Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

КИИ. Требования ФСТЭК по ОБ значимых объектов КИИ

Аватар пользователя SergeyBorisov
Автор: Борисов Сергей,
(3)
()
На официальном портале размещен проект приказа ФСТЭК России “Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации”.


В отличие от предыдущего приказа по системе безопасности ЗО КИИ, данный приказ является более классическим и уже привычным нам. Сделал обзор в виде майд-карт его основных требований в сравнении с приказом ФСТЭК №31, которому он должен был стать логической заменой (как пророчили эксперты). 


Документ можно разделить на 2 логических части:

·         Требования обеспечения безопасности на различных этапах жизненного цикла значимых объектов КИИ

·         Состав мер защиты (в приказе - организационных и технических мер, принимаемых для обеспечения безопасности значимых объектов КИИ)

1. Этап формирования требований

Основным новшеством является вынос работ по моделированию угроз с этого этапа в этап разработки мер ОБ. В итоге на этапе формирования требований осталось только категорирование и формирование ТЗ. Причем надо понимать, что такое ТЗ будет без учета актуальных угроз, без выбора конкретных меры защиты – придется обходится цитированием общих требований из новых приказов ФСТЭК.


2. Этап Разработки мер защиты

Из интересного тут можно отметить разрешение оценивать в основном только угрозы, связанные с компьютерными атаками. Уточнили что модель угроз может быть одна на несколько объектов, но только если они однотипные.

В документе в явном виде не сказано, на каком этапе и после каких мероприятий должен производится выбор мер защиты информации, но логически можно сделать вывод что это должен быть этап разработки мер защиты, после моделирования угроз.

В явном виде указана необходимость разработки обоснования, в случае если меры промышленной безопасности, физической безопасности или иные компенсирующие меры заменяют меры из базового набора мер защиты.

3. Этап внедрения мер защиты

Из интересного: потребовали выполнения эксплуатационной документации на СЗИ (а я в блоге регулярно обращаю внимание на сложности в реализации некоторых требований в ЭД и о том, что большинство пользователей игнорируют ограничения ЭД).

Также интересна детализация способов выявления узявимостей: тут и анализ перечней установленного ПО и сканирование по сети и пентесты.


4. На этапе эксплуатации и выводе из эксплуатации

Тут все аналогично приказу ФСТЭК России №31.


5. Состав мерам защиты

Для того чтобы оценить существенность изменений сделал сравнение мер из текущего документа и приказа ФСТЭК №31.

Отмечу что в новом приказе существенно сократили наименования мер защиты. (например, “Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации” -> “ Управление аутентификаторами”). Об этом ФСТЭК уже много раз просили и вот свершилось. Короткие наименования мер защиты гораздо удобнее использовать в проектной документации, при обсуждении, согласовании и другой коллективной работе. Аналогичные короткие имена применяются в NIST

А для того чтобы разъяснить что скрывается под короткими наименованиями мер защиты, ФСТЭК России планирует ещё выпустить методический документ с содержанием и правилами реализации мер защиты КИИ.

В составе мер защиты также произошло много изменений - в основном они касались смены условного обозначения мер защиты и переносу меры в другую группу. Также появилось несколько новых мер защиты и рядом мер были расширены базовые наборы (новые +).

Также были удалены 4 блока мер защиты: АНЗ, ЗСВ, ОБР и УБИ.









Ну и напоследок несколько замечаний и вопросов к проекту приказа:

·         В части КИИ у ФСТЭК есть 3 логических набора требований: требования по обеспечению безопасности на стадиях жизненного цикла ЗО КИИ, требования к созданию системы обеспечения безопасности ЗО КИИ и требования к мерам ОБ.

Не увидел четкого и логичного разделения между этими требованиями. Сейчас какая-то каша и много дублирований. Было бы логичнее перенести требования к ОБ на различных этапах – в приказ по системе ОБ; а в этом приказе оставить какие-то общие требования, перенести требования к процессам ОБ.   

·         В пункте 13.6 есть невыполнимое требование “По результатам анализа уязвимостей должно быть подтверждено, что в значимом объекте, как минимум, отсутствуют уязвимости, содержащиеся …, а также в иных источниках …”. Так множество источников не ограничено, то даже минимума мы никогда не достигнем…

·         В пункте 19 требуется обеспечить нейтрализацию угроз, актуальных на каждом уровне ЗО. При этом ни в БДУ ни в самом документе эти уровни больше нигде не упоминаются. Что хотят от нас? Принимать меры защиты на каждом уровне? При анализе угроз разбивать все угрозы по уровням?

·         В пункте 16 говорится что “Безопасность ЗО обеспечивается принятием организационных мер и применением средств защиты информации, обеспечивающих блокирование (нейтрализацию) угроз безопасности информации, последствиями которых может быть прекращение или нарушение функционирования значимого объекта”. Значит ли это что угрозы с иными последствиями меры защиты не нужны – их можно сразу отбрасывать?

·         Требования в пункте 22 звучат так, что в случае если у меня объект 1 категории, то я должен считать, что для меня актуальны все угрозы связанные с нарушителем высокого потенциала, а значит актуальны все угрозы.

Либо имелось в виду что для меня должен быть установлен актуальным нарушитель с высоким потенциалом? Почему бы так и не написать…

·         Там же в 22 пункте ещё одна нестыковка: “нарушителя с потенциалом не ниже базового повышенного уровня”… при этом в БДУ ФСТЭК у нас только 3 типа: высокий, средний, низкий.  Что за “повышенный”?

·         В составе мер: ЗИС.17 (защита от утечек информации) включает в себя ЗТС.1 (защита от утечек информации по ТК). Надо переформулировать



Оцените материал:
Total votes: 147
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя Александр Германович

"Базовый повышенный" - это, похоже, из проекта методики определения угроз 2015 г. Правда, там речь идет не об уровне нарушителя, а о его потенциале ("нарушитель с базовым повышенным потенциалом").

Судя по темпам утверждения Методики, мы никогда не узнаем, как этот потенциал определять. Да и сама методика предназначена для ГИС, а не для  ОКИИ.

up
15 users have voted.
Аватар пользователя Nikolay Dvoynishnikov

Добрый день, Сергей. Не могли бы Вы поделиться материалами MindMap'a? Хочу их актуализировать.

up
14 users have voted.
Аватар пользователя Nikolay Dvoynishnikov

Также буду признателен, если Вы укажете среду разработки.

up
2 users have voted.

Рассылка BISA

Подпишитесь на новости информационной безопасности и актуальные статьи экспертов

Ищите нас также:
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.