Таблица с мерами из приказов ФСТЭК

В Telegram-чате КИИ 187-ФЗ, конечно, всё ещё задаются вопросы об особенностях Категорирования объектов критической информационной инфраструктуры и даже порой возникают обсуждения по поводу того, какие объекты КИИ бывают и как правильно читать определения из 187-ФЗ, но наряду с этим понемногу начинает формироваться и практический интерес уже непосредственно к системам безопасности объектов КИИ (СБоКИИ).

Как известно, два основных документа, задающие соответствующие требования в этом вопросе — это соответствующие приказы:

• Приказ ФСТЭК России №235 от 21.12.2017 (ред. 27.03.2019) «Об утверждении Требований к созданию систем безопасности значимых объектов КИИ РФ и обеспечению их функционирования»
• Приказ ФСТЭК России №239 от 25.12.2017 (ред. 26.03.2019) «Об утверждении Требований по обеспечению безопасности значимых объектов КИИ РФ»

Документы достаточно объёмные и содержательные, но, как справедливо отметил в своём докладе мой коллега Николай Домуховский, чаще всего смотрят на таблицу мер в приложении к Приказу 239, что, конечно, явно недостаточно.

Тем не менее, таблица есть, набор базовых мер для каждой из категорий значимости в ней установлен и пройти мимо неё при создании СБоКИИ не выйдет.

При этом в тексте Приказа ФСТЭК №239 в пункте 5 есть важное уточнение:

5. Для обеспечения безопасности значимых объектов, являющихся информационными системами персональных данных, настоящие Требования применяются с учетом Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 (Собрание законодательства Российской Федерации, 2012, N 45, ст. 6257).

Для обеспечения безопасности значимых объектов, являющихся государственными информационными системами, настоящие Требования применяются с учетом Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17 (зарегистрирован Минюстом России 31 мая 2013 г., регистрационный N 28608) (с изменениями, внесенными приказом ФСТЭК России от 15 февраля 2017 г. N 27 «О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. N 17» (зарегистрирован Минюстом России 14 марта 2017 г., регистрационный N 45933).

Кроме того, в Приказ ФСТЭК России №31 от 14.03.2014 «Об утверждении Требований к обеспечению защиты информации в АСУ П и ТП на КВО…» в прошлом году был добавлен абзац:

Обеспечение безопасности автоматизированных систем управления, являющихся значимыми объектами критической информационной инфраструктуры Российской Федерации, осуществляется в соответствии с Требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденными приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. N 239, а также Требованиями к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утвержденными приказом Федеральной службы по техническому и экспортному контролю от 21 декабря 2017 г. N 235 (зарегистрирован Минюстом России 22 февраля 2018 г., регистрационный N 50118).

Таким образом, при выполнении проекта по созданию СБоКИИ тесно увязанными между собой становятся Приказы ФСТЭК №17 (для ГИС), №21 (ПДн), №31 (АСУ ТП) и №239 (ЗО КИИ). При этом таблицы с мерами защиты есть в каждом из них:

• Приказ 17 — Меры защиты информации в информационных системах;
• Приказ 21 — Содержание мер по обеспечению безопасности персональных данных;
• Приказ 31 — Меры защиты информации в автоматизированных системах управления;
• Приказ 239 — Меры обеспечения безопасности значимого объекта.

Стоит ещё отметить, что представители ФСТЭК России в своих выступлениях на публичных мероприятиях неоднократно обращали внимание на то, что при наличии пересекающихся требований к одной и той же ИС (ИТКС, АСУ) необходимо реализовывать каждое из требований (выбирая в итоге максимально жёсткое):

Именно по этой причине потратил немного времени и свёл в одну таблицу наборы мер из всех четырёх приказов, сгруппировав их по соответствующим разделам:

Пр этом заодно исправил мелкие опечатки (перепутанные 0 и О, 3 и З, лишние пробелы и проч.) и в очередной раз убедился, что Приказы ФСТЭК нуждаются в гармонизации.

В прошлом году была неплохая попытка привести к единообразию приказы 239 и 31, но даже в них некоторые одинаковые меры называются чуть по-разному, а уж когда рассматриваешь все 4 приказа сразу, то число несовпадений становится ещё больше.

Например, мера с одним и тем же кодом ЗИС.21:

• в приказе 17 описана как: «Исключение доступа пользователя к информации, возникшей в результате действий предыдущего пользователя через реестры, оперативную память, внешние запоминающие устройства и иные общие для пользователей ресурсы информационной системы»,
• в приказах 31 и 239 обозначает: «Запрет несанкционированной удаленной активации периферийных устройств»,
• а в приказе 21 и вовсе отсутствует (раздел заканчивается на ЗИС.20).

Не особо понимаю, зачем так надо было делать.

Итоговый файл в формате Excel можно скачать по приведённой ссылке. Если найдёте ошибки или захотите предложить идеи по усовершенствованию — добро пожаловать в комментарии.

Мой Telegram-канал, сообщество ВКонтакте.