На прошлой неделе закончился Уральский форум по информационной безопасности финансовых учреждений. Это мероприятие, уже ставшее традиционным место сбора банковских безопасников, в этом году особенно удалось. Тут наложилось много обстоятельств. И работа организаторов, которая была на высоте, и снежная зима, которой в Москве так и не было, и культурная программа, и новые знакомства и старые друзья... И очень интересной и насыщенной на мой взгляд оказалась программа. Тут и активно представленный Банк России (я не помню, чтобы на предыдущих форумах было столько докладов регулятора), и интересные доклады от участников рынка.
По традиции последние годы я подвожу итоги конференции в своей презентации "Уральский форум за 15 минут". Не стал исключением и этот год. И хотя я уже давно не вмещаюсь в 15 минут, я попробовал выделить ключевые темы, которые были представлены именно регулятором. Вот, что у меня получилось:
Тем же, кто хочет не только посмотреть, но и послушать, могу порекомендовать видео, которые организаторы очень быстро выложили на YouTube, и в котором моя презентация сопровождается моим же голосом:
Другие видеосюжеты с Уральского форума вы можете найти на официальном канале BIS TV (там будут выкладываться выступления по мере их обработки), а на сайте форума в самое ближайшее время (может быть уже сейчас, когда вы читаете эти строки) вы сможете найти все презентации.
По традиции последние годы я подвожу итоги конференции в своей презентации "Уральский форум за 15 минут". Не стал исключением и этот год. И хотя я уже давно не вмещаюсь в 15 минут, я попробовал выделить ключевые темы, которые были представлены именно регулятором. Вот, что у меня получилось:
Тем же, кто хочет не только посмотреть, но и послушать, могу порекомендовать видео, которые организаторы очень быстро выложили на YouTube, и в котором моя презентация сопровождается моим же голосом:
Другие видеосюжеты с Уральского форума вы можете найти на официальном канале BIS TV (там будут выкладываться выступления по мере их обработки), а на сайте форума в самое ближайшее время (может быть уже сейчас, когда вы читаете эти строки) вы сможете найти все презентации.
Алексей, Вы говорите, что ИС, которая отвечает за передачу данных о переводе денежных средств с помощью электронных средств платежа в сторону иностранных поставщиков платежных услуг, АВТОМАТИЧЕСКИ (?!) является значимым объектом КИИ (на видео с 24:50 по 25:55). Не могли бы Вы пояснить. По моему мнению, в Постановлении Правительства РФ от 08.02.2018 N 127 указан перечень показателей критериев значимости объекта КИИ и, соответственно, субъект КИИ на основании данных критериев сам решает является ли его объект КИИ значимым или нет. В соответствии с 187-ФЗ субъект КИИ – это тот, кому, кроме прочего, на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления.
ОтветитьУдалитьМожно предположить, что существует ИС, которую какой-то другой субъект КИИ посчитал значимым объектом КИИ и ФСТЭК России это подтвердил (включил объект КИИ в реестр значимых объектов КИИ). По моему мнению, даже в этом случае, подключение ИС «нашего» субъекта КИИ к ИС другого субъекта КИИ (значимому объекту КИИ) автоматически не ведет к обретению ей статуса значимого объекта КИИ, так как, по-прежнему, для этой ИС отсутствуют значения критериев значимости объекта КИИ, изложенные в Постановлении Правительства РФ от 08.02.2018 N 127. По моему мнению, подключение не означает, что ИС «нашего» субъекта КИИ стала частью ИС другого субъекта КИИ (значимого объекта КИИ). По моему мнению, это две отдельные ИС, взаимодействующие между собой.
Автоматически потому что есть 264-ФЗ, который в августе прошлого года внес правки в ФЗ-161 и отнес такие ИС к ЗОКИИ.
ОтветитьУдалитьАлексей, спасибо за ответ! Поясните, пожалуйста, если можно, еще один момент. Как Вы себе представляете процедуру категорирования объектов КИИ с учетом 264-ФЗ? Этот вопрос меня интересует со стороны 187-ФЗ и ПП-127. То, что в соответствии с п. 15 ст. 9.1 264-ФЗ эти ИС должны соответствовать требованиям, предъявляемым к значимым объектам КИИ, не означает, что они в соответствии с Правилами категорирования, утвержденными ПП-127, должны быть признаны значимым объектом КИИ? Или должны? Тогда как это сделать не нарушив Правила, утв. ПП-127? Правила категорирования изложены достаточно подробно и опции добавить требования иных НПА в них нет (как, например, в приказе 17 абз. 5 п. 21: "дополнение уточненного адаптированного базового набора мер защиты информации мерами, обеспечивающими выполнение требований о защите информации, установленными иными нормативными правовыми актами в области защиты информации, в том числе в области защиты персональных данных"). Следующая аналогия: у меня есть ИС и по каким-то причинам я решил привести её в соответствие с требованиями приказа 17 к 1-му классу защищенности (что могу себе позволить в соответствии с п. 6 приказа 17). Но это же не означает, что в этой ИС обрабатывается государственный информационный ресурс и\или она является государственной информационной системой?..
ОтветитьУдалитьНикак. Это косяк законодательства, за который никто не хочет нести ответственность. Я бы применил к таким ИС ПП-127 и смотрел под какую категорию она идет. Если ниже третьей категории, то назначил третью и все
ОтветитьУдалитьАлексей, по моей оценке, при том подходе, который Вы изложили, с теми показателями и их значениями, которые сейчас утверждены ПП-127, эта ИС не попадет ни в одну категорию значимости объекта КИИ. То есть в полном соответствии с Правилами категорирования комиссия должна будет принять решение об отсутствии необходимости присвоения такой ИС одной из категорий значимости и далее направить эти сведения по форме, утвержденной приказом ФСТЭК России N236 во ФСТЭК России.
ОтветитьУдалитьНа основании имеющегося опыта предполагаю, что для большинства банков применимы только 2 показателя из ПП-127: "9. Возникновение ущерба бюджетам Российской Федерации..." и "10. Прекращение или нарушение проведения клиентами операций по банковским счетам...". И только для нескольких банков значения этих показателей могут попадать под те значения критериев значимости, которые утверждены ПП-127. При этом это касается всей совокупности ИС, имеющейся в конкретном банке (информационной инфраструктуре). Если отдельно категорировать ИС, которая отвечает за передачу данных о переводе денежных средств с помощью электронных средств платежа в сторону иностранных поставщиков платежных услуг, то не факт, что даже для крупных банков, эта ИС попадет под те значения, которые есть в ПП-127.
Этот комментарий был удален автором.
ОтветитьУдалитьДобрый день, Алексей.
ОтветитьУдалитьНа 12 слайде вы приводите таблицу с рекомендуемым составом КПУР https://lukatsky.blogspot.com/2020/02/15.html, но там обрезался 3-ий показатель.
Сколько всего показателей? У каждого есть сигнальное и контрольное значения?
И есть ли у вас оригинал этой таблицы, чтобы полностью с ней можно было ознакомиться?