https://300.ya.ru/v_hYRqM1uy

00:00 Введение

• Алексей Комаров представляет компанию «Уральский центр системы безопасности».
• Доклад посвящён трудностям реализации Федерального закона №187.
• Компания имеет опыт работы с множеством проектов по этой тематике.

00:35 Рост интереса к закону

• Закон №187 активно обсуждается на профильных конференциях.
• Активность в соцсетях и на вебинарах остаётся высокой.
• Вопросы о реализации закона остаются актуальными.

01:32 Сложность нормативной базы

• Нормативная база включает три федеральных закона, восемь указов президента и множество постановлений правительства.
• Методические документы по критической информационной инфраструктуре ограничены и не всегда доступны публично.
• Блог Алексея содержит подборку нормативных документов.

03:16 Опрос о категорировании

• Большинство организаций считают, что могут выполнить категорирование самостоятельно.
• Основная проблема — сбор информации.

04:07 Примеры проектов

• Один проект с четырьмя площадками потребовал более 345 человеко-дней.
• Второй проект с пятью площадками и центральным офисом — 376 человеко-дней.
• Проблема распределения ресурсов на промышленных предприятиях.

05:35 Проблемы демпинга

• Демпинг на рынке категорирования может привести к снижению качества работ.
• Неправильное определение границ объектов КИИ может вызвать проблемы в будущем.

07:06 Автоматизация категорирования

• Компания разработала модуль категорирования для автоматизации процессов.
• Модуль позволяет управлять жизненным циклом объектов КИИ и проводить ретроспективный анализ.
• Автоматизация помогает учитывать изменения критериев значимости объектов.

10:05 Варианты использования модуля

• Модуль продаётся как законченное решение с консалтингом или как сервис.
• Возможность развёртывания системы в собственном ЦОД компании.

10:44 Рост интереса к категорированию

• Количество организаций, начавших категорирование, растёт.
• Вебинары, публикации и инструменты автоматизации помогают в процессе категорирования.

11:38 Введение в требования приказов

• Обсуждение значимости объектов КИИ и требований приказов 235 и 239.
• Приказ 239 похож на приказы по персональным данным и государственным информационным системам.
• Приказ 235 устанавливает требования к силам, средствам и организационно-распорядительной документации.

12:24 Требования к ОРД

• ОРД должна отражать требования к безопасности значимых объектов КИИ.
• Структура и наполнение ОРД не жёстко регламентированы, но должны соответствовать требованиям.
• ОРД касается всех сотрудников компании, взаимодействующих со значимыми объектами.

13:38 Работа с внешними подрядчиками

• Необходимость разработки регламентов и процедур для внешних подрядчиков.
• Регулярное обучение сотрудников и отслеживание процессов обеспечения безопасности.

14:14 Пример управления доступом

• Фиксация прав доступа к компонентам УТП в матрице доступа.
• Периодическая проверка матрицы доступа не реже раза в месяц.
• Изменения в матрице доступа должны проводиться через систему заявок.

16:15 Проблемы реализации требований

• Сложности реализации требований в УТП из-за разрозненности и надёжности каналов связи.
• Поиск решения для автоматизации процессов обеспечения безопасности.

17:56 Решение на базе DATAPK

• Дата ПК как продукт для автоматизации процессов обеспечения безопасности значимых объектов.
• Пилотные и промышленные внедрения, богатый функционал.
• Возможность использования DATAPK для ведения матрицы доступа.

19:12 Преимущества DATAPK

• Взаимодействие с резидентами ОСК, специализированные модули для анализа трафика.
• Реализация около 40 мер из приказа 239.
• Автоматизация процессов на промышленных предприятиях.

21:29 Заключение

• DATAPK разработан для решения задач информационной безопасности в распределённых сетях.
• Эффективное повышение уровня защищённости при минимальных затратах.