https://300.ya.ru/v_hYRqM1uy

00:00:28 Введение

• Алексей Комаров из Уральского центра системы безопасности приветствует участников конференции.
• Компания имеет большой опыт в области безопасности АСУ ТП и регулярно участвует в конференции.

00:00:42 Опыт компании

• Компания разрабатывает нормативные документы, проводит аудиты и имеет собственный продукт DATAPK.
• Проводит вебинары, которые доступны на YouTube.
• Начинает работы по категорированию объектов КИИ по 187-му федеральному закону.

00:01:42 Категорирование объектов КИИ

• В портфеле компании несколько контрактов на категорирование объектов КИИ.
• Работы проводятся совместно с заказчиками из различных отраслей.

00:01:55 Тема конференции

• Тема конференции — безопасность АСУ ТП, которая с 1 января этого года стала частью более широкой темы КИИ.
• Федеральный закон о безопасности АСУ ТП принят, но охватывает более широкие системы.

00:03:01 Мифы и реальность

• На рынке много мифов о категорировании КИИ, но мало практики.
• Среди мифов: гостайна, уголовная ответственность, срочность категорирования.

00:04:44 Гостайна

• Перечень критических объектов КИИ может быть отнесён к гостайне, но на предприятиях не потребуется вводить режимы гостайны.

00:05:06 Уголовная ответственность

• Уголовная ответственность за нарушение правил эксплуатации средств КИИ существует, но не за нарушение сроков категорирования.
• Ответственность за невыполнение требований федерального закона в его прямом виде пока не установлена.

00:06:03 Административная ответственность

• Административная ответственность возможна за невыполнение предписаний ФСТЭК, но она не уголовная.
• Для юрлиц штраф до 20 тысяч рублей, для должностных лиц — дисквалификация до трёх лет.

00:07:05 Определение КИИ и субъектов КИИ

• КИИ — это информационные системы и ТКС госорганов, юрлиц и предпринимателей в сфере здравоохранения, науки и других.
• Субъекты КИИ — это организации, имеющие хотя бы одну информационную систему в одной из 12 сфер.
• Все информационные системы субъекта КИИ являются объектами КИИ.

00:08:03 Процедура категорирования объектов КИИ

• Для объектов КИИ предусмотрена процедура составления перечня и категорирования.
• Часть систем можно исключить из категорирования на этапе до его проведения.
• Категорирование необходимо для оценки влияния систем на критические процессы.

00:09:17 Экономическая значимость объектов КИИ

• Влияние на бюджеты федеральных органов и внебюджетные фонды определяет значимость объектов КИИ.
• Пример: ущерб в 2,13 миллиона рублей может сделать объект значимым по третьей категории.
• Дробление объектов КИИ снижает их категорию значимости.

00:11:04 Сегментация объектов КИИ

• Сегментация позволяет разделить объекты КИИ и снизить их класс значимости.
• Важно сегментировать сети на организационном уровне для локализации инцидентов.
• Отсутствие сегментации приводит к тому, что все информационные системы рассматриваются как один объект КИИ.

00:13:36 Два сценария обеспечения безопасности

• Самостоятельное построение системы безопасности позволяет оптимизировать затраты и гибко управлять бюджетом.
• Принудительное выполнение требований приводит к жёстким срокам и дорогостоящим решениям.
• Невыполнение требований может повлечь санкции и уголовную ответственность.

00:16:23 Заключение

• Автор блога «ZLONOV.ru» предлагает нормативную документацию и полезные ссылки по теме.
• На сайте можно задать вопросы и обсудить детали.