Судя по выступлению Лютикова, если в организации уже есть служба ИБ и есть система обеспечения ИБ, то новую службу создавать не нужно. Просто в положение о старой добавляем про КИИ. А как поступать с уже защищёнными каким-то образом объектами КИИ. В какие сроки нужно и нужно-ли заниматься их анализом защищенности и менять, например МСЭ на более другой класс защиты? В 239 приказе в основном пишется про мероприятия при вводе объекта. Видимо речь идёт о новых объектах.

примеры ТЗ на категорирование - https://rucybersecurity.ru/t/primery-tz-na-kategorirovanie-obektov-kii/399?u=zlonov

Сергей, я ознакомился с видео, понравилось, благодарю. Хочу сказать, что в данном случае критический процесс заключается в информировании МВД со стороны СКИИ посредством передачи видовой информации с системы ЦСВ. И если этот процесс будет нарушен в результате КИ, то разве мы не попадем под палку ФСТЭК?

Если это ваш критический процесс, то безусловно вы должны относить обслуживающую его АС к ЗОКИИ, по предыдущим сообщениям мне не совсем было понятно кто владелец процесса

Спасибо за помощь, Сергей!
По правде сказать, раньше я часто встречал ссылки на это видео, но игнорировал их. Спасибо и за то, что познакомили с ним)

Краткие тезисы с конфы ФСТЭК по части КИИ:
Скоро будут изменения в 127ПП, хотим, чтобы по новым критериям, если актуально, заново все подали актуальные данные (перекатегорировались)
Привлекали лицензиатов за миллионы и напрасно? Ваше право, но объективно все субъекты могут категорироваться сами и считаем, что так и нужно
Методику по категорированию хотим сделать, но нет рук и времени. Скорее всего будет уже по истечению сроков категорирования новых (но это не точно, обещать ничего не стали)
С Методикой моделирования угроз ситуация аналогичная. Хотят, но сроков нет. Берите что есть и адаптируйте, правьте, пишите свое.
В 235, 236 и 239 Приказы также будут внесены изменения в первом полугодии, ничего принципиально нового.
Будет Методичка по мерам защиты. Сроки не названы, но после принятия правок в 235 и 239, так как завязана на них.

В целом сказано, что вся инфа есть, специалисты ФСТЭК готовы обсуждать и помогать по частным вопросам. Все частные сложности решаемы или совместно или субъектами с соответствующим обоснованием. Пожалуй, все так и есть и ничего нового. Смотрим на корректировки в 127ПП и работаем.

Краткий анализ официальных данных от ФСТЭК о числе субъектов и объектов критической информационной инфраструктуры. С выводами и прогнозом.
https://blog.zlonov.ru/187-fz-dynamics/

​​ТБ Форум.
Краткий обзор конференции «Актуальные вопросы защиты информации» (в части обеспечения безопасности критической информационной инфраструктуры Российской Федерации)

1.       В структуре технического комитета по стандартизации «Защита информации» (ТК 362)  образовано 4 подкомитета: ПК 1 (общеметодологический), ПК 2 (Защита информации на объектах информатизации объектов критической информационной инфраструктуры), ПК 3 (Средства и методы защиты информации) и ПК 4 (разработка безопасного программного обеспечения).

2.       В ФСТЭК России от 1100 субъектов КИИ были заявлены на категорирование более 28000 объектов КИИ. При этом о 2000 объектах КИИ получены сведения о результатах категорирования. Из них возвращено на доработку 610.

3.       Вслед за изменениями в ПП-127 планируется внести следующие изменения в нормативно-правовые акты ФСТЭК России:

3.1. В приказ ФСТЭК России от 22 декабря 2017 г. № 236 планируется внести изменения, касающиеся включения в предоставляемую информацию сведений о:

типе объекта КИИ (ИС, ИТС, АСУ);

ИНН субъекта и КПП его обособленных подразделений, филиалов, представительств, в которых размещаются сегменты распределенного объекта;

ИНН лица, эксплуатирующего объект, и КПП его обособленных подразделений, филиалов, представительств, в которых размещаются сегменты распределенного объекта;

Наименование оператора связи и(или) провайдера хостинга, а также выделенный блок маршрутизируемых IP-адресов.

3.2. В приказ ФСТЭК России от 21 декабря 2017 г. № 235 планируется внести изменения, направленные на:

уточнение требований к обеспечению безопасности вновь создаваемых объектов КИИ;

уточнение требований к уровню образования (подготовки) работников подразделений, обеспечивающих безопасность объектов КИИ;

уточнение возможности применения иных программных и программно-аппаратных средств, реализующих функции безопасности.

3.3. В приказ ФСТЭК России от 25 декабря 2017 г. № 239 планируется внести изменения, предусматривающие:

уточнение вопросов создания систем обеспечения безопасности для нескольких объектов;

внедрение мер доверия;

размещение применяемых в значимом объекте КИИ программных и программно-аппаратных средств, в том числе СЗИ, на территории Российской Федерации.

4.       ФСТЭК России планирует разработать пакет методических документов, включающий:

4.1. Методику категорирования объектов КИИ.

4.2. Методики оценки показателей, состоящие из Методики оценки показателей критериев экономической значимости ОКИИ, Методики оценки показателей критериев социальной значимости ОКИИ, Методики оценки показателей критериев экологической значимости ОКИИ.

4.3. Документы по моделированию угроз безопасности, включающие Типовые модели угроз безопасности информации в зависимости от типа объекта и Базовые модели угроз безопасности типового ОКИИ в различных сферах.

Как было отмечено представителем ФСТЭК России указанные методические документы будут выпускаться постепенно (конкретные сроки не назывались, а сам представитель ФСТЭК России жаловался на нехватку сил в этом направлении), поэтому регулятор не рекомендует останавливать процесс категорирования в их ожидании. Более того, указанные методические документы будут носить характер информации ограниченного распространения, поэтому порядок их получения будет уточняться посредством публикации соответствующих информационных сообщений.
В настоящий момент регулятор рекомендует при категорировании учитывать БДУ ФСТЭК России (под который, кстати, ФСТЭК России планирует выпустить специальное приложение для ОС Windows и Linux).

​​Помимо всего прочего была озвучена позиция регулятора в отношении привлечения сторонних организаций для проведения категорирования ОКИИ. Так ФСТЭК России не против такого подхода, но рекомендует привлекать для этих работ лицензиатов ФСТЭК России (формально, эти работы может осуществлять любая организация). Однако регулятор не в полной мере поддерживает передачу такой организации работы по оценке рисков. Учитывая, что в настоящее время никаких требований к лицензиатам ФСТЭК России и другим организациям в части категорирования объектов КИИ не предъявляется, то субъект КИИ должен понимать, что ответственность за правильность категорирования все равно остается за ним.

На самом деле не понятно, зачем методички делать ДСП!? Смысл? Методика категорирования объектов КИИ или базовые модели угроз типового ОКИИ в сферах - почему не иметь всем? И скорее всего нужна будет какая-нибудь дополнительная бумажка для их получения

Все так, но маленькое дополнение. Регулятор подчеркнул важность наличия экспертизы в предметной области. Подчеркнул, что ответственность остается на стороне субъекта КИИ. Квалификация потенциального исполнителя работ  в части ФЗ-187 не является предметом лицензионных требований. Вместе с тем замечу, что тезис о необходимости эффективного модерирования работ по категорированию не опровергались.

На мой взгляд, этот процесс должен быть полностью на субъектах КИИ, т.к. они являются владельцами систем и никто лучше них не знает особенности их работ и последствий возможных инцидентов

А меня больше всего удивляет выбор методик категорирования под соц. значимость, экономику и экологию, где все до фстэк уже давно посчитано. Лучше бы выпустили методику по гособоронзаказу, где очень много нюансов

Или ущербу бюджету..

Сомненваюсь что ФСТЭК разработает как просчитывать каждый критерий

Не могу разглядеть: самая большая сфера (19813 объектов) - это ТЭК или здравоохранение?