Верхнее

Categories Archives: Частые вопросы

Частые вопросы по теме безопасности критической информационной инфраструктуры Российской Федерации.

Частые вопросы про безопасность КИИ и 187-ФЗ

ЗО КИИ

Согласно Приказа ФСТЭК России №239 от 25.12.2017:

п.8: «На стадиях (этапах) жизненного цикла в ходе создания (модернизации), эксплуатации и вывода из эксплуатации значимого объекта проводятся:
а) установление требований к обеспечению безопасности значимого объекта;
б) разработка организационных и технических мер по обеспечению безопасности значимого объекта;
в) внедрение организационных и технических мер по обеспечению безопасности значимого объекта и ввод его в действие; …»

п.9: «…Модернизация или дооснащение подсистем безопасности значимых объектов осуществляется в порядке, установленном настоящими Требованиями для создания значимых объектов и их подсистем безопасности, с учетом имеющихся у субъектов критической информационной инфраструктуры программ (планов) по модернизации или дооснащению значимых объектов»

пп.в) п.13.4: «управление изменениями значимого объекта и его подсистемы безопасности: разработка параметров настройки, обеспечивающих безопасность значимого объекта, анализ потенциального воздействия планируемых изменений на обеспечение безопасности значимого объекта, санкционирование внесения изменений в значимый объект и его подсистему безопасности, документирование действий по внесению изменений в значимый объект и сохранение данных об изменениях конфигурации».

Согласно Приказа ФСТЭК России №227 от 06.12.2017:

п.3: «… Субъекты критической информационной инфраструктуры должны обеспечивать достоверность и актуальность представляемых сведений об объектах критической информационной инфраструктуры»

Таким образом, при модернизации ЗО КИИ ответственными лицами (назначаемыми субъектом КИИ) должен быть проведен задокументированный анализ воздействия изменений на обеспечение безопасности ЗО, а также (при необходимости) пересмотр требований к обеспечению безопасности ЗО КИИ с дальнейшей их реализацией.

Если планируемые изменения не приводят к пересмотру требований и внедрению дополнительных мер по обеспечению безопасности ЗО КИИ, то это также должно быть задокументировано.

Кроме того, если в результате изменений информационной инфраструктуры объект перестает соответствовать критериям значимости и показателям их значений, то категория значимости объекта КИИ должна быть пересмотрена комиссией (п.12 ст.7 187-ФЗ от 26.07.2017). При этом в соответствии с п.3 Приказа ФСТЭК России №227 от 06.12.2017 о факте изменения категории необходимо уведомить регулятора путем повторной отправки сведений по форме Приказа ФСТЭК России №236 от 22.12.2017.

Реестр ЗО КИИ

Согласно Приказа ФСТЭК России №239 от 25.12.2017:

п.8: «На стадиях (этапах) жизненного цикла в ходе создания (модернизации), эксплуатации и вывода из эксплуатации значимого объекта проводятся:
а) установление требований к обеспечению безопасности значимого объекта;
б) разработка организационных и технических мер по обеспечению безопасности значимого объекта;
в) внедрение организационных и технических мер по обеспечению безопасности значимого объекта и ввод его в действие; …»

п.9: «…Модернизация или дооснащение подсистем безопасности значимых объектов осуществляется в порядке, установленном настоящими Требованиями для создания значимых объектов и их подсистем безопасности, с учетом имеющихся у субъектов критической информационной инфраструктуры программ (планов) по модернизации или дооснащению значимых объектов»

пп.в) п.13.4: «управление изменениями значимого объекта и его подсистемы безопасности: разработка параметров настройки, обеспечивающих безопасность значимого объекта, анализ потенциального воздействия планируемых изменений на обеспечение безопасности значимого объекта, санкционирование внесения изменений в значимый объект и его подсистему безопасности, документирование действий по внесению изменений в значимый объект и сохранение данных об изменениях конфигурации».

Согласно Приказа ФСТЭК России №227 от 06.12.2017:

п.3: «… Субъекты критической информационной инфраструктуры должны обеспечивать достоверность и актуальность представляемых сведений об объектах критической информационной инфраструктуры»

Таким образом, при модернизации ЗО КИИ ответственными лицами (назначаемыми субъектом КИИ) должен быть проведен задокументированный анализ воздействия изменений на обеспечение безопасности ЗО, а также (при необходимости) пересмотр требований к обеспечению безопасности ЗО КИИ с дальнейшей их реализацией.

Если планируемые изменения не приводят к пересмотру требований и внедрению дополнительных мер по обеспечению безопасности ЗО КИИ, то это также должно быть задокументировано.

Кроме того, если в результате изменений информационной инфраструктуры объект перестает соответствовать критериям значимости и показателям их значений, то категория значимости объекта КИИ должна быть пересмотрена комиссией (п.12 ст.7 187-ФЗ от 26.07.2017). При этом в соответствии с п.3 Приказа ФСТЭК России №227 от 06.12.2017 о факте изменения категории необходимо уведомить регулятора путем повторной отправки сведений по форме Приказа ФСТЭК России №236 от 22.12.2017.

СБ ЗО КИИ

Согласно Приказа ФСТЭК России №239 от 25.12.2017:

п.8: «На стадиях (этапах) жизненного цикла в ходе создания (модернизации), эксплуатации и вывода из эксплуатации значимого объекта проводятся:
а) установление требований к обеспечению безопасности значимого объекта;
б) разработка организационных и технических мер по обеспечению безопасности значимого объекта;
в) внедрение организационных и технических мер по обеспечению безопасности значимого объекта и ввод его в действие; …»

п.9: «…Модернизация или дооснащение подсистем безопасности значимых объектов осуществляется в порядке, установленном настоящими Требованиями для создания значимых объектов и их подсистем безопасности, с учетом имеющихся у субъектов критической информационной инфраструктуры программ (планов) по модернизации или дооснащению значимых объектов»

пп.в) п.13.4: «управление изменениями значимого объекта и его подсистемы безопасности: разработка параметров настройки, обеспечивающих безопасность значимого объекта, анализ потенциального воздействия планируемых изменений на обеспечение безопасности значимого объекта, санкционирование внесения изменений в значимый объект и его подсистему безопасности, документирование действий по внесению изменений в значимый объект и сохранение данных об изменениях конфигурации».

Согласно Приказа ФСТЭК России №227 от 06.12.2017:

п.3: «… Субъекты критической информационной инфраструктуры должны обеспечивать достоверность и актуальность представляемых сведений об объектах критической информационной инфраструктуры»

Таким образом, при модернизации ЗО КИИ ответственными лицами (назначаемыми субъектом КИИ) должен быть проведен задокументированный анализ воздействия изменений на обеспечение безопасности ЗО, а также (при необходимости) пересмотр требований к обеспечению безопасности ЗО КИИ с дальнейшей их реализацией.

Если планируемые изменения не приводят к пересмотру требований и внедрению дополнительных мер по обеспечению безопасности ЗО КИИ, то это также должно быть задокументировано.

Кроме того, если в результате изменений информационной инфраструктуры объект перестает соответствовать критериям значимости и показателям их значений, то категория значимости объекта КИИ должна быть пересмотрена комиссией (п.12 ст.7 187-ФЗ от 26.07.2017). При этом в соответствии с п.3 Приказа ФСТЭК России №227 от 06.12.2017 о факте изменения категории необходимо уведомить регулятора путем повторной отправки сведений по форме Приказа ФСТЭК России №236 от 22.12.2017.

Согласно Приказа ФСТЭК России №239 от 25.12.2017:

п.11 «Разработка организационных и технических мер по обеспечению безопасности значимого объекта осуществляется субъектом критической информационной инфраструктуры… в соответствии с техническим заданием на создание значимого объекта и (или) техническим заданием (частным техническим заданием) на создание подсистемы безопасности значимого объекта»

пп.ж) п.11.2: «При проектировании подсистемы безопасности значимого объекта … определяются требования к параметрам настройки программных и программно-аппаратных средств, включая средства защиты информации, обеспечивающие реализацию мер по обеспечению безопасности, блокирование (нейтрализацию) угроз безопасности информации и устранение уязвимостей значимого объекта…»

п.11.2: «Результаты проектирования подсистемы безопасности значимого объекта отражаются в проектной документации на значимый объект (подсистему безопасности значимого объекта)»

Согласно Приказа ФСТЭК России №235 от 21.12.2017:

п.3: «… По решению субъекта критической информационной инфраструктуры для одного или группы значимых объектов критической информационной инфраструктуры могут создаваться отдельные системы безопасности»

Таким образом, можно сделать вывод о том, что если централизованная реализация подсистем безопасности обеспечивает адекватную защиту значимых объектов КИИ, то такая реализация возможна. При этом все реализованные меры защиты должны быть отражены в проектной документации.

Например, допустима реализация единой системы антивирусной защиты, охватывающей несколько объектов КИИ.

Load More

Continue Reading