Сформировать план мероприятий по выполнению требований ФЗ-187 "О безопасности КИИ" и рассчитать бюджет.
В своем выступлении Алексей рассказал о значимых компьютерных инцидентах 2020 года в различных отраслях экономики. Основной нитью выступления, официального представителя ФСТЭК, было обозначить позицию ФСТЭК России как регулятора в области безопасности КИИ к субъектам КИИ.
Ниже мы привели значимые, по нашему мнению, заявления представителя ФСТЭК:
Со следующего года в сфере обеспечения безопасности [КИИ] будут серьезные проверки... мы активно начинаем работать с теми субъектами КИИ, кто еще не пошевелился...в рамках выездных мероприятий будем обращать внимание на сокрытие объектов КИИ и на занижение их значимости
План конкретных мероприятий по реализации ФЗ отсутствует. Т.е. значимый объект определен, а как его приводить в соответствие субъект себе еще не понимает... при том, что категорию значимости он присвоил 1 или 2 года назад... надо уже как-то разобраться и понять в какую сторону грести... в каком порядке какие меры внедрять и вообще, что делать что бы обеспечить выполнение норм ФЗ-187... При госконтроле мы будем учитывать не только реализованные мероприятия, но и запланированные... Мы будем входить в положение, но нам важно понимать, что у вас спланированы мероприятия и выделен советующий бюджет.
Что мы видим на практике… Либо планов нет... либо планы из себя представляют следующее:
1. через 10 лет обеспечить соблюдение требований 235 и 239 приказов...
2. Проинформировать об этом ФСТЭК России.
Это не то что мы [ФСТЭК] хотели..
|
|
|
Угрозы внешнего нарушителя... Иной раз смотришь и диву даешься. Вроде объект распределенный и имеет связь с информационными сетями общего пользования, а внешний нарушитель признан неактуальным. Мы на это обращаем внимание...
|
Проверить свою информационную систему на угрозы внешнего нарушителя с помощью пентеста.
|
Заказать услугу
|
Нет ОРД даже на уровень инструкций даже на уровне концепций даже на уровне моделей в отдельных случаях... не очень корректно... если значимый объект, то ОРД нужно разрабатывать и внедрять и им руководствоваться
|
Заказать разработку ОРД по 239 приказу.
|
Заказать услугу
|
Не реализуются меры по информированию работников ... в связи с этим мы видим печальные ситуации, когда открываются письма с соответствующими вкладками, когда скачиваются непонятные «exe» файлы и запускаются. С этим тоже нужно работать и первый и основной вектор атаки на компьютерные системы это через человека
Персонал не осведомлен об угрозах информационной безопасности и правилах эксплуатации... С личным составом нужно работать и принимать меры по информированию персонала
|
Получить консультацию о решениях по информированию сотрудников по информационной безопасности.
|
Получить информацию
|
...с начала марта основная часть компьютерных атак осуществляется на сферу здравоохранения, на учреждения в сфере здравоохранения. … к этому нужно быть готовым и воспринимать как серьезную проблему
Непрофильные подразделения отвечают за безопасность КИИ... кого мы только не видели ...видели и юристов, мы видели ИТ-шников, мы видели экономистов... надо что бы безопасностью занимался специалист по безопасности
Применяются средства защиты, не прошедшие оценку соответствия. Напомню, в соответчики с 239 и 235 приказами применяемые средства защиты необходимо либо сертифицировать... и должно быть соответствующий документ о том, что они соответствуют требованиям по функционалу, а с 23 года уже и по уровню доверия
Посмотреть видеозапись выступления заместителя начальника управления ФСТЭК Россия Алексея Кубарева.
