Нюансы проекта приказа ФСТЭК об обеспечении безопасности ЗО КИИ

Вадим Владимирович Петров
Количество просмотров105

допуск к гостайне 2

На официальном сайте ФСТЭК размещён проект приказа «Об утверждении Требований по обеспечению безопасности значимых объектов КИИ РФ».

Основные тезисы и изменения

Прописаны требования к каждому этапу разработки и создания защищенной системы. Заслуживают внимания следующие положения о требованиях о безопасности КИИ:

  • На этапе формирования требований к безопасности объекта КИИ выполняются лишь категорирование и разработка техзадания. Создание модели актуальных угроз планируется осуществлять на этапе разработки мер обеспечения безопасности объекта.
  • На этапе разработки мер обеспечения безопасности объекта КИИ производится оценка и создание актуальной модели угроз, а также разработка мер защиты. Примечательно, что в качестве угроз рассматриваются исключительно компьютерные атаки, а меры безопасности, отличающиеся от базового «набора» мероприятий, подлежат обязательному обоснованию.
  • Если приказ примут в данной редакции, для однотипных объектов КИИ допустимо разрабатывать и использовать единую модель угроз.
  • На следующем этапе при внедрении разработанных мер необходимо точно следовать эксплуатационной документации на средства защиты информации в КИИ. Сложность в том, что к такой документации часто относят, например, инструкции по работе с СЗИ в нештатных ситуациях, которыми «безопасники» не занимаются, к тому же большая часть пользователей в работе не соблюдает многие ограничения эксплуатационных документов.
  • Советуем обратить внимание на то, как детально прописан процесс выявления уязвимостей для ИС объекта: рекомендации касаются анализа списка используемого ПО, сканирования системы по сети, пентестов и др.
  • Процесс эксплуатации защитного ПО и технических средств защиты информации аналогичен тому, что описан в 31 приказе.
  • Изменился состав и наименования мер защиты объекта КИИ. Убрали 4 блока мер: ЗСВ, УБИ, АНЗ и ОБР. Добавили несколько новых мер, перегруппировали их, расширили базовый перечень за счет вновь введенных мер. Что касается наименований, их существенно сократили, что сделало разработку проектной документации и согласование работ более удобным. Однако не исключено, что для разъяснения сокращенных наименований и порядка применения мер защиты ФСТЭК придётся разработать и выпустить дополнительные методические рекомендации.

Проблемы реализации: проект требует доработки

Несмотря на то, что в проекте реализованы некоторые предложения экспертов и в целом документ достаточно проработан, есть некоторые замечания:

  1. в проекте содержится 3 группы требований к обеспечению безопасности объекта КИИ, однако разница между ними размыта, информация дублируется по ходу текста. Более логичным было бы перенести детальные требования, касающиеся ОБ, в приказ о системе обеспечения информации, а в настоящем приказе оставить общие требования.
  2. В данном случае остается неясным вопрос, как сформировать техническое задание, если создание списка актуальных угроз и планируемых мер защиты проводится на следующем этапе. Единственный выход — указывать в ТЗ общие формулировки и требования по новым приказам ФСТЭК, в процессе реализации уже детализировать требования.
  3. в 19 пункте содержится требование о нейтрализации угроз, которые являются актуальными на конкретном уровне объекта. Это единственное упоминание данных уровней — ни в других приказах, ни в базе данных уязвимостей от ФСТЭК не содержится указания об относимости угроз к уровням ЗО. Нет ясности — что требуется от пользователя: Обосновывать актуальность угроз на каждом уровне объекта или для каждого уровня разрабатывать отдельные меры защиты? При необходимости получения лицензии ФСТЭК на ТЗКИ данный вопрос потребует дополнительных разъяснений от ФСТЭК.
  4. в п. 13 содержится требование об обязательном использовании источников для определения перечня актуальных уязвимостей, при этом список источников остаётся открытым. Получается, что данное требование невыполнимо. Для устранения противоречия необходимо лучше проработать текст пункта.
  5. в 16 пункте предусмотрено, что меры защиты должны противодействовать угрозам, которые способны повлечь прекращение или нарушение работу защищаемого объекта. По смыслу данного пункта получается, что угрозы с иными негативными последствиями можно игнорировать и мер защиты от них применять не нужно.

Если противоречия и неясности будут устранены, данный документ станет полноценной заменой приказу №31, как и предрекали эксперты.

Есть вопросы по созданию защищенных систем по требованиям ФСТЭК или получению лицензии на техническую защиту информации? Обращайтесь.

Заказать обратный звонок
Нужна косультация по новости?

Оставить комментарий