[VolanD666]

Всем добрый день!

 

Господа, что-то не нашел ветки где бы обсуждались изменения в ФЗ 187, которые вступают в силу 01.01.2018 г. А вопрос, насколько я понимаю, очень серьезный. В связи с этим несколько вопросов, правильно я понимаю, что провайдер, который предоставляет доступ в Интернет (или каналы передачи данных) для какого-нибудь местного ЗАГСа попадет под этот закон. Больше интересуют какие последствия светят инженерам, порядчикам, монтажникам и т.д. ?

Изменено 2 апреля, 2018 пользователем VolanD666

[Связной (С)]

Речь о 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации"?

Изменений в ФЗ-187 не было...

[VolanD666]

Да, вы правы. Это получается не изменения, а вступление в силу.

[Связной (С)]

Фактически еще не приняты все подзаконные акты...

[VolanD666]

Т.е. пока ждем их принятия. А сроки какие, как вы считаете? :)

[Связной (С)]

Нпаример - Проект Постановления "порядок подготовки и использования ресурсов единой сети электросвязи".

 

Не скоро... Пока пройдут слушания, пока отзывы ,пока заключение, пока то другое... Могут сделать и ход конем - слушания пройти, замечания получить и в тихую принять документ.

[VolanD666]

Спасибо Вам!

[Связной (С)]

Успехов и вам :)

[svcons]

Приказом ФСТЭК от 06.12.2017 № 227 утвержден Порядок ведении реестра значимых объектов критической информационной инфраструктуры Российской Федерации.

Приказом ФСТЭК от 11.12.2017 № 229 утверждена форма акта проверки.

Приказом ФСТЭК от 21.12.2017 № 235 утверждены Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования.

Приказом ФСТЭК от 25.12.2017 № 239 утверждены Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации.

Постановлением Правительства РФ от 17.02.2018 № 162 утверждены «Правила осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».

Постановлением Правительства РФ от 08.02.2018 № 127 утверждены Правила категорирования объектов критической информационной инфраструктуры Российской Федерации и Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений.

[Галушко Дмитрий]

В 03.04.2018 в 09:22, svcons сказал:

Приказом ФСТЭК от 06.12.2017 № 227 утвержден Порядок ведении реестра значимых объектов критической информационной инфраструктуры Российской Федерации.

Приказом ФСТЭК от 11.12.2017 № 229 утверждена форма акта проверки.

Приказом ФСТЭК от 21.12.2017 № 235 утверждены Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования.

Приказом ФСТЭК от 25.12.2017 № 239 утверждены Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации.

Постановлением Правительства РФ от 17.02.2018 № 162 утверждены «Правила осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».

Постановлением Правительства РФ от 08.02.2018 № 127 утверждены Правила категорирования объектов критической информационной инфраструктуры Российской Федерации и Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений.

спасиБО, коллега!

[TES2]

[YuryD]

 Вот кто-то имеет список, кого считать объектом КИИ ? А то тут одна жаба законодательная решила, что она тоже уже подводная лодка   - объект КИИ ... Попытался объяснить, что исполнительная и есть КИИ, а то каждый детопуп свой офис объявит.

 

 Вдогон - бегло прочёл  ппрф от 8 февраля 2018 г. № 127 и понял - детопупы местные пролетают от слова вообще

[sdy_moscow]

30 минут назад, YuryD сказал:

  ппрф от 8 февраля 2018 г. № 127 и понял - детопупы местные пролетают от слова вообще

Жалко операторов с численностью более 50 тыс. абонентов, они теперь объект критической инфраструктуры, похоже.

 

З.Ы. Руководителей за нарушение правил эксплуатации на 10 лет в тюрьма.... Жестоко.

 

З.Ы.Ы. Еще например знаю пару участков кабельной канализации, где 50 тыс. отключить бензопилой - как 2 пальца.

[YuryD]

16 минут назад, sdy_moscow сказал:

Жалко операторов с численностью более 50 тыс. абонентов, они теперь объект критической инфраструктуры, З.Ы.Ы. Еще например знаю пару участков кабельной канализации, где 50 тыс. отключить бензопилой - как 2 пальца.

 ргд дешевле бензопилы, но есть ещё более дешевые варианты. Как было уже в престольной, во время пожара в кабколлекторе. Чего горело и почему  - мне неизвестно. Последствия - публиковались, целый район целой москвы остался без елефонии - кобеля погорели.

[jffulcrum]

1 час назад, sdy_moscow сказал:

Жалко операторов с численностью более 50 тыс. абонентов, они теперь объект критической инфраструктуры, похоже.

Там хуже...у тебя вообще может быть два абонента, но если один в Санкт-Петербурге, Москве, Севастополе, а второй  - в ЛО, МО или РК, то здравствуйте, 

 

Цитата

Для каждого показателя критериев значимости, для которого установлено более одного значения такого показателя (территория, количество людей), оценка производится по каждому из значений показателя критериев значимости, а категория значимости присваивается по наивысшему значению такого показателя.

 

[sdy_moscow]

31 минуту назад, jffulcrum сказал:

Там хуже...у тебя вообще может быть два абонента, но если один в Санкт-Петербурге, Москве, Севастополе, а второй  - в ЛО, МО или РК, то здравствуйте, 

 

 

Не соглашусь, по логике текста сперва должно быть:

 

"вся территория одного муниципального образования или одной внутригородской территории города федерального значения".

 

[Andrei]

http://www.garant.ru/products/ipo/prime/doc/71776120/#2000

Перечень
показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значения

 

4. Прекращение или нарушение функционирования сети связи, оцениваемые:                             
       а) на территории, на которой возможно прекращение или нарушение функционирования сети связи;  

 вся территория одного муниципального образования или одной внутригородской территории города федерального значения    

5.    Отсутствие доступа к государственной услуге, оцениваемое в максимальном допустимом времени, в течение которого государственная услуга может быть недоступна для получателей такой услуги (часов)        

менее или равно 24, но более 12    

 

Под эти 2 критерия под 3ю категорию подпадают практически все мелкие операторы. Или я не прав?

[sdy_moscow]

А вот хрен его знает, что они имели ввиду. Что у них в головах??? Пишут черти что!!! Уже сил нет это всё разгребать.

Д.Б. (с) Лавров.

З.Ы.

Используя ту-же игру слов можно и так сказать: если есть хоть 1 дом или здание где нет оператора и там есть другой оператор  - не попадает. Т.е. фактически таких операторов в РФ нет, за исключением тьму-таракани где только один РТ или ТТ.

 

[ALaddin]

Что-то нас учредители начали по этому закону толкать. Типа ну-ка срочно взяли и сделали все как надо. А как надо и надо ли вообще непонятно. Очередное сделай то, не знаю что. Или я перестал вообще понимать русские буквы.

[Связной (С)]

Еще не принято документ - Порядок подготовки и использования ресурсов единой сети электросвязи для обеспечения функционирования значимых объектов критической информационной инфраструктуры.

По нему предполагается:

Цитата

 

Субъект критической информационной инфраструктуры заключает договор с оператором связи на выполнение работ по подготовке к использованию ресурсов сети электросвязи

 

 

По базовым требованиям КИИ сами сети электросвязи не являются объектом КИИ:

Цитата

 

субъекты критической информационной инфраструктуры - государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

 

объекты критической информационной инфраструктуры - информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.

 

Субъекты критической информационной инфраструктуры ... присваивают одну из категорий значимости принадлежащим им на праве собственности, аренды или ином законном основании объектам критической информационной инфраструктуры.
Сети электросвязи используются для организации взаимодействия объекты критической информационной инфраструктуры, на сетях идет установка средств обнаружения, предупреждения и ликвидации последствий компьютерных атак.

 

 

Т.е. - к субъектам КИИ относятся не все лица, которые работают в указанных сферах (в т.ч. - связи), а те, которым принадлежат ИС ИТС АСУ, функционирующие в этих сферах.

[Связной (С)]

Цитата

 

Вместе с тем стоимость программного обеспечения, которое позволит реализовать данную меру, является существенной. Так, например, стоимость программного обеспечения «KasperskyCloud DDoS Protection», обеспечивающего защиту
‎от DDoS-атак, составляет от 25 630 рублей до 108 240 рублей в месяц за одну лицензию.

Покупка данного программного обеспечения обеспечит выполнение лишь одной из 94 мер, предусмотренных Требованиями по обеспечению безопасности.

Затраты на реализацию данных мер будут компенсироваться из бюджетов всех уровней бюджетной системы Российской Федерации и внебюджетных фондов, поскольку значительная часть больниц, поликлиник, а также иных организаций
‎в области здравоохранения является бюджетными учреждениями разных уровней.

С учетом существенного объема финансовой нагрузки субъектов КИИ дополнительные затраты могут оказать негативное влияние на ряд отраслей отечественной экономики.

 

 

Когда закон уже принят, начали бюджеты и ситуацию оценивать...

[Связной (С)]

Цитата

 

Федеральное государственное унитарное предприятие «Научно-производственное предприятие «Гамма" - головное предприятие Минпромторга России по информационной безопасности - успешно выполнило проект по созданию систем обеспечения информационной безопасности для значимых объектов критической информационной инфраструктуры на стадионах Чемпионата мира по футболу FIFA 2018!

Устойчивое функционирование информационной инфраструктуры стадионов имеет огромную социальную и политическую значимость как в период проведения Чемпионата мира по футболу, так и в рамках их функционирования в будущем.

Масштаб проекта потребовал объединения усилий специалистов всего предприятия - головного подразделения в Москве и региональных научно-технических центров ФГУП «НПП «Гамма» во всех федеральных округах. В рамках проекта была организована слаженная работа более 150 специалистов. Это позволило в кратчайшие сроки выполнить полный цикл работ по проектированию и созданию систем защиты информации с соблюдением всех нормативных требований для сложнейшего комплекса информационных систем на 7 футбольных стадионах: в Екатеринбурге, Ростове-на-Дону, Калининграде, Нижнем Новгороде, Волгограде, Самаре и Саранске.

 

 

Если это реально выполнили требования КИИ - вот и первые 7 объектов ЗОКИИ. 

[Связной (С)]

Уточнены требования к обеспечению защиты информации на критически важных и потенциально опасных объектах  

Цитата

      Приказом ФСТЭК России от 09.08.2018 N 138  изменены требования к обеспечению защиты информации, обработка которой осуществляется автоматизированными системами управления на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от компьютерных атак. Установлено, что в качестве исходных данных при определении угроз безопасности информации используется банк данных угроз безопасности информации, ведение которого осуществляется ФСТЭК России, а также иные источники, содержащие сведения об уязвимостях и угрозах безопасности информации. Обновлен состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления.     
     Приказ зарегистрирован в Минюсте России 05.09.2018.

 

[Галушко Дмитрий]

По КИИ самое важное :

 

24.07.18 приняты, 6 сентября зарегены МЮ, а 21- вступают в действие 3 приказа ФСБ

 

№ 366 "О Национальном координационном центре по компьютерным инцидентам" (координатор ГОСОПКА, куда Категорированным КИИ надо сообщать об инцидентах...)

 

№ 367 Об утверждении Перечня информации, представляемой в ГОСОПКа

 

№ 368 Об утверждении Порядка обмена информацией с ГОСОпка о компьютерных инцидентах и Порядка получения субъектами КИИ информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения" 

[Связной (С)]

Еще нет -

Постановления ПП - Порядок подготовки и использования ресурсов единой сети электросвязи для обеспечения функционирования значимых объектов критической информационной инфраструктуры.

Приказа Минсвязи - Порядок, технические условия установки и эксплуатации средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры.