Итоги второй встречи блогеров с представителями ФСТЭК России по теме КИИ

26 ноября состоялась уже вторая встреча представителей ФСТЭК России (во главе с В.С. Лютиковым) и ИБ-блогеров, освещающих тему КИИ (Комаров А., Комаров В., Кузнецов А., Луцик П.). В этот раз у каждого блогера была возможность задать регулятору по 5 вопросов, плюс некоторые вопросы родились уже по ходу диалога. Спасибо коллегам из ФСТЭК за предоставленную возможность поучаствовать в таких встречах и не только услышать мнение регулятора, но и высказаться по беспокоящим вопросам законодательства. Ниже публикую мнение регулятора по заданным мной (первые пять в таблице) и смежным вопросам. 
Остальные участники встречи думаю тоже отпишутся в своих блогах по своим вопросам.

№	Вопрос	Мнение ФСТЭК
1	Согласно 127-ПП процесс становится критическим, если его нарушение может привести к негативным социальным,.. последствия. При этом не указано о каких именно последствиях идет речь – о тех, которые указаны в показателях критериев категорирования или вообще о любых? Если негативные последствия нарушение процесса возможны, но по своему масштабу не дотягивают до значений показателей 3-й категории значимости, то такой процесс необходимо считать критическим или нет? Например, если по социальному критерию значение показателя б) по количеству людей, условия жизнедеятельности которых могут быть нарушены (тыс. человек) – будет равно 10, в то время когда третья категория начинается с цифры более или равно 50.	Речь идет о соответствующих последствиях, определяемых показателями критериев значимости в 127-ПП. В исходной версии проекта 127-ПП такое пояснение было, но в итоговый документ не вошло. Если указанные в показателях критериев значимости негативные последствия нарушения процесса возможны, то его необходимо считать критическим, даже если по своему масштабу последствия не дотягивают до 3-й категории значимости
2	Как реагировать субъектам на письма относительно необходимости категорирования объектов КИИ со стороны лиц, не имеющих на то полномочий?	Стараться прислушиваться и реагировать конструктивно. Если Организация является субъектом КИИ, то рекомендуется приступить к категорированию или сообщить текущий статус категорирования, ели процесс категорирования уже идет. Если Организация субъектом КИИ себя не считает или не имеет объектов КИИ, подлежащих категорированию, то необходимо сообщить об этом автору письма, приложив к ответу необходимые пояснения.
3	На какие моменты будет обращать внимание ФСТЭК при рассмотрении полученных от Субъекта заполненных форм «Сведения о результатах..» и принятии решений об отправке обратно на доработку?	Регулятор планирует обращать внимание на все пункты заполненных форм, но особое внимание будет уделяться обоснованию присвоения той или иной категории либо отсутствия необходимости присвоения категории. При этом регулятор будет обращать внимание на адекватность и грамотность заполнения формы по 236 приказу. Это должна быть не отписка, а осознанно проделанная работа по проведению категорирования.
4	Рекомендуемая на текущий момент последовательность действий субъекта при появлении изменений, касающихся перечня объектов КИИ и/или результатов категорирования (произошло слияние с другой организацией, поглощение, покупка, появились или выявились новые ОКИИ, произошел вывод из эксплуатации существующих ОКИИ и т.д.), если до этих изменений перечень объектов КИИ и/или сведения по результатам категорирования субъектом уже были отправлены во ФСТЭК?	Если произошли изменения в части результатов категорирования, то необходимо провести повторное категорирование, касающееся изменившихся объектов КИИ и далее направить во ФСТЭК только изменения в результатах категорирования. Направлять повторно полные сведения не требуется. При этом направлять во ФСТЭК изменения в перечне объектов КИИ, подлежащих категорированию, на текущий момент не требуется. В этой связи планируются изменения в 127-ПП, согласно которым субъект должен будет не только разработать упомянутый перечень, но и вести его. Если после разработки исходного перечня какие-то объекты добавились или удалились, то субъект должен будет направлять во ФСТЭК изменения, произошедшие в перечне.
5	Рекомендуемая последовательность действий субъекта при отправке во ФСТЭК перечня объектов КИИ и далее Сведений по результатам категорирования (Адрес? На чье имя? Что вкладывать в отправляемый конверт помимо Перечня/Сведений? Нужно ли вкладывать реестр/опись? Заказное письмо? Нужно ли вкладывать в конверт электронную копию, на каком носителе – USB, CD? и т.д.)	Единой рекомендованной последовательности нет. Каждый субъект вправе направить перечень и сведения по результатам категорирования в соответствии с принятыми в Организации правилами делопроизводства. Если говорить о минимальном наборе действий, то достаточно направить Перечень/Сведения и сопроводительное письмо. Направлять перечень и сведения можно и на Лютикова и на Шевцова, но рекомендуется на ФСТЭК России, без указания ФИО и должностей адресатов.
6	Есть ли взаимосвязь между величиной ущерба по показателям критериев значимости в 127-ПП и тяжкими последствиями в ст. 274.1 УК РФ	Нет, такой взаимосвязи нет
7	Планируется ли в ближайшее время выпуск информационных сообщений по КИИ со стороны ФСТЭК?	Да, планируется - до конца 2018 года.
8	Необходимо ли будет провести повторное категорирование объектов КИИ после внесения изменений в 127-ПП, касающихся значений показателей критериев значимости?	Да, необходимо будет провести повторное категорирование по изменившимся показателям
9	Что в 187-ФЗ означает, что объект КИИ должен принадлежать субъекту … на ином законном основании?	Это в том числе (но не ограничиваясь) означает «право пользования» объектом КИИ. В свою очередь любое использование объекта КИИ для получения прибыли подпадает под понятие «право пользования».
10	Требуется ли при описании средств защиты в рамках заполнения формы по 236 приказу ФСТЭК учитывать требования 235 и 239 приказов?	Нет, не требуется. В камках категорирования описывается текущая картина по ИБ, а не целевая.
11	Какой замысел был у   ФСТЭК при включении Модели угроз в этап разработки мер (а не в этап установления требований) в 239 приказе ФСТЭК?	На этапе установления требований детально смоделировать угрозы проблематично. Можно только высокоуровнево, но это не очень эффективно. Эффективнее моделировать угрозы на этапе проектирования, когда определяется архитектура. Кроме этого основанием для создания системы защиты как правило является уже разработанное ТЗ на всю систему, когда Модели угроз еще нет.
12	Какой методики по моделированию угроз стоит придерживаться для моделирования угроз на значимых объектах КИИ?	До утверждения отдельных методических документов для моделирования угроз на значимых объектах КИИ рекомендуется придерживаться соответствующих методических документов по КСИИ (это в том числе указано в информационном сообщении ФСТЭК от 4 мая 2018 г. N 240/22/2339: Базовая модель угроз и Методика определения актуальных угроз. Снимать пометку ДСП с данных документов не планируется.
13	Ожидаемые сроки выхода методических документов ФСТЭК?	Методические рекомендации по проведению категорирования: вторая половина 2019 года; Методический документ по применению мер защиты в 17/21/31/239 приказах ФСТЭК: конец 2018 - начало 2019. Методические документы по моделированию угроз на значимых объектах КИИ: сроки пока не определены
14	Рекомендуемая последовательность действий, если организация не считает себя субъектом или считает себя объектом, но у нее нет объектов КИИ, подлежащих категорированию	Если организация не считает себя субъектом КИИ, то, например, по запросу руководства юридическая служба организации, изучив соответствующие нормы законодательства по КИИ, может написать соответствующую докладную записку и хранить ее в организации для собственного спокойствия, хотя это не требуется. Если организация является субъектом, но считает, что у нее нет объектов КИИ, то для этого необходимо организовать комиссию, провести соответствующие работы по подтверждению того, что объектов КИИ, подлежащих категорированию, в организации нет и отразить данный факт в соответствующем внутреннем Акте и дальше хранить этот Акт внутри организации, направлять во ФСТЭК его не нужно.
15	Просьба детальнее прокомментировать прозвучавшую на первой встрече необходимость категорирования распределенных систем со стороны организаций, использующих данные системы, но не владеющих ими	Этот вопрос еще будет прорабатываться ФСТЭК. В этой связи планируются соответствующие изменения в 127-ПП. В настоящее время единого подхода нет. Подобные случаи будут рассматриваться регулятором индивидуально в ответ на официальные запросы со стороны субъектов КИИ
16	На какие адреса электронной почты можно обращаться с официальными и рабочими запросами по теме КИИ?	Официальные запросы необходимо присылать на адрес: postin@fstec.ru Запросы на разъяснения в рабочем порядке необходимо присылать на адрес: otd25@fstec.ru

Итоги встречи ИБ-блогеров с представителями ФСТЭК России по теме КИИ

Сегодня состоялась встреча представителей ФСТЭК России во главе с В.С Лютиковым и блогеров по ИБ (А.Лукацкий, П.Луцик, А.Комаров, В.Комаров, А.Кузнецов, С.Борисов) по теме законодательства о безопасности КИИ. Полагаю, каждый участник встречи со стороны блогеров сделает соответствующую заметку по результатам встречи.

Что касается самой встречи, то из 153 собранных с сообщества вопросов обсудить успели лишь некоторые, относящиеся к общим нормам законодательства. Частные вопросы (из серии, а Водоканал – это субъект?) не обсуждались. Весь перечень вопросов пока публиковаться не будет, т.к. был собран из разных источников.

На мой личный взгляд встреча оказалась весьма продуктивной и полезной для обеих сторон. Регулятором было предложено проводить подобные встречи на регулярной основе, что не может не радовать, особенно учитывая тот факт, что позиция регулятора по некоторым вопросам оказалась весьма неожиданной, а значит, профессиональное сообщество в своем большинстве о ней не знало, но благодаря таким встречам сможет узнать.

Далее приведу позицию ФСТЭК по обсуждаемым вопросам.

 Определение субъекта КИИ.

На текущий момент регулятор трактует его следующим образом. Для того, чтобы Организация подпадала под определение субъекта КИИ, должно выполняться два критерия (если хотя бы один критерий не выполняется, то она не субъект КИИ):

1. Организация должна функционировать в одной из указанных в определении субъекта КИИ сфер. Не ИС/АСУ/ИТС должна функционировать в одной из сфер, как предполагалось изначально, а именно сама Организация. И тут снова вспоминаем про Устав, Лицензии и ОКВЭД.
2. Организация на законных основаниях владеет ИС/АСУ/ИТС. При этом обязательная привязка ИC/АСУ/ИТС к одной из сфер в данном случае отсутствует.

По неподтвержденной информации данная позиция согласована между ФСТЭК и ФСБ.

При этом если Организация функционирует в одной из сфер, у нее есть ИС/АСУ/ИТС, но нет объектов КИИ, подлежащих категорированию (критические процессы не автоматизированы), то организация тоже не подпадает под определение субъекта КИИ.

Кроме этого регулятором была озвучена более ожидаемая позиция относительно попадания под определение субъекта КИИ со стороны Органов местного самоуправления. Они не подпадают под определение субъекта КИИ, т.к. не являются государственными органами и юридическими лицами (в терминах гражданского кодекса).

 Определение объекта КИИ

Объектами КИИ являются только те ИС/АСУ/ИТС, которые подлежат категорированию и соответственно попадают в перечень объектов КИИ, подлежащих категорированию. Остальные ИС/АСУ/ИТС, не попавшие в данный перечень, объектами КИИ не являются. В отличие от предыдущего вопроса, информации о согласовании или не согласовании позиции регуляторов между собой по данному вопросу, нет.

Спорной на мой и не только взгляд является озвученная позиция регулятора относительно того, что если субъект пользуется какой-то централизованной ИС, которая ему не принадлежит, но при этом у него есть обязанность по ее использованию (например, Минздрав обязал ЛПУ на основании какого-то акта использовать определенную централизованную медицинскую ИС для ведения записей о пациентах) и есть права не только на чтение (например, на редактирование, внесение новых записей и т.д.), то субъект должен рассматривать свою часть системы в качестве объекта КИИ, подлежащего категорированию со всеми вытекающими. Так, рассматриваемая медицинская система должна рассматриваться в качестве объекта КИИ не только ее владельцем, но и всеми ЛПУ, которые имеют к ней доступ на внесение информации о пациентах. Получается, что одна ИС будет фигурировать в результатах категорирования нескольких субъектов КИИ и вполне возможно иметь различные категории. Вопрос опять же спорный, возможно регулятор как-то дополнительно прокомментирует этот момент на ближайшем SOC-форуме.

Сроки категорирования объектов КИИ

Перечни объектов КИИ, подлежащих категорированию, от всех субъектов КИИ уже должны быть у ФСТЭК. Но по субъективным оценкам регулятора хоть какую-то активность в этом направлении на текущий момент ведут только 5-6% Организаций от общего количества субъектов КИИ.

Сведения о результатах категорирования ФСТЭК от всех мелких субъектов КИИ также уже должны быть у регулятора, но по факту вспоминаем про 5-6% из пункта выше. Для крупных Организаций с большим количеством объектов КИИ для выполнения категорирования регулятор готов предоставить год с момента утверждения перечня объектов КИИ.

В ближайшем будущем регулятор планирует определиться с вариантом внесения изменений в 127-ПП относительно сроков формирования перечня и дальнейшего категорирования. Первый вариант – указать в 127-ПП срок формирования перечня (например, 6 месяцев, как было в первой редакции 127-ПП) и дальше как и сейчас дается год на категорирование. Второй вариант – указать конкретный срок на формирование перечня и/или проведения категорирования (например, до конца 2019 года).

Необходимость наличия лицензий ФСТЭК для оказания услуг по категорированию

Наличие каких-либо лицензий ФСТЭК для оказания услуг по категорированию не требуется. Категорирование по 127-ПП должен выполнить субъект КИИ, а кого он дополнительно будет привлекать себе в помощь и будет ли привлекаемая организация иметь лицензию, регулятора не волнует.

 Учет компенсирующих мер в процессе категорирования

Системы резервного копирования, вторые контуры, противоаварийная автоматика и т.д. не должны учитываться в процессе категорирования.

Ответственность за сокрытие информации о наличии объектов КИИ или занижении категории значимости

Например, субъект решил, что все его ИС имеют компенсирующие меры, которые в случае атаки не дадут случиться соответствующему ущербу, и поэтому перечень объектов КИИ остался пустым. В этом случае возможен сценарий при котором регулятор в процессе проверки (даже не по 187-ФЗ) обнаруживает ИС, которые по ему мнению являются как минимум объектами, подлежащими категорированию и как максимум значимыми объектами, тогда регулятор инициирует проверку с изучением материалов и дальше возможна административная ответственность для субъекта, если регулятор сможет доказать свою правоту. 

Органы, уполномоченные трактовать 187-ФЗ и 127-ПП?

Таких на текущий момент нет. И в ближайшее время вряд ли такой орган будет назначен.


Внесение изменений в 187-ФЗ и иные НПА по КИИ
В 187-ФЗ в обозримом будущем внесение изменений не планируется. Но планируется в 127-ПП, 236 и 239, приказы ФСТЭК и КОАП.

В 127-ПП планируется:

• внести изменения, касающиеся категорирования создаваемых объектов, а именно указать, что данным объектам будет присваиваться предварительная категория, которая впоследствии должна/может уточняться;
• определить на каком этапе создания объектов необходимо будет отправлять сведения о результатах категорирования во ФСТЭК – на этапе ТЗ, проекта или введения в эксплуатацию (какие-то изменения по этому поводу планируются и в 239 приказе ФСТЭК);
• указать сроки формирования перечня объектов КИИ и проведения категорирования;
• скорректировать пункты, касающиеся выявления критических процессов;
• скорректировать ряд показателей.

В 236 приказ ФСТЭК планируется внести некоторые изменение в части создания систем безопасности интегрируемых структур (холдингов).

В КОАП планируется внести статью (если правительство одобрит), которая будет вводить ответственность за:

• Непредоставление перечня объектов КИИ в срок;
• Непредоставление сведений о результатах категорирования в срок;
• Непринятие мер защиты значимых объектов КИИ;
• Возможно что-то еще.

Ответственными органами по данной статье будут ФСТЭК, ФСБ и возможно Суд.

Все указанные выше изменения в НПА планируются в 1-м квартале 2019 года.