Как я написал вчера, вопросов от отрасли в сторону ФСТЭК прилетело немало и Виталий Сергеевич Лютиков в рамках телемоста не успел дать ответы на все из них. Но к счастью, на форуме выступала Елена Борисовна Торбенко, которая смогла "закрыть амбразуру" и ответить на часть оставшихся, вполне конкретных вопросов, связанных с безопасностью КИИ. Видео, думаю еще выложат на сайте мероприятия , а пока я тезисно перескажу то, что говорила Елена Борисовна.
- Статистика категорирования достаточно плачевна - от 1,5% до 50-60% по разным отраслям. И это при условии, что до 1-го сентября 2020 года категорирование должно было быть завершено, в том числе и для предприятий промышленности.
- Если изменилась информация о лице, эксплуатирующем ОКИИ, то об этом надо оповестить ФСТЭК в 30-тидневный срок.
- Если объект КИИ поменял собственника (продан, сменилась форма собственности, передан на баланс другому предприятию и т.п.), то об этом также надо уведомлять ФСТЭК. Причем уведомлять должны две организации - прежний собственник и новый.
- Аналогичная ситуация и в случае выведения из эксплуатации значимых и незначимых объектов - уведомлять ФСТЭК надо как и при любом изменении объекта КИИ.
- Если организация принимает решение о переводе незначимого ОКИИ в значимые, то необходимо направить информацию об этом в ФСТЭК, в которой должно быть соответствующее обоснование.
- Если у объекта КИИ изменился состав технических средств или применяемых защитных мер, то уведомить об этом ФСТЭК надо в разумные сроки, под которым регулятор понимает 30 дней.
- На вопрос о том, надо ли уведомлять ФСТЭК при изменении модели угроз, которая существенно не влияет на категорию значимости ОКИИ, регулятор прямо не ответил, но судя по характеру ответов на схожие вопросы про несущественные изменения в результатах категорирования, уведомлять ФСТЭК все-таки надо.
- О любых произошедших изменениях ФСТЭК сама уведомляет НКЦКИ - самостоятельно субъекту ничего писать в ФСБ не нужно.
- ФСТЭК обязательно хочет видеть от субъекта КИИ подробные расчеты показателей категорий значимости (для этого и опубликован проект методики по расчету экономического показателя и планируется методика по социальному показателю). Если тот или иной показатель не применим к объекту КИИ, то необходимо обосновать, почему? ФСТЭК прямо заявляет, что безопасники не в состоянии самостоятельно провести такую оценку и требуется участие других подразделений, обладающих знаниями по ценности объектов.
- После принятия ПП-452, внесшего изменения в ПП-127, стали возникать инсинууации по поводу сроков категорирования для создаваемых объектов. ФСТЭК считает, что для таких ОКИИ категорию значимости надо закладывать еще в ТЗ/ЧТЗ. То есть к моменту создания объекта его категория уже известна и срок в 12 месяцев из ПП-127 к таким объектам уже не применяется.
- ГНИИ ПТЗИ ФСТЭК, как и все подведомственные организации ФСТЭК, выполняют требования ФЗ-187 и подзаконных актов. На конференции "Актуальные вопросы защиты информации" Шевцов Д.Н., отвечая на вопросы из зала, отметил, что ФСТЭК постепенно переходит на отечественное ПО и оборудование, следуя курсу на импортозамещение. Хотя по оговорке было понятно, что денег особо не выделяют.
- Субъекты промышленности задавали вопрос о том, какие показатели значимости к ним применимы, на что последовал ответ, что это зависит от сферы деятельности предприятия. Но, в частности, было отмечено, что социальный показатель применим. Также применим 7-й показатель, если организация участвует в исполнении какого-либо международного договора. 8-й и 9-й экономические показатели применимы также; 9-й так вообще применим к любому объекту КИИ. 11-й показатель применим для экологически опасных производств, а 13-й - для всех организаций ОПК.
- Время, в течение которого субъект КИИ должен ждать ответа от ФСТЭК по поводу результатов категорирования, составляет не 30 дней, а 30 дней на рассмотрение + 10 дней на подготовку ответа + неделя-другая на доставку почтой. Фактом внесения данных об ОКИИ в реестром является присвоению ему реестрового номера, о чем вас ФСТЭК должна уведомить. Но если вы считаете, что у вас ЗОКИИ, то не надо дожидаться получения реестрового номера, - можно сразу начинать обеспечение безопасности.
- При оценке показателя экономической значимости, при оценке снижения уровня дохода от выполнения деятельности предприятия в результате воздействия на объект КИИ при оценке сценария расчета потерь необходимо рассматривать не среднегодовые потери, а потери в случае успешной реализации конкретного негативного воздействия.
- При оценке потерь, наступающих в случае успешной реализации негативного воздействия на объект КИИ, потери часто зависят от возможностей предприятия по локализации и устранению последствий инцидента. ФСТЭК считает, что последствия от воздействия должны учитываться на временном промежутке до момента восстановления плановых показателей (до инцидента).
Пока все. Часть ответов была раскрыта в самом выступлении Торбенко Е.Б., которое скоро выложат на сайте организаторов. Также ФСТЭК обещала на других своих мероприятия ответить на оставшиеся вопросы. Из интересного также хочу отметить интересную цифру, озвученную Кубаревым А.К. на конференции по защите АСУ ТП в рамках ТБ-Форума. Его спросили, хватит ли у ФСТЭК ресурсов на проверки всех объектов КИИ, число которых по разным выступлениям ФСТЭК разнится от 25 тысяч до полумиллиона? Ответ был нерадостен - ФСТЭК, имея в центральном аппарате всего 200, а в регионах 1000 человек, не сможет ежегодно проверять даже 1% от общего числа объектов КИИ :-(
- Когда на сайте ФСТЭК появится вменяемый реестр сертиицированных средств защиты с возможностью фильтрации по классам и типам средств? Да и сам сайт пора бы уже обновить - он как из 90-х годов.
- Почему до сих пор не синхронизированы нумерация и названия мер защиты в приказах ФСТЭК?
- Почему до сих пор не отменен РД на АС 1992 года, если у ФСТЭК уже совершенно иная классификация ИС? Почему проверяющие ссылаются на ПП-79, в котором есть слова про «автоматизированные системы» и из-за этого вынуждают выполнять требования документа 92-го года.
- Как относится ФСТЭК к ситуации, когда средства защиты не покупаются предприятием, а берутся в лизинг или аренду у аутсорсинговой компании?
- Выпустит ли ФСТЭК матрицу соответствия "старых" специальностей и новых, утвержденных Минобразованием? Вообще вопрос образования вызвал бурную дискуссию на конференции по защите АСУ ТП в рамках ТБ-Форума. Ведь требования по квалификации специалистов и руководителей по ИБ есть, а как их трактовать до конца никто не знает. Вот у меня специальность по диплому "Прикладная математика" (квалификация "инженер-математик") и хотя у меня было немало предметов, связанных с защитой информации, формально я не могу считаться специалистом по защите информации и мне пришлось бы проходить соответствующие курсы переподготовки. С учетом того, что за последние полтора-два десятка лет у нас не раз менялись ФГОСы по ИБ, названия и номера специальностей, было бы неплохо иметь такую матрицу соответствия (сделать-то ее несложно). Говорят, у ФСБ такая есть.