Инфофорум 2019. Отчет регуляторов по первому году реализации 187-ФЗ.

Инфофорум 2019. Отчет регуляторов по первому году реализации 187-ФЗ.
   Инфофорум - это форум для випов и топов, на специалистов низового и среднего звена ИБ в организациях не рассчитанный. Интересен он мне по двум причинам:
1. Он традиционно открывает год. На нем Лютиков (ФСТЭК) озвучивает те события, которые через две недели будут подробно рассказаны на ТБ-форуме. Подводятся итоги прошедшего года.
2. Есть возможность увидеть какие цифры ФСБ, ФСТЭК и прочие министерства подают руководству страны и в каком ключе.
name='more'>
    На пленарной части интересными были выступления Лютикова (ФСТЭК) и Мурашова (НКЦКИ). Оба выступали без презентаций.
1. Доклад Лютикова. Видео выложил   https://drive.google.com/file/d/1nvHKDz1TqgGi4aRKMn51pAh6dH_Lfwjo/view?usp=sharing
Кратко (в скобках будут мои комментарии):
-Практически все необходимые для исполнения подзаконные акты к 187-ФЗ вступили в силу. ( Это не так . Нет документов по линии Минкомсвязь, нет половины документов ФСБ)
- По линии ФСТЭК 100% документов сразу после принятия 187-ФЗ. ( Это не так . 187-ФЗ принят в июле 2017 года. Приказы ФСТЭК выходили и в марте 2018 года. Даже ПП127 опубликовано только в феврале 2018, уже после вступления в силу 187-ФЗ.).
- Субъекты КИИ стремятся занизить категорию значимости своих объектов. Пользуются всевозможными юридическими нюансами. (ФСТЭК очень последовательно игнорирует наличие ст.274.1 в УК РФ. Основная тенденция у организаций - не попасть под субъекта КИИ. При таких допущениях, конечно останется только тенденция на снижение категории значимости).
 - Не смотря на мнение некоторых экспертов 187-ФЗ "пошел" и исполняется.
- 1800 субъектов КИИ подали Перечни объектов и приступили к категорированию.
- в октябре-ноябре их было только 700.
- сейчас в Перечне ФСТЭК 27 000. (не реестр)
- 700 субъектов КИИ закончили категорирование.
- По оценке ФСТЭК, все озвученные цифры - это 15% от прогнозируемого количества. (в стране ожидают 12 000 субъектов КИИ и 180 000 объектов КИИ. Сколько значимых не понятно)
- ФСТЭК видит проблему в несовершенстве методологии. (Было бы странно не увидеть. Если методические документы попросту отсутствуют. ФСТЭК даже планы отказывается озвучить по их выпуску.)
- Лидеры по категорированию: Здравоохранение, ТЭК, ВПК, Металлургия.
- Аутсайдеры категорирования: операторы связи. Перечни подали только 40 операторов. (При отсутствии внятной позиции Минкомсвязи и подзаконных актов не удивительно)
- Пошел процесс категорирования в банках. Спасибо Центробанку.

2. Доклад Мурашова. Видео выложил https://drive.google.com/file/d/1m7GaNkoH8s4rjf0KB0FdqitkEi8etCZU/view?usp=sharing
- Считает обязательным повышение компьютерной грамотности пользователей. (Кто это должен делать непонятно. У НКЦКИ даже сайта своего нет. На сайте ФСБ нет никаких упоминаний по теме 187-ФЗ. Этот вопрос специально поднимал год назад и задавал его Мурашову . За год ничего не изменилось. Так все на блогерах и держится.)
- Необходимо готовить кадры по ИБ. (187-ФЗ приняли и через год вспомнили, что его некому реализовывать на местах? ФСТЭК выпустил программу обучения через полтора года после подписания 187-ФЗ. Сколько времени потребуется для обеспечения 12 000 субъектов КИИ подготовленными специалистами?)
- В организациях ИБ должно стать частью бизнес-процессов (Если ИБ навязывается сверху государством, то этого никогда не случится. Если бизнес заинтересован, то ему защиты коммерческой тайны "за глаза".)
- Бизнесу следует быть дальновидным и добровольно следовать не только нормам, но и духу 187-ФЗ. (Мы так коряво написали закон, что вам придется следовать его духу, а не букве)

Итог: наверх идут доклады о том, что все хорошо. Есть только мелкие проблемы.

     Далее была секция "БЕЗОПАСНОСТЬ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ РОССИИ И ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ В ЭНЕРГЕТИКЕ". Регуляторы были ведущими и сами ничего не докладывали. Самое печальное, что в отличии от прошлогодней подобной секции , не была предоставлена возможность задавать вопросы. Мурашов (НКЦКИ) пресекал все попытки задавать вопросы из зала, с обещанием выделить время в конце секции. И закрыл секцию досрочно, хотя еще было 20 минут по регламенту.
     А жаль, очень показательным был доклад от Ростелеком-Солара (Карантаев В.Г.):
«ВОПРОСЫ ПРАКТИЧЕСКОЙ РЕАЛИЗАЦИИ ТРЕБОВАНИЙ ФЗ-187 «О БЕЗОПАСНОСТИ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ» НА ПРИМЕРЕ ОДНОГО ИЗ СУБЪЕКТОВ ЭЛЕКТРОЭНЕРГЕТИКИ»
     В докладе подводился итог деятельности подрядчика в одной из организации Минэнерго. Выявили 250 ОКИИ, из них 5 ЗОКИИ (категории не уточнялись). Еще по 10 ОКИИ было принято добровольное решение субъекта по реализации 239 приказа, без отнесения к ЗОКИИ.
     Но самыми интересными были цифры трудозатрат субъекта КИИ на этап категорирования КИИ, причем с учетом привлечения подрядчика, чьи трудозатраты не раскрывались. А это несколько тысяч человеко-часов специалистов и руководителей субъекта КИИ, потраченных на непроизводственную деятельность.
     И очень остро встает вопрос: а кто-нибудь вообще считал стоимость реализации 187-ФЗ? Ведь этап категорирования вынуждены проводить все организации страны, даже если ЗОКИИ выявлены не будут и защищаться не будут в дальнейшем. Минимум 12 000 организаций (по оценке ФСТЭК). Может ФСТЭК стоит это учесть при изменении ПП127 и упростить процессы категорирования ? Обеспечить субъектов методическими документами? 
    Секция была тематическая "КИИ в энергетике", был представитель Минэнерго -  руководитель департамента Иванов А.М. Планировал его спросить по поводу одного проекта приказа Минэнерго, который отклонил Минэкономразвития:
"ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ В ОТНОШЕНИИ БАЗОВЫХ
(ОБЯЗАТЕЛЬНЫХ) ФУНКЦИЙ И ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ОБЪЕКТОВ ЭЛЕКТРОЭНЕРГЕТИКИ ПРИ СОЗДАНИИ И ПОСЛЕДУЮЩЕЙ
ЭКСПЛУАТАЦИИ НА ТЕРРИТОРИИ РОССИЙСКОЙ ФЕДЕРАЦИИ
СИСТЕМ УДАЛЕННОГО МОНИТОРИНГА И ДИАГНОСТИКИ
ЭНЕРГЕТИЧЕСКОГО ОБОРУДОВАНИЯ", а заключение Минэкономразвития очень показательное:
"Концептуально поддерживая необходимость осуществления информационной безопасности СУМиД, необходимо отметить, что согласно данным, полученным в ходе публичных консультаций, стоимость исполнения всего объема требований, установленных проектом акта может составлять от 25 до 80 млн. рублей в расчете на каждую систему"
"С учетом информации, представленной разработчиком, в проекте акта выявлены положения, вводящие избыточные обязанности, запреты и ограничения для физических и юридических лиц в сфере предпринимательской и иной экономической деятельности или способствующие их введению, а также положения, приводящие к возникновению необоснованных расходов физических и юридических лиц в сфере предпринимательской и иной экономической деятельности, а также бюджетов всех уровней бюджетной системы Российской Федерации."
    Это собственно дополнительные затраты к выполнению 187-ФЗ субъектами в сфере энергетики.


* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

Alt text

Ваша приватность умирает красиво, но мы можем спасти её.

Присоединяйтесь к нам!

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности