Официальная позиция ФСТЭК по срокам и этапам выполнения 187-ФЗ о Безопасности КИИ

6 июня 2018 года на заседания Совета по защите информации Томской области в рамках методического сбора с государственными органами, учреждениями и юридическими лицами являющимися субъектами критической информационной структуры на территории Томской области Управления ФСТЭК России по Сибирскому федеральному округу официально зафиксировала свою позицию по очередности категорирования с последующим построением систем безопасности значимых объектов КИИ.

 

Основные моменты, которые были решены на встрече (выдержки из протокола заседания, полная версия по ссылке): dpk.tomsk.gov.ru

 

2. В соответствии с решением Коллегии ФСТЭК России от 24.04.2018 № 59 организациям, являющимся субъектами критической информационной инфраструктуры:

 

2.1. До 1 июля 2018 г. утвердить планы мероприятий по реализации Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и принятых в соответствии с ним нормативных правовых актов, предусмотрев в них в качестве первоочередных следующие мероприятия:

  • создание до 10 июля 2018 г. комиссий по категорированию объектов критической информационной инфраструктуры;
  • разработку до 1 августа 2018 г. перечней объектов критической информационной инфраструктуры, подлежащих категорированию, и направление информации об указанных объектах в центральный аппарат ФСТЭК России;
  • создание (совершенствование созданных) до 1 сентября 2019 г. систем безопасности, включающих в том числе назначение руководящего должностного лица, ответственного за организацию и контроль обеспечения безопасности значимых объектов критической информационной инфраструктуры, создание (назначение) структурного подразделения, ответственного за обеспечение безопасности значимых объектов критической информационной инфраструктуры, а также разработку организационно-распорядительных документов по вопросам обеспечения безопасности критической информационной инфраструктуры;
  • анализ и при необходимости приведение до 1 ноября 2019 г. отраслевых (ведомственных) или локальных актов, регламентирующих вопросы обеспечения информационной безопасности и зашиты информации, в соответствие с Федеральным законом от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»;
  • проведение до 1 января 2019 г. категорирования объектов критической информационной инфраструктуры в соответствии с утвержденным перечнем и направление результатов категорирования в ФСТЭК России;
  • реализацию требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры с учетом установленных категорий значимости и особенностей их функционирования.

 

2.2. Спланировать и провести до 1 декабря 2018 г. с работниками, выполняющими функции с использованием значимых объектов критической информационной инфраструктуры, учебные занятия, в ходе которых проинформировать их о действующих требованиях по обеспечению безопасности значимых объектов критической информационной инфраструктуры и наиболее актуальных угрозах безопасности информации.

 

2.3. Включать в технические задания на создание (модернизацию) значимых объектов критической информационной инфраструктуры требования по обеспечению их безопасности, установленные пунктом 10 «Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры», утвержденных приказом ФСТЭК России от 25 декабря 2017 г. №239.

 

2.4. Проводить на регулярной основе анализ угроз безопасности информации и уязвимостей программного обеспечения, в том числе с учетом угроз и уязвимостей, содержащихся в банке данных угроз безопасности информации (bdu.fstec.ru ) и при необходимости, принимать дополнительные меры по обеспечению безопасности значимых объектов критической информационной инфраструктуры.

 

2.5. Обеспечить реализацию первоочередных мер по обеспечению безопасности значимых объектов критической информационной инфраструктуры в соответствии с пунктом 22 Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры, утвержденных приказом ФСТЭК России от 25 декабря 2017 г. № 239, обратив особое внимание на:

  • выявление инцидентов безопасности в автоматизированных (информационных) системах и реагирование на них;
  • управление конфигурацией автоматизированной (информационной) системы;
  • своевременное обновление программного обеспечения с целью устранения уязвимостей в нем;
  • исключение использования слабых паролей (паролей менее 6 буквенно-цифровых символов, словарных паролей типа «admin», «qwertyl23», «P@swOrd» и им аналогичных);
  • исключение при доступе в автоматизированные (информационные) системы и к их компонентам использование аутентификационной информации (паролей, пин-кодов), заданной по умолчанию производителями программного обеспечения и (или) используемой при настройках системы (средств) защиты информации информационной системы на этапах проектирования;
  • исключение. хранения конфигурационных файлов сетевого оборудования;
  • обеспечение разделения функций в автоматизированной (информационной) системе по администрированию (системного администратора) и администрированию средств зашиты информации (администратора безопасности), предусмотрев заведение отдельных учетных записей и разных полномочий для указанных категорий привилегированных пользователей;
  • обеспечение сегментирования автоматизированной (информационной системы), как минимум, выделение в отдельный сегмент рабочих мест для управления (администрирования);
  • регламентацию порядка подключения и доступа к ресурсам информационной системы мобильных устройств пользователей, исключение несанкционированных подключений мобильных устройств и беспроводных точек доступа;
  • периодический контроль обеспечения уровня защищенности автоматизированных (информационных) систем.

 

В итоге:

 

1. Перечень необходимо создать до 1 августа 2018 года, то есть – те же 6 месяцев, что исчезли из текста ПП127 при утверждении.

 

2. Категорирование провести до 1 января 2019 года, а это существенное ужесточение. По ПП127 дается 12 месяцев на процедуру категорирования, срезали до 5 месяцев. Ужесточение даже по сравнению с формальным подходом к выполнению ПП127 – 21 февраля 2019 года, ужесточение на полтора месяца.

 

3. И самое главное: создание систем безопасности значимых объектов КИИ до 1 сентября 2019 года. ФСТЭК считает разумным срок в 8 месяцев на создание системы безопасности. И первичное — категорирование.

 

Что необходимо учесть субъектам КИИ:

 

1. Эта позиция ФСТЭК для «мирного» времени. Если в РФ случится серьезный инцидент на объектах КИИ с тяжкими последствиями или с существенным имиджевым ущербом для страны, то «гайки зажмут» по срокам моментально и для всех.

 

2. До 1 апреля 2019 года у ФСТЭК не будет юридических оснований для привлечения к ответственности за отсутствие категорирования. (только с 21.02.2019 возможен запрос о результатах категорирования у субъекта).

 

3. ФСТЭК не планирует применять п.6 ст.13.12 КоАП в период с 21.02.2019 по 01.09.2019 года.

 

4. ФСБ ничего не обещала. И имеет такие же полномочия по привлечению к административной ответственности, что и ФСТЭК. Во всяком случае, региональные управления ФСБ не возражают против этих сроков от ФСТЭК.

 

5. На риск привлечения к уголовной ответственности по ст.274.1 УК РФ позиция ФСТЭК никак не влияет.

 

 

Источники:

https://dpk.tomsk.gov.ru

https://valerykomarov.blogspot.com

https://forum.zlonov.ru

 

Другие материалы по теме:

БЕЗОПАСНОСТЬ КИИ: КОРОТКО О ГЛАВНОМ

СРОКИ ВЫПОЛНЕНИЯ ТРЕБОВАНИЙ ФЗ-187

Назад