КИИ. Требования ФСТЭК к системам ОБ КИИ

Аватар пользователя SergeyBorisov
Автор: Борисов Сергей,
(0)
()
На официальном портале размещен проект приказа ФСТЭК России “Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования”.


Документ получился в новом для ФСТЭК России формате (речь не о “дружелюбном” оформлении для домохозяек, а про содержание), поэтому интересное было изучить его подробнее. Скорее всего он будет принят без существенных изменений (хотя некоторые вопросы по тексту есть…) поэтому делюсь с вами майнд-картами по наиболее значимым требованиям. Красным выделил новые требования, ранее не встречавшиеся в документах по защите ПДн, ГИС, АСУ ТП.


Не считая общих положений документ содержит 4 группы требований к системе безопасности значимых объектов критической информационной инфраструктуры Российской Федерации (СБ):

 

 
Про Требования к силам обеспечения безопасности объекта критической информационной инфраструктуры (ОБ КИИ) можно отметить требования к образованию лиц ответственных за ОБ КИИ, в том числе переподготовку раз в 5 лет – такое раньше было только для лицензиатов. Про недопустимость назначения на ответственного за ОБ КИИ функций, не связанных с ИБ хорошая новость. И требования к повышению осведомленности пользователей – тоже весьма актуально.


Про требования к средствам ОБ КИИ – к ним отнесли только СЗИ. Правда функции защиты от НСД встроенные о операционную систему и прикладное ПО тоже причислили к СЗИ. Из нового – это возможность оценки в соответствия в форме отличной от сертификации, но в этот раз ограниченное количество вариантов: испытания или приемка в соответствии с программой и методикой испытаний (я кстати писал об этом варианте ранее).

Спорный момент про то, должны ли производители предоставлять обновления безопасности бесплатно или в рамках платной техподдержки решился в сторону последнего.


Про требования к документам по ОБ КИИ – тут весь раздел можно отнести к новинкам. В Требованиях от ФСТЭК раньше таких подробных требований к документам ИБ мы не видели. Требования в общем то все здравые, избыточного не заметил. Я бы наоборот добавил ещё нужных документов.


Про требования к организации работ по ОБ КИИ. Если под организацией работ понимать управление ИБ, то получается классический цикл деминга PDCA. Из интересного – это ежегодный контроль состояния безопасности, по сравнению с 3х летним по ПДн, ГИС.


  

 Ну и напоследок несколько замечаний и вопросов к проекту приказа:

·         Не смотря на название документа, в нем очень мало про “создание” систем. Какие этапы? Что на каком этапе делаем? Например, нужно ли проектирование? Применяется ли ГОСТ на создание АС в защищенном исполнении?

·         Предложения по совершенствованию документов СБ упоминаются отдельно, хотя входят в предложения по совершенствованию функционирования СБ

·         Не совсем понятно, что такое уровень безопасности объектов КИИ, как его определить и повышать?

·         Не совсем понятно, зачем в 17 пункте приведены некоторые типы СЗИ. Это СЗИ которые обязательно должны быть или просто примеры возможных вариантов?

·         Пятый раздел с требованиями к организации работ ОБ КИИ представляется наименее проработанным. В нем фактически нет требований, которые обязывали бы иметь какие-либо свидетельства. Детализация низка…. На этапе контроля осуществляется контроль. На этапе совершенствования – совершенствование.  Как потом проверить, было оно или нет?

·         Нет требований, зависящих от категории значимости объекта КИИ. Хотя логичнее было бы возложение дополнительных требований на наиболее значимые объекты КИИ.


    

Оцените материал:
Total votes: 9
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.