25.2.21

Ответы ФСТЭК на вопросы отрасли. Часть 2-я

Как я написал вчера, вопросов от отрасли в сторону ФСТЭК прилетело немало и Виталий Сергеевич Лютиков в рамках телемоста не успел дать ответы на все из них. Но к счастью, на форуме выступала Елена Борисовна Торбенко, которая смогла "закрыть амбразуру" и ответить на часть оставшихся, вполне конкретных вопросов, связанных с безопасностью КИИ. Видео, думаю еще выложат на сайте мероприятия, а пока я тезисно перескажу то, что говорила Елена Борисовна.

  1. Статистика категорирования достаточно плачевна - от 1,5% до 50-60% по разным отраслям. И это при условии, что до 1-го сентября 2020 года категорирование должно было быть завершено, в том числе и для предприятий промышленности.
  2. Если изменилась информация о лице, эксплуатирующем ОКИИ, то об этом надо оповестить ФСТЭК в 30-тидневный срок.
  3. Если объект КИИ поменял собственника (продан, сменилась форма собственности, передан на баланс другому предприятию и т.п.), то об этом также надо уведомлять ФСТЭК. Причем уведомлять должны две организации - прежний собственник и новый.
  4. Аналогичная ситуация и в случае выведения из эксплуатации значимых и незначимых объектов - уведомлять ФСТЭК надо как и при любом изменении объекта КИИ.
  5. Если организация принимает решение о переводе незначимого ОКИИ в значимые, то необходимо направить информацию об этом в ФСТЭК, в которой должно быть соответствующее обоснование.
  6. Если у объекта КИИ изменился состав технических средств или применяемых защитных мер, то уведомить об этом ФСТЭК надо в разумные сроки, под которым регулятор понимает 30 дней.
  7. На вопрос о том, надо ли уведомлять ФСТЭК при изменении модели угроз, которая существенно не влияет на категорию значимости ОКИИ, регулятор прямо не ответил, но судя по характеру ответов на схожие вопросы про несущественные изменения в результатах категорирования, уведомлять ФСТЭК все-таки надо.
  8. О любых произошедших изменениях ФСТЭК сама уведомляет НКЦКИ - самостоятельно субъекту ничего писать в ФСБ не нужно.
  9. ФСТЭК обязательно хочет видеть от субъекта КИИ подробные расчеты показателей категорий значимости (для этого и опубликован проект методики по расчету экономического показателя и планируется методика по социальному показателю). Если тот или иной показатель не применим к объекту КИИ, то необходимо обосновать, почему? ФСТЭК прямо заявляет, что безопасники не в состоянии самостоятельно провести такую оценку и требуется участие других подразделений, обладающих знаниями по ценности объектов.
  10. После принятия ПП-452, внесшего изменения в ПП-127, стали возникать инсинууации по поводу сроков категорирования для создаваемых объектов. ФСТЭК считает, что для таких ОКИИ категорию значимости надо закладывать еще в ТЗ/ЧТЗ. То есть к моменту создания объекта его категория уже известна и срок в 12 месяцев из ПП-127 к таким объектам уже не применяется.
  11. ГНИИ ПТЗИ ФСТЭК, как и все подведомственные организации ФСТЭК, выполняют требования ФЗ-187 и подзаконных актов. На конференции "Актуальные вопросы защиты информации" Шевцов Д.Н., отвечая на вопросы из зала, отметил, что ФСТЭК постепенно переходит на отечественное ПО и оборудование, следуя курсу на импортозамещение. Хотя по оговорке было понятно, что денег особо не выделяют.  
  12. Субъекты промышленности задавали вопрос о том, какие показатели значимости к ним применимы, на что последовал ответ, что это зависит от сферы деятельности предприятия. Но, в частности, было отмечено, что социальный показатель применим. Также применим 7-й показатель, если организация участвует в исполнении какого-либо международного договора. 8-й и 9-й экономические показатели применимы также; 9-й так вообще применим к любому объекту КИИ. 11-й показатель применим для экологически опасных производств, а 13-й - для всех организаций ОПК.
  13. Время, в течение которого субъект КИИ должен ждать ответа от ФСТЭК по поводу результатов категорирования, составляет не 30 дней, а 30 дней на рассмотрение + 10 дней на подготовку ответа + неделя-другая на доставку почтой. Фактом внесения данных об ОКИИ в реестром является присвоению ему реестрового номера, о чем вас ФСТЭК должна уведомить. Но если вы считаете, что у вас ЗОКИИ, то не надо дожидаться получения реестрового номера, - можно сразу начинать обеспечение безопасности.
  14. При оценке показателя экономической значимости, при оценке снижения уровня дохода от выполнения деятельности предприятия в результате воздействия на объект КИИ при оценке сценария расчета потерь необходимо рассматривать не среднегодовые потери, а потери в случае успешной реализации конкретного негативного воздействия.
  15. При оценке потерь, наступающих в случае успешной реализации негативного воздействия на объект КИИ, потери часто зависят от возможностей предприятия по локализации и устранению последствий инцидента. ФСТЭК считает, что последствия от воздействия должны учитываться на временном промежутке до момента восстановления плановых показателей (до инцидента). 

Пока все. Часть ответов была раскрыта в самом выступлении Торбенко Е.Б., которое скоро выложат на сайте организаторов. Также ФСТЭК обещала на других своих мероприятия ответить на оставшиеся вопросы. Из интересного также хочу отметить интересную цифру, озвученную Кубаревым А.К. на конференции по защите АСУ ТП в рамках ТБ-Форума. Его спросили, хватит ли у ФСТЭК ресурсов на проверки всех объектов КИИ, число которых по разным выступлениям ФСТЭК разнится от 25 тысяч до полумиллиона? Ответ был нерадостен - ФСТЭК, имея в центральном аппарате всего 200, а в регионах 1000 человек, не сможет ежегодно проверять даже 1% от общего числа объектов КИИ :-( 


В целом дискуссия с регулятором оказалась вполне приятной и конструктивной. На многие вопросы были даны ответы. Видно, что регулятор хочет, чтобы его подопечные занимались не столько бумажной, сколько реальной безопасностью. Конечно, с оговорками на то, как эту пользу понимает сам регулятор. Но в любом случае, этот опыт, который не был бы успешным без "Авангард-Медиа", я считаю очень позитивным.

В заключение хочу отметить, что есть ряд вопросов, на которые регулятор врядли будет отвечать на своих мероприятиях, но ответы на которые хотелось бы все-таки увидеть в том или ином виде:
  1. Когда на сайте ФСТЭК появится вменяемый реестр сертиицированных средств защиты с возможностью фильтрации по классам и типам средств? Да и сам сайт пора бы уже обновить - он как из 90-х годов.
  2. Почему до сих пор не синхронизированы нумерация и названия мер защиты в приказах ФСТЭК?
  3. Почему до сих пор не отменен РД на АС 1992 года, если у ФСТЭК уже совершенно иная классификация ИС? Почему проверяющие ссылаются на ПП-79, в котором есть слова про «автоматизированные системы» и из-за этого вынуждают выполнять требования документа 92-го года.
  4. Как относится ФСТЭК к ситуации, когда средства защиты не покупаются предприятием, а берутся в лизинг или аренду у аутсорсинговой компании?
  5. Выпустит ли ФСТЭК матрицу соответствия "старых" специальностей и новых, утвержденных Минобразованием? Вообще вопрос образования вызвал бурную дискуссию на конференции по защите АСУ ТП в рамках ТБ-Форума. Ведь требования по квалификации специалистов и руководителей по ИБ есть, а как их трактовать до конца никто не знает. Вот у меня специальность по диплому "Прикладная математика" (квалификация "инженер-математик") и хотя у меня было немало предметов, связанных с защитой информации, формально я не могу считаться специалистом по защите информации и мне пришлось бы проходить соответствующие курсы переподготовки. С учетом того, что за последние полтора-два десятка лет у нас не раз менялись ФГОСы по ИБ, названия и номера специальностей, было бы неплохо иметь такую матрицу соответствия (сделать-то ее несложно). Говорят, у ФСБ такая есть.   
ЗЫ. Из интересного: по словам Шевцова Д.Н. именно он в ФСТЭК курирует вопросы импортозамещения. Странно, почему не ИТ-служба? Вообще всегда было интересно узнать, как сам регулятор реализует у себя вопросы информатизации и ИБ и кто за это отвечает у регулятора? Если за импортозамещение отвечает 2-е Управление, то это странновато.

10 коммент.:

Михаил Юрьевич Емельянников комментирует...

Алексей, я от этой темы стараюсь держаться подальше, но приходится, вонял-неволя, с ней пересекаться. Скажите, а был ли хоть один ответ от регулятора, который бы содержал тезис о том, зачем все эту нужно субъекту КИИ? Что получает взамен всех этих мучений, кучи бумаги, уведомлений, принудительного импортозамещения неизвестно на что и т.д.? Что штрафы, уголовку, контроль со стороны компетентных органов, это понятно. А в чем профит выполнять все эти требования?

Алексей Лукацкий комментирует...

У нас же был конструктивный диалог :-) А ваш вопрос неконструктивен :-) Это как с налогами или требованиями по промышленной, пожарной и иной безопасности. Они тоже не нужны, но это закон. Так и живем... А про импортозамещение регулятор уже высказывался, что они и сами не рады, что на них это вешают. Но они люди подневольные - делают, что сказали наверху

Михаил Юрьевич Емельянников комментирует...

"Это другое". Налоги - неизбежная плата за государство. Безопасность (промышленная, пожарная, санэпид и прочая) (и, кстати, персональные данные) - защита жизни и прав людей. Частный металлургический заводик на Южном Урале, делал себе скобянку. никому не мешал. И грянуло КИИ, Госсопка, импортозамещение (на станках с ЧПУ, кстати, тоже?). Или частная медклиника с израильским софтом у стоматологов на винде. И вот там все это ради конструктивности, видимо.
Хорошо, что хоть детские сады как операторов персданных на Госсопку не посадили, как планировали в первом чтении.

Комаров Валерий комментирует...

А 187-ФЗ не в интересах субъекта КИИ, а только государства.

Михаил Юрьевич Емельянников комментирует...

ОК. А в чем интерес государства в описанных мною выше двух случаях? Ну, и интерес государства - это баланс интересов всех участников правоотношений. Например, при пожарной безопасности - владельца объекта и конкретного человека, на нем находящегося. Государство определяет этот баланс.

Комаров Валерий комментирует...

Интерес простой. ФСБ обосновало создание нового подразделения с непонятным юридическим статусом -НКЦКИ, а ФСТЭК избежало расформирования и тоже получила новое Управление КИИ.

Target комментирует...

Дополню ответами регулятора на некоторые вопросы на других мероприятиях.
1. Неопределённость порядка подтверждения соответствия средств защиты информации объектов КИИ.
Ответ. Проводить сертификацию средств защиты информации, в том числе встроенных в средства связи, необходимо, в том числе, в системе сертификации ФСТЭК России. Специальных требований к проведению оценки соответствия в форме «испытание» и «приемка» нет. Можно использовать межгосударственные стандарты ГОСТ 16504 и ГОСТ 15.309. Необходимо разрабатывать собственную программу и методику испытаний, утверждать их и проводить испытание. Результат подтверждения соответствия включать в документ о вводе в эксплуатацию (приемке) объекта защиты.
Комментарий. Ответ о порядке оценки соответствия встроенных в средства связи функций защиты информации во всех применимых системах сертификации неоднозначный. Порядок сертификации средств связи одновременно в системах сертификации Минцифры и ФСТЭК России не установлен.
2. Не установлен приоритет требований НПА и стандартов.
Ответ. Меры защиты информации на объектах КИИ должны при необходимости дополняться мерами защиты иной нормативной базы (ПДн, ГИС, связи и т.п.). Если меры негативно сказываются на работе объекта КИИ, то должны разрабатываться компенсирующие меры защиты и проводиться их испытание. Сведения о компенсирующих мерах защиты должны отражаться во внутреннем документе или документе юридического лица, привлекаемого для проведения испытаний по договору.
3. Обеспечение гарантийной и технической поддержки средств связи объектов КИИ.
Ответ. Гарантийную и техническую поддержку объектов КИИ сетей связи необходимо обеспечивать без привлечения иностранных лиц. В случае «технической невозможности» это обеспечить можно компенсировать риски дополнительными мерами защиты, в том числе, юридической ответственностью, регистрацией действий и т.п. Понятие «технической невозможности» в п. 31 приказа ФСТЭК России № 239 определения не имеет.
Комментарии. Ответ неоднозначный. Как обосновать «техническую невозможность» исключить удаленный и локальный доступ третьих лиц к объекту КИИ, когда гарантийная и техническая поддержка средств иностранного производства реализуется только третьими лицами (производителями) не понятно.
4. Трудоустройство по совместительству для работы на объекте КИИ.
Ответ. Если нет законодательных ограничений, то работать на объектах КИИ по совместительству возможно.
Комментарий. Для КИИ таких ограничений нет, поэтому при необходимости можно устраивать работников на часть ставки.
5. Использование на объектах КИИ открытого ПО.
Ответ. Возможно, но техническую поддержку необходимо обеспечить, например, самостоятельно или с привлечением третьих лиц.
Комментарий. Ответ неоднозначный. Как обеспечивать поддержку ПО с привлечением третьих лиц, если доступ для них к объекту КИИ запрещен?

Михаил Юрьевич Емельянников комментирует...

Валерий, Вы путаете интересы государства и интересы конкретных госструктур. Это совершенно разные вещи. Про интерес государства я написал. То, о чем вы пишите, никакого отношения к нему не имеет.

Комаров Валерий комментирует...

Полностью согласен с этим утверждением. Но другой пользы нет. Никто даже не хочет посчитать стоимость его исполнения за прошедшие три года для организаций страны.

Алексей Лукацкий комментирует...

Target, спасибо