Прямая линия с регулятором

Здесь Вы можете задать свой вопрос по теме реализации мер для обеспечения защиты информации, который примут эксперты BISA и передадут в соответствующее ведомство регулятора, либо помогут найти ответ силами ИБ сообщества.

Вы можете задать вопрос анонимно, а можете указать e-mail для связи. Тогда, при необходимости, эксперт BISA поможет вам сформулировать ваш вопрос точнее и оповестит Вас, когда ответ будет получен.

Лучшие вопросы и ответы

При категорировании субъект КИИ должен выявить критичные процессы. А какие критерии выявления критических процессов в организации? Какие процессы субъект должен относить к критическим? По каким признакам субъект должен их выявлять, по каким критериям делить на критичные и не критичные? Примечание: в приложении 2 к ПП-127 приведены критерии определения значимости объектов КИИ, но не критичности процессов.

17.02.2022

Управленческие, финансово-экономические, производственные, технологические процессы, нарушение или прекращение функционирования, которых может повлечь потенциально наступление негативных последствий, определенных Перечнем показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127.

Л Ответил Лютиков В.С. заместитель директора ФСТЭК России, 17.02.2022
Л Лютиков В.С. заместитель директора ФСТЭК России
Читать далее

Насколько велика по вашим оценкам зависимость субъектов КИИ от иностранных ИТ и ИБ вендоров?

24.09.2020

Вопросы импортозамещения к компетенциям нашего ведомства не относятся, но мы имеем некий срез по объектам КИИ, по которым соответствующие субъекты нам представили сведения. Поэтому, я скажу так: опираясь на те сведения, которые мы имеем – это, безусловно, не характеризует все отрасли и полностью картинку не дает, но по тем объектам, которые сегодня есть – это порядка 16 тысяч систем и сетей, более 80% объектов построено исключительно на зарубежном ПО и оборудовании. Около 20% объектов КИИ, так или иначе, использует отечественное ПО и оборудование. Это только на основе тех данных, которые поступают к нам в Службу.

Л Ответил Лютиков В.С. заместитель директора ФСТЭК России, 24.09.2020
Л Лютиков В.С. заместитель директора ФСТЭК России
Читать далее

Все вопросы и ответы

17.02.2022

Компании, индивидуальные предприниматели составляют перечни объектов КИИ, подлежащих категорированию (статьи 2 и 3 ПП-127, часть 4 статьи 7 187-ФЗ), и далее выбирают те объекты, которые обеспечивают критические процессы (ст.5 ПП-127, пункты б,в). Соответственно, включают их в список объектов КИИ, подлежащих категорированию, присваивают им категорию значимости или обосновывают неприсвоение такой категории. Но остаются ИС, ИТКС, АСУ, которые согласно статье 2 187-ФЗ относятся к объектам КИИ, но процессы, которыми они управляют и т.п. (статья 3, пункты б,в статьи 5 ПП-127), не являются критическими. Правильно ли понимать, что если объекты КИИ не «обрабатывают информацию, необходимую для обеспечения критических процессов» и (или) не «осуществляют управление, контроль или мониторинг критических процессов», то они не попадают в перечень объектов КИИ, подлежащих категорированию? Правильно ли понимать, что параллельно может получиться перечень объектов КИИ, не подлежащих категорированию (или обоснованию неприсвоения категории), но в отношении которых у субъекта КИИ есть обязанности по выявлению и учёту инцидентов, информировании о них и т.п. (часть 2 статьи 9 187-ФЗ)? [Отметим, что пункт г) статьи 5 ПП-127 формально не следует из предыдущих пунктов этой же статьи (а,б,в)].

Обратимся к федеральному закону, который определяет информационные системы и сети, которые обеспечивают функционирование субъекта КИИ в определенной сфере. То есть, если у вас транспортная сфера, то надо искать (выявлять) информационные системы и процессы, которые обеспечивают его транспортную деятельность. Если он в сфере здравоохранения, то надо искать (выявлять) информационные системы и процессы в сфере здравоохранения. Но если у него помимо здравоохранения есть другие системы, к примеру, бухгалтерские, кадровые и т.д., то это де-факто согласно закону к объектам КИИ не относится.

Л Ответил Лютиков В.С. заместитель директора ФСТЭК России, 17.02.2022
Л Лютиков В.С. заместитель директора ФСТЭК России
Читать далее
17.02.2022

Ситуация: субъект КИИ не выявил у себя ни одного критического процесса. Необходимо ли составлять перечень объектов КИИ, подлежащих категорированию? Информировать об этом ФСТЭК России?

Я полагаю, что такое маловероятно. Нет процессов или не хотят видеть эти процессы - это разные категории. Поэтому мы готовы поработать вместе с такими специалистами над выявлениями у них критичного процесса.

Л Ответил Лютиков В.С. заместитель директора ФСТЭК России, 17.02.2022
Л Лютиков В.С. заместитель директора ФСТЭК России
Читать далее
17.02.2022

ФСТЭК России выступил с инициативой штрафовать не только за непредставление, но также за представление неактуальных или недостоверных сведений о результатах присвоения объекту КИИ одной из категорий значимости, либо об отсутствии необходимости присвоения ему одной из таких категорий, а также за повторное совершение вышеназванного административного правонарушения. Можно ли это понимать так, что применённые меры административного воздействия не оказали должного воздействия на субъекты КИИ (не только совершивших правонарушения, но и в целом на отрасли)? Или, если протоколы об административных правонарушениях ранее не составлялись, то почему вы считаете, что стоит ужесточать наказания, не применив сначала имеющихся рычагов воздействия по КоАП?

Наши предложения по внесению изменений в законодательство об административных правонарушениях связано с исполнением поручения, данного Президентом Российской Федерации и Правительством Российской Федерации, о чем указано в пояснительной записке к этому законопроекту. Актуальность, по нашему мнению, понятна: в реестре должны содержаться актуальные и достоверные сведения о значимых объектах КИИ, потому что на основе этого принимается решение о категории и о необходимых мерах обеспечения безопасности этих объектов. Поэтому данное предложение направлено на то, чтобы повысить ответственность за актуализацию сведений в реестре значимых объектов. При этом обязанность актуализации сведений установлена Правилами категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127 (пункт 19.1).

Л Ответил Лютиков В.С. заместитель директора ФСТЭК России, 17.02.2022
Л Лютиков В.С. заместитель директора ФСТЭК России
Читать далее
17.02.2022

С 6 июня 2021 года вступил в силу закон о внесении поправок в КоАП, в результате чего у ФСТЭК России появилась возможность привлекать субъекты КИИ к административной ответственности (часть 1 статьи 13.12.01 – с 1 сентября). В отношении какого количества субъектов были выявлены подобные правонарушения? В отношении скольких составлены протоколы? Чем завершились дела по их рассмотрению? Какие наказания были вынесены?

Вступили в силу поправки в КоАП, в соответствии с которыми не предоставление или нарушение сроков предоставления в ФСТЭК России сведений о результатах категорирования объектов КИИ является правонарушением. Согласно процедуре, предусмотренной КоАП, и в соответствии с 187-ФЗ от 26.07.2017 "О безопасности критической информационной инфраструктуры Российской Федерации" тем субъектам КИИ, которые, по нашему мнению, ещё не представили сведения, направляются требования о выполнении данного федерального закона. От даты указанной в требовании мы начинаем считать срок непредставления сведений. Если субъект не предоставляет данные, мы в праве составить протокол о правонарушении. Но на сегодняшний момент все требования о выполнении законодательства, которые мы направляем, субъектами выполняются в установленные сроки. Единственное, что у нас есть - возвраты по результатам проверки правильности категорирования субъектам КИИ, но нарушение сроков по возврату, по оценкам юристов, не попадает под эту статью, так как это уже нарушение порядка категорирования, а не нарушение сроков предоставления сведений.

Л Ответил Лютиков В.С. заместитель директора ФСТЭК России, 17.02.2022
Л Лютиков В.С. заместитель директора ФСТЭК России
Читать далее
17.02.2022

Президент России В.В. Путин подписал Федеральный закон от 30 декабря 2021 г. N 441-ФЗ "О внесении изменений в статью 15 Федерального закона "Об информации, информационных технологиях и о защите информации" и статьи 3 и 5 Федерального закона от 05.04.2021 N 79-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации", согласно которому Единая биометрическая система, содержащая данные россиян, получила статус государственной информационной системы (ГИС). Верно ли, что теперь она должна пройти аттестационные испытания на соответствие требованиям защиты информации в соответствии с приказом от 11 февраля 2013 г. N 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»?

В соответствии с принятым решением, единая биометрическая система должна защищаться Требованиями о защите информации, не составляющей государственную тайну, содержащуюся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. N 17. Значительная часть мероприятий уже реализована в соответствии с 17-м приказом.

Л Ответил Лютиков В.С. заместитель директора ФСТЭК России, 17.02.2022
Л Лютиков В.С. заместитель директора ФСТЭК России
Читать далее
17.02.2022

Можете ли вы привести примеры российских СЗИ, сделанных на российской элементной базе? Что именно там российское? Возможно ли считать российскими процессоры, пусть спроектированные в России, но произведённые за рубежом? Существуют ли методики выявления скрытых каналов передачи информации или воздействия на процессоры?

Вопрос отнесения СЗИ, ПО, ПАК к отечественным или не отечественным - не относится к компетенции ФСТЭК России. Этот вопрос регулируется актами Правительства Российской Федерации, а регуляторы в данной области - это Минцифры России в части программного обеспечения и Минпромторг России в части аппаратных средств, процессоров и т.д. Разъяснять данные положения мы не вправе.

Л Ответил Лютиков В.С. заместитель директора ФСТЭК России, 17.02.2022
Л Лютиков В.С. заместитель директора ФСТЭК России
Читать далее
17.02.2022

На BIS Summit-2020 прозвучало, что «…более 80% объектов построено исключительно на зарубежном ПО и оборудовании. Около 20% объектов КИИ, так или иначе, использует отечественное ПО и оборудование», то есть, как мы понимаем, данные относятся к составу и объектов в целом (ПАК, ППО, СПО, СЗИ). А есть ли у вас данные о применяемых СЗИ для обеспечения безопасности значимых объектов КИИ? Какой процент из них российские? Сколько импортных, но сертифицированных? Как вы считаете такие СЗИ – от общего числа инсталляций всех видов СЗИ на всех объектах? Или по каждому виду (типу) СЗИ? Или использовалась другая методика?

Согласно сведениям, представляемым субъектами критической информационной инфраструктуры по результатам категорирования принадлежащих им объектов критической информационной инфраструктуры, на сегодняшний день программные и программно-аппаратные средства защиты применяются более чем на 50% объектов. Это связано с тем, что процесс категорирования - это только начальный этап обеспечения безопасности объектов критической информационной инфраструктуры. То есть то, что программно-аппаратных средств защиты 50 % - это не критично, а наоборот, хорошо, и означает, что созданы условия для обеспечения безопасности значимых объектов. Потому что после определения категории и попадания в реестр значимых объектов, субъект приступает к реализации мероприятий, предусмотренных законодательством о безопасности критической информационной инфраструктуры Российской Федерации, в том числе осуществляет закупку и установку средств защиты информации. Поэтому цифра 50 % не является ни плохо, ни хорошей. Из всех средств защиты информации уже установленных на объектах критической информационной инфраструктуры, около 80% - это сертифицированные средства защиты.

Л Ответил Лютиков В.С. заместитель директора ФСТЭК России, 17.02.2022
Л Лютиков В.С. заместитель директора ФСТЭК России
Читать далее
24.09.2021

Недавно в институте системного программирования РАН был создан центр верификации операционной системы Linux. Какие результаты вы хотите получить? Планируется ли создание подобных центров по импортозамещению именно по КИИ.

Он не создан, он в процессе, эта работа ещё только началась в этом году. Благодаря поддержке Министерства цифрового развития […] мы получили средства на работу […]. Не секрет, что большинство дистрибутивов операционных систем, которые у нас используются и считаются отечественными, внутри в своём составе имеют в качестве основы ядро Linux. Собственно говоря, там есть разные вариации, кто-то берет из ветки Linux Foundation, кто-то берет из различных репозиториев, но в основе всё равно ядро Linux. […] И у наших разработчиков дистрибутивов операционных систем, по понятным причинам, […] нет такого количества средств, специалистов и технологий необходимого уровня для того, чтобы обеспечивать в рамках процесса в первую очередь сертификационные испытания, обеспечить все виды тестирования безопасности и так далее. Возникла идея, которую мы прорабатываем, она отрабатывается ещё, мы надеемся на положительный результат, чтобы эту работу сосредоточить именно на исследовании безопасности ядра, её централизовать, сосредоточить в одном месте, обязательно вовлечь в эту работу разработчиков дистрибутивов и проводить тестирование ядра безопасности профильными научными специалистами, кто имеет знания, технологий и соответствующий уровень подготовки, с участием разработчиков дистрибутивов. И это будет только ядро, то есть мы не претендуем и не покушаемся на дистрибутивы полностью. То есть всё это потом находится в ведении соответствующего разработчика. Наша задача – провести тестирование, выдать результаты, где-то выдать рекомендации по устранению проблем, которые есть. Эта работа должна быть синхронизирована с международным сообществом, мы не видим, чтобы это замыкалось только в рамках нашей стороны.

Л Ответил Лютиков В.С. заместитель директора ФСТЭК России, 24.09.2021
Л Лютиков В.С. заместитель директора ФСТЭК России
Читать далее
24.09.2021

Как Вы думаете, есть ли какой-то план у нашего государства на случай, если США введут жесткие санкции по поставке технологий в нашу страну?

Я не возьмусь широко отвечать на вопрос за отрасль, за оборудование, я отвечу за средства безопасности. Если такое событие наступит в отношении средств безопасности, то я полагаю, что задача будет решена. Все классы средств имеются, можно говорить об удобстве, эффективности со стороны пользователя, и это, безусловно, обсуждаемая, серьёзная тема, но с точки зрения средств защиты, я думаю, что серьёзной проблемы это не принесёт, именно с точки зрения средств защиты. Есть определенные нюансы. Я сделаю исключение в части аппаратных средств, по понятной причине, потому что эта проблема носит более широкий характер. Но с точки зрение программных средств, все классы средств информационной безопасности сегодня представлены на рынке. И я думаю, что это ещё больше подстегнёт наших разработчиков, это приведёт к их развитию, совершенствованию и применению на объектах.

Л Ответил Лютиков В.С. заместитель директора ФСТЭК России, 24.09.2021
Л Лютиков В.С. заместитель директора ФСТЭК России
Читать далее
24.09.2021

Как проходит защита КИИ?

Я бы состояние безопасности КИИ разделил на две составляющие: первая – промышленные системы, вторая – ИТ-системы. Если с ИТ-системами нетрадиционный подход, вне зависимости от того, это КИИ, госсектор, средства есть, технологии есть. Что касается промышленных систем, здесь проблема связана с тем оборудованием и промышленным ПО, которое на этих объектах применяется. Несмотря на меры, которые сейчас реализуются государством с точки зрения импортозамещения, это не секрет, многие говорили о том, что зарубежного оборудования и ПО пока ещё много в промышленных системах, а у нас часть механизмов в безопасности именно встроено в промышленных системах (в контроллерах, в операционных системах), поэтому мы видим первым шагом – обустроить защиту периметра, мониторинг, анализ и управление угрозами, уязвимостями, а для этого у нас имеются средства безопасности. Поэтому мы видим перед собой самую первую задачу – это закрыть промышленные системы от внешнего нарушителя, средства и технологии у нас есть. А что касается владельцев этих объектов, от которых многое зависит, так как в большинстве случаев - это частный сектор, и, несмотря на наличие ФЗ и нормативно-правовых актов, он всё равно мыслит в масштабах стоимости и эффективности своей деятельности, и здесь в первую очередь возникает вопрос к специалистам по ИБ […], насколько они умеют разговаривать на этом языке и представлять эффективность информационной безопасности промышленных систем для руководителя на уровне недопущения ущербов и последствий. Эта ситуация сейчас изменилась, появляются и люди, и руководители, которые осознают эти риски не только в разрезе 187 закона, потому что он всё-таки касается вопросов безопасности государства, граждан в первую очередь, и вопросов собственной экономической выгоды и собственной деятельности хозяйствующих субъектов. Такие специалисты, безусловно, появляются, но нам надо в рамках обучения, в рамках нашей с вами работы уметь объяснить руководителю, в чем эффективность информационной безопасности. Если руководителю объяснять, что основная эффективность - это реализация 187 ФЗ, то успех такого предприятия будет минимальный, а если объяснить, какие конкретные риски и угрозы закрывают вопросы информационной безопасности, а ещё лучше, если специалист может их продемонстрировать для своего руководителя на базе моделей или стендов, то это меняет сознание руководителя. Он начинает вкладываться в вопросы информационной безопасности, следовательно, начинают развиваться и применяться соответствующие средства, в первую очередь те, о которых я говорил, – это средства мониторинга, средства защиты периметра и всё, что с этим связано. Поэтому движение есть, где-то лучше, где-то хуже, но направления нам понятны, и мы в этих направлениях со своей стороны тоже будем работать.

Л Ответил Лютиков В.С. заместитель директора ФСТЭК России, 24.09.2021
Л Лютиков В.С. заместитель директора ФСТЭК России
Читать далее
24.09.2021

Требование сертификации безопасной разработки появилось недавно и для многих компаний — это существенное удорожание затрат и удлинение срока разработки внутри, то есть это не касается сертификации. Понятно, что это правильный путь, но тем не менее, Вы эко

[…] Что касается безопасной разработки: во-первых, это требование появилось недавно. Мы в 2016 году разработали стандарт, мы начали проводить активную политику, анонсировать и призывать все компании-разработчики к внедрению механизма безопасной разработки. И тогда этот процесс не был обязательным. […] В 2018 году в требовании доверия появилась обязательность проверки ряда процедур, которые внедряются при безопасной разработке. Мы выдержали паузу в 2 года для того, чтобы компании-разработчики средств безопасности могли приступить к внедрению этих механизмов. Давайте теперь по поводу эффективности и целесообразности всех процедур, их влияния на конечный результат – на безопасность продукта, а главное – на поддержку его безопасности в процессе применения его пользователями. Основное – моделирование угроз, управление требованиями и документацией, проведение различных видов тестирования, с точки зрения функционального анализа уязвимости и недекларируемых возможностей, поддержка безопасности, управление изменениями и так далее. Я сейчас говорю об уровнях доверия, они дифференцированы. Мы считаем, что выходить на высокий уровень доверия для применения средств защиты в федеральных системах без внедренных процедур – это ущерб безопасности, потому что у нас много примеров, особенно по программному обеспечению, построенному на основе открытого исходного кода или заимствованных компонентах, когда в процессе эксплуатации выявляются множественные уязвимости, и в результате компания-разработчик не имеет компетенции и не имеет возможности устранить эти уязвимости в сертифицированном средстве из-за отсутствия специалистов, которые хотя бы могут протестировать изменения из доступных репозиториев. Эту ситуацию для определенного уровня доверия необходимо менять. […] Их надо совершенствовать, развивать, я согласен полностью, их надо адаптировать к существующим подходам разработки – мы этим занимаемся в рамках технического комитета по стандартизации 362. Благодаря поддержке Минцифры и Росстандарта в ближайшее время предполагается разработать ещё ряд стандартов по безопасной разработке. Это направление актуально, его надо внедрять и заниматься.

Л Ответил Лютиков В.С. заместитель директора ФСТЭК России, 24.09.2021
Л Лютиков В.С. заместитель директора ФСТЭК России
Читать далее
24.09.2021

Количество технологий растёт лавинообразно, как ФСТЭК будет справляться с их увеличением? Будут ли придуманы упрощённые правила?

По поводу сроков сокращения: да, мы над этим работаем. По поводу лавинообразности технологий: мы оцениваем количество заявок, поступающих на сертификацию, у нас нет лавинообразного увеличения количества заявок. Казалось бы, несмотря на принимаемые меры должно быть, но де-факто увеличения заявок нет […]. По поводу сроков: мы знаем, что у нас есть неравномерность загруженности лабораторий с точки зрения проводимых работ […], у нас больше 35-40 лабораторий, но распределения работ по сертификационным испытаниям у них неравномерные, и в результате получается перегруз первых лабораторий, но здесь это регулируется заявителями. Заявитель выбирает лабораторию для испытаний. Мы заинтересованы в увеличении количества лабораторий и у нас есть такие тенденции, их количество растет, но не сильно. Следующая проблема, которая тоже влияет на сроки, – я всё время о ней говорю – это готовность заявителя при выходе на сертификацию. Ещё раз хочу сказать, что для того, чтобы обеспечить успешное проведение испытаний на соответствие требованиям доверия, необходимо, чтобы у заявителя был, в первую очередь, наиболее широко применяемый уровень доверия. Для того, чтобы обеспечить, необходимо, чтобы у заявителя были внедрены процедуры безопасной разработки […]. У нас есть расчёты по поводу того, во сколько раз по времени и по материальным издержкам сокращаются испытания, если внедрены базовые механизмы безопасной разработки – в разы, и это понятно, потому что, (вместо того) чтобы провести те виды испытаний и те виды исследований – всё переносится на лабораторию, а лаборатория просто так работать не будет. Для того, чтобы сократить это время, надо посмотреть стандарты по безопасной разработке, внедрить эти механизмы. […] Самое главное, как потом можно обеспечить поддержку безопасности этого продукта в процессе его эксплуатации. Если мы не хотим иметь проблем на этапах эксплуатации, то у разработчика должно быть всё предусмотрено изначально. Что касается бюрократических процедур, мы также эту работу проводим, мы подготовили ряд изменений в положение по сертификации, […] долго […] оценку регулирующего воздействия проходили. Сейчас мы регистрируем в Минюст этот документ. Мы полагаем, что на 30-40% сокращаем время проведения испытаний путем исключения отдельных процедур […]. Мы прорабатываем вопрос, как снизить издержки разработчиков с точки зрения затрат на сертификацию и изменения продукта. Продукты меняются, тем более с внедрением современных методов разработки, поэтому мы сейчас прорабатываем вопрос: как снизить затраты разработчика на сертификационные испытания вносимых изменений. У нас есть мысли, они связаны со снижением издержек тех компаний, которые внедрили безопасную разработку. Если мы видим, что компания внедрила безопасную разработку, соответствующую стандартам, то от ряда процедур при внесении изменений, наверное, сможет отказаться. Пока (этот документ) у нас в проработке, официальное изменение нормативно-правовых актов мы пока ещё не представляли, но я думаю, в ближайшее время, по крайней мере, до конца этого года, мы какое-то предложение внесём и корректировку нормативных документов постараемся сделать.

Л Ответил Лютиков В.С. заместитель директора ФСТЭК России, 24.09.2020
Л Лютиков В.С. заместитель директора ФСТЭК России
Читать далее
24.09.2020

Планируется ли в ближайший год выпуск нормативных документов, связанных с требованиями к софтверным продуктам в контексте сертификации?

Дело в том, что мы давно обещаем выпустить требования к СУБД, к средствам управления информационными потоками и так далее. Хочу сказать, что все эти требования разработаны и мы надеемся, что закроем вопрос с требованиями к СУБД в этом году, потом с коммутаторами и телекоммуникационным оборудованием, то есть с межсетевыми экранами, так как они стоят в приоритете.

Л Ответил Лютиков В.С. заместитель директора ФСТЭК России, 24.09.2020

15 октября 2020 г. было опубликовано информационное сообщение ФСТЭК России «Об утверждении требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» N 240/24/4268.

Ответил Экспертная группа BISA 24.09.2020
Л Лютиков В.С. заместитель директора ФСТЭК России и Экспертная группа BISA
Читать далее
24.09.2020

Планируется ли разработка готового типового пакета документов для объектов КИИ?

То, над чем мы сейчас будем работать – это методики или рекомендации по оценке показателей критериев значимости. Это основной и очень непростой вопрос, поэтому мы работаем в этом направлении. Что касается вопроса по поводу банка данных и методик по созданию моделей угроз – он очень популярен. Я еще раз подчеркну, что мы разработали проект новой методики, и разместили его у себя на сайте. Во время пандемии, мы собрали и учли все предложения и замечания по проекту. Проект обновленного документа сейчас готов. Мы его обсудим с экспертами, а потом примем решение: если там существенные замечания, я посмотрю еще раз сам, либо мы размесим как проект для применения, либо мы его представим на утверждение. Речи об изменении каких-то концепций, подходов, решений об изменении концепций по моделированию угроз нет. То есть мы придерживаемся той концепции, которую выложили в проекте документа. Да, с определенными корректировками и добавлениями.

Л Ответил Лютиков В.С. заместитель директора ФСТЭК России, 24.09.2020

МЕТОДИЧЕСКИЙ ДОКУМЕНТ МЕТОДИКА ОЦЕНКИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ. Утвержден ФСТЭК России 5 февраля 2021 г. Опубликован 05.02.2021 г.

Ответил Экспертная группа BISA 24.09.2020
Л Лютиков В.С. заместитель директора ФСТЭК России и Экспертная группа BISA
Читать далее
24.09.2020

Отечественное ПО нередко строится на основе opensoure-проектов мирового сообщества. Правильно ли его считать отечественным?

Я считаю, что по внедрению продуктов мы все время догоняем западных разработчиков. За исключением отдельных, исключительных вещей, где у нас очень высокая школа, допустим, это криптография. А в остальном, мы все время догоняем. А догоняем мы большие фирмы-гиганты, которые очень много денег вложили в разработку того, что они сегодня реализуют на рынке. Мы и наши разработчики – это, как правило, компании не с такими капитализациями, не с такими финансовыми средствами для того, чтобы делать сопоставимые средства и внедрения. Поэтому, я считаю, что на данном этапе, одним из возможных выходов из этой ситуации, является использование опенсорсных вещей в основе наших продуктов.

Л Ответил Лютиков В.С. заместитель директора ФСТЭК России, 24.09.2020
Л Лютиков В.С. заместитель директора ФСТЭК России
Читать далее
24.09.2020

Сколько субъектов КИИ уже закончил категорирование? Какие это сферы? Есть лидеры и аутсайдеры?

Что касается категорирования, я здесь дам общие процентные соотношения, без какой-то конкретики. Первое, что касается категорирования: из тех, кто начал эту процедуру, то есть приступили реализовывать закон в том или ином виде - это 50% из всех объектов. Проценты еженедельно растут хорошими темпами.

Л Ответил Лютиков В.С. заместитель директора ФСТЭК России, 24.09.2020
Л Лютиков В.С. заместитель директора ФСТЭК России
Читать далее
24.09.2020

Насколько правомочны запрашивать сведения о мероприятиях по обеспечению безопасности значимых объектов КИИ (в частности, копии сведений о категорировании) органы местного самоуправления?

Подведомственные организации – это, допустим, федеральное казенное или автономное учреждение, которое подчиняется соответствующему органу местного самоуправления или органам государственной власти. У ФСТЭК есть подведомственные институты. У министерств, органов местного самоуправления есть муниципальные предприятия. И здесь не предоставлять информацию вышестоящим организациям они просто не могут по своему положению. По положению об этом подведомственном органе они их руководители. Это тоже самое, что не дать информацию начальнику.

Л Ответил Лютиков В.С. заместитель директора ФСТЭК России 24.09.2020
Л Лютиков В.С. заместитель директора ФСТЭК России
Читать далее

Как работает этот проект

1
Вы отправляете свой вопрос
2
Поступающие вопросы анализирует рабочая группа экспертов BISA
3
Актуальные вопросы отправляем в нужное ведомство регулятора
4
Публикуем ответ на сайте, при необходимости дополняем его комментариями экспертов

Кто модерирует проект?

Смирнов Михаил

Главный редактор BISA

Рабочая группа экспертов BISA

Присоединиться к рабочей группе

Об истории проекта

Проект «Прямая линия с регулятором» стал результатом работы участников круглого стола «Требования регуляторов 2020-2021» на BIS Summit 2020. Именно там прозвучало предложение сформировать удобную информационную площадку с единой базой знаний, где специалисты ИБ смогут задавать вопросы и получать разъяснения от регуляторов и экспертов ИБ-сообщества по темам защиты объектов КИИ, лицензированию, сертификации, стандартизации в сфере ЗИ, созданию и применению защищённого отечественного ПО и мн. др.

Все ответы доступны на сайте и сформированы в базу знаний, которая растет и актуализируется в соответствии изменениями, происходящими в отрасли ИБ.

Смотреть, как это было: