести повторную встречу с тем же составом блогеров. И 26 ноября 2018 года  мы (кроме меня - Комаров А. ,  Кузнецов А . ,  Луцик П. ) прибыли в ФСТЭК для получения ответов на свои вопросы по выполнению 187-ФЗ. Сергей Борисов  передал свои вопросы в письменном виде, так как не смог присутствовать лично.  От ФСТЭК в состав участников дополнительно вошла Торбенко Е.Б. Отвечал на все вопросы Лютиков В.С.
   По формату встречи предусматривалось по 5 вопросов от каждого блогера. Вопросы могли быть любые, без привязки к  поданным при первой встрече. Чем я и воспользовался.
name='more'>
    1.     Указывает ли ФСТЭК отправителю Перечня о необходимости получения согласования от [государственным органом или российским юридическим лицом, выполняющим функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере в части подведомственных им субъектов критической информационной инфраструктурыk и в какой форме?
     Ответ: Если у ФСТЭК  понимание, что такое согласование должно было быть произведено, то будет направлено официальное письмо о нарушение процедуры ПП127 с требованием устранить (согласовать у ведомственного центра) и подать Перечень по новому. 
     Мой комментарий: ФСТЭК имеет на это полное право, так как это формальное нарушение процедуры категорирования, контроль за которой уже  законодательно возложен на ФСТЭК. Были озвучены планы по внесению изменений в ПП127 по регламентированию действий субъета при составлении и отправки Перечней объектов, подлежащих категорированию. 
1.1. Уточняющий вопрос: Возможно ли исключение объектов из уже поданного Перечня (вывели из эксплуатации и т.д.) и какая процедура?
Ответ: Да, возможно. Просто официальным письмом с указанием конкретного исключаемого объекта. Исправленный Перечень подавать по новому не требуется.

2.      Можно ли получить определения и/или ссылки на соответствующие определения для понятий [Управленческий процессk, [Технологический процессk, [Производственный процессk и [Финансово-экономический процессk, введённых в пп. [бk, п. 5 Правил, утв. ПП РФ 127? Вопрос связан с тем, что в федеральных законах данные определения отсутствуют, а в ГОСТ присутствуют определения только для терминов [Производственный процессk и [Технологический процессk, причем последний позиционируется как часть предшествующего. Аналогично для [эксплуатации информационной системыk (объекта КИИ). В общедоступных и юридически значимых федеральных документах определение термина [эксплуатация информационной системыk или схожего термина найти не удалось. Согласно ГОСТ 25866-83 эксплуатация изделия включает в себя в том числе транспортирование, хранение, техническое обслуживание и ремонт. Чем отличаются термины [эксплуатацияk и [функционированиеk. В п.4 Приказа 235 ФСТЭК [подразделения (работники), эксплуатирующие значимые объекты критической информационной инфраструктуры;
подразделения (работники), обеспечивающие функционирование (сопровождение, обслуживание, ремонт) значимых объектов критической информационной инфраструктуры;
Ответ: Такие определения можно найти только в узко отраслевых документах. Необходимо смотреть в каждой конкретной ситуации. 
3.      Если в организации, информация необходимая для обеспечения критических процессов, обрабатывается на технических средствах, которые в данный момент документально не оформлены как {информационная система, автоматизированная система управления или информационно-телекоммуникационная сеть}; необходимо ли считать, что в организации есть объект КИИ?
Ответ: Да.
4.      Ограничено ли количество циклов исправлений форм уведомления о результатах категорирования после получения мотивированного отказа ФСТЭК (подали-отказ-исправилиотказ-..сколько будет длится)? До момента устранения всех недостатков, указанных ФСТЭК?
Ответ: Не ограничено. Будете устранять, пока не приведете в соответствие с требованиями подзаконных актов.
5.      Каким образом предполагается выполнение требований Приказа ФСТЭК России от 21.12.2017г. 235 и Приказа ФСТЭК России от 25.12.2017г. 239 для информационных систем, являющихся ЗОКИИ, пользователями которых являются жители города Москвы, а не работники субъекта КИИ?
Вопрос вызван п.15 Приказа 235 ФСТЭК

 15. Работники, эксплуатирующие значимые объекты критической информационной инфраструктуры (пользователи), а также работники, обеспечивающие функционирование значимых объектов критической информационной инфраструктуры, должны выполнять свои обязанности на значимых объектах критической информационной инфраструктуры в соответствии с правилами безопасности, установленными организационно-распорядительными документами по безопасности значимых объектов (инструкциями, руководствами).
До работников должны быть доведены положения организационно-распорядительных документов по безопасности значимых объектов в части, их касающейся.
Субъект критической информационной инфраструктуры должен проводить не реже одного раза в год организационные мероприятия, направленные на повышение уровня знаний работников по вопросам обеспечения безопасности критической информационной инфраструктуры и о возможных угрозах безопасности информации.

Ответ: Не предполагается.
 Так как блогеров стало меньше, то появилось возможность для дополнительных вопросов.

6.       Организация работает в сфере информационных технологий (ОКВЭД 2 [63 - Класс [Деятельность в области информационных технологийk и 62 - Класс [Разработка компьютерного программного обеспечения, консультационные услуги в данной области и другие сопутствующие услугиk). Лицензий РКН на оказание услуг связи не имеет, соответственно не проводит работ по предоставлению:
1. Услуги местнои¶ телефоннои¶ связи, за исключением услуг местнои¶ телефоннои¶ связи с использованием таксофонов и средств коллективного доступа.
2. Услуги междугороднои¶ и международнои¶ телефоннои¶ связи.
3. Услуги телефоннои¶ связи в выделеннои¶ сети связи.
4. Услуги внутризоновои¶ телефоннои¶ связи.
5. Услуги местнои¶ телефоннои¶ связи с использованием таксофонов.
6. Услуги местнои¶ телефоннои¶ связи с использованием средств коллективного доступа.
7. Услуги телеграфнои¶ связи.
8. Услуги связи персонального радиовызова.
9. Услуги подвижнои¶ радиосвязи в сети связи общего пользования. 10. Услуги подвижнои¶ радиосвязи в выделеннои¶ сети связи.
11. Услуги подвижнои¶ радиотелефоннои¶ связи.
12. Услуги подвижнои¶ спутниковои¶ радиосвязи.
13. Услуги связи по предоставлению каналов связи.
14. Услуги связи по передаче данных, за исключением услуг связи по передаче данных для целеи¶ передачи голосовои¶ информации.
15. Услуги связи по передаче данных для целеи¶ передачи голосовои¶ информации.
16. Телематические услуги связи.
17. Услуги связи для целеи¶ кабельного вещания.
18. Услуги связи для целеи¶ эфирного вещания.
19. Услуги связи для целеи¶ проводного радиовещания.
20. Услуги почтовои¶ связи.
Вопрос: Относится ли сфера ИТ к сферам, регулируемых 187-ФЗ?
     Вопрос вызван рекомендациями ФСТЭК по использованию кодов деятельности организации  ОКВЭД для идентификации субъектов КИИ. В действующем ОКВЭД 2 указан РАЗДЕЛ J. Деятельность в области информации и связи, в который входят следующие коды классов:
Код ОКВЭД 58 - Деятельность издательская
Код ОКВЭД 59 - Производство кинофильмов, видеофильмов и телевизионных программ, издание звукозаписей и нот
Код ОКВЭД 60 - Деятельность в области телевизионного и радиовещания
Код ОКВЭД 61 - Деятельность в сфере телекоммуникаций
Код ОКВЭД 62 - Разработка компьютерного программного обеспечения, консультационные услуги в данной области и другие сопутствующие услуги
Код ОКВЭД 63 - Деятельность в области информационных технологий
     Непонятно что относится к сфере [Связьk из этих указанных классов деятельности.
6.1.       Если в организации используется лабораторная установка (химическая, бактериологическая, неразрушающего контроля и т.д.), то в организации осуществляется научная деятельность? Что относится к сфере [Наукаk?
Вопрос вызван рекомендациями ФСТЭК по использованию кодов деятельности организации  ОКВЭД для идентификации субъектов КИИ. В действующем ОКВЭД 2 указан РАЗДЕЛ M. Деятельность профессиональная, научная и техническая
Код ОКВЭД 69 - Деятельность в области права и бухгалтерского учета
Код ОКВЭД 70 - Деятельность головных офисов; консультирование по вопросам управления
Код ОКВЭД 71 - Деятельность в области архитектуры и инженерно-технического проектирования; технических испытаний, исследований и анализа
Код ОКВЭД 72 - Научные исследования и разработки
Код ОКВЭД 73 - Деятельность рекламная и исследование конъюнктуры рынка
Код ОКВЭД 74 - Деятельность профессиональная научная и техническая прочая
Код ОКВЭД 75 - Деятельность ветеринарная
Ответ: Коды ОКВЭД это просто маркеры. Один из признаков. И ничего более.

   На попытку повторно поднять вопрос про распределенные ИС,  был получен комментарий, что проблемы видят и ищут пути их решения.
   Очень напрягло изменение позиции представителей ФСТЭК по вопросу использования методических документов для моделирования угроз. Ранее на конференциях упоминалось, что можно использовать методики ФСТЭК для ИСПДн без всяких ограничений. На встрече прозвучало, что только для тех ОКИИ, в которых обрабатываются ПДн. Для всех остальных ОКИИ необходимо использовать документы согласно инф. письму  (КСИИ). ДСП с них никто снимать не будет.

P.S. Если встреча вызвала пессимизм от происходящего с внедрением 187-ФЗ в массы,  то после выступлений регуляторов (ФСТЭК, ФСБ, ЦБ) на СОК -форуме ....Но об этом в следующей заметке. 

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.


** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite