Rambler's Top100
Реклама
 
Блоги Алексей ЛУКАЦКИЙ

Ответы ФСТЭК на вопросы по КИИ

  26 февраля 2018 Страница персоны
За некоторое время до вчерашней конференции ФСТЭК "Актуальные вопросы защиты информации" от регулятора поступило предложение о сборе вопросов, которые волнуют отрасль в контексте принятого ФЗ-187 по безопасности критической информационной инфраструктуры.
Я кинул клич в группу по безопасности АСУ ТП в Facebook и в соответствующий канал Телеграма. Не очень активно (и это удивительно для такой новой темы), но удалось собрать 31 вопрос, на которые в рамках конференции ответил Дмитрий Николаевич Шевцов. Так как не все были на мероприятии, то я позволил себе выложить записанные мной ответы в блог:
  1. Когда примут нормативные акты к ФЗ 187?
    • Из 4-х приказов ФСТЭК приняты регулятором все; 3 из них находится на регистрации в Минюсте. По остальным НПА вопрос соответственно надо задавать ФСБ и Минкомсвязи.
  2. Считает ли ФСТЭК деятельность ведомственных/корпоративных центров ГосСОПКИ лицензируемой по ТЗКИ? Речь про конкретный вид деятельности - мониторинг событий ИБ.
    • Если речь идет об оказании услуг третьим лицам, то да, деятельность лицензируется.
  3. Если речь идет о группе промышленных предприятий, для которых функции SOC выполняет управляющая компания, то нужна ли этой УК лицензия ФСТЭК на мониторинг ИБ?
    • Обязательно нужна.
  4. На сайте ФСТЭК прямо указано, что направление документов с ИОД осуществляется, только при наличии лицензии на ГТ. При этом переписка по проверке значимых объектов с субъектом КИИ минимум ДСП. Как ФСТЭК собирается организовать проверку субъектов, не имеющих данную лицензию? Это требование о наличии лицензии ГТ обещали убрать с сайта ещё в 17 году, я задавал вопрос в рамках оформления лицензий.
    • Ограничение на ГТ касается только документов; на распространение другой информации таких ограничений нет.
  5. На сайте ФСТЭК опубликована выписка из плана по разработке документов на 2018 год. В нем только положение о сертификации СЗИ. Никаких изменений в 17/21/31 приказ не планируется, никаких дополнительных документов по КИИ. ФСТЭК не видит актуальности в изменении?
    • Изменения в 17/21/31 приказы будут во втором полугодии 2018-го года. В выписке из плана далеко не все запланированные документы.
  6. Почему не хотят привести меры защиты к 17/21/31/ КИИ к сквозной нумерации и единым наименованиям.
    • Все будет сделано во втором квартале 2018-го года.
  7. Почему не учтен опыт совместного использования 17 и 21 приказа при разработке приказа по КИИ? Речь про п. 27 приказа 17. Зачем дополнительные сложности для оператора ГИС, которая стала значимым объектом КИИ? Будет ли проводиться корреляция требований между КИИ и 17 приказом. Вопрос особенно интересно стоит для тех владельцев неГИС, кто недавно попал под 17 приказ, но также и попадает под КИИ
    • ФСТЭК не видит проблем с одновременным выполнением приказов по КИИ и по ГИС - выбирать по максимальному из требований. 
  8. Как выделять объекты КИИ, например, у банков?
    • Субъект КИИ сам определяет свои объекты и проводит границы.
  9. В проекте постановления Правительства по категорированию объектов КИИ указано, что перед категорированием нужно согласовывать со ФСТЭК и отраслевым регулятором перечень объектов КИИ, подлежащих категорированию. Как должен выглядеть этот процесс? Что делать, если у ФСТЭК и отраслевого регулятора разные точки зрения на перечень объектов, подлежащих категорированию?
    • В финальном тексте ПП-127 согласование осталось только с отраслевым регулятором.
  10. Согласно проекту постановления Правительства по категорированию объектов КИИ категория определяется при создании или модернизации объекта КИИ. Что делать с действующими объектами КИИ, модернизация которых в ближайшее время не предусмотрена?
    • Согласно ПП-127 категорирование осуществляется и для действующих объектов КИИ, перечень которых надо составить после вступления в силу ПП-127.
  11. Объекты водоснабжения и водоотведения по закону не являются объектами КИИ, все верно?
    • Четкого ответа нет - надо смотреть на виды деятельности конкретного субъекта. Про пищевую промышленность вообще забыли спросить - там картина вообще непонятная - в списке критических отраслей их в принципе нет.
  12. Получение телеметрии с подстанций (без телеуправления) попадает под действие КИИ?
    • Да, так как на основе телеметрии могут приниматься управляющие воздействия и решения.
  13. Когда актуален 31-й приказ, а когда подзаконники по 187-ФЗ
    • Если объект значимый, то используется приказ ФСТЭК по КИИ. Если объект незначимый, то можно применять как 31-й приказ ФСТЭК, так и приказ по КИИ.
  14. В соответствии с какими методическими документами предполагается проведение моделирование угроз на КИИ?
    • Работа над документами ведется. Пока руководствоваться Банком данных угроз и здравым смыслом.
  15. Требуется ли сертификация на соответствие АСУТП требованиям ФСТЭК? Если да, то кто её проводит? М.б. достаточно декларации?
    • Сертификация не предусмотрена - только аттестация по требованиям безопасности или приемочные испытания АСУ ТП, включая и защитные меры.
  16. Если сертификация требуется, то что должно сертифицироваться: программно технический комплекс для создания АСУТП или АСУТП конкретного объекта? Или и то и то?
    • Не требуется.
  17. На какие АСУТП распространяются требования приказа ФСТЭК? Обязательны ли они к исполнению? Каким образом осуществляется контроль исполнения требований?
    • 31-й приказ не является обязательным и контроль исполнения его требований не предусмотрен в отличие от приказа по КИИ.
  18. Обязан ли проектировщик предусматривать в проектах АСУТП мероприятия по приведению системы в соответствие с требованиями ФСТЭК или это решение принимает заказчик?
    • Это ответственность заказчика, но проектировщику неплохо бы напоминить заказчику о требованиях по ИБ, если последний о них забыл.
  19. Есть производственный цех, например, прокатный стан. Согласно документации стан состоит из 3-х АСУ ТП. При составлении перечня объектов КИИ возможно 3 АСУ ТП объединить в один объект КИИ? Что может выступать основой определения границ информационных систем?
    • Субъект КИИ сам определяет границы объекта. В данном случае это может быть и один объект КИИ и три.
  20. Есть группа промышленных предприятий, которые будут отнесены к КИИ. Есть управляющая компания. Будет ли ее головной офис являться субъектом КИИ? Нужно ли этому головному офису вообще проходить категорирование?
    • Нужно смотреть конкретную ситуацию, но вероятнее всего головной офис будет тоже отнесен к КИИ.
  21. У предприятия есть корпоративная ИС, в которую стекается вся информация о деятельности предприятия, начисляется зарплата, делается отчетность для налоговой и т.д. Эту систему надо включать в перечень объектов КИИ?
    • Ответить не видя конкретной ситуации затруднительно.
  22. Что будет считаться гостайной, упомянутой в ФЗ-187?
    • Ждем поправок в Указ Президента №1203, которые подготовлены и в скором времени будут утверждены.
  23. Когда будет разработан методический документ по мерам защиты на объектах КИИ?
    • 2-й квартал 2018 года. Будет единая методичка по всем приказам ФСТЭК (17/21/31/КИИ).
  24. Как поступать с объектами, чьи категории не выше третьей, но если атака будет одновременной сразу на несколько из них, то ущерб может наступить как у 2-й или даже 1-й категории?
    • Как предписывает категория; в данном случае 3-я.
  25. Какова юридическая судьба документов по КСИИ? И что делать, если на промышленном предприятии в нормативных актах упоминается этот термин? Менять?
    • Забудьте про них. Меняйте КСИИ на КИИ.
  26. ИС бухгалтерии субъекта КИИ тоже будет относиться к объектам КИИ?
    • Надо смотреть конкретную ситуацию, но она точно должна рассматриваться в рамках категорирования, но возможно она будет незначимым объектом КИИ.
  27. Кто сертифицирует SIEM, используемые в SOCах, подключенных к ГосСОПКЕ, - ФСТЭК или ФСБ?
    • Если речь идет об оказании услуг третьим лицам, то нужна лицензия ФСТЭК на мониторинг ИБ. Требования к лицензиатам доступны - требуется сертификация SIEM по требованиям ФСТЭК.
  28. Будет ли как-то описана/формализована процедура оценки соответствия средств защиты КИИ, отличная от сертификации (испытания и приемка), чтобы не иметь возможных претензий со стороны проверяющих?
    • Все описано в ФЗ-184 о техническом регулировании и в соответствующих ГОСТах. Не надо бояться проверяющих - если они требуют не того, пишите/звоните в ФСТЭК.
  29. В последних сертификатах ФСТЭК отсутствует указание на соответствие требованиям по НДВ. Тем не менее приказ 17 требует применения средств прошедших сертификацию на отсутствие НДВ для 1 и 2 классов. Каким образом владелец ИС в настоящее время может определить, проходило ли СЗИ такие испытания или нет?
    • В новых РД ФСТЭК к средствам защиты уже прописано соответствие соответствующих классов защиты средств защиты и требований по НДВ. Если что-то непонятно, пишите вопросы в ФСТЭК - вам разъяснят про соответствие и выполнение требований по НДВ в конкретном продукте.
  30. В п.16.3 31-го приказа говорится о периодическом информировании и обучении персонала. Как подтвердить выполнение указанного пункта? Наличием плана обучения?
    • Главное, чтобы люди были обучены, а как подтвердить это - вопрос десятый. Можно и планом обучения.
  31. Модель угроз должна разрабатываться для значимых объектов КИИ согласно приказам ФСТЭК. Значимый объект определяется по результатам категорирования, которое в свою очередь требует наличия модели угроз. Что первично?
    • Как и в случае с ПДн (ФЗ-152 и 21-й приказ) не надо путать перечень актуальных угроз и модель угроз. На этапе категорирования нужен только перечень актуальных угроз, а вот модель угроз как отдельный документ нужна уже на этапе реализации требований приказа ФСТЭК по КИИ.

Вот, пожалуй, и все ответы. Благодаря Валерию Комарову, есть видео этих ответов для тех, кто хочет услышать прямую речь регулятора, а не мой пересказ. Видео выложено на Google.Drive (https://drive.google.com/file/d/1vJpVjxQXG_emYaVtq9PksdlKs4Jlg03w/view?usp=sharing), размер файла для скачивания - 3,5 Гб.

Если у вас остались вопросы по КИИ (в рамках компетенций ФСТЭК), то вы можете писать свои вопросы на адрес email: otd22@fstec.ru с указанием в поле Subject "Вопрос по КИИ".

Источник:

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.