В Telegram-чате КИИ 187-ФЗ, конечно, всё ещё задаются вопросы об особенностях Категорирования объектов критической информационной инфраструктуры и даже порой возникают обсуждения по поводу того, какие объекты КИИ бывают и как правильно читать определения из 187-ФЗ, но наряду с этим понемногу начинает формироваться и практический интерес уже непосредственно к системам безопасности объектов КИИ (СБоКИИ).
Как известно, два основных документа, задающие соответствующие требования в этом вопросе - это соответствующие приказы:
- Приказ ФСТЭК России №235 от 21.12.2017 (ред. 27.03.2019) «Об утверждении Требований к созданию систем безопасности значимых объектов КИИ РФ и обеспечению их функционирования»
- Приказ ФСТЭК России №239 от 25.12.2017 (ред. 26.03.2019) «Об утверждении Требований по обеспечению безопасности значимых объектов КИИ РФ»
Документы достаточно объёмные и содержательные, но, как справедливо отметил в своём докладе мой коллега Николай Домуховский, чаще всего смотрят на таблицу мер в приложении к Приказу 239, что, конечно, явно недостаточно.
Тем не менее, таблица есть, набор базовых мер для каждой из категорий значимости в ней установлен и пройти мимо неё при создании СБоКИИ не выйдет.
При этом в тексте Приказа ФСТЭК №239 в пункте 5 есть важное уточнение:
Для обеспечения безопасности значимых объектов, являющихся информационными системами персональных данных, настоящие Требования применяются с учетом Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 (Собрание законодательства Российской Федерации, 2012, N 45, ст. 6257).
Для обеспечения безопасности значимых объектов, являющихся государственными информационными системами, настоящие Требования применяются с учетом Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17 (зарегистрирован Минюстом России 31 мая 2013 г., регистрационный N 28608) (с изменениями, внесенными приказом ФСТЭК России от 15 февраля 2017 г. N 27 “О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. N 17” (зарегистрирован Минюстом России 14 марта 2017 г., регистрационный N 45933).
Кроме того, в Приказ ФСТЭК России №31 от 14.03.2014 «Об утверждении Требований к обеспечению защиты информации в АСУ П и ТП на КВО…» в прошлом году был добавлен абзац:
Обеспечение безопасности автоматизированных систем управления, являющихся значимыми объектами критической информационной инфраструктуры Российской Федерации, осуществляется в соответствии с Требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденными приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. N 239, а также Требованиями к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утвержденными приказом Федеральной службы по техническому и экспортному контролю от 21 декабря 2017 г. N 235 (зарегистрирован Минюстом России 22 февраля 2018 г., регистрационный N 50118).
Таким образом, при выполнении проекта по созданию СБоКИИ тесно увязанными между собой становятся Приказы ФСТЭК №17 (для ГИС), №21 (ПДн), №31 (АСУ ТП) и №239 (ЗО КИИ). При этом таблицы с мерами защиты есть в каждом из них:
- Приказ 17 - Меры защиты информации в информационных системах;
- Приказ 21 - Содержание мер по обеспечению безопасности персональных данных;
- Приказ 31 - Меры защиты информации в автоматизированных системах управления;
- Приказ 239 - Меры обеспечения безопасности значимого объекта.
Стоит ещё отметить, что представители ФСТЭК России в своих выступлениях на публичных мероприятиях неоднократно обращали внимание на то, что при наличии пересекающихся требований к одной и той же ИС (ИТКС, АСУ) необходимо реализовывать каждое из требований (выбирая в итоге максимально жёсткое):
Именно по этой причине потратил немного времени и свёл в одну таблицу наборы мер из всех четырёх приказов, сгруппировав их по соответствующим разделам. Пример итогового результата (начальная часть таблицы) на скриншоте ниже:
При этом заодно исправил мелкие опечатки (перепутанные 0 и О, 3 и З, лишние пробелы и проч.) и в очередной раз убедился, что Приказы ФСТЭК нуждаются в гармонизации.
В прошлом году была неплохая попытка привести к единообразию приказы 239 и 31, но даже в них некоторые одинаковые меры называются чуть по-разному, а уж когда рассматриваешь все 4 приказа сразу, то число несовпадений становится ещё больше.
Например, мера с одним и тем же кодом ЗИС.21:
- в приказе 17 описана как: “Исключение доступа пользователя к информации, возникшей в результате действий предыдущего пользователя через реестры, оперативную память, внешние запоминающие устройства и иные общие для пользователей ресурсы информационной системы”,
- в приказах 31 и 239 обозначает: “Запрет несанкционированной удаленной активации периферийных устройств”,
- а в приказе 21 и вовсе отсутствует (раздел заканчивается на ЗИС.20).
Не особо понимаю, зачем так надо было делать.
Итоговый файл в формате Excel можно скачать по приведённой ссылке. Если найдёте ошибки или захотите предложить идеи по усовершенствованию - добро пожаловать в комментарии.
Комментарии из Telegram
Комментарии ВКонтакте