187-ФЗ «О безопасности КИИ РФ»

В своем выступлении Алексей рассказал о значимых компьютерных инцидентах 2020 года в различных отраслях экономики. Основной нитью выступления, официального представителя ФСТЭК, было обозначить позицию ФСТЭК России как регулятора в области безопасности КИИ к субъектам КИИ.

Ниже мы привели значимые, по нашему мнению, заявления представителя ФСТЭК:

Со следующего года в сфере обеспечения безопасности [КИИ] будут серьезные проверки… мы активно начинаем работать с теми субъектами КИИ, кто еще не пошевелился…в рамках выездных мероприятий будем обращать внимание на сокрытие объектов КИИ и на занижение их значимости

План конкретных мероприятий по реализации ФЗ отсутствует. Т.е. значимый объект определен, а как его приводить в соответствие субъект себе еще не понимает… при том, что категорию значимости он присвоил 1 или 2 года назад… надо уже как-то разобраться и понять в какую сторону грести… в каком порядке какие меры внедрять и вообще, что делать что бы обеспечить выполнение норм ФЗ-187… При госконтроле мы будем учитывать не только реализованные мероприятия, но и запланированные… Мы будем входить в положение, но нам важно понимать, что у вас спланированы мероприятия и выделен советующий бюджет.

Что мы видим на практике… Либо планов нет… либо планы из себя представляют следующее:

1. через 10 лет обеспечить соблюдение требований 235 и 239 приказов…

2. Проинформировать об этом ФСТЭК России.

Это не то что мы [ФСТЭК] хотели..

Угрозы внешнего нарушителя… Иной раз смотришь и диву даешься. Вроде объект распределенный и имеет связь с информационными сетями общего пользования, а внешний нарушитель признан неактуальным. Мы на это обращаем внимание…

Нет ОРД даже на уровень инструкций даже на уровне концепций даже на уровне моделей в отдельных случаях… не очень корректно… если значимый объект, то ОРД нужно разрабатывать и внедрять и им руководствоваться

Не реализуются меры по информированию работников … в связи с этим мы видим печальные ситуации, когда открываются письма с соответствующими вкладками, когда скачиваются непонятные «exe» файлы и запускаются. С этим тоже нужно работать и первый и основной вектор атаки на компьютерные системы это через человека

Персонал не осведомлен об угрозах информационной безопасности и правилах эксплуатации… С личным составом нужно работать и принимать меры по информированию персонала

…с начала марта основная часть компьютерных атак осуществляется на сферу здравоохранения, на учреждения в сфере здравоохранения. … к этому нужно быть готовым и воспринимать как серьезную проблему

Непрофильные подразделения отвечают за безопасность КИИ… кого мы только не видели …видели и юристов, мы видели ИТ-шников, мы видели экономистов… надо что бы безопасностью занимался специалист по безопасности

Применяются средства защиты, не прошедшие оценку соответствия. Напомню, в соответчики с 239 и 235 приказами применяемые средства защиты необходимо либо сертифицировать… и должно быть соответствующий документ о том, что они соответствуют требованиям по функционалу, а с 23 года уже и по уровню доверия

Посмотреть видеозапись выступления заместителя начальника управления ФСТЭК Россия Алексея Кубарева.

Посмотреть презентацию «Вопросы реализации федерального закона 187-ФЗ «О безопасности критической информационной инфраструктуры РФ»

Посмотреть запись всех выступлений в рамках секции «Кибербезопасность цифрового предприятия» конференции «All-Over-IP-2020»