Верхнее

Частые вопросы про безопасность КИИ и 187-ФЗ

<< В начало

ГосСОПКА

Данные документы содержат информацию ограниченного доступа и имеют пометку ДСП. Для их получения необходимо направить официальный письменный запрос от организации в адрес 8 Центра ФСБ России. В письме обосновать целесообразность получения документов и приложить копию лицензии на гостайну. Адрес: Заместителю начальника 8 Центра ФСБ России И.Ф. Качалину Молодогвардейская ул. д.12, Москва, 121351

Источник: Блог Валерия Комарова

Цели подключения Лицензия ФСТЭК на мониторинг ИБ Лицензия ФСБ (или на шифрование, или на разработку средств защиты для ГТ) Лицензия ФСБ на гостайну
Для собственных нужд (только в рамках своего юрлица) не нужна не нужна нужна, если вам нужен доступ к 6-ти методичкам ФСБ по обнаружению, предотвращению и ликвидации последствий компьютерных атак
В рамках работы в холдинговых структурах нужна нужна нужна, если вам нужен доступ к 6-ти методичкам ФСБ по обнаружению, предотвращению и ликвидации последствий компьютерных атак
Для предоставления коммерческих услуг нужна нужна нужна, если вам нужен доступ к 6-ти методичкам ФСБ по обнаружению, предотвращению и ликвидации последствий компьютерных атак

Источник: Сколько лицензий надо, чтобы подключиться к ГосСОПКА?

Впервые от сотрудника ФСБ услышал упоминание о необходимости лицензий ФСТЭК, ранее они избегали упоминаний документов друг друга  в своих требованиях. Для центров ГосСОПКа необходимо наличие лицензий ФСБ на СКЗИ и лицензия ФСТЭК на ТЗКИ, в части «мониторинга событий ИБ». Осталось увидеть эти требования на бумаге, в формулировках официальных документов ФСБ.

Источник: Блог Валерия Комарова

ФСБ подготовила и утвердила 6 методических документов для ГосСОПКа, часть из них рекомендована к использованию и субъектам КИИ:

  • Требования к подразделениям и должностным лицам субъекта ГосСОПКа.
  • Регламент информационного взаимодействия.
  • Методические рекомендации по обнаружению компьютерных атак на информационные ресурсы.
  • Методические рекомендации по установлению причин и ликвидации последствий компьютерных атак.
  • Методические рекомендации по проведению мероприятий по оценке защищенности от компьютерных атак.
  • Варианты организации защищенного канала.

Источник: Блог Валерия Комарова

Гостайна

Перечень сведений, составляющих ГТ по КИИ утвержден в ФСТЭК 01.09.2018. ФСБ обещает утвердить свой Перечень в течении месяца.

Источник: Блог Валерия Комарова

Документация

Согласно Приказа ФСТЭК России №239 от 25.12.2017:

абз.2 п.8: «Результаты реализации мероприятий, проводимых для обеспечения безопасности значимого объекта на стадиях (этапах) его жизненного цикла, подлежат документированию. Состав и формы документов определяются субъектом критической информационной инфраструктуры.».

Таким образом, субъект КИИ волен самостоятельно определять, каким образом будет оформлен пакет документов по реализации мер по обеспечению информационной безопасности значимых объектов КИИ.

С практической точки зрения сопровождения и поддержания проектной документации в актуальном состоянии, удобнее, когда формируется единый пакет проектной документации, объединяющий реализованные меры защиты на всех объектах.

ЗО КИИ

В Реестре значимых объектов КИИ уже зарегистрированы несколько десятков объектов. ФСТЭК считает, что процесс категорирования объектов КИИ вполне отработан и реализуем субъектами КИИ.

Источник: Блог Валерия Комарова

Согласно Приказа ФСТЭК России №239 от 25.12.2017:

п.8: «На стадиях (этапах) жизненного цикла в ходе создания (модернизации), эксплуатации и вывода из эксплуатации значимого объекта проводятся:
а) установление требований к обеспечению безопасности значимого объекта;
б) разработка организационных и технических мер по обеспечению безопасности значимого объекта;
в) внедрение организационных и технических мер по обеспечению безопасности значимого объекта и ввод его в действие; …»

п.9: «…Модернизация или дооснащение подсистем безопасности значимых объектов осуществляется в порядке, установленном настоящими Требованиями для создания значимых объектов и их подсистем безопасности, с учетом имеющихся у субъектов критической информационной инфраструктуры программ (планов) по модернизации или дооснащению значимых объектов»

пп.в) п.13.4: «управление изменениями значимого объекта и его подсистемы безопасности: разработка параметров настройки, обеспечивающих безопасность значимого объекта, анализ потенциального воздействия планируемых изменений на обеспечение безопасности значимого объекта, санкционирование внесения изменений в значимый объект и его подсистему безопасности, документирование действий по внесению изменений в значимый объект и сохранение данных об изменениях конфигурации».

Согласно Приказа ФСТЭК России №227 от 06.12.2017:

п.3: «… Субъекты критической информационной инфраструктуры должны обеспечивать достоверность и актуальность представляемых сведений об объектах критической информационной инфраструктуры»

Таким образом, при модернизации ЗО КИИ ответственными лицами (назначаемыми субъектом КИИ) должен быть проведен задокументированный анализ воздействия изменений на обеспечение безопасности ЗО, а также (при необходимости) пересмотр требований к обеспечению безопасности ЗО КИИ с дальнейшей их реализацией.

Если планируемые изменения не приводят к пересмотру требований и внедрению дополнительных мер по обеспечению безопасности ЗО КИИ, то это также должно быть задокументировано.

Кроме того, если в результате изменений информационной инфраструктуры объект перестает соответствовать критериям значимости и показателям их значений, то категория значимости объекта КИИ должна быть пересмотрена комиссией (п.12 ст.7 187-ФЗ от 26.07.2017). При этом в соответствии с п.3 Приказа ФСТЭК России №227 от 06.12.2017 о факте изменения категории необходимо уведомить регулятора путем повторной отправки сведений по форме Приказа ФСТЭК России №236 от 22.12.2017.

  • Устанавливаются три категории значимости объектов критической информационной инфраструктуры — первая, вторая и третья.
  • Если объект критической информационной инфраструктуры не соответствует критериям значимости, показателям этих критериев и их значениям, ему не присваивается ни одна из таких категорий.

значимый объект критической информационной инфраструктуры — объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры.

Инциденты

ФСБ озвучила, что возможна передача информации в НКЦКИ от субъектов КИИ в банковской сфере через ФинЦЕРТ Банка России.

Источник: Блог Валерия Комарова

ФСБ (8 Центр) подтвердила, что информация о компьютерных инцидентах на значимом объекте КИИ, повлекшим вред будет передаваться в ФСТЭК. Это приведет к внеплановым проверкам субъекта КИИ. Согласно Постановления Правительства от 17 февраля 2018 г. № 162: «20. Основаниями для осуществления внеплановой проверки являются: […] б) возникновение компьютерного инцидента на значимом объекте критической информационной инфраструктуры, повлекшего негативные последствия«

Источник: Блог Валерия Комарова

Категорирование

ФСТЭК очень просит субъектов КИИ прикладывать к переписке все Перечни и формы уведомления о результатах категорирования в электронном виде. Очень трудоемко для них вбивать в ручную.

Источник: блог Валерия Комарова

Согласно Правил Категорирования объектов КИИ (утв. Постановлением Правительства №127 от 08.02.2018) в состав Комиссии по Категорированию включаются в том числе:

работники субъекта критической информационной инфраструктуры, являющиеся специалистами в области выполняемых функций или осуществляемых видов деятельности

А также могут включаться:

представители государственных органов и российских юридических лиц, выполняющих функции по … нормативно-правовому регулированию в установленной сфере деятельности

Возникновение ущерба бюджетам Российской Федерации является одним из показателей критериев значимости объектов КИИ и, учитывая, что ведением бухгалтерского и налогового учета занимается бухгалтерия Субъекта КИИ, для оценки возможного ущерба необходимо привлечение главного бухгалтера/бухгалтерии, т.к. именно они являются специалистами в области ведения бухгалтерского и налогового учета конкретного Субъекта КИИ.

Привлекать для обеспечения грамотной трактовки требований и юридической правильности принимаемых Комиссией решений в рамках работы Комиссии представителей государственных органов будет не целесообразным, в качестве специалистов по нормативно-правовому регулированию в сфере деятельности конкретного СУбъекта КИИ, а также для обеспечения грамотной трактовки требований и юридической правильности принимаемых комиссией решений, целесообразно привлечение специалистов в области правовых вопросов (юристов).

Основной задачей Категорирования является оценка возможных последствий отдаленных и маловероятных событий, в том числе социальных и политических, в условиях неопределенности (отсутствия полной информации о возможных последствиях и сценариях их возникновения), что по сути является задачей идентификации и оценки рисков, в ходе которой надо соблюсти баланс интересов конкретного Субъекта КИИ (стоимости реализации защитных мер) и интересов государства (возможных последствий, если объект будут категорированы неправильно, и надлежащие меры защиты не будут приняты), необходимыми для выполнения такой оценки знания и навыки обладают специалисты по оценке рисков для деятельности компании (риск-менеджеры).

Вместе с тем,  п.11 Правил Категорирования (утв. Постановлением Правительства №127 от 08.02.2018) содержит исчерпывающий перечень работников, включаемых в Комиссию и не предусматривает «иных специалистов».

Однако, следует отметить, что в настоящее время подготовлен проект постановления Правительства РФ «О внесении изменений в постановление Правительства РФ от 8 февраля 2018 г. № 127», которым предусмотрено дополнить Правила Категорирования пунктом 11.1. следующего содержания:

По решению руководителя субъекта критической информационной инфраструктуры в состав комиссии могут быть включены иные работники, ‎в том числе работники финансово-экономического подразделения.

При этом, на практике, уже сейчас для расчёта показателей экономической значимости объектов КИИ требуется участие специалистов финансово-экономического подразделения, не включенных в список п.11. Для решения указанной проблемы необходимо привлечение указанных специалистов к процедуре Категорирования в качестве экспертов для расчета соответствующих показателей и представления их для рассмотрения членами Комиссии по Категорированию.

Аналогичные соображения справедливы для юристов и риск-менеджеров: целесообразно их привлечение для работы в качестве «не членов Комиссии» для производства расчета необходимых показателей и юридической экспертизы документов в свете изложенных выше соображений.

В Постановлении Правительства РФ №127 от 08.02.2018 (ред.13.04.2019) «Об утверждении Правил категорирования объектов КИИ РФ, а также перечня показателей критериев значимости объектов КИИ РФ и их значений» в качестве одного из показателей (9) указано следующее:

Возникновение ущерба бюджетам Российской Федерации, оцениваемого в снижении выплат (отчислений) в бюджеты Российской Федерации, осуществляемых субъектом критической информационной инфраструктуры (процентов прогнозируемого годового дохода федерального бюджета, усредненного за планируемый 3-летний период):

III категория значимости — более 0,001, но менее или равно 0,05;

II категория значимости — более 0,05, но менее или равно 0,1;

I категория значимости — более 0,1.

Важно: Приведенные ниже в примере суммы и проценты необходимо актуализировать с учётом данных, действительных на момент расчёта. Так, например, 18 июня 2019 года были внесены изменения в закон о федеральном бюджете на 2019 год и на плановый период 2020 и 2021 годов.

Приведенные ниже примеры необходимо актуализировать с учётом сумм, действительных на момент расчёта. Так, например, 18 июня 2019 года были внесены изменения в закон о федеральном бюджете на 2019 год и на плановый период 2020 и 2021 годов.

Для корректного подсчёта необходимо:

  1. Определить усреднённый за трёхлетний период прогнозируемый годовой доход федерального бюджета.
    • Для 2019-21 годов данные представлены на сайте Министерства Финансов РФ:
      • 2019 год — 19 969,3 млрд. руб.
      • 2020 год — 20 218,6 млрд. руб.
      • 2021 год — 20 978,0 млрд. руб
      • Усреднённый бюджет 2019-21 годов — 20 388,65 млрд. руб.
      • Точный размер 0,001% (нижняя граница для III категории) составит — 203 886 513,92 руб.
  2. Рассчитать выплаты (отчисления) в бюджеты Российской Федерации (всех уровней), которые не будут произведены в случае возникновения компьютерных инцидентов на объекте критической информационной инфраструктуры.
    • При этом, согласно п. 14(1) ПП-127:
      должны быть рассмотрены наихудшие сценарии, учитывающие проведение целенаправленных компьютерных атак на объекты критической информационной инфраструктуры, результатом которых являются прекращение или нарушение выполнения критических процессов и нанесение максимально возможного ущерба.
    • На практике расчёт можно производить, ориентируясь на максимальную сумму недополученной прибыли и проценты отчислений (данные ниже приведены для примера) в бюджеты РФ:
      • Сумма недополученной прибыли, руб. — 500 000 000;
      • Налог на прибыль в Федеральный бюджет (3%), руб — 15 000 000;
      • Налог на прибыль в бюджет субъекта РФ (17%), руб — 85 000 000;
      • Налог на добавленную стоимость (НДС, 20%), руб — 100 000 000;
      • Общая сумма налоговых платежей, руб — 200 000 000.
  3. Разделить сумму, полученную в п.2 на число, полученное в п.1
    • Для вышеприведённого примера получим: 200 000 000 руб / 20 388,65 млрд. руб. = 0,00098%
  4. Сравнить полученный в п.3 процент с показателями из ПП-127 и определить категорию объекта КИИ:
    • 0,00098 < 0,0001, поэтому по данному показателю рассмотренному в примере объекту категория значимости не присваивается.
Согласно требованиям законодательства категорирование проводится субъектом критической информационной инфраструктуры (КИИ) самостоятельно. Субъектом КИИ по определению могут являться государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели. Соответственно, если филиалы являются отдельными юрлицами, то и создавать комиссии, проводить категорирование и направлять его результаты во ФСТЭК они должны самостоятельно. На обмен опытом и шаблонами документов, понятно, запрет при этом не налагается. Если же под филилами подразумеваются обособленные подразделения юридического лица, расположенные вне места его нахождения, то они согласно ст. 55 Гражданского кодекса не являются самостоятельными юридическими лицами и свои отдельные комиссии создавать не должны.

ФСТЭК никак не реагирует на сроки категорирования, указанные субъектами в Перечне, если они не совпадают с сроками из решения коллегии ФСТЭК № 59. Главное, что бы не превышало 12 месяцев, согласно ПП127. (Задавал прямой вопрос)

Источник: блог Валерия Комарова

  • социальная значимость, выражающаяся в оценке возможного ущерба, причиняемого жизни или здоровью людей, возможности прекращения или нарушения функционирования объектов обеспечения жизнедеятельности населения, транспортной инфраструктуры, сетей связи, а также максимальном времени отсутствия доступа к государственной услуге для получателей такой услуги;
  • политическая значимость, выражающаяся в оценке возможного причинения ущерба интересам Российской Федерации в вопросах внутренней и внешней политики;
  • экономическая значимость, выражающаяся в оценке возможного причинения прямого и косвенного ущерба субъектам критической информационной инфраструктуры и (или) бюджетам Российской Федерации;
  • экологическая значимость, выражающаяся в оценке уровня воздействия на окружающую среду;
  • значимость объекта критической информационной инфраструктуры для обеспечения обороны страны, безопасности государства и правопорядка.
  • Устанавливаются три категории значимости объектов критической информационной инфраструктуры — первая, вторая и третья.
  • Если объект критической информационной инфраструктуры не соответствует критериям значимости, показателям этих критериев и их значениям, ему не присваивается ни одна из таких категорий.

Категорирование объекта критической информационной инфраструктуры представляет собой установление соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения.

Комиссия

Согласно Правил Категорирования объектов КИИ (утв. Постановлением Правительства №127 от 08.02.2018) в состав Комиссии по Категорированию включаются в том числе:

работники субъекта критической информационной инфраструктуры, являющиеся специалистами в области выполняемых функций или осуществляемых видов деятельности

А также могут включаться:

представители государственных органов и российских юридических лиц, выполняющих функции по … нормативно-правовому регулированию в установленной сфере деятельности

Возникновение ущерба бюджетам Российской Федерации является одним из показателей критериев значимости объектов КИИ и, учитывая, что ведением бухгалтерского и налогового учета занимается бухгалтерия Субъекта КИИ, для оценки возможного ущерба необходимо привлечение главного бухгалтера/бухгалтерии, т.к. именно они являются специалистами в области ведения бухгалтерского и налогового учета конкретного Субъекта КИИ.

Привлекать для обеспечения грамотной трактовки требований и юридической правильности принимаемых Комиссией решений в рамках работы Комиссии представителей государственных органов будет не целесообразным, в качестве специалистов по нормативно-правовому регулированию в сфере деятельности конкретного СУбъекта КИИ, а также для обеспечения грамотной трактовки требований и юридической правильности принимаемых комиссией решений, целесообразно привлечение специалистов в области правовых вопросов (юристов).

Основной задачей Категорирования является оценка возможных последствий отдаленных и маловероятных событий, в том числе социальных и политических, в условиях неопределенности (отсутствия полной информации о возможных последствиях и сценариях их возникновения), что по сути является задачей идентификации и оценки рисков, в ходе которой надо соблюсти баланс интересов конкретного Субъекта КИИ (стоимости реализации защитных мер) и интересов государства (возможных последствий, если объект будут категорированы неправильно, и надлежащие меры защиты не будут приняты), необходимыми для выполнения такой оценки знания и навыки обладают специалисты по оценке рисков для деятельности компании (риск-менеджеры).

Вместе с тем,  п.11 Правил Категорирования (утв. Постановлением Правительства №127 от 08.02.2018) содержит исчерпывающий перечень работников, включаемых в Комиссию и не предусматривает «иных специалистов».

Однако, следует отметить, что в настоящее время подготовлен проект постановления Правительства РФ «О внесении изменений в постановление Правительства РФ от 8 февраля 2018 г. № 127», которым предусмотрено дополнить Правила Категорирования пунктом 11.1. следующего содержания:

По решению руководителя субъекта критической информационной инфраструктуры в состав комиссии могут быть включены иные работники, ‎в том числе работники финансово-экономического подразделения.

При этом, на практике, уже сейчас для расчёта показателей экономической значимости объектов КИИ требуется участие специалистов финансово-экономического подразделения, не включенных в список п.11. Для решения указанной проблемы необходимо привлечение указанных специалистов к процедуре Категорирования в качестве экспертов для расчета соответствующих показателей и представления их для рассмотрения членами Комиссии по Категорированию.

Аналогичные соображения справедливы для юристов и риск-менеджеров: целесообразно их привлечение для работы в качестве «не членов Комиссии» для производства расчета необходимых показателей и юридической экспертизы документов в свете изложенных выше соображений.

Согласно требованиям законодательства категорирование проводится субъектом критической информационной инфраструктуры (КИИ) самостоятельно. Субъектом КИИ по определению могут являться государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели. Соответственно, если филиалы являются отдельными юрлицами, то и создавать комиссии, проводить категорирование и направлять его результаты во ФСТЭК они должны самостоятельно. На обмен опытом и шаблонами документов, понятно, запрет при этом не налагается. Если же под филилами подразумеваются обособленные подразделения юридического лица, расположенные вне места его нахождения, то они согласно ст. 55 Гражданского кодекса не являются самостоятельными юридическими лицами и свои отдельные комиссии создавать не должны.
Если организация никакой иной деятельности в других сферах не ведёт и соответствующих информационных систем у неё нет, то есть смысл создать Комиссию, которая данный вопрос рассмотрит и примет обоснованное решение о том, что организация не является Субъектом КИИ. Полезно иметь такое готовое обоснование принятого решения на случай возникновения вопросов от контролирующих органов.
Необходимо только не забыть только указать ещё в решении Комиссии, что организация также не осуществляет взаимодействие систем из п.8 ст.2 187-ФЗ: «информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности».

Контакты

В составе 2 Управления ФСТЭК России создан отдел обеспечения безопасности критической информационной инфраструктуры, начальник отдела — Кубарев Алексей Валентинович. т. 8 (499) 246-11-89. Территориальные управления ФСТЭК по тематике 187-ФЗ замыкаются на него. Если есть какие то разногласия по трактовке подзаконных актов на местах, то рекомендую обращаться к нему. Человек адекватный и активный.

Источник: Блог Валерия Комарова

Отправлять нужно во Второе управление ФСТЭК и копию во ФСТЭК по своему федеральному округу уже по желанию.

Информация с сайта (https://fstec.ru/kontakty):

Адрес: 105066, г. Москва, ул. Старая Басманная, д. 17.
Часы работы экспедиции:
понедельник-четверг 10.00 — 13.00 и 14.00 — 17.00;
пятница 10.00 — 13.00 и 14.00 — 15.45;
суббота, воскресенье — выходной день.
Телефон экспедиции : 8 (495) 696-74-06.

Корреспонденция принимается законвертированной, при наличии двух реестров, с печатью организации отправителя.

Лицензии

Цели подключения Лицензия ФСТЭК на мониторинг ИБ Лицензия ФСБ (или на шифрование, или на разработку средств защиты для ГТ) Лицензия ФСБ на гостайну
Для собственных нужд (только в рамках своего юрлица) не нужна не нужна нужна, если вам нужен доступ к 6-ти методичкам ФСБ по обнаружению, предотвращению и ликвидации последствий компьютерных атак
В рамках работы в холдинговых структурах нужна нужна нужна, если вам нужен доступ к 6-ти методичкам ФСБ по обнаружению, предотвращению и ликвидации последствий компьютерных атак
Для предоставления коммерческих услуг нужна нужна нужна, если вам нужен доступ к 6-ти методичкам ФСБ по обнаружению, предотвращению и ликвидации последствий компьютерных атак

Источник: Сколько лицензий надо, чтобы подключиться к ГосСОПКА?

Впервые от сотрудника ФСБ услышал упоминание о необходимости лицензий ФСТЭК, ранее они избегали упоминаний документов друг друга  в своих требованиях. Для центров ГосСОПКа необходимо наличие лицензий ФСБ на СКЗИ и лицензия ФСТЭК на ТЗКИ, в части «мониторинга событий ИБ». Осталось увидеть эти требования на бумаге, в формулировках официальных документов ФСБ.

Источник: Блог Валерия Комарова

Методические документы

Данные документы содержат информацию ограниченного доступа и имеют пометку ДСП. Для их получения необходимо направить официальный письменный запрос от организации в адрес 8 Центра ФСБ России. В письме обосновать целесообразность получения документов и приложить копию лицензии на гостайну.

Адрес:

Заместителю начальника
8 Центра ФСБ России
И.Ф. Качалину
Молодогвардейская ул. д.12,
Москва, 121351

Источник: Блог Валерия Комарова

ФСБ подготовила и утвердила 6 методических документов для ГосСОПКа, часть из них рекомендована к использованию и субъектам КИИ:

  • Требования к подразделениям и должностным лицам субъекта ГосСОПКа.
  • Регламент информационного взаимодействия.
  • Методические рекомендации по обнаружению компьютерных атак на информационные ресурсы.
  • Методические рекомендации по установлению причин и ликвидации последствий компьютерных атак.
  • Методические рекомендации по проведению мероприятий по оценке защищенности от компьютерных атак.
  • Варианты организации защищенного канала.

Источник: Блог Валерия Комарова

НКЦКИ

ФСБ озвучила, что возможна передача информации в НКЦКИ от субъектов КИИ в банковской сфере через ФинЦЕРТ Банка России.

Источник: Блог Валерия Комарова

Объекты

значимый объект критической информационной инфраструктуры — объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры.

ФСТЭК считает ошибкой, если субъект относит к объектам КИИ все свои ИС/АСУ/ТКС. Но не разъясняет  — как же отличать критические процессы от «ошибочных».  К сожалению, развить эту тему и получить внятный ответ от ФСТЭК не получилось.

Ответственность

Никакой ответственности для организации, не выполняющей требований 187-ФЗ и подзаконных актов не озвучено. Был задан прямой вопрос. Вся аргументация регуляторов сводится к случаям крупного ущерба или причинения вреда здоровью и жизни в результате компьютерной атаки. Считают, что руководитель организации будет в таком случае привлекаться за «халатность» по ст.293 УК РФ.

Изменений в ст. 274.1 УК РФ не будет, пока не накопится «правоприменительная практика».

Источник: Блог Валерия Комарова

ФСБ и ФСТЭК заявили, что к субьектам значимых объектов КИИ п.6 ст.13.12 КоАП не применяется. Ответственность за невыполнение 235 и 239 приказов отсутствует. В настоящее время идет разработка проекта изменений в КоАП, но конкретики не прозвучало. Ждем публикации.

Источник: Блог Валерия Комарова

Перечень

ФСТЭК очень просит субъектов КИИ прикладывать к переписке все Перечни и формы уведомления о результатах категорирования в электронном виде. Очень трудоемко для них вбивать в ручную.

Источник: блог Валерия Комарова

Чёткого ответа на это вопрос нет, но логичным представляется просто отправка соответствующего письма с корректировкой. В принципе, так как после отправки Перечня всё равно нужно будет делать категорирование и отправлять его результаты — можно все корректировки приложить уже к этой отправке.

ФСТЭК в получаемых от субъектов КИИ перечнях объектов КИИ контролирует только сроки, заявленные на категорирование. Никаких действий по согласованию, возврату на доработку для устранения недостатков не предпринимается. Думаю, что это не касается случая, когда Перечень не утвержден субъектом-здесь прямое нарушение ПП127.

Источник: блог Валерия Комарова

Отправлять нужно во Второе управление ФСТЭК и копию во ФСТЭК по своему федеральному округу уже по желанию.

Информация с сайта (https://fstec.ru/kontakty):

Адрес: 105066, г. Москва, ул. Старая Басманная, д. 17.
Часы работы экспедиции:
понедельник-четверг 10.00 — 13.00 и 14.00 — 17.00;
пятница 10.00 — 13.00 и 14.00 — 15.45;
суббота, воскресенье — выходной день.
Телефон экспедиции : 8 (495) 696-74-06.

Корреспонденция принимается законвертированной, при наличии двух реестров, с печатью организации отправителя.

Персонал

Согласно Правил Категорирования объектов КИИ (утв. Постановлением Правительства №127 от 08.02.2018) в состав Комиссии по Категорированию включаются в том числе:

работники субъекта критической информационной инфраструктуры, являющиеся специалистами в области выполняемых функций или осуществляемых видов деятельности

А также могут включаться:

представители государственных органов и российских юридических лиц, выполняющих функции по … нормативно-правовому регулированию в установленной сфере деятельности

Возникновение ущерба бюджетам Российской Федерации является одним из показателей критериев значимости объектов КИИ и, учитывая, что ведением бухгалтерского и налогового учета занимается бухгалтерия Субъекта КИИ, для оценки возможного ущерба необходимо привлечение главного бухгалтера/бухгалтерии, т.к. именно они являются специалистами в области ведения бухгалтерского и налогового учета конкретного Субъекта КИИ.

Привлекать для обеспечения грамотной трактовки требований и юридической правильности принимаемых Комиссией решений в рамках работы Комиссии представителей государственных органов будет не целесообразным, в качестве специалистов по нормативно-правовому регулированию в сфере деятельности конкретного СУбъекта КИИ, а также для обеспечения грамотной трактовки требований и юридической правильности принимаемых комиссией решений, целесообразно привлечение специалистов в области правовых вопросов (юристов).

Основной задачей Категорирования является оценка возможных последствий отдаленных и маловероятных событий, в том числе социальных и политических, в условиях неопределенности (отсутствия полной информации о возможных последствиях и сценариях их возникновения), что по сути является задачей идентификации и оценки рисков, в ходе которой надо соблюсти баланс интересов конкретного Субъекта КИИ (стоимости реализации защитных мер) и интересов государства (возможных последствий, если объект будут категорированы неправильно, и надлежащие меры защиты не будут приняты), необходимыми для выполнения такой оценки знания и навыки обладают специалисты по оценке рисков для деятельности компании (риск-менеджеры).

Вместе с тем,  п.11 Правил Категорирования (утв. Постановлением Правительства №127 от 08.02.2018) содержит исчерпывающий перечень работников, включаемых в Комиссию и не предусматривает «иных специалистов».

Однако, следует отметить, что в настоящее время подготовлен проект постановления Правительства РФ «О внесении изменений в постановление Правительства РФ от 8 февраля 2018 г. № 127», которым предусмотрено дополнить Правила Категорирования пунктом 11.1. следующего содержания:

По решению руководителя субъекта критической информационной инфраструктуры в состав комиссии могут быть включены иные работники, ‎в том числе работники финансово-экономического подразделения.

При этом, на практике, уже сейчас для расчёта показателей экономической значимости объектов КИИ требуется участие специалистов финансово-экономического подразделения, не включенных в список п.11. Для решения указанной проблемы необходимо привлечение указанных специалистов к процедуре Категорирования в качестве экспертов для расчета соответствующих показателей и представления их для рассмотрения членами Комиссии по Категорированию.

Аналогичные соображения справедливы для юристов и риск-менеджеров: целесообразно их привлечение для работы в качестве «не членов Комиссии» для производства расчета необходимых показателей и юридической экспертизы документов в свете изложенных выше соображений.

Проверки

ФСБ (8 Центр) подтвердила, что информация о компьютерных инцидентах на значимом объекте КИИ, повлекшим вред будет передаваться в ФСТЭК. Это приведет к внеплановым проверкам субъекта КИИ. Согласно Постановления Правительства от 17 февраля 2018 г. № 162: «20. Основаниями для осуществления внеплановой проверки являются: […] б) возникновение компьютерного инцидента на значимом объекте критической информационной инфраструктуры, повлекшего негативные последствия«

Источник: Блог Валерия Комарова

Реестр ЗО КИИ

В Реестре значимых объектов КИИ уже зарегистрированы несколько десятков объектов. ФСТЭК считает, что процесс категорирования объектов КИИ вполне отработан и реализуем субъектами КИИ.

Источник: Блог Валерия Комарова

Согласно Приказа ФСТЭК России №239 от 25.12.2017:

п.8: «На стадиях (этапах) жизненного цикла в ходе создания (модернизации), эксплуатации и вывода из эксплуатации значимого объекта проводятся:
а) установление требований к обеспечению безопасности значимого объекта;
б) разработка организационных и технических мер по обеспечению безопасности значимого объекта;
в) внедрение организационных и технических мер по обеспечению безопасности значимого объекта и ввод его в действие; …»

п.9: «…Модернизация или дооснащение подсистем безопасности значимых объектов осуществляется в порядке, установленном настоящими Требованиями для создания значимых объектов и их подсистем безопасности, с учетом имеющихся у субъектов критической информационной инфраструктуры программ (планов) по модернизации или дооснащению значимых объектов»

пп.в) п.13.4: «управление изменениями значимого объекта и его подсистемы безопасности: разработка параметров настройки, обеспечивающих безопасность значимого объекта, анализ потенциального воздействия планируемых изменений на обеспечение безопасности значимого объекта, санкционирование внесения изменений в значимый объект и его подсистему безопасности, документирование действий по внесению изменений в значимый объект и сохранение данных об изменениях конфигурации».

Согласно Приказа ФСТЭК России №227 от 06.12.2017:

п.3: «… Субъекты критической информационной инфраструктуры должны обеспечивать достоверность и актуальность представляемых сведений об объектах критической информационной инфраструктуры»

Таким образом, при модернизации ЗО КИИ ответственными лицами (назначаемыми субъектом КИИ) должен быть проведен задокументированный анализ воздействия изменений на обеспечение безопасности ЗО, а также (при необходимости) пересмотр требований к обеспечению безопасности ЗО КИИ с дальнейшей их реализацией.

Если планируемые изменения не приводят к пересмотру требований и внедрению дополнительных мер по обеспечению безопасности ЗО КИИ, то это также должно быть задокументировано.

Кроме того, если в результате изменений информационной инфраструктуры объект перестает соответствовать критериям значимости и показателям их значений, то категория значимости объекта КИИ должна быть пересмотрена комиссией (п.12 ст.7 187-ФЗ от 26.07.2017). При этом в соответствии с п.3 Приказа ФСТЭК России №227 от 06.12.2017 о факте изменения категории необходимо уведомить регулятора путем повторной отправки сведений по форме Приказа ФСТЭК России №236 от 22.12.2017.

СБ ЗО КИИ

Согласно Приказа ФСТЭК России №239 от 25.12.2017:

п.11 «Разработка организационных и технических мер по обеспечению безопасности значимого объекта осуществляется субъектом критической информационной инфраструктуры… в соответствии с техническим заданием на создание значимого объекта и (или) техническим заданием (частным техническим заданием) на создание подсистемы безопасности значимого объекта»

пп.ж) п.11.2: «При проектировании подсистемы безопасности значимого объекта … определяются требования к параметрам настройки программных и программно-аппаратных средств, включая средства защиты информации, обеспечивающие реализацию мер по обеспечению безопасности, блокирование (нейтрализацию) угроз безопасности информации и устранение уязвимостей значимого объекта…»

п.11.2: «Результаты проектирования подсистемы безопасности значимого объекта отражаются в проектной документации на значимый объект (подсистему безопасности значимого объекта)»

Согласно Приказа ФСТЭК России №235 от 21.12.2017:

п.3: «… По решению субъекта критической информационной инфраструктуры для одного или группы значимых объектов критической информационной инфраструктуры могут создаваться отдельные системы безопасности»

Таким образом, можно сделать вывод о том, что если централизованная реализация подсистем безопасности обеспечивает адекватную защиту значимых объектов КИИ, то такая реализация возможна. При этом все реализованные меры защиты должны быть отражены в проектной документации.

Например, допустима реализация единой системы антивирусной защиты, охватывающей несколько объектов КИИ.

Согласно Приказа ФСТЭК России №239 от 25.12.2017:

п.8: «На стадиях (этапах) жизненного цикла в ходе создания (модернизации), эксплуатации и вывода из эксплуатации значимого объекта проводятся:
а) установление требований к обеспечению безопасности значимого объекта;
б) разработка организационных и технических мер по обеспечению безопасности значимого объекта;
в) внедрение организационных и технических мер по обеспечению безопасности значимого объекта и ввод его в действие; …»

п.9: «…Модернизация или дооснащение подсистем безопасности значимых объектов осуществляется в порядке, установленном настоящими Требованиями для создания значимых объектов и их подсистем безопасности, с учетом имеющихся у субъектов критической информационной инфраструктуры программ (планов) по модернизации или дооснащению значимых объектов»

пп.в) п.13.4: «управление изменениями значимого объекта и его подсистемы безопасности: разработка параметров настройки, обеспечивающих безопасность значимого объекта, анализ потенциального воздействия планируемых изменений на обеспечение безопасности значимого объекта, санкционирование внесения изменений в значимый объект и его подсистему безопасности, документирование действий по внесению изменений в значимый объект и сохранение данных об изменениях конфигурации».

Согласно Приказа ФСТЭК России №227 от 06.12.2017:

п.3: «… Субъекты критической информационной инфраструктуры должны обеспечивать достоверность и актуальность представляемых сведений об объектах критической информационной инфраструктуры»

Таким образом, при модернизации ЗО КИИ ответственными лицами (назначаемыми субъектом КИИ) должен быть проведен задокументированный анализ воздействия изменений на обеспечение безопасности ЗО, а также (при необходимости) пересмотр требований к обеспечению безопасности ЗО КИИ с дальнейшей их реализацией.

Если планируемые изменения не приводят к пересмотру требований и внедрению дополнительных мер по обеспечению безопасности ЗО КИИ, то это также должно быть задокументировано.

Кроме того, если в результате изменений информационной инфраструктуры объект перестает соответствовать критериям значимости и показателям их значений, то категория значимости объекта КИИ должна быть пересмотрена комиссией (п.12 ст.7 187-ФЗ от 26.07.2017). При этом в соответствии с п.3 Приказа ФСТЭК России №227 от 06.12.2017 о факте изменения категории необходимо уведомить регулятора путем повторной отправки сведений по форме Приказа ФСТЭК России №236 от 22.12.2017.

Согласно Приказа ФСТЭК России №239 от 25.12.2017:

абз.2 п.8: «Результаты реализации мероприятий, проводимых для обеспечения безопасности значимого объекта на стадиях (этапах) его жизненного цикла, подлежат документированию. Состав и формы документов определяются субъектом критической информационной инфраструктуры.».

Таким образом, субъект КИИ волен самостоятельно определять, каким образом будет оформлен пакет документов по реализации мер по обеспечению информационной безопасности значимых объектов КИИ.

