КИИ. Требования ФСТЭК по ОБ значимых объектов КИИ

Аватар пользователя SergeyBorisov
Автор: Борисов Сергей,
(1)
()
На официальном портале размещен проект приказа ФСТЭК России “Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации”.


В отличие от предыдущего приказа по системе безопасности ЗО КИИ, данный приказ является более классическим и уже привычным нам. Сделал обзор в виде майд-карт его основных требований в сравнении с приказом ФСТЭК №31, которому он должен был стать логической заменой (как пророчили эксперты). 


Документ можно разделить на 2 логических части:

·         Требования обеспечения безопасности на различных этапах жизненного цикла значимых объектов КИИ

·         Состав мер защиты (в приказе - организационных и технических мер, принимаемых для обеспечения безопасности значимых объектов КИИ)

1. Этап формирования требований

Основным новшеством является вынос работ по моделированию угроз с этого этапа в этап разработки мер ОБ. В итоге на этапе формирования требований осталось только категорирование и формирование ТЗ. Причем надо понимать, что такое ТЗ будет без учета актуальных угроз, без выбора конкретных меры защиты – придется обходится цитированием общих требований из новых приказов ФСТЭК.


2. Этап Разработки мер защиты

Из интересного тут можно отметить разрешение оценивать в основном только угрозы, связанные с компьютерными атаками. Уточнили что модель угроз может быть одна на несколько объектов, но только если они однотипные.

В документе в явном виде не сказано, на каком этапе и после каких мероприятий должен производится выбор мер защиты информации, но логически можно сделать вывод что это должен быть этап разработки мер защиты, после моделирования угроз.

В явном виде указана необходимость разработки обоснования, в случае если меры промышленной безопасности, физической безопасности или иные компенсирующие меры заменяют меры из базового набора мер защиты.

3. Этап внедрения мер защиты

Из интересного: потребовали выполнения эксплуатационной документации на СЗИ (а я в блоге регулярно обращаю внимание на сложности в реализации некоторых требований в ЭД и о том, что большинство пользователей игнорируют ограничения ЭД).

Также интересна детализация способов выявления узявимостей: тут и анализ перечней установленного ПО и сканирование по сети и пентесты.


4. На этапе эксплуатации и выводе из эксплуатации

Тут все аналогично приказу ФСТЭК России №31.


5. Состав мерам защиты

Для того чтобы оценить существенность изменений сделал сравнение мер из текущего документа и приказа ФСТЭК №31.

Отмечу что в новом приказе существенно сократили наименования мер защиты. (например, “Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации” -> “ Управление аутентификаторами”). Об этом ФСТЭК уже много раз просили и вот свершилось. Короткие наименования мер защиты гораздо удобнее использовать в проектной документации, при обсуждении, согласовании и другой коллективной работе. Аналогичные короткие имена применяются в NIST

А для того чтобы разъяснить что скрывается под короткими наименованиями мер защиты, ФСТЭК России планирует ещё выпустить методический документ с содержанием и правилами реализации мер защиты КИИ.

В составе мер защиты также произошло много изменений - в основном они касались смены условного обозначения мер защиты и переносу меры в другую группу. Также появилось несколько новых мер защиты и рядом мер были расширены базовые наборы (новые +).

Также были удалены 4 блока мер защиты: АНЗ, ЗСВ, ОБР и УБИ.









Ну и напоследок несколько замечаний и вопросов к проекту приказа:

·         В части КИИ у ФСТЭК есть 3 логических набора требований: требования по обеспечению безопасности на стадиях жизненного цикла ЗО КИИ, требования к созданию системы обеспечения безопасности ЗО КИИ и требования к мерам ОБ.

Не увидел четкого и логичного разделения между этими требованиями. Сейчас какая-то каша и много дублирований. Было бы логичнее перенести требования к ОБ на различных этапах – в приказ по системе ОБ; а в этом приказе оставить какие-то общие требования, перенести требования к процессам ОБ.   

·         В пункте 13.6 есть невыполнимое требование “По результатам анализа уязвимостей должно быть подтверждено, что в значимом объекте, как минимум, отсутствуют уязвимости, содержащиеся …, а также в иных источниках …”. Так множество источников не ограничено, то даже минимума мы никогда не достигнем…

·         В пункте 19 требуется обеспечить нейтрализацию угроз, актуальных на каждом уровне ЗО. При этом ни в БДУ ни в самом документе эти уровни больше нигде не упоминаются. Что хотят от нас? Принимать меры защиты на каждом уровне? При анализе угроз разбивать все угрозы по уровням?

·         В пункте 16 говорится что “Безопасность ЗО обеспечивается принятием организационных мер и применением средств защиты информации, обеспечивающих блокирование (нейтрализацию) угроз безопасности информации, последствиями которых может быть прекращение или нарушение функционирования значимого объекта”. Значит ли это что угрозы с иными последствиями меры защиты не нужны – их можно сразу отбрасывать?

·         Требования в пункте 22 звучат так, что в случае если у меня объект 1 категории, то я должен считать, что для меня актуальны все угрозы связанные с нарушителем высокого потенциала, а значит актуальны все угрозы.

Либо имелось в виду что для меня должен быть установлен актуальным нарушитель с высоким потенциалом? Почему бы так и не написать…

·         Там же в 22 пункте ещё одна нестыковка: “нарушителя с потенциалом не ниже базового повышенного уровня”… при этом в БДУ ФСТЭК у нас только 3 типа: высокий, средний, низкий.  Что за “повышенный”?

·         В составе мер: ЗИС.17 (защита от утечек информации) включает в себя ЗТС.1 (защита от утечек информации по ТК). Надо переформулировать



Оцените материал:
Total votes: 108
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя Александр Германович

"Базовый повышенный" - это, похоже, из проекта методики определения угроз 2015 г. Правда, там речь идет не об уровне нарушителя, а о его потенциале ("нарушитель с базовым повышенным потенциалом").

Судя по темпам утверждения Методики, мы никогда не узнаем, как этот потенциал определять. Да и сама методика предназначена для ГИС, а не для  ОКИИ.

up
11 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.