На конференции выступали и коммерческие организации, не только ФСТЭК. Цифры трудозатрат по выполнению ПП127 ОДНИМ субъектов КИИ в сфере энергетики внушают трепет.
От лица субъектов КИИ прозвучали доклады Норникеля и Минэнергетики (в лице подрядчика). Доклад Норникеля носил общий характер и отметил для себя только слайд с утверждением "обосновали расходы на выполнение 187-ФЗ", доклад В. Карантаева уже привлекал мое внимание на Инфофоруме-2019 .
name='more'>
А вот мои попытки задать вопросы докладчикам, вызвали довольно активную публичную дискуссию с В.С. Лютиковым.
1. По Норникелю задал вопрос: проводилась ли соотнесение уже совершенных затрат на выполнение 187-ФЗ с ущербом, который указан при расчете показателей значимости в их форме уведомления по 236 Приказу? Ведь фактически у субъекта КИИ уже есть все данные для оценки экономической обоснованности выполнения 187-ФЗ. Точно знают свои затраты и рассчитали потенциальный ущерб для своих ОКИИ.
Ответ от Норникеля: экономически обосновано.
Позиция Лютикова В.С. - обосновано, особенно для сфер с угрозами жизни и здоровью человека.
2. По объекту энергетики задал вопрос: реально ли субъекту КИИ самостоятельно выполнить ПП127? Без привлечения внешней высококвалифицированной услуги подрядчика.
Ответ докладчика: возможно, при наличии грамотного управленца, способного "задать правильный вектор работы".
Позиция Лютикова В.С. - никаких лицензиатов, все работы способен выполнить сам субъект КИИ. Особенно, если у него в штате есть подразделение ИБ. Внешняя организация потратит очень много времени на изучение процессов у субъекта КИИ. Проще и надежнее делать самим. Отдельно он отметил, что работы по ПП127 не подпадают по лицензируемые виды деятельности.
3. Представителем одного из субъекта КИИ был задан вопрос он необходимости согласования Перечня объектов, подлежащих категорированию с Ростехнадзором (основной регулятор для этого субъекта КИИ). Подобный вопрос уже звучал на СОК-форуме 2018. Видимо, проблема реально наболевшая в некоторых областях промышленности.
Ответ Лютикова В.С. - не требуется. Перечень направляется на согласование по ведомственной подчиненности, но не по регулированию.
4. Был отдельный вопрос от представителя субъекта КИИ со сложной управленческой структурой, в которой все ИБ сосредоточено в головном ПАО, а в дочерних структурах вообще нет специалистов ИБ в штате. Как им проводить категорирование без привлечения внешних специалистов?
Ответ Лютикова В.С. - специалист по ИБ должен быть, иначе теряется весь смысл деятельности по обеспечению безопасности КИИ. Кто то должен ставить задачи и принимать работы, даже при привлечении внешних организаций.
5. Был задан вопрос представителем оборонки о необходимости повторного категорирования из-за изменений в НПА,а так же проблемы с самоидентификацией субъекта КИИ (неоднозначность с областями деятельности организации).
Ответ Лютикова В.С. - да, потребуется. С областями деятельности есть проблемы в законодательстве, надо решать в каждом конкретном случае.
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
** Все новости блога на публичном Telegram-канале t.me/ruporsecurite
