КИИ. Блогеры. ФСТЭК


На прошлой неделе состоялась встреча блогеров (С. Борисов, А. Комаров, В. Комаров, А. Кузнецов, А. Лукацкий, П. Луцик), регулярно пишущих по теме КИИ с руководством и специалистами ФСТЭК России ответственными за КИИ. Коллеги (под давлением общественности) поспешили скорее опубликовать свои статьи чтобы донести до Вас добытую информацию.  Я же в этой заметке хочу поделиться некоторыми общими мыслями и впечатлением, а по конкретике пройдусь отдельными статьями. 

Про блогеров. В комментариях под статьями коллег, есть комментарии от читателей типа “почему вообще позвали этих блогеров?”, “да они же теоретики”, “зачем нам вообще ваше мнение”, “да зачем нам вообще мнение ФСТЭК, они и прав разъяснять ФЗ не имеют”. Уж так сложилось что в области КИИ уже действует большое количество НПА (уже 17, а будет больше). Ответственные за ИБ в своих организациях, в силу своего опыта и квалификации пытаются разобраться как им выполнять эти НПА – в чем-то у них возникают вопросы и сложности, в чем-то хотят узнать, как делают коллеги, в чем-то хотят не делать самим, а взять готовое и в чем-то хотят узнать, мнение регулятора.
Блогер – это тот, который добывает и доносит до читателей нужную им информацию. Как добывает информацию? Проводит собственный анализ, отбирает возможное для публикации из практики своей компании, посещает мероприятия с интересными ИБ докладами и круглыми столами, смотрит лучшие вебинары ИБ, обменивается информацией с ИБ специалистами, задает вопросы регулятору.  Но главное, что блогер публикует эту информацию.
Вы можете быть большим экспертом, вы можете знать все про КИИ, СЗИ и киберугрозы. Может быть у вас уже проведено категорирование и создана эффективная система защиты ЗОКИИ. Но какая польза от этого другим ИБ специалистам, если вы не поделитесь подробностями и держите это в себе?
Приглашенные на встречу блогеры регулярно писали на тему КИИ. Иногда даже пересказывали позицию ФСТЭК. Но не всегда правильно. Одна из целей встречи дать правильную позицию. Чтобы если уж взялись доносить позицию ФСТЭК, то доносили правильно.  

Про ФСТЭК. Исходя из озвученной на встрече позиции ФСТЭК по ключевым вопросам, а также по их планах корректировки ПП 127 и своих приказов создалось впечатление что ФСТЭК хочет, чтобы у субъектов КИИ осталось как можно меньше вариантов для сомнений, чтобы категорирования прошло как можно быстрее, владельцы значимых объектов уже приступили к их защите, и чтобы сам ФСТЭК мог эффективно исполнять свои обязанности и реализовывать свои права.
Поэтому по некоторым пунктам позиция ФСТЭК может показаться в чем-то несправедливой отдельным операторам, но именно такая позиция позволит большинству субъектов как можно быстрее и проще выполнить возложенные на них обязанности.
Аналогичное мнение я слышал и от ИБ блогеров, с которыми удалось пообщаться: надо меньше рассуждать, а просто взять и начать делать то, что требуется НПА. Будете подавать сведения в ФСТЭК, заодно и получите отзыв, правильно или нет.

Про вопросы КИИ. Опыт встречи показал, что ФСТЭК готова обсуждать в таком формате, только общие вопросы, касающиеся всех субъектов КИИ в целом. Частные случаи, касающиеся выполнения требований в отдельных организациях, ФСТЭК обсуждать с нами не будет (а таких было много среди 150 подготовленных заранее вопросов к ФСТЭК)
Но будет обсуждать эти вопросы с вами – субъектами КИИ, а также с лицензиатами, проводящими работы по контракту. Поэтому не откладывая проводите работы по категорированию, не стесняйтесь звонить и писать в ФСТЭК. Если сочтете возможным, делитесь полученной информацией. Не знаете как – передайте одному из упомянутых блогеров, помогут опубликовать.    

PS: Рекомендую ознакомится с подготовленными по итогам встречи со ФСТЭК публикациями в блогах у Алексея Комарова, Александра Кузнецова, Павла Луцика, Алексея Лукацкого.
Я планирую сделать несколько статей, которые будут доступны по тегу КИИ. Также стоит ожидать полезной информации в блоге Валерия Комарова.  


Комментарии

Отправить комментарий

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Изображение
Как показывает практика, немногие организации помнят и руководствуются приказом ФАПСИ (правопреемником которой является ФСБ России) от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну ". А ведь Инструкция является обязательной при использовании сертифицированных СКЗИ для обеспечения безопасности информации ограниченного доступа (подлежащей защите в соответствии с законодательством РФ).     А это ПДн, все виды тайн, ГИСы, НПСы, будущие КИИ. С 2008 по 2012 год для ПДн действовало послабление в виде “Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обесп
Далее...

Модель угроз безопасности клиента финансовой организации

Изображение
  Уже более 2 месяцев как вступил в силу методический документ ФСТЭК по моделированию угроз, а ни одного публичного примера модели угроз информационной безопасности сообществом не было опубликовано. Как мы обсуждали на межблогерском вебинаре по моделированию угроз ИБ , такой пример мог бы сильно помочь ответственным лицам, обязанным руководствоваться данной методикой. Пример модели угроз обещал сделать Алексей Лукацкий, но пока у него получилась серия публикаций про проблемы моделирования и примера ещё нет. В УЦСБ в рамках услуг по моделированию угроз, коллеги уже провели необходимую аналитику и подготовили внутренние средства автоматизации для разработки МУ, что уже говорит о возможности моделирования угроз по новой Методике.  К последнему межблогерскому вебинару по безопасности клиентов финансовых организаций я решил проверить насколько адекватной получится модель угроз для типового сегмента клиента ФО (а для данной статьи ещё и обновил графическое оформление). Давайте посмот
Далее...

КИИ. Категорирование объектов, часть 3

Изображение
Продолжаем проводить категорирование объекта КИИ на примере организации сферы здравоохранения. На предыдущем этапе мы выявили критические процессы организации. Теперь определяем объекты КИИ и отправляем их на согласование (этап простой и очевидный, но постараюсь добавить несколько полезных моментов) 3. Определение объектов КИИ Продолжаем начатое на прошлых этапах (а можно и совместить 1-3) общение с руководителями подразделений. Спрашиваем какие ИС или АСУ обрабатывают информацию, необходимую для обеспечения выявленных критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов. Отдельно в ИТ подразделении получаем полный перечень ИС (он должен был готовится в рамках мероприятий по ПДн) и АСУ, совместно с ИТ выкидываем из перечня ИС, не связанные с критическими процессами (как правило, кадровые, бухгалтерские, отчетность, банк-клиенты). В результате, того, что данные об ИС и АСУ получены не из одного источника, гарантируется его
Далее...