Здесь Вы можете задать свой вопрос по теме реализации мер для обеспечения защиты информации, который примут эксперты BISA и передадут в соответствующее ведомство регулятора, либо помогут найти ответ силами ИБ сообщества.
Вы можете задать вопрос анонимно, а можете указать e-mail для связи. Тогда, при необходимости, эксперт BISA поможет вам сформулировать ваш вопрос точнее и оповестит Вас, когда ответ будет получен.
Управленческие, финансово-экономические, производственные, технологические процессы, нарушение или прекращение функционирования, которых может повлечь потенциально наступление негативных последствий, определенных Перечнем показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127.
Например, если у вас добыча полезных ископаемых, то в процессе нарушения добычи могут возникнуть последствия в виде угрозы жизни, здоровью или экологической катастрофы, тогда этот процесс будет критическим. Если потенциально нарушение этого процесса может привести к реализации негативного события, которое определено критериями, то это процесс является критическим.
Л
Ответил
Лютиков В.С. заместитель директора ФСТЭК России, 17.02.2022
Л
Лютиков В.С. заместитель директора ФСТЭК России
Вопросы импортозамещения к компетенциям нашего ведомства не относятся, но мы имеем некий срез по объектам КИИ, по которым соответствующие субъекты нам представили сведения. Поэтому, я скажу так: опираясь на те сведения, которые мы имеем – это, безусловно, не характеризует все отрасли и полностью картинку не дает, но по тем объектам, которые сегодня есть – это порядка 16 тысяч систем и сетей, более 80% объектов построено исключительно на зарубежном ПО и оборудовании. Около 20% объектов КИИ, так или иначе, использует отечественное ПО и оборудование. Это только на основе тех данных, которые поступают к нам в Службу.
Л
Ответил
Лютиков В.С. заместитель директора ФСТЭК России, 24.09.2020
Л
Лютиков В.С. заместитель директора ФСТЭК России
Я бы состояние безопасности КИИ разделил на две составляющие: первая – промышленные системы, вторая – ИТ-системы. Если с ИТ-системами нетрадиционный подход, вне зависимости от того, это КИИ, госсектор, средства есть, технологии есть. Что касается промышленных систем, здесь проблема связана с тем оборудованием и промышленным ПО, которое на этих объектах применяется. Несмотря на меры, которые сейчас реализуются государством с точки зрения импортозамещения, это не секрет, многие говорили о том, что зарубежного оборудования и ПО пока ещё много в промышленных системах, а у нас часть механизмов в безопасности именно встроено в промышленных системах (в контроллерах, в операционных системах), поэтому мы видим первым шагом – обустроить защиту периметра, мониторинг, анализ и управление угрозами, уязвимостями, а для этого у нас имеются средства безопасности. Поэтому мы видим перед собой самую первую задачу – это закрыть промышленные системы от внешнего нарушителя, средства и технологии у нас есть. А что касается владельцев этих объектов, от которых многое зависит, так как в большинстве случаев - это частный сектор, и, несмотря на наличие ФЗ и нормативно-правовых актов, он всё равно мыслит в масштабах стоимости и эффективности своей деятельности, и здесь в первую очередь возникает вопрос к специалистам по ИБ […], насколько они умеют разговаривать на этом языке и представлять эффективность информационной безопасности промышленных систем для руководителя на уровне недопущения ущербов и последствий. Эта ситуация сейчас изменилась, появляются и люди, и руководители, которые осознают эти риски не только в разрезе 187 закона, потому что он всё-таки касается вопросов безопасности государства, граждан в первую очередь, и вопросов собственной экономической выгоды и собственной деятельности хозяйствующих субъектов. Такие специалисты, безусловно, появляются, но нам надо в рамках обучения, в рамках нашей с вами работы уметь объяснить руководителю, в чем эффективность информационной безопасности. Если руководителю объяснять, что основная эффективность - это реализация 187 ФЗ, то успех такого предприятия будет минимальный, а если объяснить, какие конкретные риски и угрозы закрывают вопросы информационной безопасности, а ещё лучше, если специалист может их продемонстрировать для своего руководителя на базе моделей или стендов, то это меняет сознание руководителя. Он начинает вкладываться в вопросы информационной безопасности, следовательно, начинают развиваться и применяться соответствующие средства, в первую очередь те, о которых я говорил, – это средства мониторинга, средства защиты периметра и всё, что с этим связано. Поэтому движение есть, где-то лучше, где-то хуже, но направления нам понятны, и мы в этих направлениях со своей стороны тоже будем работать.
Л
Ответил
Лютиков В.С. заместитель директора ФСТЭК России, 24.09.2021
Л
Лютиков В.С. заместитель директора ФСТЭК России
Проект «Прямая линия с регулятором» стал результатом работы участников круглого стола «Требования регуляторов 2020-2021» на BIS Summit 2020. Именно там прозвучало предложение сформировать удобную информационную площадку с единой базой знаний, где специалисты ИБ смогут задавать вопросы и получать разъяснения от регуляторов и экспертов ИБ-сообщества по темам защиты объектов КИИ, лицензированию, сертификации, стандартизации в сфере ЗИ, созданию и применению защищённого отечественного ПО и мн. др.
Все ответы доступны на сайте и сформированы в базу знаний, которая растет и актуализируется в соответствии изменениями, происходящими в отрасли ИБ.
Смотреть, как это было: