Публичная активность ФСТЭК в регионах

Дата: 02.08.2021. Автор: Валерий Комаров. Категории: Блоги экспертов по информационной безопасности
Публичная активность ФСТЭК в регионах

    Июль 2021 года отметился проявлением активности территориальных органов ФСТЭК по теме КИИ, сразу на двух региональных конференциях выступили представители отделов местных управлений.

Инфофорум-Сочи 2021

УФСТЭК по ЮиСКФО

    Интересное название у отдела – координация и оценка эффективности значимости объектов КИИ. Не очень ассоциирует с официальными полномочиями и задачами ФСТЭК по КИИ. Загадочно.

1. ФСТЭК заявляет, что знает всех «не признавшихся» субъектов КИИ и имеет все сведения по таким потенциальным субъектам КИИ. Осталось понять – по каким признакам отнесения сформирована такая уверенная позиция и сколько же всего субъектов КИИ в стране.

2. Опоздание на 2-2,5 года по категорированию субъектов КИИ. (непонятно от чего отсчет идет с категорированием, видимо от внесения изменений в ПП127 в апреле 2019 года)

3. 150 субъектов КИИ с 800 ЗОКИИ в ЮФО и СКФО. (Интересно сравнить цифры, заявленные докладчиком в начале эпопеи с 187-ФЗ в 2019 году, жаль что нет разбивки по двум федеральным округам см.рис)

4. Угрозы реализуемы, но показатели значимости не применимы. ФСТЭК это очень сильно удивляет. 

5. ФСТЭК продолжает отрицать влияние ПАЗ в промышленности. Хочет 100% надежности. На категорию значимости не влияет. (Интересно, что будет делать ФСТЭК, когда будет рассчитано что внедрение систем безопасности против компьютерных атак понизило надежность системы в целом?)

6. Единицы субъектов КИИ грамотно используют имеющиеся паспорта промышленной безопасности.
7. Большинство организаций КИИ в ОПК и ракетно-космической отрасли не признают себя субъектами КИИ. Опять тезисы про сферу деятельности организации, а не объектов.
8. Для всех предприятий ОПК применим показатель №13. Отсутствие ГОЗ на текущий момент не важно. Есть или нет, бегом применять 13 показатель.

9. Отнесение конструкторской документации к ГТ на предприятии ОПК не основание для отказа от категорирования.
10. ФСТЭК не понимает, почему на местах не понимают требования по отнесению станков ЧПУ к ОКИИ

11. Опять ФСТЭК приравнивает АСУ ТП к АСУ. (А ведь это разные определения. И субъект КИИ руководствуется определением из 187-ФЗ.)
12. Позиция ФСТЭК: станок ЧПУ – это ОКИИ тип АСУ, подлежит обязательному категорированию, как правило – это ЗОКИИ.
13. Экономический показатель применим ко всем, особенно п.9 (момент дискуссионный, методика Минздрава согласована с ФСТЭК и утверждает обратное)

14. Почему то рекомендуют обязательно использовать проект методики расчета экономических показателей, ссылаясь на номер информационного сообщения о размещении проекта на обсуждение. Признают, что специалист по ИБ этот проект применить не сможет.

15. Подтвердили подготовку аналогичной методики по социальным показателям. Обещают скорое опубликование.
16. Дали разъяснения по внесению в Перечень ОКИИ и Реестр ЗОКИИ.
 

17. СБ ЗОКИИ – никаких многолетних планов по внедрению. (Собственно, через месяц отсутствие системы безопасности ЗОКИИ – административное правонарушение и наказывается штрафом. Вообще не зависит от сроков внесения объекта в Реестр ЗОКИИ. Получили подтверждение 31 августа от ФСТЭК о внесении в Реестр ЗОКИИ, а на следующий день уже можете быть оштрафованы.)

18. Проблемы с персоналом ЗОКИИ. И опять АСУ ТП (ну вот нет АСУ ТП в 187-ФЗ)
19. Планы по НПА (на 2022 год запланировано очередное изменение ПП127, а вот про изменение ПП127 и 227 приказа в 2021 году ни слова)

20. Планы по передаче полномочий от ЦА в территориальные подразделения (даже по планам не все сферы КИИ передаются в территориальные органы).

     В Екатеринбурге на Код ИБ INDUSTRIAL в рамках Иннопром-2021. 
Здесь формат был без докладов ФСТЭК и НКЦКИ, зато была возможность задать вопросы.
Из примечательного отмечу, что представитель НКЦКИ прямо озвучил во время ответа представителя ФСТЭК — при получении информации о компьютерном инциденте на ЗОКИИ, сведения будут переданы в ФСТЭК для проведения внеплановой проверки.

* Раздел блога Административная ответственность субъекта КИИ на главной странице блога.


** Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе ЧаВо по КИИ на главной странице блога.

*** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

**** YouTube — канал блога

***** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

****** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite


Источник — Блог о нюансах и особенностях законодательства в области информационной безопасности Валерия Комарова “Рупор бумажной безопасности”.

Валерий Комаров

Об авторе Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности Валерия Комарова "Рупор бумажной безопасности"
Читать все записи автора Валерий Комаров

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *