18 января, суббота 20:09
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

187-ФЗ "Безопасность критической информационной инфраструктуры" и банки

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • 187-ФЗ "Безопасность критической информационной инфраструктуры" и банки

    Вчитавшись в 187-ФЗ "Безопасность критической информационной инфраструктуры", обнаружил, что банки тоже попадают под действие этого закона.
    статья 2 п.8:
    субъекты критической информационной инфраструктуры - государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей. Подробно я еще не вчитывался, но вроде в данном ФЗ имеется какой-то геморой с ГосСОПКОЙ и ФСТЭК.

    Закон принят еще в прошлом году, но я что-то не припомню, чтобы со стороны ЦБ были какие-то разъяснения и комментарии.

    Некоторые комментарии и т.д:
    Майндкарта по документам КИИ
    Вопросы категорирования КИИ
    Подзаконные акты
    Последний раз редактировалось Setevoy; 09.02.2018, 10:03.

  • #2
    Конечно попадают, но только пока не понятно, какие банки и в какой степени. Пока ждем остальную нормативку по КИИ из которой, возможно, что-то станет ясно...А комментарии периодически Лукацкий пишет, можно в его блог посматривать.

    Комментарий


    • #3
      Добрый день! Уважаемые коллеги кто уже начал работу по категорирования объектов?. Алексей Лукацкий на семинаре говорил что кто-то на форуме размещал таблицу в exel для простаты и автоматизации процесса, кто может поделиться файлом или ссылкой на него в сети я его не нашел. Спасибо.

      Комментарий


      • #4
        Здравствуйте. Подскажите, ведь требования 187-ФЗ распространяются на все банки, не зависимо от размера? Оговорки про крупняк не увидела, увидела только то, что если по пункту 10 "перечня показателей критериев значимости объектов критической информационной инфраструктуры российской федерации и их значения" не являетесь системно значимыми уведомить об этом ФСТЭК по форме пункта 17 Постановления Правительства РФ от 8 февраля 2018 г. N 127, логика верна?
        Последний раз редактировалось НюшаГеннадьевна; 09.07.2018, 10:15.

        Комментарий


        • #5
          Кто-то уже делал что-нибудь по 187-ФЗ? Какой там порядок действий начальный? И надо ли всё это дело оформлять приказом?

          Комментарий


          • #6
            Сообщение от Sat_Kelman Посмотреть сообщение
            Какой там порядок действий начальный? И надо ли всё это дело оформлять приказом?
            Сначала создать комиссию. Без приказа это не выйдет.
            Потом список систем.
            Потом список утвердить. Можно приказом, а можно поставить надпись "УТВЕРЖДАЮ".
            Как-то так, наверное.

            Комментарий


            • #7
              После утверждения Перечня объектов КИИ в течение 5 раб.дней необходимо направить во ФСТЭК.
              Максимальный срок категорирования объектов КИИ не должен превышать одного года со дня утверждения субъектом критической информационной инфраструктуры перечня объектов.
              Акт категорирования подписывается комиссией и утверждается председателем комиссии.
              В течение 10 дней акт передается во ФСТЭК.
              Не реже чем один раз в 5 лет требуется осуществлять пересмотр установленной категории.
              Как то так.

              До конца года требуется проделать все процедуры.
              Есть ли первопроходцы. Не те, кто сдал перечень и акты (таких судя по информации нет или почти нет), а хотя бы начали подготавливать перечень?

              Комментарий


              • #8
                Последний раз редактировалось НюшаГеннадьевна; 04.10.2018, 15:03.

                Комментарий


                • #9
                  Сообщение от svarog.coop Посмотреть сообщение
                  До конца года требуется проделать все процедуры.
                  Есть ли первопроходцы. Не те, кто сдал перечень и акты (таких судя по информации нет или почти нет), а хотя бы начали подготавливать перечень?
                  Мы очень неспешно начали готовить все документы.
                  Естественно, сразу возникла масса вопросов по офрмлению документов. В принципе, у ФСТЭК есть рекомендации по форме представления списка систем (https://fstec.ru/tekhnicheskaya-zash...-n-240-25-3752), но со всем остальным - полный туман.

                  Ладно, приказ о создании комиссии состряпать несложно - дело привычное.
                  А как, к примеру, показать, что твои системы (или система, если кто-то решить представить весь банк, как одну систему) не относятся к значимым? Проводить проверку по всем показателям или только по показателям экономической значимости? А как доказывать, что цифры, используемые тобой верны - что, к примеру, в банке нет бюджетных средств? Делать пустую выписку по определенным балансовым счетам?
                  Непонятно...

                  Комментарий


                  • #10
                    Сообщение от exodus Посмотреть сообщение
                    А как доказывать, что цифры, используемые тобой верны
                    Подписью и печатью ответственного лица.
                    Доказывать ничего никому не надо, вы провели анализ, вы за него и отвечаете.

                    Комментарий


                    • #11
                      Сообщение от ost Посмотреть сообщение
                      Подписью и печатью ответственного лица. Доказывать ничего никому не надо, вы провели анализ, вы за него и отвечаете.
                      Но цифры, получается, все равно надо приводить? Или будет достаточно написать, что-то типа: "Проведенная оценка объектов критической информационной инфраструктуры
                      в соответствии с перечнем показателей критериев значимости масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах критической информационной инфраструктуры показала, что необходимость присвоения им одной из категорий значимости отсутствует"?

                      Комментарий


                      • #12
                        Сообщение от exodus Посмотреть сообщение
                        Но цифры, получается, все равно надо приводить?
                        Я думаю надо. Без цифр оно как-то несерьёзно.

                        Комментарий


                        • #13
                          А у вас сколько получилось выделить объектов КИИ? Не прокатит фишка объединить всё что можно и сделать всего 2 - ИС обслуживания клиентов, ИС обеспечения деятельности Банка?

                          Комментарий


                          • #14
                            Сообщение от Sat_Kelman Посмотреть сообщение
                            объединить всё что можно и сделать всего 2
                            Учитывая общность источников обрабатываемых данных, целей обработки и функциональность средств обработки информации, а также единство методов и средств обеспечения информационной безопасности, Комиссией проведено классификационное объединение подсистем Информационной системы ___________________, согласно «Перечня информационных систем ______________________, в Информационную систему «______________» (далее – ИС «______________»)...

                            Комментарий


                            • #15
                              Сообщение от Павлоний Посмотреть сообщение
                              Учитывая общность источников обрабатываемых данных, целей обработки и функциональность средств обработки информации, а также единство методов и средств обеспечения информационной безопасности, Комиссией проведено классификационное объединение подсистем Информационной системы ___________________, согласно «Перечня информационных систем ______________________, в Информационную систему «______________» (далее – ИС «______________»)...
                              Эта гениальная фраза откуда?
                              Такой подход точно прокатывает?

                              Комментарий


                              • #16
                                Сообщение от ost Посмотреть сообщение
                                ....Такой подход точно прокатывает?
                                При объединении ИСПДн прокатывал.

                                Комментарий


                                • #17
                                  Сообщение от saches Посмотреть сообщение
                                  При объединении ИСПДн прокатывал.
                                  Список ИСПДн во ФСТЭК разве отправляли?
                                  Да и никто и никогда не мониторил и даже не собирался мониторить наши ИСПДн.

                                  В целях категорирования системы можно рассматривать одной кучкой, но, КМК, в списке надо все перечислить поименно.

                                  Комментарий


                                  • #18
                                    Сообщение от ost Посмотреть сообщение
                                    фраза откуда?
                                    когда то, на заре "озабоченности" проблематикой ПДн, рожал подобное при классификации ИСПДн...

                                    В истории с 187-ФЗ может не прокатить, и даже были прямые высказывания регуляторов, что указать надо все поименно ... хотя... ИС имеют не только наименование, но и предназначение и делить/классифицировать ИС можно по бизнес-процессам, особенно в понимании самого 187-ФЗ.

                                    Комментарий


                                    • #19
                                      Сообщение от svarog.coop Посмотреть сообщение
                                      До конца года требуется проделать все процедуры.
                                      До конца года - не требуется. Процедуры нужно завершить в течение года с момента направления в ФСТЭК перечня систем.
                                      Да, есть письмо коллегии ФСТЭк, которая требует от получателя закончить все до конца года. Но, а) оно направлялось ограниченному списку получателей и б) ФСТЭК не уполномочена сокращать установленный законом срок.

                                      Комментарий


                                      • #20
                                        Начал понемногу разбираться в порядке действий.
                                        Пока так:
                                        1. Приказ о создании комиссии
                                        2. Сформировать перечень объектов
                                        3. Направить перечень объектов в ФСТЭК.
                                        4 Категорировать объекты и составить акт категорирования
                                        5. Направить в ФСТЭК данные о категорировании.

                                        Вопрос: между 3 и 4 пунктом нужно провести оценку рисков, модель угроз и т.п. На это нужно отдельные документы? Нельзя ли взять уже готовую модель нарушителя?
                                        Оценку рисков тоже делать отдельным документом? Или можно все в акте категорирования указать?
                                        Сколько документов и каких должно в итоге получиться?

                                        Комментарий


                                        • #21
                                          Сообщение от Sat_Kelman Посмотреть сообщение
                                          Вопрос: между 3 и 4 пунктом нужно провести оценку рисков, модель угроз и т.п.
                                          На мой взгляд это лишнее. Надо пройти по критериям из ПП 127 и оценить актуальность и возможный вред. Актуальной для банка будет только остановка расчетов, как считать ниписано в самой таблице. Я не беру в расчет банки, где есть бюджет и оборонка.

                                          Комментарий


                                          • #22
                                            Сообщение от Sat_Kelman Посмотреть сообщение
                                            5. Направить в ФСТЭК данные о категорировании.
                                            Добрый день !

                                            Самое интересное - это заполнить ФСТЭКовскую табличку из 236 приказа.
                                            Там и список программно-аппаратных средств, и прикладное ПО, и средства защиты информации, и категории нарушителей, и угрозы безопасности, и типы компьютерных инцидентов.
                                            Я одного не могу понять, если я не категорирую объект как значимый, зачем это все заполнять ?
                                            ФСТЭКу для информации ?

                                            Комментарий


                                            • #23
                                              Сообщение от Viktor_F Посмотреть сообщение
                                              Я одного не могу понять, если я не категорирую объект как значимый, зачем это все заполнять ?
                                              КМК, там была приписка, если категория не присваивается, то можно не заполнять.

                                              Комментарий


                                              • #24
                                                Сообщение от Sat_Kelman Посмотреть сообщение
                                                1. Приказ о создании комиссии 2. Сформировать перечень объектов 3. Направить перечень объектов в ФСТЭК. 4 Категорировать объекты и составить акт категорирования 5. Направить в ФСТЭК данные о категорировании.
                                                А стоимость этих мероприятий соизмерима с размером "вероятности привлечение БАНКА за невыполнение 187-ФЗ", умноженной на "сумму штрафа по КоАП "Ст. 19.7. Непредставление сведений (информации)"? Спасибо конечно за труд, но я вот смотрю на эту скуку смертную и понять не могу, на кой черт все это нужно (учитывая, что вы не ГЭС или АЭС какая-нибудь).

                                                Комментарий


                                                • #25
                                                  Сообщение от ost Посмотреть сообщение
                                                  КМК, там была приписка, если категория не присваивается, то можно не заполнять.
                                                  Я звонил в ФСТЭК, и там сказали что все равно нужно заполнять. Даже если объекту присвоена незначимая категория.
                                                  Хотя я тоже не понимаю зачем все эти данные регулятору если мы не значимые. Это же такой поток информации от всех, которым им нафиг не нужен по итогу.

                                                  Комментарий


                                                  • #26
                                                    Сообщение от Sat_Kelman Посмотреть сообщение

                                                    Я звонил в ФСТЭК, и там сказали что все равно нужно заполнять. .
                                                    Это вам в отместку, чтоб больше не звонили.

                                                    Комментарий


                                                    • #27
                                                      Сообщение от Viktor_F Посмотреть сообщение
                                                      Я одного не могу понять, если я не категорирую объект как значимый, зачем это все заполнять ?
                                                      ФСТЭКу для информации ?
                                                      Именно так, ФСТЭКу для информации. Парни должны проверить, что вы правильно присвоили категорию

                                                      Комментарий


                                                      • #28
                                                        Сообщение от ost Посмотреть сообщение
                                                        КМК, там была приписка, если категория не присваивается, то можно не заполнять.
                                                        Нет, в информационном сообщении говорится, что если нет объектов КИИ, то информировать об этом ФСТЭК не нужно.

                                                        Комментарий


                                                        • #29
                                                          Сообщение от malotavr Посмотреть сообщение
                                                          Парни должны проверить, что вы правильно присвоили категорию
                                                          А парням больше заняться что ли нечем на деньги налогоплательщиков (500+ тупых заявок)? Например, взять и отобрать для КИИ субъектов из уже "значимых" по 161-ФЗ?

                                                          Комментарий


                                                          • #30
                                                            Сообщение от malotavr Посмотреть сообщение
                                                            Именно так, ФСТЭКу для информации. Парни должны проверить, что вы правильно присвоили категорию
                                                            По каждому объекту свою таблицу? Или можно в одной?

                                                            Комментарий

                                                            Обработка...
                                                            X