С практической точки зрения сопровождения и поддержания проектной документации в актуальном состоянии, удобнее, когда формируется единый пакет проектной документации, объединяющий реализованные меры защиты на всех объектах.

Сроки

ФСТЭК в получаемых от субъектов КИИ перечнях объектов КИИ контролирует только сроки, заявленные на категорирование. Никаких действий по согласованию, возврату на доработку для устранения недостатков не предпринимается. Думаю, что это не касается случая, когда Перечень не утвержден субъектом-здесь прямое нарушение ПП127.

Источник: блог Валерия Комарова

ФСТЭК никак не реагирует на сроки категорирования, указанные субъектами в Перечне, если они не совпадают с сроками из решения коллегии ФСТЭК № 59. Главное, что бы не превышало 12 месяцев, согласно ПП127. (Задавал прямой вопрос)

Источник: блог Валерия Комарова

Федеральный закон вступил в силу с 1 января 2018 года.

Субъекты

Упрощённо: субъектом КИИ является тот, у кого есть информационная система (ИС), информационно-телекоммуникационная сеть (ИТКС) или автоматизированная система управления (АСУ), функционирующая в одной из перечисленных в законе сфер. Соответственно, надо смотреть на то, какие ИС/ИТКС/АСУ у регионального госоргана есть в собственности/аренде и к каким сферам эти ИС/ИТКС/АСУ относятся.

субъекты критической информационной инфраструктуры — государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

Если организация никакой иной деятельности в других сферах не ведёт и соответствующих информационных систем у неё нет, то есть смысл создать Комиссию, которая данный вопрос рассмотрит и примет обоснованное решение о том, что организация не является Субъектом КИИ. Полезно иметь такое готовое обоснование принятого решения на случай возникновения вопросов от контролирующих органов.
Необходимо только не забыть только указать ещё в решении Комиссии, что организация также не осуществляет взаимодействие систем из п.8 ст.2 187-ФЗ: «информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности».

В определении субъектов критической информационной инфраструктуры из 187-ФЗ фигурируют только (список закрытый):

государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели

Органы местного самоуправления, не попадающие ни под один из пунктов этого списка, таким образом, формально под определение не попадают.

Такое же мнение высказывают представители ФСТЭК, указывая в публичных выступлениях, что ОМСУ не являются субъектами КИИ:

ФСТЭК - типовые недостатки пр формировании Перечней

ФСТЭК — типовые недостатки пр формировании Перечней

Филиалы

Согласно требованиям законодательства категорирование проводится субъектом критической информационной инфраструктуры (КИИ) самостоятельно. Субъектом КИИ по определению могут являться государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели. Соответственно, если филиалы являются отдельными юрлицами, то и создавать комиссии, проводить категорирование и направлять его результаты во ФСТЭК они должны самостоятельно. На обмен опытом и шаблонами документов, понятно, запрет при этом не налагается. Если же под филилами подразумеваются обособленные подразделения юридического лица, расположенные вне места его нахождения, то они согласно ст. 55 Гражданского кодекса не являются самостоятельными юридическими лицами и свои отдельные комиссии создавать не должны.

ФинЦЕРТ

ФСБ озвучила, что возможна передача информации в НКЦКИ от субъектов КИИ в банковской сфере через ФинЦЕРТ Банка России.

Источник: Блог Валерия Комарова

Формы

ФСТЭК очень просит субъектов КИИ прикладывать к переписке все Перечни и формы уведомления о результатах категорирования в электронном виде. Очень трудоемко для них вбивать в ручную.

Источник: блог Валерия Комарова

ФСТЭК очень просит субъектов КИИ прикладывать к переписке все Перечни и формы уведомления о результатах категорирования в электронном виде. Очень трудоемко для них вбивать в ручную.

Источник: блог Валерия Комарова

Холдинги

Согласно требованиям законодательства категорирование проводится субъектом критической информационной инфраструктуры (КИИ) самостоятельно. Субъектом КИИ по определению могут являться государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели. Соответственно, если филиалы являются отдельными юрлицами, то и создавать комиссии, проводить категорирование и направлять его результаты во ФСТЭК они должны самостоятельно. На обмен опытом и шаблонами документов, понятно, запрет при этом не налагается. Если же под филилами подразумеваются обособленные подразделения юридического лица, расположенные вне места его нахождения, то они согласно ст. 55 Гражданского кодекса не являются самостоятельными юридическими лицами и свои отдельные комиссии создавать не должны.
Цели подключения Лицензия ФСТЭК на мониторинг ИБ Лицензия ФСБ (или на шифрование, или на разработку средств защиты для ГТ) Лицензия ФСБ на гостайну
Для собственных нужд (только в рамках своего юрлица) не нужна не нужна нужна, если вам нужен доступ к 6-ти методичкам ФСБ по обнаружению, предотвращению и ликвидации последствий компьютерных атак
В рамках работы в холдинговых структурах нужна нужна нужна, если вам нужен доступ к 6-ти методичкам ФСБ по обнаружению, предотвращению и ликвидации последствий компьютерных атак
Для предоставления коммерческих услуг нужна нужна нужна, если вам нужен доступ к 6-ти методичкам ФСБ по обнаружению, предотвращению и ликвидации последствий компьютерных атак

Источник: Сколько лицензий надо, чтобы подключиться к ГосСОПКА?

Загрузить больше