Первая заповедь ИБ гласит, что общая защищенность системы равняется защищенности наименее защищенной ее части. Как правило, наименее защищенной частью является человек — обычно это работник, который взаимодействует с системой, но иногда даже безопасник. Поэтому всем нам надо быть крайне внимательными и помогать друг другу.
Алексей Кубарев, заместитель начальника управления ФСТЭК России
Напомню что с 1 января 2021 г. вступает в силу требование об образовании сил обеспечения безопасности КИИ, а именно ответственных за обеспечение безопасности. Напомню также, что со следующего года начинается госконтроль, и представители ФСТЭК России будут ездить на объекты КИИ. А в Госдуме сейчас рассматривается законопроект изменений в КОАП в части правонарушений за несоблюдение норм законодательства в области обеспечения безопасности КИИ.
– Вы упомянули о плановых и внеплановых проверках. Будет ли опубликован график таких проверок?
– План проверок в области обеспечения безопасности закрытый, поэтому опубликован он не будет. Но в соответствии с законодательством всем субъектам, подпадающим под госконтроль в следующем году, до 1 января 2021 г. мы направим соответствующее уведомление.
– А как будут проходить внеплановые проверки?
– Внеплановые проверки будут проходить в случае поступления обращения в ФСТЭК о произошедшем компьютерном инциденте. Если время позволяет, то мы заранее посылаем приказ субъекту КИИ, если нет, то ознакомим с приказом уже на месте.
– Правильно ли считать, что ФСТЭК выступает против найма подрядных организаций в рамках процессов обеспечения безопасности КИИ?
– Мы не приветствуем привлечение подрядных организаций для категорирования, но для реализации мер обеспечения безопасности это вполне допустимо.
– Но позиция ФСТЭК ведь не исключает использование консультантов, то есть внешней компетенции, и речь идет именно об ответственности за документ и об использовании внутренней экспертизы самого владельца КИИ?
– Дело не только в ответственности. Субъекту КИИ в процессе выполнения требований 187-ФЗ необходимо оценивать свои информационные ресурсы, свои бизнес-процессы, и мы считаем, что лучше, чем сам субъект КИИ, в этом никто не разберется. Все эти сведения нужно сопоставить, и потом уже приступать к оценке возможных последствий, в этом лучше, чем субъект КИИ, тоже никто не разбирается. Существуют отраслевые методички в части выполнения норм закона, вот они и есть лучшие консультанты.
– Есть ряд вопросов о разграничении ответственности. Становятся ли контрагенты предприятия ВПК, выполняющие совместные контракты в рамках гособоронзаказа, субъектами КИИ? Если да, то на какой срок?
– При определении субъектов КИИ, которые осуществляют деятельность сфере оборонной промышленности, мы ориентируемся на перечень, утвержденный Минпромторгом. Если организация входит в состав этого перечня, то мы с ней работаем, более того, мы с ней уже поработали.
Если же речь идет просто о подрядчике, который, скажем, привезет бетон или поставит дисплеи для общего использования, то мы не считаем, что эта организация осуществляет деятельность в сфере оборонной промышленности.
– Как субъект КИИ, владелец ЗОКИИ должен определять требования к сторонним организациям, пользователям ЗОКИИ? Достаточно ли указать категорию значимости? Или нужно указать конкретные меры защиты, которые должны выполняться пользователями? Или необходимо указывать актуальные угрозы, которые должны быть нейтрализованы на стороне пользователей?
– Нужно действовать в зависимости от ситуации. Но в любом случае ответственность лежит на субъекте КИИ, которому объект принадлежит на законном основании. И именно от субъекта КИИ мы будем требовать выполнение всех необходимых мер. Кем эти меры должны быть непосредственно реализованы, это уже второй вопрос. Но важно, чтобы меры были реализованы. Субъект КИИ вправе для этого заключать договоры, распределять ответственность, разграничивать обязанности. Но, повторюсь, важно, чтобы безопасность объекта КИИ была обеспечена.
– При категорировании ОКИИ учитывается только ущерб федеральному бюджету? Или также и региональным бюджетам и внебюджетным фондам, например, ПФР?
– В показателе написано: “ущерб бюджетам Российской Федерации” к которым относятся и региональные, и иные бюджеты.
– Какова судьба методики моделирования угроз?
– Проект методики с сайта нами снят, но полезные замечания и предложения по нему продолжают поступать, поэтому мы продолжаем работать над этим проектом.
– Обсуждался вопрос о мерах принуждения производителей ПО, используемого в ЗОКИИ, которые не являются лицензиатами ФСТЭК. Найдено ли какое-то решение?
– Нет, пока еще решения нет, мы думаем над этим. Время еще есть.
– Вопрос о проектировании со ссылкой на опыт проектирования объектов ТЭК, куда включаются требования об информационной безопасности. Как оценивать разработку разделов проекта информационной безопасности: дополнительная стоимость договора есть или нет, имеются ли какие-то смежные нормативы для проектной документации, к какому разделу проектной документации относить информационную безопасность и будет ли госэкспертиза на разделы по ИБ, есть ли там специалисты?
– Эти вопросы целесообразно первоначально адресовать представителям Главгосэкспертизы. Мы осуществляли с ними взаимодействие, они проводили работу и, насколько можно судить, выработали мнение по обсуждаемой теме. Если же ответ все-таки не удастся получить, то обращайтесь к нам, попробуем разобраться вместе.
– Какова позиция ФСТЭК относительно проекта Минцифры по обеспечению технологической независимости и запрету на СЗИ для ЗОКИИ, даже сертифицированых ФСТЭК?
– Мы в свое время проект этого указа согласовали в части компетенции. Обращаю внимание, что импортозамещение — не компетенция ФСТЭК. Поэтому наше отношение такое: ФСТЭК России проект указа согласован.
Если проект постановления пройдет в такой редакции, то, безусловно, он будет распространяться и на сертифицированные зарубежные средства защиты информации тоже.
– Какова процедура перевода незначимого ОКИИ в значимый ОКИИ? Каковы сроки, последовательность действий? В 127-м постановлении и 187-ФЗ нет никаких деталей.
– На самом деле вся информация имеется, там есть случаи, при которых необходимо пересматривать категорию значимости (раз в год). Поэтому нет надобности излагать новый порядок, если подходит общий. То есть ответ: в общем порядке. Если комиссия приняла решение, подписала заключение, подготовила сведения и в положенные сроки направила их в ФСТЭК России, мы их в положенные сроки рассмотрим, и дальше развилка — и по закону, и по постановлению правительства. То есть в этом случае применима общая процедура.
– Были ли прецеденты выхода организаций из статуса субъекта КИИ?
– Да, были такие случаи: организация перестала существовать, организация влилась в другую организацию, организация перестала осуществлять тот или иной вид деятельности либо организация вывела из эксплуатации все свои информационные системы, АСУ и ИТКС, такое тоже теоретически может случиться. Я в своей деятельности сталкивался со случаями, когда организация переставала существовать и когда организация переставала осуществлять виды деятельности.
– Вопрос по поводу станков с ЧПУ. Как обеспечить выполнение 239-го приказа применительно к отдельно взятому станку, не подключенному ни к какой сети, с ПО иностранного производства, если все-таки система комиссией признана ЗОКИИ?
– Нет никаких особенных сложностей. Есть требования — их необходимо реализовать. В требованиях предусмотрено, что отдельные меры можно реализовать организационными методами. Ведь, как правило, на станок нельзя установить, скажем, антивирус. Кроме того, не нужно забывать, что в требованиях предусмотрено такое мероприятие, как адаптация базового набора мер.
То есть технологии используются, а меру реализовать невозможно. Но вместо этого можно, например, поставить железную дверь, часового или видеонаблюдение, — это приемлемое решение. Поэтому вопрос надо ставить так: “Какие конкретно меры невозможно реализовать?” — и от этого отталкиваться в решении.
– Надо ли включать в перечень ОКИИ, подлежащих категорированию, вновь создаваемые ОКИИ на стадии утверждения ТЗ и направлять перечень в ФСТЭК? По 127-му постановлению направляются сразу результаты категорирования. А как быть с перечнем?
– Есть требование о предоставлении результатов категорирования, но можно направить и перечень на стадии утверждения ТЗ.
– Если объект КИИ используется, а клиентская часть эксплуатируется широким кругом лиц, которых может быть более более тысячи — подведомственные организации, клиенты, состав которых постоянно меняется, нужно ли указывать в сведениях информацию о таких лицах, эксплуатирующих объект (п. 4), и количество программно-аппаратных средств (п. 5.1)?
– Если взаимодействие происходит по клиент-серверной технологии, например через браузер, то, конечно, не нужно. Простой пример — сайт госуслуг: граждане получают к нему доступ со своего мобильного телефона, но это не значит, что субъект, которому принадлежит сайт госуслуг, должен каждый мобильный телефон включать в перечень средств. Следует считать, что это внешнее средство вычислительной техники, которое просто в той или иной части получает доступ к системе.
С другой стороны, если выделенная часть, территориально удаленная от объекта КИИ, важна для технологического процесса, обеспечиваемого этим объектом, то есть ее отключение может нарушить корректность функционирования объекта, то необходимо считать, что это есть часть объекта. Даже если таких частей тысяча, надо все указывать.
– Все объекты КИИ уникальны, но все-таки есть типовые решения, типовые подходы. Есть ли какое-то движение в плане обобщения лучших практик?
– Да, мы к этому уже тоже сами подходим и начинаем над этим работать. Это будет сложная работа, но мы постараемся ее сделать, начиная со II квартала 2021 г.
– Есть ли планы по изменению приказов ФСТЭК в 2021 г.?
– Такие планы есть, информация будет опубликована на сайте ФСТЭК России. Мы собираемся в следующем году внести изменения в приказ No31 от 14 марта 2014 г. Вполне возможно, что будут вноситься изменения и в другие документы.
– Стоит ли в 2021 г. ожидать внесения изменений в 187-ФЗ?
– Мы пока смотрим, что можно в законе усовершенствовать, чтобы он работал эффективнее. Мы считаем, что пока не сложилась достаточная правоприменительная практика, ее нужно накопить, чтобы потом единым пакетом внести нужные поправки. Но маловероятно, что это произойдет в 2021 г.
Оригинальная публикация: Журнал “Информационная безопасность”