Верхнее

Частые вопросы про безопасность КИИ и 187-ФЗ

ГосСОПКА

Цели подключенияЛицензия ФСТЭК на мониторинг ИБЛицензия ФСБ (или на шифрование, или на разработку средств защиты для ГТ)Лицензия ФСБ на гостайну
Для собственных нужд (только в рамках своего юрлица)не нужнане нужнанужна, если вам нужен доступ к 6-ти методичкам ФСБ по обнаружению, предотвращению и ликвидации последствий компьютерных атак
В рамках работы в холдинговых структурахнужнанужнанужна, если вам нужен доступ к 6-ти методичкам ФСБ по обнаружению, предотвращению и ликвидации последствий компьютерных атак
Для предоставления коммерческих услугнужнанужнанужна, если вам нужен доступ к 6-ти методичкам ФСБ по обнаружению, предотвращению и ликвидации последствий компьютерных атак

Источник: Сколько лицензий надо, чтобы подключиться к ГосСОПКА?

Данные документы содержат информацию ограниченного доступа и имеют пометку ДСП. Для их получения необходимо направить официальный письменный запрос от организации в адрес 8 Центра ФСБ России. В письме обосновать целесообразность получения документов и приложить копию лицензии на гостайну.

Адрес:

Заместителю начальника
8 Центра ФСБ России
И.Ф. Качалину
Молодогвардейская ул. д.12,
Москва, 121351

Источник: Блог Валерия Комарова

ФСБ подготовила и утвердила 6 методических документов для ГосСОПКа, часть из них рекомендована к использованию и субъектам КИИ:

  • Требования к подразделениям и должностным лицам субъекта ГосСОПКа.
  • Регламент информационного взаимодействия.
  • Методические рекомендации по обнаружению компьютерных атак на информационные ресурсы.
  • Методические рекомендации по установлению причин и ликвидации последствий компьютерных атак.
  • Методические рекомендации по проведению мероприятий по оценке защищенности от компьютерных атак.
  • Варианты организации защищенного канала.

Источник: Блог Валерия Комарова

Впервые от сотрудника ФСБ услышал упоминание о необходимости лицензий ФСТЭК, ранее они избегали упоминаний документов друг друга  в своих требованиях. Для центров ГосСОПКа необходимо наличие лицензий ФСБ на СКЗИ и лицензия ФСТЭК на ТЗКИ, в части «мониторинга событий ИБ». Осталось увидеть эти требования на бумаге, в формулировках официальных документов ФСБ.

Источник: Блог Валерия Комарова

Гостайна

Перечень сведений, составляющих ГТ по КИИ утвержден в ФСТЭК 01.09.2018. ФСБ обещает утвердить свой Перечень в течении месяца.

Источник: Блог Валерия Комарова

ЗО КИИ

В Реестре значимых объектов КИИ уже зарегистрированы несколько десятков объектов. ФСТЭК считает, что процесс категорирования объектов КИИ вполне отработан и реализуем субъектами КИИ.

Источник: Блог Валерия Комарова

значимый объект критической информационной инфраструктуры — объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры.

  • Устанавливаются три категории значимости объектов критической информационной инфраструктуры — первая, вторая и третья.
  • Если объект критической информационной инфраструктуры не соответствует критериям значимости, показателям этих критериев и их значениям, ему не присваивается ни одна из таких категорий.

Инциденты

ФСБ озвучила, что возможна передача информации в НКЦКИ от субъектов КИИ в банковской сфере через ФинЦЕРТ Банка России.

Источник: Блог Валерия Комарова

ФСБ (8 Центр) подтвердила, что информация о компьютерных инцидентах на значимом объекте КИИ, повлекшим вред будет передаваться в ФСТЭК. Это приведет к внеплановым проверкам субъекта КИИ. Согласно Постановления Правительства от 17 февраля 2018 г. № 162: «20. Основаниями для осуществления внеплановой проверки являются: […] б) возникновение компьютерного инцидента на значимом объекте критической информационной инфраструктуры, повлекшего негативные последствия«

Источник: Блог Валерия Комарова

Категорирование

Согласно требованиям законодательства категорирование проводится субъектом критической информационной инфраструктуры (КИИ) самостоятельно. Субъектом КИИ по определению могут являться государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели. Соответственно, если филиалы являются отдельными юрлицами, то и создавать комиссии, проводить категорирование и направлять его результаты во ФСТЭК они должны самостоятельно. На обмен опытом и шаблонами документов, понятно, запрет при этом не налагается. Если же под филилами подразумеваются обособленные подразделения юридического лица, расположенные вне места его нахождения, то они согласно ст. 55 Гражданского кодекса не являются самостоятельными юридическими лицами и свои отдельные комиссии создавать не должны.

ФСТЭК очень просит субъектов КИИ прикладывать к переписке все Перечни и формы уведомления о результатах категорирования в электронном виде. Очень трудоемко для них вбивать в ручную.

Источник: блог Валерия Комарова

ФСТЭК никак не реагирует на сроки категорирования, указанные субъектами в Перечне, если они не совпадают с сроками из решения коллегии ФСТЭК № 59. Главное, что бы не превышало 12 месяцев, согласно ПП127. (Задавал прямой вопрос)

Источник: блог Валерия Комарова

Категорирование объекта критической информационной инфраструктуры представляет собой установление соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения.

  • социальная значимость, выражающаяся в оценке возможного ущерба, причиняемого жизни или здоровью людей, возможности прекращения или нарушения функционирования объектов обеспечения жизнедеятельности населения, транспортной инфраструктуры, сетей связи, а также максимальном времени отсутствия доступа к государственной услуге для получателей такой услуги;
  • политическая значимость, выражающаяся в оценке возможного причинения ущерба интересам Российской Федерации в вопросах внутренней и внешней политики;
  • экономическая значимость, выражающаяся в оценке возможного причинения прямого и косвенного ущерба субъектам критической информационной инфраструктуры и (или) бюджетам Российской Федерации;
  • экологическая значимость, выражающаяся в оценке уровня воздействия на окружающую среду;
  • значимость объекта критической информационной инфраструктуры для обеспечения обороны страны, безопасности государства и правопорядка.
  • Устанавливаются три категории значимости объектов критической информационной инфраструктуры — первая, вторая и третья.
  • Если объект критической информационной инфраструктуры не соответствует критериям значимости, показателям этих критериев и их значениям, ему не присваивается ни одна из таких категорий.

Комиссия

Согласно требованиям законодательства категорирование проводится субъектом критической информационной инфраструктуры (КИИ) самостоятельно. Субъектом КИИ по определению могут являться государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели. Соответственно, если филиалы являются отдельными юрлицами, то и создавать комиссии, проводить категорирование и направлять его результаты во ФСТЭК они должны самостоятельно. На обмен опытом и шаблонами документов, понятно, запрет при этом не налагается. Если же под филилами подразумеваются обособленные подразделения юридического лица, расположенные вне места его нахождения, то они согласно ст. 55 Гражданского кодекса не являются самостоятельными юридическими лицами и свои отдельные комиссии создавать не должны.

Контакты

В составе 2 Управления ФСТЭК России создан отдел обеспечения безопасности критической информационной инфраструктуры, начальник отдела — Кубарев Алексей Валентинович. т. 8 (499) 246-11-89. Территориальные управления ФСТЭК по тематике 187-ФЗ замыкаются на него. Если есть какие то разногласия по трактовке подзаконных актов на местах, то рекомендую обращаться к нему. Человек адекватный и активный.

Источник: Блог Валерия Комарова

Отправлять нужно во Второе управление ФСТЭК (Начальнику 2-ого управления ФСТЭК Шевцову Дмитрию Николаевичу) и копию во ФСТЭК по федеральному округу уже по желанию.

Информация с сайта (https://fstec.ru/kontakty):

Адрес: 105066, г. Москва, ул. Старая Басманная, д. 17.
Часы работы экспедиции:
понедельник-четверг 10.00 — 13.00 и 14.00 — 17.00;
пятница 10.00 — 13.00 и 14.00 — 15.45;
суббота, воскресенье — выходной день.
Телефон экспедиции : 8 (495) 696-74-06.

Корреспонденция принимается законвертированной, при наличии двух реестров, с печатью организации отправителя.

Лицензии

Цели подключенияЛицензия ФСТЭК на мониторинг ИБЛицензия ФСБ (или на шифрование, или на разработку средств защиты для ГТ)Лицензия ФСБ на гостайну
Для собственных нужд (только в рамках своего юрлица)не нужнане нужнанужна, если вам нужен доступ к 6-ти методичкам ФСБ по обнаружению, предотвращению и ликвидации последствий компьютерных атак
В рамках работы в холдинговых структурахнужнанужнанужна, если вам нужен доступ к 6-ти методичкам ФСБ по обнаружению, предотвращению и ликвидации последствий компьютерных атак
Для предоставления коммерческих услугнужнанужнанужна, если вам нужен доступ к 6-ти методичкам ФСБ по обнаружению, предотвращению и ликвидации последствий компьютерных атак

Источник: Сколько лицензий надо, чтобы подключиться к ГосСОПКА?

Впервые от сотрудника ФСБ услышал упоминание о необходимости лицензий ФСТЭК, ранее они избегали упоминаний документов друг друга  в своих требованиях. Для центров ГосСОПКа необходимо наличие лицензий ФСБ на СКЗИ и лицензия ФСТЭК на ТЗКИ, в части «мониторинга событий ИБ». Осталось увидеть эти требования на бумаге, в формулировках официальных документов ФСБ.

Источник: Блог Валерия Комарова

Методические документы

Данные документы содержат информацию ограниченного доступа и имеют пометку ДСП. Для их получения необходимо направить официальный письменный запрос от организации в адрес 8 Центра ФСБ России. В письме обосновать целесообразность получения документов и приложить копию лицензии на гостайну.

Адрес:

Заместителю начальника
8 Центра ФСБ России
И.Ф. Качалину
Молодогвардейская ул. д.12,
Москва, 121351

Источник: Блог Валерия Комарова

ФСБ подготовила и утвердила 6 методических документов для ГосСОПКа, часть из них рекомендована к использованию и субъектам КИИ:

  • Требования к подразделениям и должностным лицам субъекта ГосСОПКа.
  • Регламент информационного взаимодействия.
  • Методические рекомендации по обнаружению компьютерных атак на информационные ресурсы.
  • Методические рекомендации по установлению причин и ликвидации последствий компьютерных атак.
  • Методические рекомендации по проведению мероприятий по оценке защищенности от компьютерных атак.
  • Варианты организации защищенного канала.

Источник: Блог Валерия Комарова

НКЦКИ

ФСБ озвучила, что возможна передача информации в НКЦКИ от субъектов КИИ в банковской сфере через ФинЦЕРТ Банка России.

Источник: Блог Валерия Комарова

Объекты

ФСТЭК считает ошибкой, если субъект относит к объектам КИИ все свои ИС/АСУ/ТКС. Но не разъясняет  — как же отличать критические процессы от «ошибочных».  К сожалению, развить эту тему и получить внятный ответ от ФСТЭК не получилось.

значимый объект критической информационной инфраструктуры — объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры.

Ответственность

Никакой ответственности для организации, не выполняющей требований 187-ФЗ и подзаконных актов не озвучено. Был задан прямой вопрос. Вся аргументация регуляторов сводится к случаям крупного ущерба или причинения вреда здоровью и жизни в результате компьютерной атаки. Считают, что руководитель организации будет в таком случае привлекаться за «халатность» по ст.293 УК РФ.

Изменений в ст. 274.1 УК РФ не будет, пока не накопится «правоприменительная практика».

Источник: Блог Валерия Комарова

ФСБ и ФСТЭК заявили, что к субьектам значимых объектов КИИ п.6 ст.13.12 КоАП не применяется. Ответственность за невыполнение 235 и 239 приказов отсутствует. В настоящее время идет разработка проекта изменений в КоАП, но конкретики не прозвучало. Ждем публикации.

Источник: Блог Валерия Комарова

Перечень

ФСТЭК очень просит субъектов КИИ прикладывать к переписке все Перечни и формы уведомления о результатах категорирования в электронном виде. Очень трудоемко для них вбивать в ручную.

Источник: блог Валерия Комарова

ФСТЭК в получаемых от субъектов КИИ перечнях объектов КИИ контролирует только сроки, заявленные на категорирование. Никаких действий по согласованию, возврату на доработку для устранения недостатков не предпринимается. Думаю, что это не касается случая, когда Перечень не утвержден субъектом-здесь прямое нарушение ПП127.

Источник: блог Валерия Комарова

Чёткого ответа на это вопрос нет, но логичным представляется просто отправка соответствующего письма с корректировкой. В принципе, так как после отправки Перечня всё равно нужно будет делать категорирование и отправлять его результаты — можно все корректировки приложить уже к этой отправке.

Отправлять нужно во Второе управление ФСТЭК (Начальнику 2-ого управления ФСТЭК Шевцову Дмитрию Николаевичу) и копию во ФСТЭК по федеральному округу уже по желанию.

Информация с сайта (https://fstec.ru/kontakty):

Адрес: 105066, г. Москва, ул. Старая Басманная, д. 17.
Часы работы экспедиции:
понедельник-четверг 10.00 — 13.00 и 14.00 — 17.00;
пятница 10.00 — 13.00 и 14.00 — 15.45;
суббота, воскресенье — выходной день.
Телефон экспедиции : 8 (495) 696-74-06.

Корреспонденция принимается законвертированной, при наличии двух реестров, с печатью организации отправителя.

Проверки

ФСБ (8 Центр) подтвердила, что информация о компьютерных инцидентах на значимом объекте КИИ, повлекшим вред будет передаваться в ФСТЭК. Это приведет к внеплановым проверкам субъекта КИИ. Согласно Постановления Правительства от 17 февраля 2018 г. № 162: «20. Основаниями для осуществления внеплановой проверки являются: […] б) возникновение компьютерного инцидента на значимом объекте критической информационной инфраструктуры, повлекшего негативные последствия«

Источник: Блог Валерия Комарова

Реестр ЗО КИИ

В Реестре значимых объектов КИИ уже зарегистрированы несколько десятков объектов. ФСТЭК считает, что процесс категорирования объектов КИИ вполне отработан и реализуем субъектами КИИ.

Источник: Блог Валерия Комарова

Сроки

ФСТЭК никак не реагирует на сроки категорирования, указанные субъектами в Перечне, если они не совпадают с сроками из решения коллегии ФСТЭК № 59. Главное, что бы не превышало 12 месяцев, согласно ПП127. (Задавал прямой вопрос)

Источник: блог Валерия Комарова

ФСТЭК в получаемых от субъектов КИИ перечнях объектов КИИ контролирует только сроки, заявленные на категорирование. Никаких действий по согласованию, возврату на доработку для устранения недостатков не предпринимается. Думаю, что это не касается случая, когда Перечень не утвержден субъектом-здесь прямое нарушение ПП127.

Источник: блог Валерия Комарова

Федеральный закон вступил в силу с 1 января 2018 года.

Субъекты

Упрощённо: субъектом КИИ является тот, у кого есть информационная система (ИС), информационно-телекоммуникационная сеть (ИТКС) или автоматизированная система управления (АСУ), функционирующая в одной из перечисленных в законе сфер. Соответственно, надо смотреть на то, какие ИС/ИТКС/АСУ у регионального госоргана есть в собственности/аренде и к каким сферам эти ИС/ИТКС/АСУ относятся.

субъекты критической информационной инфраструктуры — государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

Филиалы

Согласно требованиям законодательства категорирование проводится субъектом критической информационной инфраструктуры (КИИ) самостоятельно. Субъектом КИИ по определению могут являться государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели. Соответственно, если филиалы являются отдельными юрлицами, то и создавать комиссии, проводить категорирование и направлять его результаты во ФСТЭК они должны самостоятельно. На обмен опытом и шаблонами документов, понятно, запрет при этом не налагается. Если же под филилами подразумеваются обособленные подразделения юридического лица, расположенные вне места его нахождения, то они согласно ст. 55 Гражданского кодекса не являются самостоятельными юридическими лицами и свои отдельные комиссии создавать не должны.

ФинЦЕРТ

ФСБ озвучила, что возможна передача информации в НКЦКИ от субъектов КИИ в банковской сфере через ФинЦЕРТ Банка России.

Источник: Блог Валерия Комарова

Формы

ФСТЭК очень просит субъектов КИИ прикладывать к переписке все Перечни и формы уведомления о результатах категорирования в электронном виде. Очень трудоемко для них вбивать в ручную.

Источник: блог Валерия Комарова

ФСТЭК очень просит субъектов КИИ прикладывать к переписке все Перечни и формы уведомления о результатах категорирования в электронном виде. Очень трудоемко для них вбивать в ручную.

Источник: блог Валерия Комарова

Холдинги

Согласно требованиям законодательства категорирование проводится субъектом критической информационной инфраструктуры (КИИ) самостоятельно. Субъектом КИИ по определению могут являться государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели. Соответственно, если филиалы являются отдельными юрлицами, то и создавать комиссии, проводить категорирование и направлять его результаты во ФСТЭК они должны самостоятельно. На обмен опытом и шаблонами документов, понятно, запрет при этом не налагается. Если же под филилами подразумеваются обособленные подразделения юридического лица, расположенные вне места его нахождения, то они согласно ст. 55 Гражданского кодекса не являются самостоятельными юридическими лицами и свои отдельные комиссии создавать не должны.
Цели подключенияЛицензия ФСТЭК на мониторинг ИБЛицензия ФСБ (или на шифрование, или на разработку средств защиты для ГТ)Лицензия ФСБ на гостайну
Для собственных нужд (только в рамках своего юрлица)не нужнане нужнанужна, если вам нужен доступ к 6-ти методичкам ФСБ по обнаружению, предотвращению и ликвидации последствий компьютерных атак
В рамках работы в холдинговых структурахнужнанужнанужна, если вам нужен доступ к 6-ти методичкам ФСБ по обнаружению, предотвращению и ликвидации последствий компьютерных атак
Для предоставления коммерческих услугнужнанужнанужна, если вам нужен доступ к 6-ти методичкам ФСБ по обнаружению, предотвращению и ликвидации последствий компьютерных атак

Источник: Сколько лицензий надо, чтобы подключиться к ГосСОПКА?

Load More

Отредактировано: Сентябрь 12, 2018