Традиционно год открывает Инфофорум. Мероприятие достаточно пафосное и высокоуровневое, тем интереснее, что в этот раз получались вполне познавательные секции форума и для специалистов на местах.
1. Первое место заслуженно занимает доклад Лютикова В.С. (ФСТЭК России). Очень много сказано по делу и без высоких слов.
3. Доклад Торбенко Е.Б.
Негативное ощущение от доклада осталось. Много заявлений на эмоциях и напора, но никакого соответствия 187-ФЗ. Сложилось впечатление, что ФСТЭК никак не учитывает опыт трех лет применения 187-ФЗ и и линия на принуждение к исполнению останется без изменения.
- КСИИ как было, так и остается важным и опасным
КСИИ вообще формировались по другому принципу и далеко не все КСИИ стали ЗОКИИ.
- До сих пор встречаются организации, не знающие о 187-ФЗ.
Странное откровение, про провал разъяснительной политики уже столько написано. Хорошо хоть признали как факт.
- очень незначительная часть субъектов КИИ приступила к обеспечению безопасности ЗОКИИ
- Если вы осуществляете деятельность в 13 сферах КИИ, то вы субъект КИИ
Ну вот не так написано в 187-ФЗ, а менять определение субъекта КИИ в законе ФСТЭК не считает целесообразным.
- ..Надо найти ОКИИ, определить необходимость их категорирования,...
Что значит определить необходимость категорирования объекта КИИ? В 187-ФЗ статья № 7 прямо указывает, что категорируются все объекты КИИ и не предусмотрено никаких исключений. Откуда появились ОКИИ, которые не требуется категорировать?
- почему то медучреждения не относят к объектам КИИ медицинское оборудование
А почему они должны относить оборудование к объектам КИИ? Определение "объект КИИ" дано в ст.2 187-ФЗ. Там нет ни слова про оборудование.
- Низкое качество сведений о результатах категорирования. От 40% до 60% возврат на доработку.
Если не обеспечить процесс методическими документами и шаблонами, то так и будет. Результат бездействия самой ФСТЭК. Раньше озвучивали 40% возврата, количество брака выросло.
- Экономический показатель не может быть нулевым.
Спорное утверждение, но подождем публикации метрек ФСТЭК по их расчету.
- В лидеры по исполнению 187-ФЗ вышли сферы Космоса и ОПК. Сфера ТЭК перестала заслуживать похвалы. Наихудшие показатели - здравоохранение, транспорт, химия.
- Первым делом составьте План по внедрению мер обеспечения безопасности ЗОКИИ.
- Организационные меры безопасности ЗОКИИ должны быть реализованы сразу, без отсрочек.
- Некоторые проблемы исполнения 187-ФЗ замалчиваются субъектами КИИ и ФСТЭК не может вовремя на них отреагировать.
4. Секция ПРОБЛЕМЫ ИМПОРТОЗАМЕЩЕНИЯ И ПЕРСПЕКТИВНЫЕ ТЕХНОЛОГИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
- получено разъяснение, почему в проекте Указа Президента РФ по обеспечению технологической независимости КИИ произошли изменения сроков. Приведены сканы официальной переписки.
Речь про вот это:
2.Субъектам критической информационной инфраструктуры, руководствуясь Порядком, утверждаемым Правительством Российской Федерации, до 1 января 2024 г. до 1 января 2023 г. осуществить переход на преимущественное использование российского программного обеспечения и до 1 января 2025 г до 1 января 2024 г. осуществить переход на преимущественное использование российского телекоммуникационного оборудования и радиоэлектронной продукции.
Замечу, что распространено мнение о переходе к отечественному с учетом сроков амортизации иностранного оборудования. Это не так. Порядок перехода указывают:
"текущих сроков амортизации, используемых субъектом КИИ телекоммуникационного оборудования и радиоэлектронной продукции и срока действия прав на использование ПО в отношении используемого ПО, телекоммуникационного оборудования и радиоэлектронной продукции, сведения о которых не включены в РПО, РЕП и РРП;"
Но учитывается он только при разработке Плана перехода, конечный же срок по импортозамещению указан в проекте Указа и никак не зависит от срока амортизации.
по итогам реализованных мероприятий, с учетом сроков перехода на преимущественное использование российского ПО, телекоммуникационного оборудования и радиоэлектронной продукции, установленных Указом Президента Российской Федерации от «__» ______ 20__ г. № ____ «О мерах экономического характера по обеспечению технологической независимости и безопасности объектов критической информационной инфраструктуры», подготовить и до 1 июля 2021 г. утвердить план перехода на преимущественное использование российского ПО, телекоммуникационного оборудования и радиоэлектронной продукции (далее – План);
Еще очень интересный момент: импортозамещение не коснется оборудования сетей электросвязи, поскольку оно не относится к объектам КИИ.
- озвучены очень правильные идеи по приведению к единству терминологии в законодательстве страны. Как одно из первоочередных - дать определение для ГИС. Последняя попытка ФСТЭК выпустить ГОСТ по компьютерным атакам вызвала полное недоумение - https://valerykomarov.blogspot.com/2020/08/blog-post_25.html
- было очень интересно услышать практически единогласную позицию банков по экономической целесообразности ЕБС. Клиентам она не интересна, а принудительные расходы банков на поддержание ее функционирования очень высоки.
- прозвучал широко распространенный тезис, что государство никак не борется с "пробивальщиками" ПДн в банках, операторах связи и т.д.
Это не так. Правоохранительные органы в последние два года активно "работают" по нерадивым работникам таких организаций и доводят дела до суда, с последующими обвинительными приговорами. ФСБ квалифицирует такие действия работников операторов связи как нанесение вреда КИИ и применяет ст.274.1 УК РФ. Сотрудники МВД квалифицируют по классическим 272-274 УК РФ статья о компьютерных преступлениям, в том числе и при выявлении преступников в своих рядах. Приговоров сотни, часть из них я освещал в блоге.
Базы РЖД: https://valerykomarov.blogspot.com/2020/11/blog-post_23.htm
Мегафон: https://valerykomarov.blogspot.com/2020/11/blog-post_13.html
МТС: https://valerykomarov.blogspot.com/2020/09/2741.html
МВД: https://valerykomarov.blogspot.com/2020/05/blog-post_6.html
МВД: https://valerykomarov.blogspot.com/2018/11/blog-post_22.html
P.S. Если вы не получили ответы на свои вопросы по КИИ во время межблогерского вебинара по КИИ 28 января 2021 года, то рекомендую ознакомится с заметкой - https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/mejblogerskii-vebinar-otvety-na-voprosy-601694bfd3c91450c620892b.
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
*** YouTube - канал блога
**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1
***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite
