Компания "Гротек" последний год радует новым форматом и количеством качественных онлайн-конференций из цикла "Кибербезопасность цифрового предприятия". Так, 16.03.2021 на очередной конференции прозвучал доклад директора Научно-образовательного центра новых информационно-аналитических технологий РГУ нефти и газа (НИУ) имени И.М. Губкина, в котором он отразил свой взгляд на утвержденную 05.02.2021 Методику оценки угроз от ФСТЭК России
name='more'>Презентации докладчиков доступны для скачивания - ссылка
Полная видеозапись конференции - ссылка
Чем интересен этот доклад?
1. РГУ им. И.М.Губкина активно показывается в докладах Минэнерго и упоминается в докладах ФСТЭК как методический центр по 187-ФЗ в сфере ТЭК. Разработаны и выпущены методики категорирования для предприятий ТЭК, согласованные с ФСТЭК. То есть, это люди "в теме" КИИ.
2. Публичных позиций по новой методике просто мало. А здесь еще и конструктивная критика с выдвижением собственного подхода к оценке угроз у субъекта КИИ
Лично для меня, данный доклад служит своеобразным маркером, показывающим что и через три года действия 187-ФЗ не только у субъектов КИИ, но и в учебных отраслевых центров нет ясного понимания НПА по безопасности КИИ.
Постоянно идет в докладе на определение угроз в акте категорирования. Упоминается что есть утвержденная форма акта категорирования. Здесь либо путаница с формой по 236 приказу, либо продолжают оперировать недействующей редакцией ПП127.
С 24.04.20019 в ПП127 нет требования, что акт категорирования должен содержать "результаты анализа угроз безопасности информации объекта критической информационной инфраструктуры".
С другой стороны, докладчик совершенно прав:
236 приказ и ПП127 требует от субъекта КИИ провести оценку угроз безопасности информации, которые могут привести к возникновению компьютерных инцидентов на объектах критической информационной инфраструктуры, а ФСТЭК выпустила "МЕТОДИКУ ОЦЕНКИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ". И по сути, субъект КИИ на этапе категорирования вынужден использовать методику ФСТЭК.
Ведь Методика ФСТЭК не про создание моделей угроз, в п.1.2 Методики об этом прямо указано.
Более того, п.1.3 Методики практически дословно совпадает с требованиями к процедурам категорирования объектов КИИ
Таким образом, ФСТЭК создала очередную правовую коллизию для субъектов КИИ, не рассматривая в комплексе уже действующие НПА и новую Методику.
Видимо с этим и связан анонсированный выпуск рекомендаций ФСТЭК по организации работы постоянно действующей комиссии по категорированию субъектов КИИ, иначе эту проблему придется решать через внесение изменений в ПП127, а ФСТЭК желает избежать этого.
P.S. 8 апреля состоится конференция "Защита информации в АСУ ТП. Безопасность критической информационной инфраструктуры". Есть возможность заранее задать вопрос докладчику от ФСТЭК - ссылка
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
*** YouTube - канал блога
**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1
***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite
