Контакты
Подписка 2023

Саммит субъектов КИИ: вопросы и ответы

Валерий Богдашов, 26/12/19

Снимок экрана 2019-12-26 в 10.38.55
Валерий Богдашов,
директор Центра экспертизы R-Vision

26 сентября компания Гротек провела саммит субъектов КИИ, в котором приняли участие представители ФСТЭК, Совета Федерации и крупнейших организаций, являющихся субъектами КИИ и уже имеющих практический опыт категорирования объектов и реализации других требований 187-ФЗ. Среди участников были представители НЛМК, Норникеля, СО ЕЭС, ЕВРАЗ, Ростелекома, Гринатома и других крупных компаний. Специалисты Центра экспертизы R-Vision также приняли участие в саммите.

Тема КИИ волнует многих. И если в 2018 г., когда только-только появились первые нормативные правовые акты, связанные с 187-ФЗ "О безопасности критической информационной структуры Российской Федерации", организации в основном разбирались с теорией, то сейчас большинство субъектов КИИ приступило к практической реализации требований закона, и в ходе этого процесса возникают новые вопросы. Неудивительно, что в отрасли наблюдается интерес к круглым столам и практическим сессиям с участием регуляторов и более опытных коллег по цеху.

В ходе мозговых штурмов и обсуждений в группах участники мероприятия разбирали оптимальные управленческие и технологические подходы к реализации требований 187-ФЗ, а также делились своим опытом. Алексей Кубарев, представляющий ФСТЭК, рассказывал о том, что регулятор ожидает от субъектов КИИ, а также о наиболее распространенных ошибках и заблуждениях, связанных с процессом категорирования объектов КИИ.

По результатам предварительного опроса организаторы мероприятия сформировали пул наиболее волнующих аудиторию вопросов для обсуждения. Вот некоторые из них:

  • последовательность управленческих решений для реализации требований;
  • категорирование: первый опыт, типовые ошибки, на что обратить внимание;
  • неясности и способы их разрешения в рамках действующих нормативных актов;
  • перечни: внесение изменений, уточнение;
  • определение границ систем и разграничение сфер ответственности. Определение прав собственности и создание моделей угроз;
  • сертификация продуктов. Политика закупок. Снижение неопределенности;
  • реагирование на компьютерные инциденты, внесение изменений в перечень ОКИИ по итогам;
  • отсутствие компетентных специалистов на объектах. Избыточность требований Постановления Правительства РФ № 127;
  • отнесение информационных систем к объекту КИИ, подлежащих категорированию;
  • порядок работ при создании территориально распределенных систем;
  • проектирование систем безопасности значимых КИИ.

Участникам саммита удалось поделиться своим видением и опытом по части этих вопросов, обсудить различные точки зрения и получить комментарии регулятора. Приводим короткое резюме основных моментов.

Категорирование объектов КИИ

По словам Алексея Кубарева, 45% поданных форм возвращается на пересмотр. Почему это происходит и как оценивается правильность категорирования? Подход ФСТЭК очень прост: они проверяют правильность заполнения форм и оценивают адекватность присвоения классов объектам КИИ, исходя из здравого смысла. В случае откровенного завышения или занижения классов акты возвращают на пересмотр. Насколько подробно нужно сегментировать системы при категорировании, каждый субъект решает самостоятельно.

48819694763_01df4da84c_c

Некоторые субъекты КИИ, в ведении которых находится множество объектов, поделились практикой проведения категорирования параллельно с процессами проектирования и реализации подсистемы информационной безопасности для самых критичных объектов КИИ. Они подготовили примерный перечень ОКИИ, после чего начали проводить работы по категорированию и проектированию, в ходе которых состав ОКИИ будет определен более точно. Через год они направят во ФСТЭК уточненный перечень.

Моделирование угроз

На вопрос о том, какую методику нужно использовать при моделировании угроз, Алексей Кубарев в очередной раз подчеркнул, что любую. ФСТЭК не обязывает использовать какую-то конкретную методику. В информационном письме говорилось о том, что можно использовать методику КСИИ, но это не означает, что нужно. Уже имеющиеся в организации модели угроз, созданные для ПДн, ГИС, КСИИ и пр., можно использовать как основу и просто пересмотреть для ОКИИ.

48820207707_9f134aaa96_c

При моделировании угроз необходимо использовать Банк данных угроз безопасности информации ФСТЭК и меры защиты из приказов ФСТЭК № 21, 17, 235 и 239. БДУ при этом можно дополнять как из указанных перечней, так и из других источников, а также своими мерами. Если в БДУ вносятся изменения, то формально это повод для пересмотра МУ.

Согласовывать модель угроз для объектов КИИ со ФСТЭК не нужно, такого требования нигде нет. По словам Алексея Кубарева, периодически приходят запросы на согласование модели угроз, но регулятор может предоставить только неформальное оценочное мнение, поскольку эта процедура необязательна.

К 20212022 г. регулятор планирует выпустить методические документы по моделированию угроз для объектов КИИ, которые будут учитывать отраслевую специфику и различные типы объектов.

Использование сертифицированных СЗИ для обеспечения безопасности ОКИИ

Вопрос об обязательном использовании сертифицированных СЗИ для обеспечения безопасности объектов КИИ регулярно поднимается субъектами КИИ. На саммите представитель регулятора подчеркнул, что можно использовать любую доступную форму оценки соответствия, поскольку сертификация добровольная. Оценку соответствия СЗИ можно проводить самостоятельно в виде испытаний или приемки, по окончании которой будет вынесено заключение комиссии, созданной в организации.

Вопрос ответственности

Ответственность по ст. 274.1 УК распространяется за нарушения относительно любой инфраструктуры КИИ, необязательно значимой и даже категорированной. Субъект КИИ в любом случае несет ответственность за свои объекты перед регуляторами и законом, ее невозможно передать кому-то другому. В случае оказания услуг в отношении объектов КИИ инфраструктура подрядчика также становится частью КИИ на время договора.

Ответственность за непредоставление информации о свершившемся инциденте в отношении объекта КИИ в настоящий момент не предусмотрена. Однако, по информации от ФСТЭК, готовятся изменения в КоАП на этот счет. Стоит отметить, что инциденты в систему ГосСОПКА должны направляться как по значимым, так и незначимым объектам КИИ.

Сложности и проблемы по опыту субъектов КИИ

Участники саммита, представляющие субъекты КИИ, одной из главных проблем назвали отсутствие дополнительных ресурсов для деятельности по КИИ, что замедляет процесс категорирования. Многие сотрудники некомпетентны в этом вопросе, но дополнительных средств для привлечения профессионалов или дополнительного обучения имеющихся специалистов не выделяется.

Другая проблема заключается в том, что топ-менеджмент зачастую не видит рисков в несоответствии требованиям по КИИ. Далеко не во всех организациях ведется оценка рисков информационной безопасности и применяется риск-ориентированный подход к выделению ресурсов и бюджетов. Важно доносить информацию о выявленных риска до первых лиц и обязательно добиваться либо их принятия, либо выделения ресурсов на их снижение.

Темы:КИИКатегорирование

Импортозамещение ИТ-решений и ПО в ключевых отраслях

22 июня 2023

Жми для участия
22 июня 2023. Импортозамещение ИТ-решений и ПО
22 июня 2023. Импортозамещение ИТ-решений и ПО в госсекторе и ключевых отраслях
Жми, чтобы участвовать
Статьи по той же темеСтатьи по той же теме

  • Повышение защищенности автоматизированных систем управления технологическими процессами
    Валерий Конявский, д.т.н., зав. кафедрой "Защита информации" МФТИ
    В большинстве технологических процессов используется программно-управляемое оборудование, выполняющее программы, поступающие из центра управления по каналам связи. При этом центр управления может быть значительно удален от конечного оборудования, а в качестве каналов связи могут использоваться любые физические линии с любыми протоколами. Все это создает предпосылки для возможного вмешательства в технологический процесс извне.
  • Обзор изменений в законодательстве. Январь и февраль 2023 г.
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Особенности трансграничной передачи ПДн, обработка биометрических ПДн, госсистема защиты информации, рекомендации ФСТЭК по безопасности ОС Linux и безопасность средств виртуализации
  • Чек-лист взаимодействия операторов персональных данных с ГосСОПКА
    Татьяна Никонорова, ведущий консультант по ИБ компании Innostage
    Поскольку в случае инцидента нужно действовать  быстро, приводим краткий чеклист, которым можно воспользоваться в случае необходимости.
  • КиберНЕустойчивость и как с ней бороться
    Александр Пуха, начальник отдела аудита и консалтинга АМТ-ГРУП
    Определение показателей операционной надежности для технологических процессов
  • Киберучения и киберполигоны для безопасности КИИ
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    Перед специалистами по информационной безопасности остро встает вопрос проведения мероприятий, направленных на повышение осведомленности работников субъекта КИИ, – киберучений
  • Поиск новых решений в текущей киберреальности
    Максим Степченков, совладелец компании RuSIEM
    Процесс миграции заказчиков с западных ИБ-продуктов на российские: самые распространенные трудности

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Безопасные российские СУБД и защита от утечек
20.06.23. Безопасные российские СУБД и защита от утечек
Жми, чтобы участвовать

More...
Форум ITSEC 2023: информационная и кибербезопасность России
Форум ITSEC 11-20 апреля 2023: информационная и кибербезопасность России
Жми, чтобы участвовать