Верхнее

Частые вопросы про безопасность КИИ и 187-ФЗ

<< В начало

Документация

Согласно Приказа ФСТЭК России №239 от 25.12.2017:

абз.2 п.8: «Результаты реализации мероприятий, проводимых для обеспечения безопасности значимого объекта на стадиях (этапах) его жизненного цикла, подлежат документированию. Состав и формы документов определяются субъектом критической информационной инфраструктуры.».

Таким образом, субъект КИИ волен самостоятельно определять, каким образом будет оформлен пакет документов по реализации мер по обеспечению информационной безопасности значимых объектов КИИ.

С практической точки зрения сопровождения и поддержания проектной документации в актуальном состоянии, удобнее, когда формируется единый пакет проектной документации, объединяющий реализованные меры защиты на всех объектах.

СБ ЗО КИИ

Согласно Приказа ФСТЭК России №239 от 25.12.2017:

абз.2 п.8: «Результаты реализации мероприятий, проводимых для обеспечения безопасности значимого объекта на стадиях (этапах) его жизненного цикла, подлежат документированию. Состав и формы документов определяются субъектом критической информационной инфраструктуры.».

Таким образом, субъект КИИ волен самостоятельно определять, каким образом будет оформлен пакет документов по реализации мер по обеспечению информационной безопасности значимых объектов КИИ.

С практической точки зрения сопровождения и поддержания проектной документации в актуальном состоянии, удобнее, когда формируется единый пакет проектной документации, объединяющий реализованные меры защиты на всех объектах.

Согласно Приказа ФСТЭК России №239 от 25.12.2017:

п.11 «Разработка организационных и технических мер по обеспечению безопасности значимого объекта осуществляется субъектом критической информационной инфраструктуры… в соответствии с техническим заданием на создание значимого объекта и (или) техническим заданием (частным техническим заданием) на создание подсистемы безопасности значимого объекта»

пп.ж) п.11.2: «При проектировании подсистемы безопасности значимого объекта … определяются требования к параметрам настройки программных и программно-аппаратных средств, включая средства защиты информации, обеспечивающие реализацию мер по обеспечению безопасности, блокирование (нейтрализацию) угроз безопасности информации и устранение уязвимостей значимого объекта…»

п.11.2: «Результаты проектирования подсистемы безопасности значимого объекта отражаются в проектной документации на значимый объект (подсистему безопасности значимого объекта)»

Согласно Приказа ФСТЭК России №235 от 21.12.2017:

п.3: «… По решению субъекта критической информационной инфраструктуры для одного или группы значимых объектов критической информационной инфраструктуры могут создаваться отдельные системы безопасности»

Таким образом, можно сделать вывод о том, что если централизованная реализация подсистем безопасности обеспечивает адекватную защиту значимых объектов КИИ, то такая реализация возможна. При этом все реализованные меры защиты должны быть отражены в проектной документации.

Например, допустима реализация единой системы антивирусной защиты, охватывающей несколько объектов КИИ.

Загрузить больше

Отредактировано: Сентябрь 12, 2018