Журнал "Information Security/ Информационная безопасность" #6, 2020

– Какова судьба методики моде- лирования угроз? – Проект методики с сайта нами снят, но полезные замечания и предложения по нему продолжают поступать, поэтому мы продолжаем работать над этим про- ектом. – Обсуждался вопрос о мерах принуждения производителей ПО, используемого в ЗОКИИ, которые не являются лицензиа- тами ФСТЭК. Найдено ли какое- то решение? – Нет, пока еще решения нет, мы думаем над этим. Время еще есть. – Вопрос о проектировании со ссылкой на опыт проектирования объектов ТЭК, куда включаются требования об информационной безопасности. Как оценивать раз- работку разделов проекта инфор- мационной безопасности: допол- нительная стоимость договора есть или нет, имеются ли какие- то смежные нормативы для про- ектной документации, к какому разделу проектной документации относить информационную без- опасность и будет ли госэкспер- тиза на разделы по ИБ, есть ли там специалисты? – Эти вопросы целесообразно перво- начально адресовать представителям Главгосэкспертизы. Мы осуществляли с ними взаимодействие, они проводили работу и, насколько можно судить, выра- ботали мнение по обсуждаемой теме. Если же ответ все-таки не удастся полу- чить, то обращайтесь к нам, попробуем разобраться вместе. – Какова позиция ФСТЭК отно- сительно проекта Минцифры по обеспечению технологической независимости и запрету на СЗИ для ЗОКИИ, даже сертифициро- ваных ФСТЭК? – Мы в свое время проект этого указа согласовали в части компетенции. Обра- щаю внимание, что импортозамеще- ние – не компетенция ФСТЭК. Поэтому наше отношение такое: ФСТЭК России проект указа согласован. Если проект постановления пройдет в такой редакции, то, безусловно, он будет распространяться и на сертифициро- ванные зарубежные средства защиты информации тоже. – Какова процедура перевода незначимого ОКИИ в значимый ОКИИ? Каковы сроки, последо- вательность действий? В 127-м постановлении и 187-ФЗ нет никаких деталей. – На самом деле вся информация имеется, там есть случаи, при которых необходимо пересматривать категорию значимости (раз в год). Поэтому нет надобности излагать новый порядок, если подходит общий. То есть ответ: в общем порядке. Если комиссия приня- ла решение, подписала заключение, подготовила сведения и в положенные сроки направила их в ФСТЭК России, мы их в положенные сроки рассмотрим, и дальше развилка – и по закону, и по постановлению правительства. То есть в этом случае применима общая про- цедура. – Были ли прецеденты выхода организаций из статуса субъекта КИИ? – Да, были такие случаи: организация перестала существовать, организация влилась в другую организацию, органи- зация перестала осуществлять тот или иной вид деятельности либо организация вывела из эксплуатации все свои инфор- мационные системы, АСУ и ИТКС, такое тоже теоретически может случиться. Я в своей деятельности сталкивался со случаями, когда организация переста- вала существовать и когда организация переставала осуществлять виды дея- тельности. – Вопрос по поводу станков с ЧПУ. Как обеспечить выполне- ние 239-го приказа применитель- но к отдельно взятому станку, не подключенному ни к какой сети, с ПО иностранного производства, если все-таки система комиссией признана ЗОКИИ? – Нет никаких особенных сложно- стей. Есть требования – их необходимо реализовать. В требованиях пред- усмотрено, что отдельные меры можно реализовать организационными мето- дами. Ведь, как правило, на станок нельзя установить, скажем, антивирус. Кроме того, не нужно забывать, что в требованиях предусмотрено такое мероприятие, как адаптация базового набора мер. То есть технологии используются, а меру реализовать невозможно. Но вместо этого можно, например, поставить железную дверь, часового или видеонаблюдение, – это приемле- мое решение. Поэтому вопрос надо ставить так: "Какие конкретно меры невозможно реализовать?" – и от этого отталкиваться в решении. – Надо ли включать в перечень ОКИИ, подлежащих категориро- ванию, вновь создаваемые ОКИИ на стадии утверждения ТЗ и направлять перечень в ФСТЭК? По 127-му постановлению направ- ляются сразу результаты кате- горирования. А как быть с переч- нем? – Есть требование о предоставлении результатов категорирования, но можно направить и перечень на стадии утвер- ждения ТЗ. – Если объект КИИ использу- ется, а клиентская часть экс- плуатируется широким кругом лиц, которых может быть более более тысячи – подведомствен- ные организации, клиенты, состав которых постоянно меняется, нужно ли указывать в сведениях информацию о таких лицах, эксплуатирующих объект (п. 4), и количество программно- аппаратных средств (п. 5.1)? – Если взаимодействие происходит по клиент-серверной технологии, например через браузер, то, конечно, не нужно. Простой пример – сайт госу- слуг: граждане получают к нему доступ со своего мобильного телефона, но это не значит, что субъект, которому принадлежит сайт госуслуг, должен каждый мобильный телефон включать в перечень средств. Следует считать, что это внешнее средство вычисли- тельной техники, которое просто в той или иной части получает доступ к системе. С другой стороны, если выделенная часть, территориально удаленная от объекта КИИ, важна для технологиче- ского процесса, обеспечиваемого этим объектом, то есть ее отключение может нарушить корректность функ- ционирования объекта, то необходимо считать, что это есть часть объекта. Даже если таких частей тысяча, надо все указывать. – Все объекты КИИ уникальны, но все-таки есть типовые реше- ния, типовые подходы. Есть ли какое-то движение в плане обоб- щения лучших практик? – Да, мы к этому уже тоже сами под- ходим и начинаем над этим работать. Это будет сложная работа, но мы поста- раемся ее сделать, начиная со II квартала 2021 г. – Есть ли планы по изменению приказов ФСТЭК в 2021 г.? – Такие планы есть, информация будет опубликована на сайте ФСТЭК России. Мы собираемся в следующем году внес- ти изменения в приказ №31 от 14 марта 2014 г. Вполне возможно, что будут вно- ситься изменения и в другие документы. – Стоит ли в 2021 г. ожидать внесения изменений в 187-ФЗ? – Мы пока смотрим, что можно в зако- не усовершенствовать, чтобы он работал эффективнее. Мы считаем, что пока не сложилась достаточная правопримени- тельная практика, ее нужно накопить, чтобы потом единым пакетом внести нужные поправки. Но маловероятно, что это произойдет в 2021 г. l • 23 АСУ ТП и IOT www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru