вторник, 4 декабря 2018 г.

Все ли Банки являются субъектами КИИ? Большой вопрос!




Банки и банковская сфера в целом имеют особый статус в законодательстве о КИИ. Для этой сферы в законодательстве выделен дополнительный регулятор (ЦБ РФ), существует отраслевой аналог ГосСОПКА (Финцерт), а применимый к Организациям банковской сферы показатель критериев категорирования в 127-ПП распространяется только на определенные Организации.
Неоднократно, с разных трибун представителями ЦБ озвучивалась позиция о том, что все Банки в РФ являются субъектами КИИ без каких-либо дополнительных условий. И это формально следует из определения Субъекта КИИ в 187-ФЗ.
Вот один из последних случаев, когда ЦБ в лице А.М. Сычева была озвучена такая позиция: (SOC-Форум, секция «Диалог с регулятором», смотреть начиная с 1:27:25): https://youtu.be/GCKcGfoZwjI
Но давайте попробуем выстроить логическую цепочку и разобраться - действительно ли все Банки являются субъектами КИИ и соответственно подпадают под действие 187-ФЗ? Опираться будем на мнения ФСТЭК и ЦБ, которые могут расходиться с мнением ФСБ.


В качестве исходных данных рассмотрим следующие утверждения:
  1. По мнению ФСТЭК: Объектами КИИ являются только те ИС/АСУ/ИТКС субъекта, которые подлежат категорированию и попадают в Перечень объектов КИИ, подлежащих категорированию. Остальные ИС/АСУ/ИТКС субъекта объектами КИИ не являются. Писал об этом тут.
  2. По мнению ФСТЭК: Ели Организация функционирует в одной из сфер, указанных в 187-ФЗ, у нее есть ИС/АСУ/ИТС, но нет объектов КИИ, подлежащих категорированию (критические процессы не автоматизированы), то организация тоже не подпадает под определение субъекта КИИ. Писал об этом там же.
  3. Согласно п.5б, 127-ПП критические процессы должны рассматриваться в рамках основной деятельности, в нашем случае банковской. Т.е. остальные процессы, не связанные с иной деятельностью в процессе категорирования не рассматриваются.
  4. Согласно п.5б, 127-ПП процесс становится критическим, если его нарушение может привести к негативным социальным, экономическим,... последствиям. По мнению ФСТЭК: речь идет о соответствующих последствиях, определяемых показателями критериев значимости в 127-ПП. Если указанные в показателях критериев значимости негативные последствия нарушения процесса возможны, то его необходимо считать критическим, даже если по своему масштабу последствия не дотягивают до 3-й категории значимости. Писал об этом тут.
  5. По устно озвученному мнению ЦБ: 10-й показатель экономического критерия значимости 127-ПП, применим не к любому Банку, а только к системно значимой кредитной организации, оператору услуг платежной инфраструктуры системно и (или) социально значимых платежных систем или системно значимой инфраструктурной организацией финансового рынка.


Какие можно сделать выводы на основе приведенных выше исходных данных:
  1. Рассматривая п.4 остается открытым вопрос - необходимо ли считать процесс критическим, если сам показатель, к которому соотносится нарушение процесса, не применим к субъекту? Если ответ «Да», то остальные выводы можно не читать, любой Банк является субъектом КИИ, а по результатам категорирования в перечень объектов КИИ, подлежащих категорирования попадут банковские системы, которые не окажутся значимыми ОКИИ. Если ответ «Нет», то переходим к следующим выводам.
  2. Банк, не подпадающий под п.5, не может иметь критических процессов, нарушение которых может привести к указанным в п.4  последствиям, т.к. ни один процесс в таком Банке даже не подпадает под 10-й показатель (процессы не в рамках банковской деятельности при этом не рассматриваются, согласно п.3).
  3. Значит у такого Банка нет ни одной ИС/АСУ/ИТКС, которая обеспечивает критические процессы, т.к. самих критических процессов нет.
  4. Значит у такого Банка нет ни одной ИС/АСУ/ИТКС, подлежащих категорированию
  5. Значит у такого Банка нет объектов КИИ (согласно п.1)
  6. Значит такой Банк не является субъектом КИИ (согласно п.2)

Полагаю, что у регуляторов и экспертов может быть обратное мнение, да это и логично, что все Банки в РФ должны быть субъектами КИИ и как минимум отправлять в ГосСОПКА информацию об инцидентах. Но текущие формулировки в законодательстве не позволяют однозначно сделать такой вывод. Надеюсь, что в ближайшем времени в законодательство будут внесены соответствующие изменения и такие спорные вещи можно будет трактовать однозначно.

понедельник, 3 декабря 2018 г.

Итоги SOC-Форума 2018 в разрезе КИИ. Основные тезисы, презентации, записи выступлений регуляторов.





Все презентации с форума, в том числе регуляторов: https://soc-forum.ib-bank.ru/materials

Пленарная дискуссия
Лютиков В.С., ФСТЭК


Готовятся поправки в 127-ПП, чтобы установить сроки завершения категорирования.
Рекомендуется включать в планы на 2019 год практические мероприятия по обеспечению безопасности ЗОКИИ.


Качалин И.Ф., ФСБ
Уже в 18 органах и организациях созданы центры ГосСОПКА. Все субъекты КИИ должны стать субъектами ГосСОПКА вне зависимости от процесса категорирования.


За непредставление информации в ГосСОПКА наказание на текущий момент не предусмотрено. Эту ситуации ФСБ будет в ближайшее время исправлять, внося соответствующие изменения в законодательство.


Сычев А.М., ЦБ

В прошлом году Финцерт опубликовал 24 бюллетеня по инцидентам, а с начала 2018 года уже опубликовано 80.
Финцерт получил право остановки подозрительных платежей, чтобы обеспечить их возврат клиентам. Хотим сократить доходы мошенников.


Лебедь С.В., Сбербанк
ГосСОПКА будет формировать корпоративные центры реагирования для защиты малых предприятий.


Баранов А.П., ГНИВЦ ФНС
Если с корпоративными пользователями еще как-то работают центры ГосСОПКА, то с массовым потребителем взаимодействие вообще не реализовано, хотя он также является субъектом информационного взаимодействия.


Выступления регуляторов
Торбенко Е.Б., ФСТЭК


Запись выступления: https://youtu.be/_bIwfYTPZCY


При категорировании нужно рассматривать самый плохой сценарий, когда нападающий обладает максимальными сведениями о вашей системе, т.е. рассматривается максимальная атака с максимальным ущербом. Какие последствия будут в результате этой атаки? Вы должны хотя бы принципиально понять будет ущерб или нет? И ущерб в какой категории – транспорт, соц.сфера и подпадает сфера хотя бы потенциально под категорию? Если да, то вы попадаете под действие закона.


В комиссию по категорированию не обязательно включаться всех указанных в 127-ПП участников. Но 127-ПП перечислено максимальное количество тех работников, которые могут быть включены в комиссию. Если, например, у Вас нет Гостайны, не нужно назначать соответствующих участников комиссии искусственно. Комиссию возглавляет руководитель субъекта или его УЛ. Если филиал – самостоятельное юр.лицо, то для него нужно созывать отдельную комиссию. Т.е. на одно юр.лицо - одна комиссия.
Ни ФСТЭК, ни ФСБ не наделены полномочиями по категорированию. ФСТЭК готова оказывать методическую помощь при категорировании, но входить в состав комиссии не будет. Можно звать в комиссию отраслевых регуляторов. При категорировании и определении границ ОКИИ нужно смотреть документацию на ИС. Можно объединять ИС в один объект для этого эти ИС должны быть взаимосвязаны, иметь между собой какую-то физическую связь, обмениваться информацией, потоками, а также обеспечивать хотя бы один общий критический процесс. Цех, например, можно рассматривать как один объект или можно поделить на несколько. Если делить на несколько, то ущерб должен рассматриваться от выхода объединенного объекта. Если бьете на несколько объектов, то периметр нужно будет защищать у каждого ОКИИ отдельно.


Под иные законные основания подпадает документ, который определяет право кого-либо использовать данный объект в своих целях на определенных условиях, определенных собственником. Если организация заключила договор пользования ИС на определенных условиях, то это тоже иные законные основания. Правда разные юристы могут трактовать данный вопрос по-разному. Мнение ФСТЭК – иное законное основание это договорные отношения с какой-либо организацией на то, что вы используете их ресурсы.


Если есть электростанция (принадлежит одной организации) и сеть электросвязи (принадлежит другой организации), которая обеспечивает работу электростанции. В этом случае владелец сети электросвязи должен категорировать сеть электросвязи, т.к. она обеспечивает функции электростанции (см. п. 9 127-ПП) на основании информации, полученной от владельца электростанции.


Перечень объектов КИИ, подлежащих категорированию направляется субъектом в ЦА ФСТЭК. ФКУ, ФГБУ, ФГУ – предварительно согласовывают свои перечни с головной организацией. Если АО – то не нужно.


В наименовании ОКИИ пишите понятные названия, чтобы регулятору было понятно что это за объект. Контакты при отправке Перечня нужны, чтобы созвониться и оперативно задать вопрос, а не заниматься перепиской.


Прикладывайте электронные копии перечней, можно диском, можно по эл.почте (если на перечни нет ограничений).


Заполнять поля 236 формы нужно все, по всем показателям. Где не применимо – пишем почему не применимо.


На исправление результатов категорирования субъекту по 127-ПП отведено всего 10 дней. Поэтому лучше сразу заполнять 236 форму подробно.


Типовые ошибки при категорировании: не полностью заполняют 236 форму. Если встречаются небольшие опечатки – регулятор не будет возвращать сведения на доработку, а позвонит и скажет, что объект учтен, но просьба предоставить сведений, которых не хватает. Если в сведениях не указана категория, то сведения будут возвращены на доработку. Если нет обоснования присвоения или не присвоения категории, то тоже возврат.


Если значение показателей ниже нижней границы, все равно нужно писать из значения.


Количество операций по переделке сведений законодательно не ограничено. Можно заниматься перепиской до бесконечности, но лучше этого не делать.
При заполнении 236 формы в части Мер защиты нужно указывать меры, реализованные на текущий момент, а не те, которые будут реализованы по 239 приказу.

Организационные меры должны быть внедрены сразу после завершения категорирования – назначен ответственный персонал, создано подразделение, разработана необходимая документация.
Внедрение технических мер необходимо соотнести с вашим технологическим процессом. Вам нужно определить когда вы сможете внедрить технические меры с минимальным ущербом для себя.


Можно пока использовать несертифицированные средства, кроме случаев, когда субъект сам решил их использовать или их нужно использовать в соответствии с иными законодательными актами.
Для защиты ЗОКИИ, являющего еще и ИСПДн, необходимо реализовать требования 1119-ПП и 239 приказа. При этом 21 приказ реализовывать не требуется, т.к. мер 239 приказа достаточно.


Если ОКИИ является ЗОКИИ и АСУ ТП, то применяется 239 приказ. Если ОКИИ является АСУ ТП, но не является ЗОКИИ, то 239 приказ применять не требуется, а 31 приказ можно использовать при необходимости.


С проверкой ФСТЭК может прийти не ранее через 3 года или в случае предписания или инцидента.


Если вы не субъект КИИ, то уведомлять об этом ФСТЭК не нужно. Можете зафиксировать это в локальных актах.
Если есть ОКИИ, например водоотведения, но они не подпадают под 12 сфер, то категорировать их не надо. Можно добровольно применить к ним требования 239 приказа, но категорировать их не нужно. Спорное мнение, т.к. много систем (например, пожаротушения), которые не функционируют в сферах, но напрямую обеспечивают критические процесс. Например, если система пожаротушения будет атакована и на сервера промышленного предприятия несанкционированно польется вода, то эти сервера могут выйти из строя и соответственно остановится критический процесс (мое личное примечание).


Если появляется новый объект, то можете направить во ФСТЭК дополнение в перечень. Если вывели из эксплуатации объект, но не успели его категорировать, то тоже нужно уведомить об этом ФСТЭК с пояснением. ФСТЭК исключит его из перечня у себя и не будет ждать его в Сведениях.  Если строится новый объект, то необходимо предусмотреть в ТЗ все необходимые процедуры законодательства по КИИ. При этом на момент составления ТЗ нужно этот объект откатегорировать. Позже, в процессе разработки, категория может быть скорректирована.

Согласовывать перечни не нужно. Ждать ответа не нужно. Со стороны ФСТЭК могут быть уточняющие звонки по телефону.
Раевский А., НКЦКИ


Практика применения нормативных правовых документов ФСБ России:


https://youtu.be/_bIwfYTPZCY
В декабре 2018 должны быть зарегистрированы оставшиеся приказы ФСБ.


В ближайшее ФСБ время будет разработан регламент привлечения должностных лиц и региональных подразделений ФСБ  и НКЦКИ. В регламенте будет указаны контактные лица с той и другой стороны для привлечения к реагированию и ликвидации последствий компьютерных атак на ЗОКИИ и первичные шаги для решения появившейся проблемы.


Субъектом КИИ, имеющим ЗОКИИ, должен будет разработан План реагирования, который будет утверждаться руководителем субъекта. Цель  Плана -  подготовка к реагированию и ликвидации последствий. Необходимо будет периодически проводить тренировки с учетом меняющихся угроз. По результатам тренировок при необходимости необходимо будет вносить изменения в План.
Недостаточно просто установит СОВ на периметр  и сообщать в НКЦКИ о внешних инцидентах. Сообщать в НКЦКИ необходимо и об инцидентах во внутренней сети, поэтому нужно применять и другие средства. Установку средств ГосСОПКА необходимо согласовывать с ФСБ.


В 73 организации уже направлены методические материалы. Для получения методических документов ФСБ необходимо отправить письменный запрос по адресу, указанному на соответствующем слайде презентации, при этом нужно приложить копии имеющихся лицензий ФСБ, а также указать цель получения документов для того, чтобы ФСБ понимала с кем начинает взаимодействие.


Типовое соглашение с ФСБ может быть направлено вместе с комплектом документов.


После подписания соглашения организация может оказывать услуги центра ГосСОПКА.


Подписанное соглашений между центром ГосСОПКА и ФСБ - обязательное условие для начала оказания соответствующих услуг и субъектам стоит обращать внимание на наличие такого соглашения.


Если субъект решил направлять в ГосСОПКА сведения об инцидентах через техническую инфраструктуру, то он вправе выбрать способ взаимодействия с НКЦКИ – напрямую или через корпоративный/коммерческий Центр ГосСОПКА. Если субъект выбрал непрямой способ, то ему необходимо направить в сторону НКЦКИ соответствующее информационное письмо, в котором указать через какой центр ГосСОПКА он будет направлять информацию в НКЦКИ. А центр ГосСОПКА со своей стороны направляет в НКЦКИ информацию о своей зоне ответственности (кого он подключил к себе).


Предусмотрены классы корпоративных центров ГосСОПКА – А, Б, В. Эти классы основаны на предыдущих методических рекомендациях от 2016 года.


Центра класса А может выполнять все функции.
Центра класса Б - все функции за исключением двух – ликвидация последствий и анализ результатов ликвидации последствий.


Центр класса В - ограниченный перечень функций.

Возможны ситуации, когда в регионах не найдется организаций, которые могут реализовать все функции. Для выполнения всех функций центры могут кооперироваться и оказывать услуги одной Организации, например, двумя центрами.

Грачев А., НКЦКИ
Технические аспекты взаимодействия с НКЦКИ: https://youtu.be/DJJjddb-F0c


Подключение к ГосСОПКА - это не значит, что обязательно подключаться к технической инфраструктуре НКЦКИ и строить технический канал взаимодействия, достаточно начать информировать НКЦКИ об инцидентах и получать обратную связь.


Сейчас для взаимодействия с технической инфраструктурой НКЦКИ допускается использовать только ViPNet. В ближайшее время появится возможность взаимодействовать с помощью Континента и sTerra.



Отправка информации в ГосСОПКА через техническую инфраструктуру НКЦКИ осуществляется через личный кабинет субъекта ГосСОПКА. При этом отправка информации в личный кабинет возможна как в пакетном режиме, так и в интерактивном, когда субъект в в своем личном кабинете вручную заполняет карточку инцидента.



Способы информирования Анатолий Грачев в деталях описал на своих слайдах и подробно рассказал о них во время своего выступления.


Новиков А.


Задачи и функции субъекта ГосСОПКА: запись пока не выложена
ФСБ не нужна чувствительная информация о самом субъекте, о том какие меры были предприняты для защиты информации, кто как реагировал на компьютерный инцидент, кто виноват что он случился, какие были предприняты меры, всякие домены, виланы, как устроена политика доступа у субъекта - это внутренняя кухня, она остается внутри субъекта.


ФСБ нужны только сведения о вредоносной активности, полезные другим участникам системы.

ФСБ не планирует с помощью ГосСОПКА контролировать все информационное пространство страны и использовать информацию против субъектов.
ФСБ хочет, чтобы у субъекта были выстроены процессы от регистрации инцидентов до ликвидации последствий.



Полноправный участник ГоСОПКА этот тот, кто решает на своем уровне два направления задач. Первое - вносит свой вклад в формирование общей базы знаний по вредоносной активности. Второе -  организует применение в своей системе защиты тех сведений, которые приходят из ГосСОПКА. Это не разовые действия, а процессы, которые требуют порой перераспределение ресурсов, использования технических средств, принятия часто сложных управленческих решений.


 Диалог с регулятором
Запись диалога: https://youtu.be/GCKcGfoZwjI


Комментарий НКЦКИ: НКЦКИ против бесконтрольного обмена информации об инцидентах КИИ с зарубежными партнерами. Такой обмен должен осуществляться только через НКЦКИ. Все взаимодействие в рамках ГосСОПКА ведется по модели звезда. Но никто не запрещает субъектам взаимодействовать друг с другом напрямую внутри страны.

Вопрос 1: Если произойдет инцидент, то через ГосСОПКА информация об инциденте попадет в ФСБ, после этого ФСБ сигнализирует об инциденте во ФСТЭК, после чего ФСТЭК придет с проверкой, при этом ни ФСТЭК, ни ФСБ не разбираются с специфике отраслевых ИС/АСУ ТП. Вопрос: планируется ли привлечение отраслевых регуляторов к проверкам ФСТЭК и планируются ли внесение изменений в законодательство в части привлечения отраслевых регуляторов к проверкам?


Ответ ФСТЭК: В настоящее время привлекать к проверкам отраслевых регуляторов не планируется. Пока не сформировалась правоприменительная практика, говорить о внесении изменений в законодательство по этому поводу преждевременно. ФСТЭК будет проводить проверку только в рамках своих компетенций, т.е. будут проверяться вопросы обеспечения безопасности, а ни в коем случае вопросы, отнесенные к компетенции иных органов.
Ответ НКЦКИ:  С появлением ГосСОПКА у субъекта появился еще один источник где можно попросить помощи. Если произошел инцидент вы можете обратиться через корпоративный центр ГосСОПКА или напрямую в НКЦКИ. В компетенции НКЦКИ находится возможность привлечение для помощи в решении инцидента любых других участников информационного пространства в РФ и отчасти в мире. Этот процесс выстраивается не для того, чтобы к Вам пришли с проверкой, а для того, чтобы оказать вам помощь. Если вы поборолись с инцидентом самостоятельно, информация о том как вы это сделали была бы полезна другим участниками информационного обмена в рамках ГосСОПКА, потому что на объектах у других субъектов может случиться аналогичная штука. Мотивация вступления в ГосСОПКА – получение новых знаний из общей копилки. Где каждый участник делится с остальными участниками информаций о том с какой вредоносной активностью он столкнулся, как он с ней правился, если справился, какой путь привел к успеху. Если не привел, то он получает практическую помощь от НКЦКИ. Из этой общей копилки можно получать информацию о новых угрозах, о новых методах проведения атак и тем самым повышать эффективность своего бизнеса и повышению защищенности бизнес-процессов организации. НКЦКИ и ЦБ самостоятельно не смогут охватить всю страну, поэтому будет развиваться партнерство с коммерческими SOCами.


Комментарий ЦБ: Оперативный обмен информацией об инцидентах не дает заразе (спам-рассылке, например) быстро распространяться по отрасли. За последний квартал так уберегли 5 кредитных организаций. Банкам рассылается информация о заразе и рекомендации как с ней бороться, а обратно снимается статус и информация о том, что было сделано или не сделано и дальше полезная информация передается другим участникам.



Вопрос 2: нужна ли лицензия на Гостайну для получения методических документов ФСБ.


Ответ НКЦКИ: такая лицензия для получения методических документов не нужна.
Вопрос 3: предусмотрено ли наказание за невыполнение категорирования?
Ответ ФСТЭК: На текущий момент не предусмотрено, но в ближайшее время планируется внести соответствующие изменения в КОАП, в соответствии с которыми будет предусмотрено наказание за подобные нарушения в виде штрафов. И за такие изменения в КОАП ратовали даже сами объединения субъектов.
 
Вопрос 4: информацию об инцидентах можно сообщать только в НКЦКИ?


Ответ НКЦКИ: сейчас все взаимодействие должно осуществляться с НКЦКИ. Вопрос взаимодействия с региональными органами ФСБ сейчас прорабатывается, чтобы субъектам можно было передавать информацию по кротчайшему пути. Сейчас поставлены научные работы, которые должны выстроить правильную архитектуру, чтобы обеспечить ближайшую точку взаимодействия. Также сейчас ведется разработка законодательных актов для закрепления этой архитектуры.
Если ЗОКИИ еще и ИСПДн, то нужно определить категорию, определить УЗ, реализовать требования 1119 и 239 приказ. 21 приказ не требуется.
Вопрос 5: нужно ли получать лицензии ФСТЭК и ФСБ для того, чтобы корпоративный центр ГосСОПКА смог оказывать соответствующие услуги своим дочерним организация.


Ответ НКЦКИ: если дочерние организации являются отдельными юр.лицами, то да, корпоративному центру необходимо получить соответствующие лицензии. 
Вопрос 6: можно ли банкам передавать информацию об инцидентах в ГосСОПКА через Финцерт?


Ответ ЦБ: Да, банки могут передавать информацию в ГосСОПКА через Финцент, только нужно не забыть предварительно уведомить об этом НКЦКИ. В настоящее время формально это нигде не закреплено, но между НКЦКИ и ЦБ есть соответствующая договоренность. Ситуация должна формально проясниться с выходом оставшихся приказов ФСБ. После того, как приказы будут зарегистрированы в Минюсте, от ЦБ в сторону банков выйдет соответствующее информационное письмо.


Вопрос 7: могут ли границы ОКИИ не совпадать с границами ИСПДн?

Ответ ФСТЭК: Не рекомендуется, чтобы границы ОКИИ не совпадали с границами ИСПДн, т.к. если границы совпадать не будут, то сложнее будет реализовать систему защиту ОКИИ, т.к. она привязана к границам ОКИИ.


Вопрос 8: можно ли перенести ответственность за результаты категорирования на подрядчика, выполняющего категорирование?


Ответ ФСТЭК: ответственность за результаты категорировании лежит полностью на субъекте КИИ, а не на подрядчике. Подрядчик должен отвечать перед Заказчиком (субъектом) за результаты своих работ по категорированию в рамках договорных отношений.

вторник, 27 ноября 2018 г.

Итоги второй встречи блогеров с представителями ФСТЭК России по теме КИИ



26 ноября состоялась уже вторая встреча представителей ФСТЭК России (во главе с В.С. Лютиковым) и ИБ-блогеров, освещающих тему КИИ (Комаров А., Комаров В., Кузнецов А., Луцик П.). В этот раз у каждого блогера была возможность задать регулятору по 5 вопросов, плюс некоторые вопросы родились уже по ходу диалога. Спасибо коллегам из ФСТЭК за предоставленную возможность поучаствовать в таких встречах и не только услышать мнение регулятора, но и высказаться по беспокоящим вопросам законодательства. Ниже публикую мнение регулятора по заданным мной (первые пять в таблице) и смежным вопросам. 
Остальные участники встречи думаю тоже отпишутся в своих блогах по своим вопросам.

Вопрос
Мнение ФСТЭК
1
Согласно 127-ПП процесс становится критическим, если его нарушение может привести к негативным социальным,.. последствия. При этом не указано о каких именно последствиях идет речь – о тех, которые указаны в показателях критериев категорирования или вообще о любых?
Если негативные последствия нарушение процесса возможны, но по своему масштабу не дотягивают до значений показателей 3-й категории значимости, то такой процесс необходимо считать критическим или нет?
Например, если по социальному критерию значение показателя б) по количеству людей, условия жизнедеятельности которых могут быть нарушены (тыс. человек) – будет равно 10, в то время когда третья категория начинается с цифры более или равно 50.
Речь идет о соответствующих последствиях, определяемых показателями критериев значимости в 127-ПП. В исходной версии проекта 127-ПП такое пояснение было, но в итоговый документ не вошло.
Если указанные в показателях критериев значимости негативные последствия нарушения процесса возможны, то его необходимо считать критическим, даже если по своему масштабу последствия не дотягивают до 3-й категории значимости
2
Как реагировать субъектам на письма относительно необходимости категорирования объектов КИИ со стороны лиц, не имеющих на то полномочий?
Стараться прислушиваться и реагировать конструктивно. Если Организация является субъектом КИИ, то рекомендуется приступить к категорированию или сообщить текущий статус категорирования, ели процесс категорирования уже идет. Если Организация субъектом КИИ себя не считает или не имеет объектов КИИ, подлежащих категорированию, то необходимо сообщить об этом автору письма, приложив к ответу необходимые пояснения.
3
На какие моменты будет обращать внимание ФСТЭК при рассмотрении полученных от Субъекта заполненных форм «Сведения о результатах..» и принятии решений об отправке обратно на доработку?
Регулятор планирует обращать внимание на все пункты заполненных форм, но особое внимание будет уделяться обоснованию присвоения той или иной категории либо отсутствия необходимости присвоения категории. При этом регулятор будет обращать внимание на адекватность и грамотность заполнения формы по 236 приказу. Это должна быть не отписка, а осознанно проделанная работа по проведению категорирования.
4
Рекомендуемая на текущий момент последовательность действий субъекта при появлении изменений, касающихся перечня объектов КИИ и/или результатов категорирования (произошло слияние с другой организацией, поглощение, покупка, появились или выявились новые ОКИИ, произошел вывод из эксплуатации существующих ОКИИ и т.д.), если до этих изменений перечень объектов КИИ и/или сведения по результатам категорирования субъектом уже были отправлены во ФСТЭК?
Если произошли изменения в части результатов категорирования, то необходимо провести повторное категорирование, касающееся изменившихся объектов КИИ и далее направить во ФСТЭК только изменения в результатах категорирования. Направлять повторно полные сведения не требуется.
При этом направлять во ФСТЭК изменения в перечне объектов КИИ, подлежащих категорированию, на текущий момент не требуется. В этой связи планируются изменения в 127-ПП, согласно которым субъект должен будет не только разработать упомянутый перечень, но и вести его. Если после разработки исходного перечня какие-то объекты добавились или удалились, то субъект должен будет направлять во ФСТЭК изменения, произошедшие в перечне.
5
Рекомендуемая последовательность действий субъекта при отправке во ФСТЭК перечня объектов КИИ и далее Сведений по результатам категорирования (Адрес? На чье имя? Что вкладывать в отправляемый конверт помимо Перечня/Сведений? Нужно ли вкладывать реестр/опись? Заказное письмо? Нужно ли вкладывать в конверт электронную копию, на каком носителе – USB, CD? и т.д.)
Единой рекомендованной последовательности нет. Каждый субъект вправе направить перечень и сведения по результатам категорирования в соответствии с принятыми в Организации правилами делопроизводства. Если говорить о минимальном наборе действий, то достаточно направить Перечень/Сведения и сопроводительное письмо.
Направлять перечень и сведения можно и на Лютикова и на Шевцова, но рекомендуется на ФСТЭК России, без указания ФИО и должностей адресатов.
6
Есть ли взаимосвязь между величиной ущерба по показателям критериев значимости в 127-ПП и тяжкими последствиями в ст. 274.1 УК РФ
Нет, такой взаимосвязи нет
7
Планируется ли в ближайшее время выпуск информационных сообщений по КИИ со стороны ФСТЭК?
Да, планируется - до конца 2018 года.
8
Необходимо ли будет провести повторное категорирование объектов КИИ после внесения изменений в 127-ПП, касающихся значений показателей критериев значимости?
Да, необходимо будет провести повторное категорирование по изменившимся показателям
9
Что в 187-ФЗ означает, что объект КИИ должен принадлежать субъекту … на ином законном основании?
Это в том числе (но не ограничиваясь) означает «право пользования» объектом КИИ. В свою очередь любое использование объекта КИИ для получения прибыли подпадает под понятие «право пользования».
10
Требуется ли при описании средств защиты в рамках заполнения формы по 236 приказу ФСТЭК учитывать требования 235 и 239 приказов?
Нет, не требуется. В камках категорирования описывается текущая картина по ИБ, а не целевая.
11
Какой замысел был у   ФСТЭК при включении Модели угроз в этап разработки мер (а не в этап установления требований) в 239 приказе ФСТЭК?
На этапе установления требований детально смоделировать угрозы проблематично. Можно только высокоуровнево, но это не очень эффективно. Эффективнее моделировать угрозы на этапе проектирования, когда определяется архитектура. Кроме этого основанием для создания системы защиты как правило является уже разработанное ТЗ на всю систему, когда Модели угроз еще нет.
12
Какой методики по моделированию угроз стоит придерживаться для моделирования угроз на значимых объектах КИИ?
До утверждения отдельных методических документов для моделирования угроз на значимых объектах КИИ рекомендуется придерживаться соответствующих методических документов по КСИИ (это в том числе указано в информационном сообщении ФСТЭК от 4 мая 2018 г. N 240/22/2339: Базовая модель угроз и Методика определения актуальных угроз.
Снимать пометку ДСП с данных документов не планируется.
13
Ожидаемые сроки выхода методических документов ФСТЭК?
Методические рекомендации по проведению категорирования: вторая половина 2019 года;
Методический документ по применению мер защиты в 17/21/31/239 приказах ФСТЭК: конец 2018 - начало 2019.
Методические документы по моделированию угроз на значимых объектах КИИ: сроки пока не определены
14
Рекомендуемая последовательность действий, если организация не считает себя субъектом или считает себя объектом, но у нее нет объектов КИИ, подлежащих категорированию
Если организация не считает себя субъектом КИИ, то, например, по запросу руководства юридическая служба организации, изучив соответствующие нормы законодательства по КИИ, может написать соответствующую докладную записку и хранить ее в организации для собственного спокойствия, хотя это не требуется.
Если организация является субъектом, но считает, что у нее нет объектов КИИ, то для этого необходимо организовать комиссию, провести соответствующие работы по подтверждению того, что объектов КИИ, подлежащих категорированию, в организации нет и отразить данный факт в соответствующем внутреннем Акте и дальше хранить этот Акт внутри организации, направлять во ФСТЭК его не нужно.
15
Просьба детальнее прокомментировать прозвучавшую на первой встрече необходимость категорирования распределенных систем со стороны организаций, использующих данные системы, но не владеющих ими
Этот вопрос еще будет прорабатываться ФСТЭК. В этой связи планируются соответствующие изменения в 127-ПП. В настоящее время единого подхода нет. Подобные случаи будут рассматриваться регулятором индивидуально в ответ на официальные запросы со стороны субъектов КИИ
16
На какие адреса электронной почты можно обращаться с официальными и рабочими запросами по теме КИИ?
Официальные запросы необходимо присылать на адрес: postin@fstec.ru
Запросы на разъяснения в рабочем порядке необходимо присылать на адрес: otd25@fstec.ru