"Кибербезопасность цифрового предприятия" 16.03.2021

quotКибербезопасность цифрового предприятияquot 16.03.2021

Компания Гротек последний год радует новым форматом и количеством качественных онлайн-конференций из цикла Кибербезопасность цифрового предприятия. Так, 16.03.2021 на очередной конференции прозвучал доклад директора Научно-образовательного центра новых информационно-аналитических технологий РГУ нефти и газа (НИУ) имени И.М. Губкина, в котором он отразил свой взгляд на утвержденную 05.02.2021 Методику оценки угроз от ФСТЭК России

Презентации докладчиков доступны для скачивания — ссылка

Полная видеозапись конференции — ссылка

Чем интересен этот доклад?

1. РГУ им. И.М.Губкина активно показывается в докладах Минэнерго и упоминается в докладах ФСТЭК как методический центр по 187-ФЗ в сфере ТЭК. Разработаны и выпущены методики категорирования для предприятий ТЭК, согласованные с ФСТЭК. То есть, это люди в теме КИИ.

2. Публичных позиций по новой методике просто мало. А здесь еще и конструктивная критика с выдвижением собственного подхода к оценке угроз у субъекта КИИ

Видео доклада

Лично для меня, данный доклад служит своеобразным маркером, показывающим что и через три года действия 187-ФЗ не только у субъектов КИИ, но и в учебных отраслевых центров нет ясного понимания НПА по безопасности КИИ.

Постоянно идет в докладе на определение угроз в акте категорирования. Упоминается что есть утвержденная форма акта категорирования. Здесь либо путаница с формой по 236 приказу, либо продолжают оперировать недействующей редакцией ПП127.

С 24.04.20019 в ПП127 нет требования, что акт категорирования должен содержать результаты анализа угроз безопасности информации объекта критической информационной инфраструктуры.

С другой стороны, докладчик совершенно прав:

236 приказ и ПП127 требует от субъекта КИИ провести оценку угроз безопасности информации, которые могут привести к возникновению компьютерных инцидентов на объектах критической информационной инфраструктуры, а ФСТЭК выпустила МЕТОДИКУ ОЦЕНКИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ. И по сути, субъект КИИ на этапе категорирования вынужден использовать методику ФСТЭК.

Ведь Методика ФСТЭК не про создание моделей угроз, в п.1.2 Методики об этом прямо указано.

Более того, п.1.3 Методики практически дословно совпадает с требованиями к процедурам категорирования объектов КИИ

Таким образом, ФСТЭК создала очередную правовую коллизию для субъектов КИИ, не рассматривая в комплексе уже действующие НПА и новую Методику.

Видимо с этим и связан анонсированный выпуск рекомендаций ФСТЭК по организации работы постоянно действующей комиссии по категорированию субъектов КИИ, иначе эту проблему придется решать через внесение изменений в ПП127, а ФСТЭК желает избежать этого.

P.S. 8 апреля состоится конференция Защита информации в АСУ ТП. Безопасность критической информационной инфраструктуры. Есть возможность заранее задать вопрос докладчику от ФСТЭК — ссылка

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе ЧаВо по КИИ на главной странице блога.

** Все новости блога на публичном Telegram-канале t.me/ruporsecurite

*** YouTube — канал блога

**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite


Источник — Блог о нюансах и особенностях законодательства в области информационной безопасности Валерия Комарова “Рупор бумажной безопасности”.

Валерий Комаров
Автор: Валерий Комаров
Блог о нюансах и особенностях законодательства в области информационной безопасности Валерия Комарова "Рупор бумажной безопасности"
Комментарии: