Итоги "Инфоберег 2019" для субъектов КИИ

     

    В начале сентября традиционно прошла конференция "ИНФОБЕРЕГ -2019" . Академия информационных систем (АИС) умеет привлечь топовых представителей регуляторов в области ИБ.  Посмотрим, что рассказали ФСТЭК и ФСБ по реализации 187-ФЗ.
name='more'>
   Секция 1. Круглый стол «Практическая реализация требований Федерального закона №187-ФЗ «О безопасности критической информационной инфраструктуры» и взаимодействия субъектов КИИ с ГосСОПКА. Первые итоги»
    1. ФСТЭК.  Доклад Е.Торбенко


       Забавно, но ФСТЭК указывает свое авторство для ПП127 и не указывает ПП 452.


        Самый ценный слайд в презентации, распределение объектов по сферам
   
         Как ФСТЭК кратко формулирует изменения в ПП127, приказы 235, 236, 239




   
   Отмечу, что требования по применению сертифицированных маршрутизаторов относится только
 "При проектировании вновь создаваемых или модернизируемых значимых объектов 1 категории значимости в качестве граничных маршрутизаторов, имеющих доступ к информационно-телекоммуникационной сети «Интернет», выбираются маршрутизаторы, сертифицированные на соответствие требованиям по безопасности информации (в части реализованных в них функций безопасности)."
   А требование по размещению компонентов ЗОКИИ аналогично конкретизированы :
"Входящие в состав значимого объекта 1 категории значимости программные и программно-аппаратные средства, осуществляющие хранение и обработку информации, должны размещаться на территории Российской Федерации (за исключением случаев, когда размещение указанных средств осуществляется в зарубежных обособленных подразделениях субъекта критической информационной инфраструктуры (филиалах, представительствах), а также случаев, установленных законодательством Российской Федерации и (или) международными договорами Российской Федерации)."



   А вот эти недостатки на слайде, они последствия излишне усложненного текста ПП127 и отсутствие внятных методик от регулятора по их выполнению.
"14(2). В случае если функционирование одного объекта критической информационной инфраструктуры зависит от функционирования другого объекта критической информационной инфраструктуры, оценка масштаба возможных последствий, предусмотренная подпунктом "е" пункта 14 настоящих Правил, проводится исходя из предположения о прекращении или нарушении функционирования вследствие компьютерной атаки объекта критической информационной инфраструктуры, от которого зависит оцениваемый объект.

14(3). В случае если осуществление критического процесса зависит от осуществления иных критических процессов, предусмотренная подпунктом "е" пункта 14 настоящих Правил оценка проводится исходя из совокупного масштаба возможных последствий от нарушения или прекращения функционирования всех выполняемых критических процессов.

Нарушение функционирования - Отклонение значений параметров критического процесса, в том числе временных параметров и параметров надежности, от проектных (штатных) режимов функционирования."

    В результате имеем "Возврат порядка 25-30% заявленных результатов категорирования", по основной причине "Причины - занижение категориии значимости и не знают вообще свой объект, не проводят прежде инвентаризацию". И вполне логичный вывод, что "Если только безопасники занимаются категорированием, то правильного результата по категорированию не добиться". Особенно с учетом того, что в проекте ПП127 в 2017 году безопасник вообще в состав комиссии не входил.


      Позиция ФСТЭК без изменений , перечень объектов КИИ составляет комиссия.


       Эти проблемы возникли по вине регуляторов. Нет квалифицированных кадров на местах, нет методических документов, нет СЗИ, нет нормального контроля за лицензиатами ТЗКИ . Зато закон приняли аврально и нормативку меняем на ходу. Результат вполне закономерный.

   Устно было дополнено, что "Уполномоченное лицо должно быть не старшим помощником младшего дворника, а тем, кто сможет свести разные подразделения для решения единой задачи".

     

    2. НКЦКИ. Доклад НКЦКИ (Раевский) традиционно был более формальным. Отдельно отмечено, что банковский субъект КИИ работает напрямую с НКЦКИ, а не через банк России.


   Устно озвучено обещание о появлении до конца 2019 года сайта НКЦКИ и ГосСОПКА.
Пока же, единственный вменяемый сайт у НКЦКИ предназначен для обывателя, но на нем размещают бюллетени  НКЦКИ. А официальный сайт НКЦКИ , указанный в приказе ФСБ никаких упоминаний о ГосСОПКА и НКЦКИ не содержит вообще.

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

***  YouTube - канал блога

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности