Ответы ФСТЭК на вопросы по КИИ

Ответы ФСТЭК на вопросы по КИИ
За некоторое время до вчерашней конференции ФСТЭК "Актуальные вопросы защиты информации" от регулятора поступило предложение о сборе вопросов, которые волнуют отрасль в контексте принятого ФЗ-187 по безопасности критической информационной инфраструктуры. Я кинул клич в группу по безопасности АСУ ТП в Facebook и в соответствующий канал Телеграма. Не очень активно (и это удивительно для такой новой темы), но удалось собрать 31 вопрос, на которые в рамках конференции ответил Дмитрий Николаевич Шевцов. Так как не все были на мероприятии, то я позволил себе выложить записанные мной ответы в блог:
  1. Когда примут нормативные акты к ФЗ 187?
    • Из 4-х приказов ФСТЭК приняты регулятором все; 3 из них находится на регистрации в Минюсте. По остальным НПА вопрос соответственно надо задавать ФСБ и Минкомсвязи.
  2. Считает ли ФСТЭК деятельность ведомственных/корпоративных центров ГосСОПКИ лицензируемой по ТЗКИ? Речь про конкретный вид деятельности - мониторинг событий ИБ.
    • Если речь идет об оказании услуг третьим лицам, то да, деятельность лицензируется.
  3. Если речь идет о группе промышленных предприятий, для которых функции SOC выполняет управляющая компания, то нужна ли этой УК лицензия ФСТЭК на мониторинг ИБ?
    • Обязательно нужна.
  4. На сайте ФСТЭК прямо указано, что направление документов с ИОД осуществляется, только при наличии лицензии на ГТ. При этом переписка по проверке значимых объектов с субъектом КИИ минимум ДСП. Как ФСТЭК собирается организовать проверку субъектов, не имеющих данную лицензию? Это требование о наличии лицензии ГТ обещали убрать с сайта ещё в 17 году, я задавал вопрос в рамках оформления лицензий.
    • Ограничение на ГТ касается только документов; на распространение другой информации таких ограничений нет.
  5. На сайте ФСТЭК опубликована выписка из плана по разработке документов на 2018 год. В нем только положение о сертификации СЗИ. Никаких изменений в 17/21/31 приказ не планируется, никаких дополнительных документов по КИИ. ФСТЭК не видит актуальности в изменении?
    • Изменения в 17/21/31 приказы будут во втором полугодии 2018-го года. В выписке из плана далеко не все запланированные документы.
  6. Почему не хотят привести меры защиты к 17/21/31/ КИИ к сквозной нумерации и единым наименованиям.
    • Все будет сделано во втором квартале 2018-го года.
  7. Почему не учтен опыт совместного использования 17 и 21 приказа при разработке приказа по КИИ? Речь про п. 27 приказа 17. Зачем дополнительные сложности для оператора ГИС, которая стала значимым объектом КИИ? Будет ли проводиться корреляция требований между КИИ и 17 приказом. Вопрос особенно интересно стоит для тех владельцев неГИС, кто недавно попал под 17 приказ, но также и попадает под КИИ
    • ФСТЭК не видит проблем с одновременным выполнением приказов по КИИ и по ГИС - выбирать по максимальному из требований. 
  8. Как выделять объекты КИИ, например, у банков?
    • Субъект КИИ сам определяет свои объекты и проводит границы.
  9. В проекте постановления Правительства по категорированию объектов КИИ указано, что перед категорированием нужно согласовывать со ФСТЭК и отраслевым регулятором перечень объектов КИИ, подлежащих категорированию. Как должен выглядеть этот процесс? Что делать, если у ФСТЭК и отраслевого регулятора разные точки зрения на перечень объектов, подлежащих категорированию?
    • В финальном тексте ПП-127 согласование осталось только с отраслевым регулятором.
  10. Согласно проекту постановления Правительства по категорированию объектов КИИ категория определяется при создании или модернизации объекта КИИ. Что делать с действующими объектами КИИ, модернизация которых в ближайшее время не предусмотрена?
    • Согласно ПП-127 категорирование осуществляется и для действующих объектов КИИ, перечень которых надо составить после вступления в силу ПП-127.
  11. Объекты водоснабжения и водоотведения по закону не являются объектами КИИ, все верно?
    • Четкого ответа нет - надо смотреть на виды деятельности конкретного субъекта. Про пищевую промышленность вообще забыли спросить - там картина вообще непонятная - в списке критических отраслей их в принципе нет.
  12. Получение телеметрии с подстанций (без телеуправления) попадает под действие КИИ?
    • Да, так как на основе телеметрии могут приниматься управляющие воздействия и решения.
  13. Когда актуален 31-й приказ, а когда подзаконники по 187-ФЗ
    • Если объект значимый, то используется приказ ФСТЭК по КИИ. Если объект незначимый, то можно применять как 31-й приказ ФСТЭК, так и приказ по КИИ.
  14. В соответствии с какими методическими документами предполагается проведение моделирование угроз на КИИ?
    • Работа над документами ведется. Пока руководствоваться Банком данных угроз и здравым смыслом.
  15. Требуется ли сертификация на соответствие АСУТП требованиям ФСТЭК? Если да, то кто её проводит? М.б. достаточно декларации?
    • Сертификация не предусмотрена - только аттестация по требованиям безопасности или приемочные испытания АСУ ТП, включая и защитные меры.
  16. Если сертификация требуется, то что должно сертифицироваться: программно технический комплекс для создания АСУТП или АСУТП конкретного объекта? Или и то и то?
    • Не требуется.
  17. На какие АСУТП распространяются требования приказа ФСТЭК? Обязательны ли они к исполнению? Каким образом осуществляется контроль исполнения требований?
    • 31-й приказ не является обязательным и контроль исполнения его требований не предусмотрен в отличие от приказа по КИИ.
  18. Обязан ли проектировщик предусматривать в проектах АСУТП мероприятия по приведению системы в соответствие с требованиями ФСТЭК или это решение принимает заказчик?
    • Это ответственность заказчика, но проектировщику неплохо бы напоминить заказчику о требованиях по ИБ, если последний о них забыл.
  19. Есть производственный цех, например, прокатный стан. Согласно документации стан состоит из 3-х АСУ ТП. При составлении перечня объектов КИИ возможно 3 АСУ ТП объединить в один объект КИИ? Что может выступать основой определения границ информационных систем?
    • Субъект КИИ сам определяет границы объекта. В данном случае это может быть и один объект КИИ и три.
  20. Есть группа промышленных предприятий, которые будут отнесены к КИИ. Есть управляющая компания. Будет ли ее головной офис являться субъектом КИИ? Нужно ли этому головному офису вообще проходить категорирование?
    • Нужно смотреть конкретную ситуацию, но вероятнее всего головной офис будет тоже отнесен к КИИ.
  21. У предприятия есть корпоративная ИС, в которую стекается вся информация о деятельности предприятия, начисляется зарплата, делается отчетность для налоговой и т.д. Эту систему надо включать в перечень объектов КИИ?
    • Ответить не видя конкретной ситуации затруднительно.
  22. Что будет считаться гостайной, упомянутой в ФЗ-187?
    • Ждем поправок в Указ Президента №1203, которые подготовлены и в скором времени будут утверждены.
  23. Когда будет разработан методический документ по мерам защиты на объектах КИИ?
    • 2-й квартал 2018 года. Будет единая методичка по всем приказам ФСТЭК (17/21/31/КИИ).
  24. Как поступать с объектами, чьи категории не выше третьей, но если атака будет одновременной сразу на несколько из них, то ущерб может наступить как у 2-й или даже 1-й категории?
    • Как предписывает категория; в данном случае 3-я.
  25. Какова юридическая судьба документов по КСИИ? И что делать, если на промышленном предприятии в нормативных актах упоминается этот термин? Менять?
    • Забудьте про них. Меняйте КСИИ на КИИ.
  26. ИС бухгалтерии субъекта КИИ тоже будет относиться к объектам КИИ?
    • Надо смотреть конкретную ситуацию, но она точно должна рассматриваться в рамках категорирования, но возможно она будет незначимым объектом КИИ.
  27. Кто сертифицирует SIEM, используемые в SOCах, подключенных к ГосСОПКЕ, - ФСТЭК или ФСБ?
    • Если речь идет об оказании услуг третьим лицам, то нужна лицензия ФСТЭК на мониторинг ИБ. Требования к лицензиатам доступны - требуется сертификация SIEM по требованиям ФСТЭК.
  28. Будет ли как-то описана/формализована процедура оценки соответствия средств защиты КИИ, отличная от сертификации (испытания и приемка), чтобы не иметь возможных претензий со стороны проверяющих?
    • Все описано в ФЗ-184 о техническом регулировании и в соответствующих ГОСТах. Не надо бояться проверяющих - если они требуют не того, пишите/звоните в ФСТЭК.
  29. В последних сертификатах ФСТЭК отсутствует указание на соответствие требованиям по НДВ. Тем не менее приказ 17 требует применения средств прошедших сертификацию на отсутствие НДВ для 1 и 2 классов. Каким образом владелец ИС в настоящее время может определить, проходило ли СЗИ такие испытания или нет?
    • В новых РД ФСТЭК к средствам защиты уже прописано соответствие соответствующих классов защиты средств защиты и требований по НДВ. Если что-то непонятно, пишите вопросы в ФСТЭК - вам разъяснят про соответствие и выполнение требований по НДВ в конкретном продукте.
  30. В п.16.3 31-го приказа говорится о периодическом информировании и обучении персонала. Как подтвердить выполнение указанного пункта? Наличием плана обучения?
    • Главное, чтобы люди были обучены, а как подтвердить это - вопрос десятый. Можно и планом обучения.
  31. Модель угроз должна разрабатываться для значимых объектов КИИ согласно приказам ФСТЭК. Значимый объект определяется по результатам категорирования, которое в свою очередь требует наличия модели угроз. Что первично?
    • Как и в случае с ПДн (ФЗ-152 и 21-й приказ) не надо путать перечень актуальных угроз и модель угроз. На этапе категорирования нужен только перечень актуальных угроз, а вот модель угроз как отдельный документ нужна уже на этапе реализации требований приказа ФСТЭК по КИИ.

Вот, пожалуй, и все ответы. Благодаря Валерию Комарову, есть видео этих ответов для тех, кто хочет услышать прямую речь регулятора, а не мой пересказ. Видео выложено на Google.Drive ( https://drive.google.com/file/d/1vJpVjxQXG_emYaVtq9PksdlKs4Jlg03w/view?usp=sharing ), размер файла для скачивания - 3,5 Гб.

Если у вас остались вопросы по КИИ (в рамках компетенций ФСТЭК), то вы можете писать свои вопросы на адрес email: otd22@fstec.ru с указанием в поле Subject "Вопрос по КИИ".
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

SOC как супергерой: не спит, не ест, следит за безопасностью!

И мы тоже не спим, чтобы держать вас в курсе всех угроз

Подключитесь к экспертному сообществу!