Кто главный регулятор по КИИ: ФСБ или ФСТЭК?

Кто главный регулятор по КИИ: ФСБ или ФСТЭК?
Уже довольно продолжительное время я бьюсь над задачей "маппинга" (составления таблицы соответствия) требований ФСТЭК России по безопасности КИИ и подходов ГосСОПКА. Хочется создать некую общую модель "Люди/Процессы/Документы", используя которую было бы легче понять, что конкретно и по шагам надо сделать владельцам КИИ. Но это оказалось сложнее, чем ожидалось... 

И на это есть ряд причин.

1. Коллеги из ФСБ России еще не успели подготовить свою финальную пачку документов под 187-ФЗ и, есть ощущение, что итоговый текст могут немного поправить. А вот ФСТЭК России - молодцы, все обещанные документы уже опубликовали.

2. Как оказалось, у подходов ФСТЭК и ФСБ даже в рамках КИИ очень разные области действия. ФСТЭК России предъявляет требования по безопасности лишь к значимым объектам КИИ (ну, да, категорирование для всех КИИ), а вот ФСБ России оперирует даже не просто всеми КИИ (а не только лишь значимыми), а вообще таким общим понятием, как "информационные ресурсы РФ" (об этом написано в соответствующих Указах по ГосСОПКА). Я попробовал найти четкие границы этой сущности, но нашел лишь территориальный scope - "на территории РФ, в дипломатических представительствах и консульских учреждениях РФ".

3. Оба регулятора могут проверять безопасность КИИ. ФСТЭК России может проводить мероприятия по "государственному контролю" (187-ФЗ ст.6.3 5)), а ФСБ России заниматься "организацией и проведением оценки безопасности КИИ (187-ФЗ ст.6.4 4)), а еще "контролем степени защищенности информационных ресурсов РФ от компьютерных атак" (Указ №21, Указ №620). Еще раз напомню, что "объекты КИИ" входят в "информационные ресурсы РФ".

4. В требованиях регуляторов очень много общих тем: это и анализ угроз, и управление конфигурацией (инвентаризация), и управление событиями и инцидентами, и управление уязвимостями, и другие важные блоки комплексной безопасности. Простого деления, как это было, например, в 152-ФЗ, в этой теме нет. Тут даже не понятно, кто из регуляторов "главнее" или "первичнее". Да, ФСТЭК России является "уполномоченным в области обеспечения безопасности КИИ", а ФСБ России - "в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ". Но, как я упоминал выше, у ФСБ России область намного шире...

Интересно и то, что в 187-ФЗ прописано, что "безопасность КИИ - состояние защищенности КИИ, обеспечивающее ее устойчивое функционирование при проведении в отношении ее компьютерных атак."...

5. Если мы посмотрим на меры безопасности внимательно, то можем заметить, что выполнение "фсбшных" требований автоматически закроет нам аналогичные "фстэковские" (ну, это если решить вопрос еще и с использованием БДУ ФСТЭК России). А вот в обратную сторону это может и не сработать (степень детализации и приоритеты другие). Ну, то есть, мы можем построить процессы, удовлетворяющие требованиям ФСТЭК России, но они не подойдут для ГосСОПКА (например, время реагирования на инциденты будет больше требуемого).

Для себя сделал вот такую табличку-сравнение подходов к безопасности КИИ, может и вам она пригодится:


По ФСТЭК России
По ФСБ России
Общий подход
«Классический» подход ФСТЭК России (требования по проектированию, внедрению и эксплуатации + таблица мер из приложения)
Обнаружение, предупреждение и ликвидации последствий компьютерных атак и реагирование на компьютерные инциденты
(+подключение к ГосСОПКА)

Область действия
Категорирование для всех объектов КИИ, а требования по безопасности только для значимых объектов КИИ
Распространяется на объекты КИИ…
и другие «информационные ресурсы РФ» (Указы №31с и №620)

Документы
· 187-ФЗ (О безопасности КИИ)

· Приказ №227 (О порядке ведения реестра ЗКИИ)
· Приказ №229 (Форма акта проверки безопасности ЗКИИ)
· Приказ №235 (Требования к созданию системы безопасности ЗКИИ)
· Приказ №239 (Требования к безопасности ЗКИИ)
· Указ №31с (О создании ГосСОПКА)
·  Указ №620 (О совершенствовании ГосСОПКА)
· Указ №1234 (О концепции ГосСОПКА)

· 187-ФЗ (О безопасности КИИ)

· Комплект проектов Приказов (об НКЦКИ, о передаваемой информации в ГосСОПКА, о порядке обмена с ГосСОПКА, о требованиях к средствам ГоСОПКА, о порядке эксплуатации средств ГосСОПКА, об информировании об инцидентах для ЗКИИ)

Методические рекомендации
Ожидаем Методических рекомендации аналогичные Приказу №17 (обновленные и расширенные)
Методические рекомендации по созданию ведомственных и корпоративных центров ГосСОПКА

Перечень СЗИ
«Полный» (и даже расширенный) комплект
Фокус на системы инвентаризации, анализа уязвимостей, управления событиями и инцидентами ИБ

+СКЗИ для обмена информацией
+средства мониторинга для сетей электросвязи

«Бумажная безопасность»
Традиционно много
Тоже есть, но мало. Ориентир на процессы

Сложные вопросы
· Категорирование объектов КИИ
· Проектирование выбор решения под обновленный и расширенный перечень мер из приложения к Приказу №239
· Использование БДУ ФСТЭК России для оценки угроз и контроля устранения известных уязвимостей
· Вопросы резервирования и непрерывности процессов (ОДТ и ДНС)
· Сертификация / оценка соответствия СЗИ
· Аттестация (для ГосИС)

· Взаимодействие с ведомственными и корпоративными центрами (делаем сами или передаем на аутсорсинг)
· Согласование перечня средств с НКЦКИ (до 45 дней)
· Контроль НДВ для средств ГосСОПКА
· Актуальность результатов инвентаризации
· Реально работающие процедуры (есть требования по срокам уведомления и реагирования)
Контроль
Государственный контроль (187-ФЗ ст.6.3 5))






Ожидания (но это не точно): Наказание за несоответствие требованиям

Организация и проведение оценки безопасности КИИ (187-ФЗ ст.6.4 4)) // Контроль степени защищенности  информационных ресурсов РФ от компьютерных атак (Указ №21, Указ №620)

Ожидания (но это не точно): Наказание за инциденты
С чего начать?
Провести категорирование объектов КИИ и спроектировать систему защиты
Начать общение с НКЦКИ, определить необходимый перечень средств ГосСОПКА и согласовать его

Контакты
fstec.ru
postin@fstec.ru (общий)
gov-cert.ru

Ответа на вопрос, который я задал в заголовке для привлечения вашего внимания, здесь не будет. Да и не может быть. Владельцам КИИ необходимо будет взаимодействовать с каждым регулятором. И, похоже на то, что придется запускать два параллельных процесса приведения себя в соответствие. Часики уже тикают...
Alt text

Если вам нравится играть в опасную игру, присоединитесь к нам - мы научим вас правилам!

Подписаться

Andrey Prozorov

Информационная безопасность в России и мире