За некоторое время до вчерашней конференции ФСТЭК "Актуальные вопросы защиты информации" от регулятора поступило предложение о сборе вопросов, которые волнуют отрасль в контексте принятого ФЗ-187 по безопасности критической информационной инфраструктуры. Я кинул клич в группу по безопасности АСУ ТП в Facebook и в соответствующий канал Телеграма. Не очень активно (и это удивительно для такой новой темы), но удалось собрать 31 вопрос, на которые в рамках конференции ответил Дмитрий Николаевич Шевцов. Так как не все были на мероприятии, то я позволил себе выложить записанные мной ответы в блог:
Вот, пожалуй, и все ответы. Благодаря Валерию Комарову, есть видео этих ответов для тех, кто хочет услышать прямую речь регулятора, а не мой пересказ. Видео выложено на Google.Drive (https://drive.google.com/file/d/1vJpVjxQXG_emYaVtq9PksdlKs4Jlg03w/view?usp=sharing), размер файла для скачивания - 3,5 Гб.
Если у вас остались вопросы по КИИ (в рамках компетенций ФСТЭК), то вы можете писать свои вопросы на адрес email: otd22@fstec.ru с указанием в поле Subject "Вопрос по КИИ".
- Когда примут нормативные акты к ФЗ 187?
- Из 4-х приказов ФСТЭК приняты регулятором все; 3 из них находится на регистрации в Минюсте. По остальным НПА вопрос соответственно надо задавать ФСБ и Минкомсвязи.
- Считает ли ФСТЭК деятельность ведомственных/корпоративных центров ГосСОПКИ лицензируемой по ТЗКИ? Речь про конкретный вид деятельности - мониторинг событий ИБ.
- Если речь идет об оказании услуг третьим лицам, то да, деятельность лицензируется.
- Если речь идет о группе промышленных предприятий, для которых функции SOC выполняет управляющая компания, то нужна ли этой УК лицензия ФСТЭК на мониторинг ИБ?
- Обязательно нужна.
- На сайте ФСТЭК прямо указано, что направление документов с ИОД осуществляется, только при наличии лицензии на ГТ. При этом переписка по проверке значимых объектов с субъектом КИИ минимум ДСП. Как ФСТЭК собирается организовать проверку субъектов, не имеющих данную лицензию? Это требование о наличии лицензии ГТ обещали убрать с сайта ещё в 17 году, я задавал вопрос в рамках оформления лицензий.
- Ограничение на ГТ касается только документов; на распространение другой информации таких ограничений нет.
- На сайте ФСТЭК опубликована выписка из плана по разработке документов на 2018 год. В нем только положение о сертификации СЗИ. Никаких изменений в 17/21/31 приказ не планируется, никаких дополнительных документов по КИИ. ФСТЭК не видит актуальности в изменении?
- Изменения в 17/21/31 приказы будут во втором полугодии 2018-го года. В выписке из плана далеко не все запланированные документы.
- Почему не хотят привести меры защиты к 17/21/31/ КИИ к сквозной нумерации и единым наименованиям.
- Все будет сделано во втором квартале 2018-го года.
- Почему не учтен опыт совместного использования 17 и 21 приказа при разработке приказа по КИИ? Речь про п. 27 приказа 17. Зачем дополнительные сложности для оператора ГИС, которая стала значимым объектом КИИ? Будет ли проводиться корреляция требований между КИИ и 17 приказом. Вопрос особенно интересно стоит для тех владельцев неГИС, кто недавно попал под 17 приказ, но также и попадает под КИИ
- ФСТЭК не видит проблем с одновременным выполнением приказов по КИИ и по ГИС - выбирать по максимальному из требований.
- Как выделять объекты КИИ, например, у банков?
- Субъект КИИ сам определяет свои объекты и проводит границы.
- В проекте постановления Правительства по категорированию объектов КИИ указано, что перед категорированием нужно согласовывать со ФСТЭК и отраслевым регулятором перечень объектов КИИ, подлежащих категорированию. Как должен выглядеть этот процесс? Что делать, если у ФСТЭК и отраслевого регулятора разные точки зрения на перечень объектов, подлежащих категорированию?
- В финальном тексте ПП-127 согласование осталось только с отраслевым регулятором.
- Согласно проекту постановления Правительства по категорированию объектов КИИ категория определяется при создании или модернизации объекта КИИ. Что делать с действующими объектами КИИ, модернизация которых в ближайшее время не предусмотрена?
- Согласно ПП-127 категорирование осуществляется и для действующих объектов КИИ, перечень которых надо составить после вступления в силу ПП-127.
- Объекты водоснабжения и водоотведения по закону не являются объектами КИИ, все верно?
- Четкого ответа нет - надо смотреть на виды деятельности конкретного субъекта. Про пищевую промышленность вообще забыли спросить - там картина вообще непонятная - в списке критических отраслей их в принципе нет.
- Получение телеметрии с подстанций (без телеуправления) попадает под действие КИИ?
- Да, так как на основе телеметрии могут приниматься управляющие воздействия и решения.
- Когда актуален 31-й приказ, а когда подзаконники по 187-ФЗ
- Если объект значимый, то используется приказ ФСТЭК по КИИ. Если объект незначимый, то можно применять как 31-й приказ ФСТЭК, так и приказ по КИИ.
- В соответствии с какими методическими документами предполагается проведение моделирование угроз на КИИ?
- Работа над документами ведется. Пока руководствоваться Банком данных угроз и здравым смыслом.
- Требуется ли сертификация на соответствие АСУТП требованиям ФСТЭК? Если да, то кто её проводит? М.б. достаточно декларации?
- Сертификация не предусмотрена - только аттестация по требованиям безопасности или приемочные испытания АСУ ТП, включая и защитные меры.
- Если сертификация требуется, то что должно сертифицироваться: программно технический комплекс для создания АСУТП или АСУТП конкретного объекта? Или и то и то?
- Не требуется.
- На какие АСУТП распространяются требования приказа ФСТЭК? Обязательны ли они к исполнению? Каким образом осуществляется контроль исполнения требований?
- 31-й приказ не является обязательным и контроль исполнения его требований не предусмотрен в отличие от приказа по КИИ.
- Обязан ли проектировщик предусматривать в проектах АСУТП мероприятия по приведению системы в соответствие с требованиями ФСТЭК или это решение принимает заказчик?
- Это ответственность заказчика, но проектировщику неплохо бы напоминить заказчику о требованиях по ИБ, если последний о них забыл.
- Есть производственный цех, например, прокатный стан. Согласно документации стан состоит из 3-х АСУ ТП. При составлении перечня объектов КИИ возможно 3 АСУ ТП объединить в один объект КИИ? Что может выступать основой определения границ информационных систем?
- Субъект КИИ сам определяет границы объекта. В данном случае это может быть и один объект КИИ и три.
- Есть группа промышленных предприятий, которые будут отнесены к КИИ. Есть управляющая компания. Будет ли ее головной офис являться субъектом КИИ? Нужно ли этому головному офису вообще проходить категорирование?
- Нужно смотреть конкретную ситуацию, но вероятнее всего головной офис будет тоже отнесен к КИИ.
- У предприятия есть корпоративная ИС, в которую стекается вся информация о деятельности предприятия, начисляется зарплата, делается отчетность для налоговой и т.д. Эту систему надо включать в перечень объектов КИИ?
- Ответить не видя конкретной ситуации затруднительно.
- Что будет считаться гостайной, упомянутой в ФЗ-187?
- Ждем поправок в Указ Президента №1203, которые подготовлены и в скором времени будут утверждены.
- Когда будет разработан методический документ по мерам защиты на объектах КИИ?
- 2-й квартал 2018 года. Будет единая методичка по всем приказам ФСТЭК (17/21/31/КИИ).
- Как поступать с объектами, чьи категории не выше третьей, но если атака будет одновременной сразу на несколько из них, то ущерб может наступить как у 2-й или даже 1-й категории?
- Как предписывает категория; в данном случае 3-я.
- Какова юридическая судьба документов по КСИИ? И что делать, если на промышленном предприятии в нормативных актах упоминается этот термин? Менять?
- Забудьте про них. Меняйте КСИИ на КИИ.
- ИС бухгалтерии субъекта КИИ тоже будет относиться к объектам КИИ?
- Надо смотреть конкретную ситуацию, но она точно должна рассматриваться в рамках категорирования, но возможно она будет незначимым объектом КИИ.
- Кто сертифицирует SIEM, используемые в SOCах, подключенных к ГосСОПКЕ, - ФСТЭК или ФСБ?
- Если речь идет об оказании услуг третьим лицам, то нужна лицензия ФСТЭК на мониторинг ИБ. Требования к лицензиатам доступны - требуется сертификация SIEM по требованиям ФСТЭК.
- Будет ли как-то описана/формализована процедура оценки соответствия средств защиты КИИ, отличная от сертификации (испытания и приемка), чтобы не иметь возможных претензий со стороны проверяющих?
- Все описано в ФЗ-184 о техническом регулировании и в соответствующих ГОСТах. Не надо бояться проверяющих - если они требуют не того, пишите/звоните в ФСТЭК.
- В последних сертификатах ФСТЭК отсутствует указание на соответствие требованиям по НДВ. Тем не менее приказ 17 требует применения средств прошедших сертификацию на отсутствие НДВ для 1 и 2 классов. Каким образом владелец ИС в настоящее время может определить, проходило ли СЗИ такие испытания или нет?
- В новых РД ФСТЭК к средствам защиты уже прописано соответствие соответствующих классов защиты средств защиты и требований по НДВ. Если что-то непонятно, пишите вопросы в ФСТЭК - вам разъяснят про соответствие и выполнение требований по НДВ в конкретном продукте.
- В п.16.3 31-го приказа говорится о периодическом информировании и обучении персонала. Как подтвердить выполнение указанного пункта? Наличием плана обучения?
- Главное, чтобы люди были обучены, а как подтвердить это - вопрос десятый. Можно и планом обучения.
- Модель угроз должна разрабатываться для значимых объектов КИИ согласно приказам ФСТЭК. Значимый объект определяется по результатам категорирования, которое в свою очередь требует наличия модели угроз. Что первично?
- Как и в случае с ПДн (ФЗ-152 и 21-й приказ) не надо путать перечень актуальных угроз и модель угроз. На этапе категорирования нужен только перечень актуальных угроз, а вот модель угроз как отдельный документ нужна уже на этапе реализации требований приказа ФСТЭК по КИИ.
Вот, пожалуй, и все ответы. Благодаря Валерию Комарову, есть видео этих ответов для тех, кто хочет услышать прямую речь регулятора, а не мой пересказ. Видео выложено на Google.Drive (https://drive.google.com/file/d/1vJpVjxQXG_emYaVtq9PksdlKs4Jlg03w/view?usp=sharing), размер файла для скачивания - 3,5 Гб.
Если у вас остались вопросы по КИИ (в рамках компетенций ФСТЭК), то вы можете писать свои вопросы на адрес email: otd22@fstec.ru с указанием в поле Subject "Вопрос по КИИ".
7 коммент.:
Неужели не нашлось того, кто бы спросил непосредственно про водоканалы?
Ответ очень расплывчатый на 11 вопрос.
Я спросил Елену Торбенко про водоканалы. Ответ: Сферы деятельности определил не ФСТЭК а закон. Если объект водоснабжения не связан с другими "сферами" (напрмер водоснабжение АЭС), напрмер Водоканал, то на текущий момент Увы/УРа закон на них не распространяется. ФСТЭК эту проблему видит говорит учли для предложений по совершенстованию законодательства.
Алексей большое спасибо за проделанную работу. На свой вопрос я ответ получил. Не сказать, что он меня обрадовал..но позиция регулятора понятна.
Ок
Как и кем разрабатывается модель угроз?
Субъектом или внешей компанией. В соответствие со здравым смыслом и БДУ ФСТЭК
Вопрос такой (и наверное самый главный и интересующий большинство): В какой форме предоставлять перечень объектов во ФСТЭК? И кто должен формировать перечень этих самых объектов КИИ и в каком объеме? Если руководитель утверждает перечень, то категорирование должен производить техперсонал ИТ-отдела? В областной администрации (мы подконтрольный субъект) не дали никаких вразумительных ответов, а начальник управления ФСТЭК "красиво ушёл" от ответа, сославшись на ФЗ №187 (где я лично не нашел конкретики на свои вопросы). Спасибо.
Отправить комментарий