Комментарии и позиция ФСТЭК по теме КИИ


(Алексей Комаров) #1

Информация от участников Telegram-чата КИИ 187-ФЗ:

Михаил Клименко, [1 июня 2018 г., 11:18:08]:
Семинар с фстэк цфо проводили. Выступал Литвиненко В.А. Про отнесение к кии сказал также
1. Смотрим оквэд
2. Устав
И там ищем упоминание про те 12 отраслей.
Еще из значимого - изменения в нпа не раньше чем через год. И еще - в разговоре получили ответ что в любой организации лучше организовать комиссию по категорированию и ей сделать акт что окии нет. Мы конечно с точки зрения госорганов смотрим. Нам комиссии создавать… не привыкать ).
Еще два интересных момента. По приказу фстэк в организациях с кии должны быть созданы подразделения защиты. И интересный момент в случае переименования-реорганизации органищации влалельца - информировать заново. А процесс мб очень длительный


(Алексей Комаров) #2

ФСТЭК (Управления ФСТЭК России по Сибирскому федеральному округу) официально зафиксировала свою позицию по очередности категорирование с последующим построением СБ значимого объекта КИИ в своих документах: https://dpk.tomsk.gov.ru/uploads/ckfinder/295/userfiles/files/doc00411120180608085142.pdf

ПРОТОКОЛ №3 (выдержки) заседания Совета по защите информации Томской области в рамках методического сбора с государственными органами, государственными учреждениями, юридическими лицами и (или) индивидуальными предпринимателями, являющимися субъектами критической информационной структуры на территории Томской области

6 июня 2018 г. № 165р

РЕШИЛИ:

  1. Принять к сведению и руководству в работе информацию заместителя руководителя Управления ФСТЭК России по Сибирскому федеральному округу Булгакова В.Н. и начальника отдела Управления ФСТЭК России по Сибирскому федеральному округу Щеклачева И.В. о выполнении требований Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
  2. В соответствии с решением Коллегии ФСТЭК России от 24.04.2018 № 59 организациям, являющимся субъектами критической информационной инфраструктуры:
  • 2.1 До 1 июля 2018 г. утвердить планы мероприятий по реализации Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и принятых в соответствии с ним нормативных правовых актов, предусмотрев в них в качестве первоочередных следующие мероприятия:

    • создание до 10 июля 2018 г. комиссий по категорированию объектов критической информационной инфраструктуры;
    • разработку до 1 августа 2018 г. перечней объектов критической информационной инфраструктуры, подлежащих категорированию, и направление информации об указанных объектах в центральный аппарат ФСТЭК России;
    • создание ( совершенствование созданных) до 1 сентября 2019 г. систем безопасности, включающих в том числе назначение руководящего должностного лица, ответственного за организацию и контроль обеспечения безопасности значимых объектов критической информационной инфраструктуры, создание (назначение) структурного подразделения, ответственного за обеспечение безопасности значимых объектов критической информационной инфраструктуры, а также разработку организационно-распорядительных документов по вопросам обеспечения безопасности критической информационной инфраструктуры;
    • анализ и при необходимости приведение до 1 ноября 2019 г. отраслевых (ведомственных) или локальных актов, регламентирующих вопросы обеспечения информационной безопасности и зашиты информации, в соответствие с Федеральным законом от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»;
    • проведение до 1 января 2019 г. категорирования объектов критической информационной инфраструктуры в соответствии с утвержденным перечнем и направление результатов категорирования в ФСТЭК России;
    • реализацию требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры с учетом установленных категорий значимости и особенностей их функционирования.
  • 2.2. Спланировать и провести до 1 декабря 2018 г. с работниками, выполняющими функции с использованием значимых объектов критической информационной инфраструктуры, учебные занятия, в ходе которых проинформировать их о действующих требованиях по обеспечению безопасности значимых объектов критической информационной инфраструктуры и наиболее актуальных угрозах безопасности информации.

  • 2.3. Включать в технические задания на создание (модернизацию) значимых объектов критической информационной инфраструктуры требования по обеспечению их безопасности, установленные пунктом 10 «Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры» , утвержденных приказом ФСТЭК России от 25 декабря 2017 г. №239.

  • 2.4. Проводить на регулярной основе анализ угроз безопасности информации и уязвимостей программного обеспечения, в том числе с учетом угроз и уязвимостей, содержащихся в банке данных угроз безопасности информации (bdu.fstec.ru) и, при необходимости, принимать дополнительные меры по обеспечению безопасности значимых объектов критической информационной инфраструктуры.

  • 2.5. Обеспечить реализацию первоочередных мер по обеспечению безопасности значимых объектов критической информационной инфраструктуры в соответствии с пунктом 22 Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры, утвержденных приказом ФСТЭК России от 25 декабря 2017 г. № 239, обратив особое внимание на:

    • выявление инцидентов безопасности в автоматизированных (информационных) системах и реагирование на них;
    • управление конфигурацией автоматизированной (информационной) системы;
      своевременное обновление программного обеспечения с целью устранения уязвимостей в нем;
    • исключение использования слабых паролей (паролей менее 6 буквенно-цифровых символов, словарных паролей типа «admin», «qwertyl23», «P@swOrd» и им аналогичных);
    • исключение при доступе в автоматизированные (информационные) системы и к их компонентам использование аутентификационной информации (паролей, пин-кодов), заданной по умолчанию производителями программного обеспечения и (или) используемой при настройках системы (средств) защиты информации информационной системы на этапах проектирования;
    • исключение хранения конфигурационных файлов сетевого оборудования;
    • обеспечение разделения функций в автоматизированной (информационной) системе по администрированию (системного администратора) и администрированию средств зашиты информации (администратора безопасности), предусмотрев заведение отдельных учетных записей и разных полномочий для указанных категорий привилегированных пользователей;
    • обеспечение сегментирования автоматизированной (информационной системы), как минимум, выделение в отдельный сегмент рабочих мест для управления ( администрирования);
    • регламентацию порядка подключения и доступа к ресурсам информационной системы мобильных устройств пользователей, исключение несанкционированных подключений мобильных устройств и беспроводных точек доступа;
    • периодический контроль обеспечения уровня защищенности автоматизированных (информационных) систем.
  • 2.6. Информацию о ходе выполнении мероприятий, перечисленных в настоящем Протоколе направить в адрес заместителя председателя Совета по защите информации Томской области до 15 сентября 2018 г.


(Сергей Ершов) #3

“В соответствии с решением Коллегии ФСТЭК России от 24.04.2018 № 59” - а каким образом возможно ознакомиться с этим Решением? Или оно по традиции имеет пометку “ДСП”?
Поправьте меня, пожалуйста, если я ошибаюсь, но Решение ФСТЭК (по срокам) не должно противоречить постановлению Правительства РФ от 08.02.18 №127, а в 127-ПП не указаны конкретные сроки для создания комиссии по категорированию, выявления критических процессов, формирования перечня объектов КИИ.
По моему мнению, должны быть внесены изменения в законодательство по КИИ на федеральном уровне (конкретизация сроков по каждому из этапов категорирования - имею ввиду пункт 5 Правил категорирования, утвержденных 127-ПП), с целью избежания различных трактовок регуляторами (в зависимости от федерального округа/региона/личного видения) требований 127-ПП касательно установленных для субъектов КИИ сроков категорирования объектов КИИ.
Я просто не понимаю, на каком юридическом основании (наделение ФСТЭК полномочиями в области обеспечения безопасности КИИ РФ не в счет, так как согласно части 3 статьи 6 187-ФЗ он только вносит предложения о совершенствовании НПА, утверждает порядок ведения реестра и форму направления сведений, устанавливает требования по безопасности и осуществляет госконтроль в области значимых объектов КИИ) Решение Коллегии ФСТЭК России от 24.04.2018 № 59 (по сути внутренний документ ФСТЭК, так как в открытом доступе его нет) может ограничивать по срокам категорирования субъектов КИИ, если ограничения на сроки окончания конкретных этапов категорирования в 127-ПП не установлены?


(Алексей Комаров) #4

Не видел пока в открытом доступе. В целом, из приведённого протокола уже понятно его общее содержание. Вплоть до предполагаемых ФСТЭК сроков.

Конечно.

Вы правы, основания нет. Это лишь официальная позиция (пожелание) ФСТЭК - то, как им видится процесс (в привязке к срокам). С другой стороны - они уполномочены в этой области и в том числе, в части госконтроля, так что совсем не прислушиваться к их мнению - стоит ли?..


(Никита) #5

Про лицензии и оквэд в Новосибирске была попытка попросить сказать официально что да, в законе об этом речи нет (в личной беседа это признавалось), но как помощь при определении использовать можно и нужно. Собственно, озвучивать на весь зал не стали, т.к. это было бы противоречие с позицией руководства. :slight_smile: