В Telegram-чате КИИ 187-ФЗ, конечно, всё ещё задаются вопросы об особенностях Категорирования объектов критической информационной инфраструктуры и даже порой возникают обсуждения по поводу того, какие объекты КИИ бывают и как правильно читать определения из 187-ФЗ, но наряду с этим понемногу начинает формироваться и практический интерес уже непосредственно к системам безопасности объектов КИИ (СБоКИИ).

Как известно, два основных документа, задающие соответствующие требования в этом вопросе - это соответствующие приказы:

Документы достаточно объёмные и содержательные, но, как справедливо отметил в своём докладе мой коллега Николай Домуховский, чаще всего смотрят на таблицу мер в приложении к Приказу 239, что, конечно, явно недостаточно.

Тем не менее, таблица есть, набор базовых мер для каждой из категорий значимости в ней установлен и пройти мимо неё при создании СБоКИИ не выйдет.

При этом в тексте Приказа ФСТЭК №239 в пункте 5 есть важное уточнение:

Для обеспечения безопасности значимых объектов, являющихся информационными системами персональных данных, настоящие Требования применяются с учетом Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 (Собрание законодательства Российской Федерации, 2012, N 45, ст. 6257).

Для обеспечения безопасности значимых объектов, являющихся государственными информационными системами, настоящие Требования применяются с учетом Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17 (зарегистрирован Минюстом России 31 мая 2013 г., регистрационный N 28608) (с изменениями, внесенными приказом ФСТЭК России от 15 февраля 2017 г. N 27 “О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. N 17” (зарегистрирован Минюстом России 14 марта 2017 г., регистрационный N 45933).

Кроме того, в Приказ ФСТЭК России №31 от 14.03.2014 «Об утверждении Требований к обеспечению защиты информации в АСУ П и ТП на КВО…» в прошлом году был добавлен абзац:

Обеспечение безопасности автоматизированных систем управления, являющихся значимыми объектами критической информационной инфраструктуры Российской Федерации, осуществляется в соответствии с Требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденными приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. N 239, а также Требованиями к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утвержденными приказом Федеральной службы по техническому и экспортному контролю от 21 декабря 2017 г. N 235 (зарегистрирован Минюстом России 22 февраля 2018 г., регистрационный N 50118).

Таким образом, при выполнении проекта по созданию СБоКИИ тесно увязанными между собой становятся Приказы ФСТЭК №17 (для ГИС), №21 (ПДн), №31 (АСУ ТП) и №239 (ЗО КИИ). При этом таблицы с мерами защиты есть в каждом из них:

  • Приказ 17 - Меры защиты информации в информационных системах;
  • Приказ 21 - Содержание мер по обеспечению безопасности персональных данных;
  • Приказ 31 - Меры защиты информации в автоматизированных системах управления;
  • Приказ 239 - Меры обеспечения безопасности значимого объекта.

Стоит ещё отметить, что представители ФСТЭК России в своих выступлениях на публичных мероприятиях неоднократно обращали внимание на то, что при наличии пересекающихся требований к одной и той же ИС (ИТКС, АСУ) необходимо реализовывать каждое из требований (выбирая в итоге максимально жёсткое):

Наложение различных требований друг на друга

Именно по этой причине потратил немного времени и свёл в одну таблицу наборы мер из всех четырёх приказов, сгруппировав их по соответствующим разделам. Пример итогового результата (начальная часть таблицы) на скриншоте ниже:

Меры из приказов ФСТЭК (скриншот первой части таблицы)

При этом заодно исправил мелкие опечатки (перепутанные 0 и О, 3 и З, лишние пробелы и проч.) и в очередной раз убедился, что Приказы ФСТЭК нуждаются в гармонизации.

В прошлом году была неплохая попытка привести к единообразию приказы 239 и 31, но даже в них некоторые одинаковые меры называются чуть по-разному, а уж когда рассматриваешь все 4 приказа сразу, то число несовпадений становится ещё больше.

Например, мера с одним и тем же кодом ЗИС.21:

  • в приказе 17 описана как: “Исключение доступа пользователя к информации, возникшей в результате действий предыдущего пользователя через реестры, оперативную память, внешние запоминающие устройства и иные общие для пользователей ресурсы информационной системы”,
  • в приказах 31 и 239 обозначает: “Запрет несанкционированной удаленной активации периферийных устройств”,
  • а в приказе 21 и вовсе отсутствует (раздел заканчивается на ЗИС.20).

Не особо понимаю, зачем так надо было делать.


Итоговый файл в формате Excel можно скачать по приведённой ссылке. Если найдёте ошибки или захотите предложить идеи по усовершенствованию - добро пожаловать в комментарии.


Комментарии из Telegram


Комментарии ВКонтакте